IT-Sicherheitskatalog 2015

Energieversorger müssen aufrüsten

Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Die Bundesnetzagentur hat am 12. August einen Katalog von Sicherheitsanforderungen für die zum sicheren Betrieb der Energieversorgungsnetze notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme veröffentlicht. Wir sagen Ihnen, was Sie beachten müssen.

Ziele des IT-Sicherheitskatalogs sind die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten, die Integrität der verarbeiteten Informationen und Systeme und die Gewährleistung der Vertraulichkeit. Zum Nachweis darüber, dass die Anforderungen des IT-Sicherheitskataloges korrekt umgesetzt wurden, haben die Betreiber von Energieversorgungsnetzen bis zum 31. Januar 2018 Zeit, ein Informationssicherheitsmanagementsystem (ISMS) gemäß DIN/IEC 27001 einzuführen und zu zertifizieren.

Energieversorger beziehungsweise Netzbetreiber müssen ihre Informations- und Kommunikationssysteme gegen Bedrohungen schützen - so will es der neue IT-Sicherheitskatalog.
Energieversorger beziehungsweise Netzbetreiber müssen ihre Informations- und Kommunikationssysteme gegen Bedrohungen schützen - so will es der neue IT-Sicherheitskatalog.
Foto: Phent - shutterstock.com

Hintergrund: Das IT-Sicherheitsgesetz

Zuvor war am 25. Juli 2015 das "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme", kurz: IT-Sicherheitsgesetz, in Kraft getreten. Um den Schutz kritischer Infrastrukturen zu verbessern, sieht das IT-Sicherheitsgesetz eine Pflicht zur Einführung von technischen und organisatorischen Mindestmaßnahmen sowie Meldepflichten im Fall von Cyberangriffen vor. Diese Pflichten richten sich an die Betreiber kritischer Infrastrukturen (KRITIS). Für Betreiber von Energieversorgungsnetzen, die ebenfalls zu den KRITIS-Betreibern zählen, wurden im Rahmen des IT-Sicherheitsgesetzes auch Sondervorschriften im Energiewirtschaftsgesetz (EnWG) geändert. Schon im Rahmen der EnWG-Novelle von 2011 war die Verpflichtung ins Gesetz aufgenommen worden, für einen angemessenen Schutz gegen Bedrohungen der IKT, welche der Netzsteuerung dient, Sorge zu tragen. Den in § 11 Abs. 1 a EnWG enthaltenen Auftrag an die BNetzA, gemeinsam mit dem BSI einen IT-Sicherheitskatalog vorzulegen, hat diese nun erfüllt. Den Entwurf hierzu hatte die BNetzA bereits im Dezember 2013 vorgestellt.

Die Kernforderungen des IT-Sicherheitskataloges

Netzbetreiber müssen ihre IT-Systeme und Komponenten schützen, die der Netzsteuerung direkt dienen beziehungsweise unmittelbar Einfluss auf die Netzfahrweise nehmen. Hierzu zählen unter anderem die zentralen Netzleit- und Netzführungssysteme, steuerbare Welchselrichter und Rundsteueranlagen. Ausgenommen vom Katalog sind dagegen etwa kundenseitig installierte Messsysteme (diese sind im Übrigen schon vom BSI-Schutzprofil abgedeckt). Diese schutzbedürftigen Systeme eines Energieversorgungsnetzes sind in einem Netzstrukturplan zu erfassen und sodann eine individuelle Risikoanalyse durchzuführen. Der IT-Sicherheitskatalog stellt insoweit einen Mindeststandard dar, von dem nicht abgewichen werden sollte. Zusätzlich hat der Netzbetreiber insbesondere auch den allgemein anerkannten "Stand der Technik" in Bezug auf die Absicherung der jeweils eingesetzten Systeme zu beachten sowie die allgemeine IKT-Bedrohungslage und die spezifische Bedrohungslage für die eingesetzten Systeme zu berücksichtigen.

Management der Informationssicherheit

Um hierbei richtig vorzugehen und die angemessenen Schutzmaßnahmen zu treffen, ist ein Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001 einzuführen, zu betreiben sowie zu zertifizieren. Teile des internationalen ISO 27001 Standards werden dabei durch ISO 27009 (ISMS für Netzleittechnik in der Energieversorgung) präzisiert. Den Netzbetreibern wird also ein etabliertes Managementsystem zur Seite gestellt, welches bei der Ermittlung des Schutzbedarfes und der Ableitung der notwendigen Maßnahmen hilft. Die BNetzA betont in diesem Zusammenhang zu Recht, dass zur Erreichung der vorstehenden Schutzziele ein ganzheitlicher Ansatz nötig ist, der kontinuierlich auf Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf anzupassen ist. Denn Informationssicherheit geht weit über IT- und Datenschutz hinaus und umfasst auch Bereiche wie HR etc.

Compliance & der IT-Sicherheitskatalog

Bei ordnungsgemäßer Umsetzung des IT-Sicherheitskataloges wird nunmehr gesetzlich vermutet, dass der Netzbetreiber für einen angemessenen Schutz seiner netzsteuerungsdienlichen IKT gesorgt hat. Die BNetzA hat dennoch das Recht, die Einhaltung des IT-Sicherheitskataloges zu prüfen und gegebenenfalls Aufsichtsmaßnahmen anzuordnen.

Alle Betreiber eines Energieversorgungsnetzes sollten frühzeitig beginnen, die eigenen Schutzmaßnahmen kritisch zu hinterfragen und ein ISMS aufzubauen. Denn der Umsetzungszeitraum von etwas über zwei Jahren ist für die Einführung und Zertifizierung eines ISMS nach ISO 27001 knapp bemessen, jedenfalls wenn noch keine hinreichenden Vorerfahrungen vorhanden sein sollten. Hier kommt es sehr auf die "ISMS Readiness" an, also den eigenen (prozessualen und organisatorischen) Reifegrad. (fm)