Die Bundesnetzagentur (BNetzA) hat am 12. August 2015 einen Katalog von Sicherheitsanforderungen für die zum sicheren Betrieb der Energieversorgungsnetze notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme veröffentlicht.
„Die Funktionsfähigkeit der Energieversorgung ist von einer intakten Informations- und Kommunikationstechnologie abhängig. Mit der wachsenden Abhängigkeit von diesen Systemen gehen jedoch auch Risiken für die Versorgungssicherheit einher“, sagt Peter Franke, Vizepräsident der Bundesnetzagentur.
Die Ziele des Sicherheitskatalogs sind die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten, die Sicherstellung der Integrität der verarbeiteten Informationen und Systeme und die Gewährleistung der Vertraulichkeit der verarbeiteten Informationen. Zum Nachweis darüber, dass die Anforderungen des IT-Sicherheitskataloges umgesetzt wurden, haben die Betreiber von Energieversorgungsnetzen der Bundesnetzagentur bis zum 31. Januar 2018 den Abschluss des vorgesehenen Zertifizierungsverfahrens mitzuteilen.
An internationale Standards ausgerichtet
Dem Beratungsunternehmen Sopra Steria Consulting nach fällt im Vergleich zum bisherigen Entwurf auf, dass die finale Fassung stärker an internationale Standards ausgerichtet wurde, insbesondere an die aktuelle Norm ISO/IEC 27001:2013. Entsprechend entfiel die Schutzbedarfsfeststellung und die Auswahl konkreter Maßnahmen. Was wiederum bedeutet, dass der IT-Sicherheitskatalog im Vergleich zur ursprünglichen Version gekürzt werden konnte. Auch der Aufbau des IT-Sicherheitskatalogs orientiert sich nun an der aktuellen ISO-Norm. Zudem beträgt die Umsetzungspflicht statt einem Jahr nun gut zwei Jahre. Bis zum 30. November 2015 müssen Energienetzbetreiber der BNetzA außerdem einen Ansprechpartner IT-Sicherheit inklusive Kontaktdaten mitteilen.
„Die Änderungen sind zu begrüßen“, erklärt Stefan Beck, IT-Sicherheitsexperte bei Sopra Steria Consulting. Denn die aus dem IT-Grundschutz stammende Schutzbedarfsfeststellung widerspricht der Vorgehensweise in der ISO 27001-Norm. Damit müssen Netzbetreiber nicht mehr den Schutzbedarf für IT-Objekte feststellen. Stattdessen können sie sich auf die Ermittlung des Risiko- und Gefährdungspotenzials konzentrieren. Deutlich mehr Gewicht bekam das Risikomanagement. Die beiden hinzugekommenen Abschnitte behandeln die Risikoeinschätzung sowie die Risikobehandlung. Auch hier wird auf eine einschlägige internationale Norm, ISO/IEC 27005 und ISO 31000, verwiesen.
Änderungen mit Mehraufwand
Mehraufwand bedeuten lut Sopra Steria Consulting zwei Änderungen: So sind Smart Meter nun nicht mehr kategorisch vom Geltungsbereich ausgeschlossen. Vielmehr kommt es auf deren Einsatzszenario an. Werden sie zu netzbetrieblichen Zwecken eingesetzt, wie zum Beispiel die Ermittlung von Netzzustandsinformationen, müssen für sie mindestens gleichwertige Sicherheitsstandards eingehalten werden. Des Weiteren muss der Netzstrukturplan nun so angefertigt werden, dass Standard-Informations- und Kommunikationstechnologie-Objekte von denen der Netzsteuerung getrennt aufgezeigt werden.
Eine weitere wichtige Änderung soll sich hinsichtlich der Zertifizierung ergeben haben. Die BNetzA erarbeitet gemeinsam mit der Deutschen Akkreditierungsstelle ein spezielles Zertifikat auf der Basis von ISO/IEC 27001. Nur speziell für den IT-Sicherheitskatalog akkreditierte Zertifizierungsstellen dürfen auditieren und dieses Zertifikat vergeben.
Die ursprünglich angegebene Umsetzungspflicht von einem Jahr war kaum durchführbar. Die nun geforderten gut zwei Jahre geben den Unternehmen mehr Zeit. Gleichwohl ist die Einhaltung der Zeitvorgabe dem Beratungsunternehmen nach anspruchsvoll .
Verbesserungsbedarf
Trotz der positiven Bewertung besteht in Zukunft Verbesserungsbedarf am IT-Sicherheitskatalog: „Die aktuelle Fassung setzt wichtige Zeichen, kann aber nur ein erster Schritt sein“, sagt Beck. „Zum Beispiel könnte die Bundesnetzagentur, gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnologie, in einigen Jahren die von Netzbetreibern eingesetzten Sicherheitsmaßnahmen überwachen und kontrollieren.“ Dadurch ließe sich die Risikoeinschätzung und -behandlung über alle Netzbetreiber hinweg harmonisieren. Das Reporting von Abweichungen, Sicherheitsvorfällen und Ausfällen sollte analog zum IT-Sicherheitsgesetz auch hier eingeführt werden.
Der IT-Sicherheitskatalog ist im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik gemäß § 11 Abs. 1a Energiewirtschaftsgesetz erstellt worden und unter www.bundesnetzagentur.de/it-sicherheitskatalog-energie veröffentlicht.