Zum Scoping bei ISO 27001 für Energieversorger

Zertifikat ist nicht gleich Zertifikat! Nicht nur der angewendete Standard ist entscheidend, sondern auch der Scope eines Zertifikates – also der Geltungsbereich oder Untersuchungsgegenstand, der angibt, worauf sich die Übereinstimmung mit einer Norm bezieht.

Was beim Scoping bei ISO 27001 zu beachten ist, erfahren Sie in diesem Beitrag – illustriert am Beispiel der Energieversorgung.

Weshalb ist Scoping wichtig?

Mit einem Zertifikat gemäß ISO/IEC 27001 weist ein Unternehmen nach, dass ein Informationssicherheits-Managementsystem (ISMS) etabliert ist. Dieses Zertifikat einer akkreditierten Zertifizierungsstelle bürgt damit für Informationssicherheit im Unternehmen. Jedes ISO 27001-Zertifikat weist aus, wofür es gilt, d.h. für welchen Geltungsbereich die Einhaltung der Norm geprüft und bestätigt wurde.

Welcher Geltungsbereich ist sinnvoll? Selbstverständlich kann ein gesamtes Unternehmen gemäß ISO 27001 zertifiziert werden. Aufgrund der Komplexität der umzusetzenden Prozesse kann es sich allerdings als zielführender erweisen, sich zunächst auf die Bereiche zu konzentrieren, die als besonders relevant erachtet werden. Relevant für den eigenen Betrieb oder zur Erfüllung gewisser Erwartungshaltungen bei Kunden und Behörden. Zu klein darf ein ISMS übrigens auch nicht sein.

Erste Näherung: Was fordert denn die ISO 27001?

Die Norm ISO/IEC 27001:2013 fordert in Abs. 4.3, dass der Anwendungsbereich des Informationssicherheits-Managementsystems (ISMS) festgelegt ist und als dokumentierte Information vorliegt. Ferner sind die Grenzen zu anderen Bereichen zu berücksichtigen.

Kann nun jeder Scope zertifiziert werden?

Während ISO 27001 die Norm für den Auditor ist, muss eine akkreditierte Zertifizierungsstelle prüfen, ob der Geltungsbereich für eine Zertifizierung geeignet ist. Dazu ist die entsprechende Akkreditierungsnorm ISO/IEC 27006 relevant. Hier findet sich in Abs. 9.1.2 der Hinweis, dass die Zertifizierungsstelle dafür Sorge zu tragen hat, dass

• der Geltungsbereich samt Abgrenzung des ISMS klar definiert ist und
• angemessen im Hinblick auf die Organisation, ihre Standorte, Werte und Technologie sowie ihr „Business“ ist.
• Ferner ist der Geltungsbereich in der Risikoanalyse zu berücksichtigen sowie in der Darstellung der Anwendbarkeit – im sogenannten „Statement of Applicability“ (SOA).
• Auch hier ist die Abgrenzung zu anderen Bereichen klar darzulegen.

ISO 27001 bietet viele Freiheiten zum Scoping

Im Zwischenfazit ist damit festzuhalten, dass ein Antragsteller unter Berücksichtigung der zuvor genannten Aspekte relativ frei in Wahl und Zuschnitt „seines“ ISMS ist.

Deshalb ist es wichtig, bei der Anerkennung eines ISO 27001-Zertifikates – etwa, wenn Sie einen Dienstleister einschalten möchten oder selber die Konformität nachweisen möchten – stets darauf zu achten, ob der im Zertifikat angegebene Geltungsbereich den entsprechenden Bereich umfasst. Falls Sie zum Scope eines Zertifikates Fragen haben, können Sie die akkreditierte Zertifizierungsstelle, die das Zertifikat erteilt hat, auch einfach fragen.

Können damit Energieversorger ihren Scope auch frei wählen?

Nein! Hier hat der Gesetzgeber definiert, für welche Bereiche ein ISMS aufgebaut und durch ein Zertifikat nachgewiesen sein muss. Aktuell relevant sind dazu insbesondere das IT-Sicherheitsgesetz (IT-SiG) für Kritische Infrastrukturen (KRITIS) und das Energiewirtschaftsgesetz (EnWG) mit dem IT-Sicherheitskatalog der Bundesnetzagentur.

Zunächst ist dazu die Frage zu klären, welche Bereiche überhaupt vom Gesetzgeber geregelt werden.

Wer ist KRITIS?

Was zu den Kritischen Infrastrukturen (KRITIS) zählt, wird durch § 2 Abs. 10 BSI-Gesetz (geändert durch Art. 1 Nr. 2 IT-SiG) neu definiert:

„Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die

1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. […]“

Und was müssen KRITIS tun?

