„TR-03109-6, TR-03145, ISMS, ISO/IEC 27001, ISO 27001 auf der Basis von IT-Grundschutz, IT-Sicherheitskatalog, Smart Meter Gateway Administratoren, Smart Meter PKI, Sub CA, Netzbetreiber“ Das sind ziemlich viele Schlagwörter und Akronyme, mit denen sich derzeit die Energiebranche beschäftigt. Wir sortieren einmal:
- Netzbetreiber müssen gem. IT-Sicherheitskatalog ihr Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 zertifizieren lassen; die Zertifizierung erfolgt durch speziell hierfür bei der Deutschen Akkreditierungsstelle (DAkkS) akkreditierte Zertifizierungsstellen.
- Smart Meter Gateway Administratoren müssen gem. TR-03109-6 Ihr ISMS nach ISO/IEC 27001 oder ISO 27001 auf der Basis von IT-Grundschutz zertifizieren lassen; die Audits führen speziell beim Bundesamt für Sicherheit in der Informationstechnik (BSI) auf diese Technische Richtlinie (TR) geschulte Auditoren durch.
- Sub CAs, das sind Unterzertifizierungsstellen (CA steht für Certificate Authority), der Smart Meter PKI müssen gem. TR-03145 überprüft werden. Zur Erinnerung: Das gewählte Modell der Public Key Infrastructure (PKI) sieht eine zentrale, staatliche Root (Wurzel) als Vertrauensanker in der Infrastruktur der Gateways vor. Darunterliegend operieren private Unternehmen, sogenannte Sub-CAs (untergeordnete Zertifizierungsstellen), welche die Betreuung der Marktteilnehmer übernehmen. Eine Anforderung an eben diese privaten CAs ist ein vorliegendes Zertifikat Ihres ISMS – entweder gem. ISO/IEC 27001 oder ISO 27001 auf der Basis von IT-Grundschutz; diese Audits führen wiederum speziell auf diese TR geschulte Auditoren durch.
Nun stellt sich die Frage nach möglichen Synergien. Auf diese Frage wollen wir in diesem Beitrag eingehen.
Interne Prozesse weisen große Synergien auf
Für Netzbetreiber, Smart Meter Gateway Administratoren und Sub CAs wird gleichermaßen ein Informationssicherheits-Managementsystem (ISMS) als Basis gefordert. Und hier liegen auf inhaltlicher Ebene, also auf Ebene des Prozesses und der Maßnahmen zur Informationssicherheit gewaltige Synergien vor. Egal welcher Standard konkret verfolgt, und selbst wenn verschiedene Standards genutzt werden, die per se nicht kompatibel sind: Das Gros des Prozesses zur Informationssicherheit und auch die umgesetzten Maßnahmen sind identisch!
Kommen wir im nächsten Schritt zur konkreten Methode: Wenn der IT-Sicherheitskatalog einschlägig ist – oder von Kunden gefordert wird –, dann ist die internationale Ausprägung ISO/IEC 27001 zu bevorzugen, denn diese Norm ist im IT-Sicherheitskatalog zwingend vorgegeben. Die beiden Ansätze ISO/IEC 27001 und ISO 27001 auf der Basis von IT-Grundschutz sind nur bedingt kompatibel.
Somit steht das Ergebnis für Netzbetreiber fest: für diese kommt lediglich die ISO/IEC 270014 in Frage.
Nun zum Gateway Administrator (GWA)
Wer die Rolle des Smart Meter Gateway Administrators wahrnehmen will, muss die Anforderungen der TR-03109-6 erfüllen. Diese Technische Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) stellt lt. Messstellenbetriebsgesetz (MsbG) als Teil des Gesetzes zur Digitalisierung der Energiewende (derzeit als Entwurf vorliegend) die Messlatte dar. Die TR-03109-6 fordert u.a. ein Informationssicherheits-Managementsystem (ISMS), das entweder gemäß ISO/IEC 27001 zertifiziert ist oder gemäß ISO 27001 auf der Basis von IT-Grundschutz. Die in der TR-03109-6 formulierten Mindestanforderungen sind in diesem ISMS zu berücksichtigen. Ferner stellt die TR-03109-6 Anforderungen an die Auditoren, die die Umsetzung überprüfen – sie müssen beim BSI speziell auf diese TR geschult sein. Die Auditierung, dass die in der TR formulierten Mindestanforderungen im ISMS berücksichtigt wurden, ist ein integraler Bestandteil der Auditierung des ISMS; d.h. der Auditor muss tief in das ISMS eindringen, um sich von der Umsetzung dieser Mindestmaßnahmen zu überzeugen. Vor allem im Hinblick auf die weiteren im ISMS realisierten Maßnahmen. Um Synergien zu erzielen, macht hier ein gemeinsames Audit Sinn. Ein speziell auf die TR-03109-6 geschulter Auditor sollte gleichzeitig die Auditierung des ISMS durchführen.
