Energieversorgungsunternehmen (EVU) betreiben Infrastrukturen, die für das staatliche Gemeinwesen von Bedeutung. Ihr Ausfall oder Beeinträchtigungen im Betrieb führen zu Versorgungsengpässen und erheblichen Störungen. Um derartige Zwischenfälle zu vermeiden, müssen Energieversorger und Netzbetreiber sicherstellen, dass IT-Systeme zur Steuerung ihrer Infrastrukturen sicher sind und zuverlässig arbeiten. Per Gesetz sind sie daher verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) etablieren und dieses bis 31. Januar 2018 nach ISO/IEC 27001 zertifizieren.
Grundlagen und Rahmenbedingungen
Die rechtlichen Grundlagen dafür sind das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz) aus dem Jahr 2015, die entsprechenden Änderungen im „Energiewirtschaftsgesetz“ – insbesondere § 11 Absatz 1a[1] – sowie der von der Bundesnetzagentur im Augst 2015 veröffentlichte IT-Sicherheitskatalog.[2]
ISO/IEC 27001 beschreibt die grundlegenden Anforderungen und stellt somit die Basis eines ISMS innerhalb einer Organisation dar. Weitere relevante Normen sind ISO/IEC 27002 sowie ISO/IEC TR 27019 als branchenspezifische Norm für die Energiewirtschaft. Zu zertifizieren sind nach dem IT-Sicherheitskatalog („Geltungsbereich“) „alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Netzbetrieb notwendig sind“; dabei handelt es sich nicht nur um Telekommunikations- und EDV-Systeme, die der Netzsteuerung dienen, sondern auch allgemein um IT-Systeme, „deren Ausfall … die Sicherheit des Netzbetriebs gefährden könnte.“[3]
ISO/IEC TR 27019 präzisiert diese Vorgabe und listet die folgenden relevanten Themenbereiche:[4]
- Die gesamte IT-gestützte zentrale und dezentrale Prozess-Steuerung, Überwachung und Automatisierungstechnik sowie die dazu notwendigen IT-Systeme für den Betrieb, die Programmierung und Parametrisierung der Geräte
- Digitale Steuerungs- und Automatisierungskomponenten (z.B. Sensoren und Aktor-Elemente)
- Alle unterstützenden IT-Systeme in der Prozesskontrolle (z.B. Datenvisualisierung, Überwachung, Archivierung, Dokumentation)
- Die gesamte Kommunikationstechnik in den Prozessleitsystemen (z.B. Netzwerke, Remote-Control, Messgeräte)
- Schutz- und Sicherheitssysteme (z.B. Relais, SPS-Steuerungen)
- Smart-Grid Umgebungen
- Alle Software, Firmware und Anwendungen zum Betrieb der oben genannten Systeme
Als übergeordnete Schutzziele definiert der IT-Sicherheitskatalog die Verfügbarkeit, Integrität und Vertraulichkeit der relevanten Systeme bzw. der damit verarbeiteten Daten und Informationen. [5]
Umsetzung
Der Aufbau eines ISMS setzt zunächst eine Bestandsaufnahme der sicherheitsrelevanten Netze und Geräte sowie der sie steuernden Softwaresysteme voraus. Ist diese Inventarisierung abgeschlossen, sind die Bedrohungen und Risiken zu erfassen und zu bewerten, die die Informationssicherheit im Unternehmen beeinflussen können. Auch müssen alle möglichen Sicherheitsvorfälle im Unternehmen identifiziert und beschrieben werden. Dabei kann auf entsprechende Kataloge zurückgegriffen werden, die bereits ein umfassendes Set an Bedrohungen, Risiken und Sicherheitsvorfällen erfassen; diese sind um unternehmensspezifische Informationen zu ergänzen.
Wichtig ist, dass die einzelnen Assets mit möglichen Risiken und Gefährdungen bzw. den erwartbaren Sicherheitsvorfällen in Bezug gesetzt werden. Hieraus ergeben sich dann auch Gefährdungsniveaus sowie die Maßnahmen, die für unterschiedliche Bedrohungssituationen ergriffen werden müssen; auch für Maßnahmen sind Standardkataloge also Ausgangspunkt für unternehmensspezifische Anpassungen verfügbar. Wichtig sind schließlich die Zuständigkeiten für notwendige Interventionen und Maßnahmen; sie müssen klar geregelt und nachvollziehbar dokumentiert werden.
Die skizzierten Aufgaben können im Rahmen digitalisierter Managementprozesse in hohem Maße durch automatisierte Workflows übernommen werden. Hierdurch reduziert sich die Komplexität der Managementaufgaben bei gleichzeitig erhöhter Nachvollziehbarkeit von Entscheidungen und Interventionen.
Der Aufwand, der in den Aufbau eines ISMS gesteckt werden muss, hängt von der Größe des Unternehmens und der Komplexität seiner (IT-)Infrastruktur zusammen. Ein Zeitraum von 1,5 Jahren sollte allerdings mindestens eingeplant werden. Zu beachten ist zudem: Vor einer möglichen Zertifizierung muss das ISMS mindestens sechs Monate im Einsatz gewesen sein; in diesem Zeitraum sollen Erkenntnisse über die Effektivität des ISMS und der im Unternehmen eingeleiteten Maßnahmen generiert werden.