Welche Anforderungen Bereiche umsetzen müssen, die zu den Kritischen Infrastrukturen zählen, wird im BSI-Gesetz in § 8a (geändert durch Art. 1 Nr. 7 IT-SiG) unter der Überschrift „Sicherheit in der Informationstechnik Kritischer Infrastrukturen“ normiert:

„(1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei ist der Stand der Technik zu berücksichtigen. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

(2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt

1. im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe,
2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde.

(3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt eine Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Bei Sicherheitsmängeln kann das Bundesamt die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse und im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.“

Was gilt für die Energieversorger zusätzlich?

Unternehmen aus dem Bereich der Energie fallen unter das IT-Sicherheitsgesetz. Für sie sind ferner weitere Anforderungen relevant.

Das Energiewirtschaftsgesetz (EnWG) normiert in §11 Abs. 1a:

„(1) Betreiber von Energieversorgungsnetzen sind verpflichtet, ein sicheres, zuverlässiges und leistungsfähiges Energieversorgungsnetz diskriminierungsfrei zu betreiben, zu warten und bedarfsgerecht zu optimieren, zu verstärken und auszubauen, soweit es wirtschaftlich zumutbar ist. […]

(1a) Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen. Die Regulierungsbehörde erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen und veröffentlicht diesen. Ein angemessener Schutz des Betriebs eines Energieversorgungsnetzes wird vermutet, wenn dieser Katalog der Sicherheitsanforderungen eingehalten und dies vom Betreiber dokumentiert worden ist. Die Einhaltung kann von der Regulierungsbehörde überprüft werden. Die Regulierungsbehörde kann durch Festlegung im Verfahren nach § 29 Absatz 1 nähere Bestimmungen zu Format, Inhalt und Gestaltung der Dokumentation nach Satz 3 treffen.“

Was genau gefordert wird, erläutert der „Sicherheitskatalog gem. § 11 Abs. 1a EnWG“ der Bundesnetzagentur. Hier werden in Abschnitt C Schutzziele definiert:

„Der vorliegende IT-Sicherheitskatalog enthält Anforderungen zur Gewährleistung eines angemessenen Schutzes gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen.“

Unter Abs. E werden dazu die Sicherheitsanforderungen formuliert:

„Zur Gewährleistung eines angemessenen Sicherheitsniveaus für TK- und EDV-Systeme im Bereich der Netzsteuerung ist die bloße Umsetzung von Einzelmaßnahmen, wie zum Beispiel der Einsatz von Antivirensoftware, Firewalls usw. nicht ausreichend. […]

Dementsprechend sollen Netzbetreiber ein ISMS, das den Anforderungen der DIN ISO/IEC 27001 genügt, implementieren, das mindestens die unter Abschnitt D beschriebenen Systeme, d. h. Telekommunikations- und EDV-Systeme, die der Netzsteuerung dienen, umfasst.“

Präziser wird es unter Abschnitt G. Umsetzungsvorgaben, I. Zertifizierung:

„Der Netzbetreiber ist verpflichtet die Konformität seines ISMS mit den Anforderungen der DIN ISO/IEC 27001 durch ein Zertifikat zu belegen. Die Zertifizierung muss durch eine unabhängige und für die Zertifizierung nach DIN ISO/IEC 27001 akkreditierte Stelle durchgeführt werden.“

Der IT-Sicherheitskatalog der Bundesnetzagentur gibt unter „III. Netzstrukturplan“ Hinweise zum Scope:

„Das EVU soll eine Übersicht über die Komponenten seines Netzes im Prozessumfeld mit den anzutreffenden Haupttechnologien und deren Verbindungen erstellen. Die Übersicht ist nach den Technologiekategorien „Leitsystem/Systembetrieb“, „Übertragungstechnik/Kommunikation“ und „Sekundär-, Automatisierungs- und Fernwirktechnik“ zu unterscheiden. Tabelle 2 enthält eine kurze Beschreibung zu den Technologiekategorien sowie einige Beispiele.“

In diesem Kontext wird übrigens häufig auf ISO/IEC 27019 verwiesen – der Standard für ein ISMS im Energieumfeld. In Abs. 1 beschreibt die Norm, für wen sie geeignet ist:

„The scope of this guideline covers process control systems used by the energy utility industry for controlling and monitoring the generation, transmission, storage and distribution of electric power, gas and heat in combination with the control of supporting processes.”