Untergeordnete Zertifizierungsstellen
Wie sieht es aus mit den Sub CAs? Die TR-03145-1 „Secure CA operation” enthält verschiedene Anforderungen an den sicheren Betrieb einer Certification Authority (CA) für die Smart Meter PKI. Eine dieser Anforderungen ist die Existenz eines ISMS in der CA, das gem. ISO/IEC 27001 zertifiziert sein muss. In diesem Falle kann der speziell auf die TR-03145 geschulte Auditor als einen Prüfpunkt kontrollieren, ob ein ISO/IEC 27001-Zertifikat für den Geltungsbereich vorliegt. Damit lässt sich die Auditierung nach ISO/IEC 27001 und TR-03145 zeitlich und inhaltlich entzerren und nacheinander – auch von unterschiedlichen Auditoren – durchführen. Aber Achtung! Im Scope des Zertifikates muss die Sub CA enthalten sein, so dass die Sub CA mit ihren Assets und Risiken im ISMS berücksichtigt ist.
Und sonst?
Wie sieht es mit weiteren Synergien aus? Die typischen Managementsystemnormen – etwa ISO 9001 für Qualität, ISO 27001 für Informationssicherheit, ISO 20000 für IT-Service oder ISO 14001 für Umwelt – sind ähnlich strukturiert und mit dem letzten Normungsstand hinsichtlich des Prozesses weitestgehend kompatibel. Wer also bereits ein anderes Managementsystem mit Richtlinien, internen Audits, regelmäßiger Managementbewertung oder kontinuierlichem Verbesserungswesen etabliert hat, der kann diese Prozesse auf die weiteren Anforderungen erweitern. Auch bei der Auditierung lassen sich Synergien nutzen, indem zu einem konkreten Prüfpunkt auf ein vorliegendes Zertifikat verwiesen wird, in welchem dieser Prüfpunkt genauso geprüft worden ist.
Und zu guter Letzt: Wie sieht es aus mit Synergien zwischen ISO/IEC 27001 und dem IT-Sicherheitskatalog? Auf den ersten Blick vielleicht eine unter Umständen sonderbare Frage, da doch im IT-Sicherheitskatalog für Netzbetreiber ein ISMS gem. ISO/IEC 27001 gefordert wird. Es wird dort aber etwas mehr gefordert, nämlich ISO/IEC 27019 sowie Anforderungen aus dem IT-Sicherheitskatalog. Aber vor allem ist die Zertifizierung des ISMS gem. IT-Sicherheitskatalog ein eigenes Akkreditierungsschema. Damit dürfen nur speziell darauf akkreditierte Zertifizierungsstellen diese Umsetzung zertifizieren. Und nur speziell geschulte Auditoren dürfen die Umsetzung beim Netzbetreiber auditieren. Das zugehörige „Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen für den IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz auf der Grundlage der ISO/IEC 27006“ ist mit Stand 13. April 2016 veröffentlicht worden.
Häufig stellt sich damit auch die Frage, welche Informationen denn auf dem Zertifikat angegeben werden, damit ein Netzbetreiber, ein Smart Meter Gateway Administrator oder eine Sub CA auch nachweisen können, dass sie die jeweiligen Anforderungen erfüllen. Dazu gibt es nicht die eine gültige Antwort, aber mehrere Ansätze und Möglichkeiten:
- Die Beschreibung des Untersuchungsgegenstands weist Netzbetrieb gem. IT-Sicherheitskatalog, Smart Meter Gateway Administration gem. TR-03109-6 und/ oder Sub CA gem. TR-03145-1 explizit aus.
- Zertifiziert wird jeweils das Informationssicherheits-Managementsystem gem. ISO/IEC 27001.
- Zusätzlich umgesetzte Anforderungen werden über das Statement of Applicability (SOA) angegeben; die Version des SOA ist im Zertifikat angegeben. Hilfreich wäre dazu, dass der Antragsteller das SOA-Dokument selber verfügbar macht.
- Ferner kann auch das Zertifikat weitere Normen aufführen, deren Erfüllung mit auditiert wurden.
- Alternativ ist selbstverständlich denkbar, mehrere Zertifikate – eines pro Scopes und zu erfüllender Norm – anzustreben. Das kann u.U. etwas mehr Auditierungsaufwand nach sich ziehen, andererseits die Auditierung thematisch und zeitlich entzerren.
Fazit
Informationssicherheit ist vor allem eine Frage des Prozesses. Wenn dieser Managementprozess etabliert ist, lassen sich neue Anforderungen gut nachziehen, sowohl TR-03109-6, TR-03145 oder der IT-Sicherheitskatalog. Und dies gilt für Netzbetreiber, den Smart Meter Gateway Administrator sowie die SubCAs.