DocSetMinder® und IT-Sicherheitskatalog (EnWG)
Der IT-Sicherheitskatalog auf Basis des § 11 Abs. 1a EnWG der Bundesnetzagentur konkretisiert die Anforderungen an die IT-Sicherheit der Energieversorger. Im Vordergrund steht die Planung, Umsetzung und Zertifizierung eine Managementsystems für Informationssicherheit (ISMS) gemäß DIN ISO/IEC 27001. Eine erfolgreiche Zertifizierung des ISMS muss der Bundesnetzagentur bis zum 31.01.2018 mitgeteilt werden.
IT-Sicherheitskatalog (Zusammenfassung)
Im August 2015 veröffentlichte die Bundesnetzagentur (BNetzA) den „IT-Sicherheitskatalog“, in dem Strom- und Gasnetzbetreiber verpflichtet werden, einen Mindeststandard an IT-Sicherheitsmaßnahmen umzusetzen [Quelle: BNetzA]. Durch die Umsetzung der IT-Sicherheitsmaßnahmen soll ein nachhaltiger und ordnungsmäßiger Betrieb der relevanten Telekommunikations- und Datenverarbeitungssysteme gewährleistet werden. Die rechtliche Grundlage dafür liefert § 11 Abs. 1 des Energiewirtschaftsgesetzes (EnWG). Im Vordergrund des „IT-Sicherheitskataloges“ steht der Schutz der drei Grundwerte der Telekommunikations- und elektronischen Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb erforderlich sind:
- Verfügbarkeit
- Integrität
- Vertraulichkeit
Die Schutzziele werden durch die Umsetzung vordefinierter technischer und organisatorischer Maßnahmen im Rahmen eines Managementsystems für Informationssicherheit (ISMS) erreicht. Hier schreibt der „IT-Sicherheitskatalog“ die Implementierung der Normen vor:
- DIN ISO/IEC 27001 (in der aktuellen Fassung)
- DIN ISO/IEC 27002 und
- DIN ISO/IEC TR 27019
- DIN ISO/IEC 27005
Die Normen DIN ISO/IEC 27001 und 27002 liefern eine allgemeingültige Methodik für die Planung, Umsetzung und Aufrechterhaltung eines Managementsystems für Informationssicherheit. Die Norm ISO DIN/IEC TR 27019 liefert eine Umsetzungsanleitung für die IT-Sicherheitsmaßnahmen der Prozessteuerungssysteme der Energieversorgung. Es handelt sich dabei neben dem Umsetzungsleitfaden um einen erweiterten Maßnahmenkatalog für die Energieversorgung. Beide Maßnahmenkataloge aus dem Anhang A der Norm ISO DIN/IEC 27002 und ISO DIN/IEC TR 27019 sind umzusetzen und zu dokumentieren.
Ein wesentlicher Aspekt der Implementierung eines ISMS ist die permanente Überprüfung der Aktualität und der Wirksamkeit des Systems. Es wird explizit die von der ISO präferierte Methode PDCA empfohlen. In der Planungsphase (P-Plan) werden die Rahmenbedingungen, wie z.B. Verantwortlichkeiten, Leitlinien und Ziele für die Informationssicherheit festgelegt. Die Durchführungsphase (D-Do) dient der Umsetzung der festgelegten ISMS-Ziele und Maßnahmen. Die Prüfungsphase (C-Check) ist für die Messung und Überprüfung der umgesetzten Ziele und Maßnahmen sowie der Präsentation der Ergebnisse an die Unternehmensleitung bestimmt. Die Handlungsphase (A-Act) nutzt die Erkenntnisse aus den internen Audits und schließt den Zyklus durch die Umsetzung der Vorbeugungs- oder Korrekturmaßnahmen ab. Die hier skizzierte Methode (oder Modell) ist pragmatisch und effektiv in der Umsetzung.
Eine elementare Voraussetzung für die Feststellung des Schutzbedarfs und für eine gezielte Umsetzung der geplanten IT-Sicherheitsmaßnahmen ist die genaue Kenntnis der Unternehmensorganisation, involvierten Anwendungen und IT-Komponenten. Die Struktur der Übersicht ist aus dem White Paper „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“ des Bundesverbandes der Energie- und Wasserwirtschaft e.V. (BDEW) abgeleitet worden und strikt in drei Bereiche strukturiert: Leitsysteme und Systembetrieb, Übertragungstechnik/Kommunikation, Sekundär-, Automatisierungs- und Fernwirktechnik [Quelle: BDEW]. Es wird ausdrücklich empfohlen, die Komplexität des Netzstrukturplanes zu reduzieren (vgl. BSI-Standard 200-2).
Grundvoraussetzung für die Planung und Angemessenheit der Maßnahmen ist die Durchführung einer Risikoanalyse für die Komponenten, die für einen sicheren Netzbetrieb verantwortlich sind. Generell geht es darum, festzustellen, welche internen und externen Gefährdungen, zusammengefasst in sieben Kategorien, zur negativen Beeinträchtigung der Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) führen können. Sie ist explizit in der ISO DIN/IEC 27001 vorgeschrieben. Eine detaillierte Beschreibung der Risikoanalyse liefert die ISO DIN/IEC 27005. Sie ist wiederum von der ISO DIN 31001 abgeleitet worden. Der Risikomanagementprozess wird in der Regel in vier Schritten durchgeführt:
- Risikoidentifikation
- Risikoanalyse
- Risikobewertung
- Risikobehandlung
Bei der Risikobewertung sollten durch den „IT-Sicherheitskatalog“ vorgegebene und nur für Energie- und Gasversorger spezifische Schadenskategorien berücksichtigt werden.
Die Umsetzungsfrist und eine adäquate Zertifizierung für die im „IT-Sicherheitskatalog“ genannten Normen und damit verbundene Maßnahmen ist von der Bundesnetzagentur für den 31.01.2018 festgesetzt worden. Verpflichtend ist auch die Nennung eines Ansprechpartners für alle IT-Sicherheitsaspekte des „IT-Sicherheitskataloges“.
Für eine effiziente Umsetzung des IT-Sicherheitskataloges bieten wir Ihnen eine Reihe von Dienstleistungen an:
- Planung und systematische Umsetzung der Sicherheitsanforderungen gemäß IT-Sicherheitskatalog
- GAP Analyse
- Vollständige Erstellung des IT-Sicherheitskonzeptes (auch mit Partner-Unternehmen)
- Durchführung der Datenimports
- Begleitendes Coaching durch erfahrene Berater
- Einführung von DocSetMinder® (Tool für Planung, Dokumentation und Audit)
- Technische und inhaltliche Unterstützung Ihrer Implementierungspartner
- Konzeption und Erstellung von individuellen Reports
- Technischer Support