Zurück zur Ausgangsfrage: Zum Scoping bei ISO 27001 für Energieversorger

Nachdem nun alle Fakten vorliegen – Was ist Scoping? Was fordert die Norm? Welche Bereiche werden nunmehr gesetzlich geregelt? Was wird dort gefordert? –, kommen wir jetzt zu der entscheidenden Frage:

Wie sieht der Geltungsbereich eines Energieversorgers aus, der mit einem ISO 27001-Zertifikat seiner gesetzlichen Verpflichtung nachkommen möchte?

Oder besser: Aussehen könnte?

Wie geht man vor?

Folgende Gedanken sollte man sich machen ……

Wer muss was tun?

• Unternehmen, die zu den Kritischen Infrastrukturen zählen, müssen ein „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind“. State-of-the-Art wäre dazu die Einführung eines Informationssicherheits-Managementsystems (ISMS). Die Umsetzung ist nachzuweisen, beispielsweise über ein Zertifikat.
• Unternehmen, die unter das Energiewirtschaftsgesetz (EnWG) fallen – also Betreiber von Energieversorgungsnetzen – müssen ein ISMS gem. ISO/IEC 27001 etablieren und von einer akkreditierten Zertifizierungsstelle zertifizieren lassen.

Was gehört damit zum Scope?

• Das IT-SiG fokussiert auf „die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen“.
• Der IT-Sicherheitskatalog konkretisiert diese „Funktionsfähigkeit“ auf „netzsteuerungsdienliche TK- und EDV-Systeme“, d.h. auf IT, die der „Netzsteuerung dienlich“ ist.
• Erfreulicherweise ist der IT-Sicherheitskatalog dazu sehr präzise: „alle TK- und EDV-Systeme des Netzbetreibers, welche direkt Teil der Netzsteuerung sind, d.h. unmittelbar Einfluss nehmen auf die Netzfahrweise. Darunter fallen zum Beispiel zentrale Netzleit- und Netzführungssysteme“.
• Im nächsten Absatz wird auch die Abgrenzung gezogen: „Im Hinblick auf die weitergehende Eigenschaft der Netzsteuerungsdienlichkeit können aber auch TK- und EDV-Systeme im Netz betroffen sein, die selbst zwar nicht direkt Teil der Netzsteuerung sind, dieser aber unmittelbar dienen. Darunter fallen z.B. Messeinrichtungen an Trafo- oder Netzkoppelstationen, welche durch die Bereitstellung von (Mess-)Daten einen direkten Einfluss auf die Netzsteuerung nehmen. Davon abzugrenzen sind TK- und EDV-Systeme, die nur mittelbaren oder gar keinen Einfluss auf die Netzsteuerung ausüben oder Systeme, die nicht Teil des Energieversorgungsnetzes […] sind.“
• Im Ergebnis wird festgehalten: „Der Anwendungsbereich des IT-Sicherheitskatalogs erstreckt sich demnach auf Netzkomponenten oder Teilsysteme, die steuerbar sind und somit die Fahrweise des Netzes unmittelbar beeinflussen, oder aber Netzkomponenten, die selbst zwar nicht steuerbar sind, aber beispielsweise durch Bereitstellung von Daten mittelbar die Netzfahrweise beeinflussen und auf diese Weise auch der Netzsteuerung dienlich sind.“

Und was muss nun auf dem Zertifikat als Scope angegeben sein?

• Ein unverbindlicher Vorschlag: ISMS für die Netzsteuerung.

Wie geht man nun sinnvollerweise vor?

• Erstellen Sie eine Strukturanalyse, in der alle Komponenten aus Ihrem Unternehmen aufgeführt sind:
  • Standorte, Gebäude, Räume;
  • IT-Systeme und Netzkomponenten;
  • Anwendungen.
• Evtl. können Sie dazu eine Liste Ihrer Assets nutzen. Verzeichnen Sie auch Abhängigkeiten, d.h. welche Anwendungen werden auf welchen IT-Systemen/ Netzkomponenten in welchen Räumen/ Gebäuden/ Standorten betrieben.
• Tipp: Gehen Sie nicht zu granular vor, sondern gruppieren Sie großzügig. Ziel ist es, einen Überblick zu bekommen.
• Klassifizieren Sie nun Ihre Komponenten dahingehend, ob diese „netzdienlich“ sind.
• Vorschlag:
  • „enforcing“ für unabdingbar netzdienlich;
  • „supporting“ für Komponenten, die zwar einen Bezug zum Netz haben, aber vom Schutzbedarf her weniger wichtig sind;
  • „non-interfering“ für Komponenten, die keinen Einfluss auf die „Netzdienlichkeit“ haben.
• Der Scope setzt sich damit zusammen aus allen Komponenten, die als „enforcing“ klassifiziert wurden. Die Abgrenzung zu anderen Komponenten wird durch klare Schnittstellen zu „supporting“-Komponenten beschrieben.