Stand der Umsetzung
Nach den gesetzlichen Vorgaben müssen Energieversorgungsunternehmen den Aufbau eines ISMS, einschließlich Zertifizierung, bis zum 31. Januar 2018 abgeschlossen haben. Das erste Stadtwerk scheint diesen Prozess mit der Zertifizierung nach ISO 27019 im Dezember 2016 abgeschlossen zu haben.[6] Laut einer Studie haben EVUs im ersten Quartal 2016 lediglich 13,4 % der ISMS-Readiness erreicht, befanden sich als noch in der Planungsphase.[7] Bezogen auf die o.g. Einzelaktivitäten ist der Umsetzungsstand unterschiedlich; allerdings zeichnet sich – gemessen am generellen Einführungsaufwand – ein insgesamt sehr enger Zeitraum für die gesetzeskonforme Einführung eines ISMS ab. Insbesondere bei kleineren Unternehmen scheinen – auch personelle – Engpässe die fristgerechte Umsetzung der gesetzlichen Vorgaben zu erschweren.
Digitalisierung von ISMS Prozessen
IT-basierte Managementsysteme
Für das Management der Informationssicherheit im Energieversorgungsbereich bestehen keine rechtlichen Vorgaben hinsichtlich der Verwendung bestimmter Tools. Prinzipiell können die Managementprozesse papierbasiert und händisch durchgeführt werden; auch Excel-Lösungen sind denkbar und in der Praxis auch anzutreffen.
Allerdings legt die Komplexität der Managementanforderungen den Einsatz eines Software-basierten Managementsystems nahe. Derartige Systeme unterstützen ganzheitliche Managementansätze und gewährleisten die Durchgängigkeit digitalisierter Prozesse im gesamten Managementzyklus – von der Planung bis zum Audit. Damit gewährleisten sie auch die geforderte regulatorische „Compliance“, also die nachprüfbare Übereinstimmung der Managementpraxis im Bereich Informationssicherheit mit den geltenden Normen, Richtlinien und gesetzlichen Vorgaben.
Mit einem IT-basierten Managementsystem kann zudem wirkungsvoll eine der Kernanforderungen an ein ISMS erfüllt werden, nämlich seine Integration „als regelmäßiger Prozess in die Organisationsstrukturen“ [8] eines Unternehmens und seine kontinuierliche Anpassung an sich ändernde Gegebenheiten im Unternehmenskontext. Der IT-Sicherheitskatalog verweist in diesem Zusammenhang auf das PDCA-Modell (Plan-Do-Check-Act)[9] zur permanenten Weiterentwicklung auf Basis kontinuierlicher Überprüfungen eines einmal implementierten ISMS.
ISMS-Tools folgen in der Regel dem PDCA-Modell und bilden das ISMS als digitale Prozesse ab; sie setzen ISMS-Prozesse in Verbindung zu den Geschäftsprozessen und Organisationsstrukturen eines Unternehmens. In diesen digitalisierten Prozessen entstehen dann die Daten, die für die geforderte Weiterentwicklung des ISMS wichtig sind. Über Möglichkeiten der umfassenden Datenanalyse und des kontinuierlichen Daten-Monitoring lassen sich relevante Einblicke in bestehende Anpassungsnotwendigkeiten im ISMS erzielen.
Betreiber- und Nutzermodelle
IT-basierte Managementsysteme für Informationssicherheit können grundsätzlich – wie andere Managementsysteme auch – entweder im Rechenzentrum eines Unternehmens und von diesem selbst, also „on premise“ betrieben oder aber als Service und „in der Cloud“ von einem externen Provider bezogen werden. Im letzteren Fall spricht man von „Software as a Service“ (SaaS), also der Nutzung der Software einschließlich zugehöriger Infrastruktur und ohne eigene Aufgaben beim technischen Systembetrieb. Die Software wird in diesem Fall auch nicht mehr verkauft, sondern vom Anbieter zur Nutzung gegen Gebühr bereitgestellt.
Bei dieser Form des „Cloud Computing“[10] sind zwei Modellvarianten für die Nutzung einer Software relevant: In der sog. „Public Cloud“ wird die Software – also das Managementsystem für Informationssicherheit – von mehreren Anwendern bzw. Unternehmen unter Beachtung von Sicherheits- und Datenschutzmaßnahmen gleichzeitig genutzt; in der Variante „Private Cloud“ steht dagegen pro Nutzer bzw. Unternehmen ein dediziertes System zur exklusiven Nutzung bereit.
Whitepaper
Weitere Ausführungen fokussieren auf den konkreten Lösungsansatz zum Aufbau und der Umsetzung eines ISMS für die Energiewirtschaft. Das vollständige Whitepaper hierzu können Sie hier anfordern.
[1] „Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind“ (§ 11 Abs. 1a EnWG).
[2] Abrufbar über: https://www.bundesnetzagentur.de/DE/Sachgebiete/ElektrizitaetundGas/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheit.html (zuletzt abgerufen 25.01.2017)
[3] Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz (Stand: August 2015), S. 6.
[4] http://www.kompass-sicherheitsstandards.de/43922.aspx (zuletzt abgerufen 09.01.2017)
[5] Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz (Stand: August 2015), S. 5.
[6] http://www.dqs.de/index.php?id=748 (zuletzt abgerufen: 26.1.2017).
[7] http://www.axxcon.com/aktuelles/informationssicherheit-nicht-gewaehrleistet-energieversorger-drohen-isms-einfuehrung-zu-verpassen/ (zuletzt abgerufen: 26.1.2017).
[8] Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz (Stand: August 2015), S. 8.
[9] Weitere Informationen z.B. über https://de.wikipedia.org/wiki/Demingkreis (zuletzt abgerufen 25.01.2017).
[10] Weitere Varianten sind: “Infrastructure as a Service“ (IaaS), also die externe Bereitstellung der Infrastruktur für den Betrieb einer Anwendung, der vom Nutzer selbst vorgenommen wird; „Platform as a Service“ (PaaS), eine fertig konfigurierte Infrastruktur für den Betrieb einer Anwendung, die nach Upload auf die Plattform von dieser selbständig verwaltet wird.