DocSetMinder® und IT-Sicherheitskatalog (EnWG)

Im August 2015 veröffentlichte die Bundesnetzagentur (BNetzA) den „IT-Sicherheitskatalog“, in dem Strom- und Gasnetzbetreiber verpflichtet werden, einen Mindeststandard an IT-Sicherheitsmaßnahmen umzusetzen [Quelle: BNetzA]. Durch die Umsetzung der IT-Sicherheitsmaßnahmen soll ein nachhaltiger und ordnungsmäßiger Betrieb der relevanten Telekommunikations- und Datenverarbeitungssysteme gewährleistet werden. Die rechtliche Grundlage dafür liefert § 11 Abs. 1 des Energiewirtschaftsgesetzes (EnWG). Im Vordergrund des „IT-Sicherheitskataloges“ steht der Schutz der drei Grundwerte der Telekommunikations- und elektronischen Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb erforderlich sind:

• Verfügbarkeit
• Integrität
• Vertraulichkeit

Die Schutzziele werden durch die Umsetzung technischer und organisatorischer Maßnahmen im Rahmen eines Managementsystems für Informationssicherheit (ISMS) erreicht. Hier schreibt der „IT-Sicherheitskatalog“ die Implementierung der Normen vor:

• DIN ISO/IEC 27001 (in der jeweils aktuellen Fassung)
• DIN ISO/IEC 27002 und
• DIN ISO/IEC TR 27019
• DIN ISO/IEC 27005

Die Normen DIN ISO/IEC 27001 und 27002 liefern eine allgemeingültige Methodik für die Planung, Umsetzung und Aufrechterhaltung eines Managementsystems für Informationssicherheit. Die Norm ISO DIN/IEC TR 27019 liefert eine Umsetzungsanleitung für die IT-Sicherheitsmaßnahmen der Prozessteuerungssysteme der Energieversorgung. Es handelt sich dabei neben dem Umsetzungsleitfaden um einen erweiterten Maßnahmenkatalog für die Energieversorgung. Beide Maßnahmenkataloge aus dem Anhang A  der Norm ISO DIN/IEC 27002 und ISO DIN/IEC TR 27019 sind umzusetzen und zu dokumentieren.

Ein wesentlicher Aspekt der Implementierung eines ISMS ist die permanente Überprüfung der Aktualität und der Wirksamkeit des Systems. Es wird explizit die von der ISO präferierte Methode PDCA empfohlen. In der Planungsphase (P-Plan) werden die Rahmenbedingungen, wie z.B. Verantwortlichkeiten, Leitlinien und Ziele für die Informationssicherheit festgelegt. Die Durchführungsphase (D-Do) dient der Umsetzung der festgelegten ISMS-Ziele und Maßnahmen. Die Prüfungsphase (C-Check) ist für die Messung und Überprüfung der umgesetzten Ziele und Maßnahmen sowie der Präsentation der Ergebnisse an die Unternehmensleitung bestimmt. Die Handlungsphase (A-Act) nutzt die Erkenntnisse aus den internen Audits und schließt den Zyklus durch die Umsetzung der Vorbeugungs- oder Korrekturmaßnahmen ab. Die hier skizzierte Methode (oder Modell) ist pragmatisch und effektiv in der Umsetzung.

Eine elementare Voraussetzung für die Feststellung des Schutzbedarfs und für eine gezielte Umsetzung der geplanten IT-Sicherheitsmaßnahmen ist die genaue Kenntnis der Unternehmensorganisation, involvierten Anwendungen und IT-Komponenten. Die Struktur der Übersicht ist aus dem White Paper „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“ des Bundesverbandes der Energie- und Wasserwirtschaft e.V. (BDEW) abgeleitet worden und strikt in drei Bereiche strukturiert: Leitsysteme und Systembetrieb, Übertragungstechnik/Kommunikation, Sekundär-, Automatisierungs- und Fernwirktechnik [Quelle: BDEW]. Es wird ausdrücklich empfohlen, die Komplexität des Netzstrukturplanes zu reduzieren (vgl. BSI-Standard 200-2).

Grundvoraussetzung für die Planung und Angemessenheit der Maßnahmen ist die Durchführung einer Risikoanalyse für die Komponenten, die für einen sicheren Netzbetrieb verantwortlich sind. Generell geht es darum, festzustellen, welche internen und externen Gefährdungen, zusammengefasst in sieben Kategorien, zur negativen Beeinträchtigung der Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) führen können. Sie ist explizit in der ISO DIN/IEC 27001 vorgeschrieben. Eine detaillierte Beschreibung der Risikoanalyse liefert die ISO DIN/IEC 27005. Sie ist wiederum aus der ISO DIN 31001 abgeleitet worden. Der Risikomanagementprozess wird in der Regel in vier Schritten durchgeführt:

• Risikoidentifikation
• Risikoanalyse
• Risikobewertung
• Risikobehandlung

Bei der Risikobewertung sollten durch den „IT-Sicherheitskatalog“ vorgegebene und nur für Energie- und Gasversorger spezifische Schadenskategorien berücksichtigt werden.