IT-Sicherheit für Energieversorger

Transkript

1 IT-Sicherheit für Energieversorger

2 Das Wichtigste im Überblick Um was geht es? Die Bundesregierung erarbeitet derzeit folgende Gesetzesvorlage: IT-Sicherheitsgesetz (für kritische Infrastrukturen) umfasst Technische & organisatorische Maßnahmen Sicherheits-/Notfallkonzepte Branchenspezifische Standards Audits und Zertifizierung Die Bundesnetzagentur (BNetzA) hat mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) folgende Erweiterung des 11 Abs. 1a EnWG entworfen: IT-Sicherheitskatalog (für Netzleitung/-führung) umfasst ISMS ISO Zertifizierung IT-Sicherheitsbeauftragter Meldepflicht Was sagt die Politik? Thomas de Maìzière:» mit dem IT-Sicherheitsgesetz sollen die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit werden. Ein unterschiedliches Niveau an IT-Sicherheit ist in den Bereichen, die für unsere Gesellschaft elementar sind, angesichts der unverändert angespannten IT-Sicherheitslage und der zunehmend technologisch ausgereifteren und komplexeren Angriffe nicht länger hinnehmbar. «Das IT-Sicherheitsgesetz befindet sich bereits im offiziellen Gesetzgebungsverfahren und wird im Juni 2015 verabschiedet. Es ist voraussichtlich bis Mitte des Jahres 2017 umzusetzen. Die Veröffentlichung des IT-Sicherheitskatalogs wird ebenfalls im Sommer 2015 nach Inkrafttreten des IT-Sicherheitsgesetzes erwartet. 2

3 Das Wichtigste im Überblick Was bedeutet das für die betroffenen Unternehmen? Es ist ratsam, bereits jetzt in die Vorbereitungen für die Umsetzung zu gehen. Die Umsetzung des IT-Sicherheitskataloges muss voraussichtlich 24 Monate nach Veröffentlichung erfolgt sein, die Umsetzung des IT-Sicherheitsgesetzes beträgt ebenfalls 24 Monate nach dem Inkrafttreten. Für Energieversorger umfasst die Umsetzung konkret: 1. Definition der IT-Sicherheitsstrategie 2. Definition des ISMS-Scopes 3. Durchführung eines IT-Sicherheits-Checks zur Erfassung des IST-Zustandes 4. Erstellung eines Netzstrukturplanes sowie dessen Schutzbedarfsermittlung 5. Benennung eines IT-Sicherheitsbeauftragten 6. Modellierung einer IT-Sicherheitsorganisation 7. Etablierung eines Meldeverfahrens ( anonym ) 8. Erstellung eines detaillierten IT-Sicherheitskonzeptes gemäß ISO 27001, 27002, Einführung, Audit und Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) nach ISO

4 Häufige Fragen zum ISMS-Projekt Was gilt: IT-Sicherheitsgesetz oder IT-Sicherheitskatalog? Vorausgesetzt beide gesetzlichen Normen wurden verabschiedet: IT-Sicherheitsgesetz: gilt für Betreiber kritischer Infrastrukturen (KRITIS-Sektoren), somit auch für registrierte Energieversorger bei der Bundesnetzagentur (BNetzA). Ausgenommen sind hiervon private und kommunale Unternehmen mit < 10 Mitarbeitern und einer Jahresbilanzsumme < 2 Mio. EURO (sog. de-minimis-regelung). Das IT-Sicherheitsgesetz referenziert für Energieversorger jedoch ausdrücklich auf den sog. Branchenspezifischen Standard des IT-Sicherheitskatalogs. IT-Sicherheitskatalog: gilt für Energieversorger und Anlagenbetreiber. Welche Umsetzungsfristen bestehen? IT-Sicherheitsgesetz: IT-Sicherheitskatalog: innerhalb von 24 Monaten nach Verabschiedung innerhalb von 24 Monaten nach Verabschiedung Wo liegt der Scope eines ISMS und der Zertifizierung? Primär ist das ISMS hinsichtlich der Netzleitungs-/Netzführungs-IT auszurichten. Dennoch gibt es oft auch zahlreiche Schnittstellen und Verbindungen mit der übrigen Unternehmens-IT (über VPN, WLAN, Mobile devices, Smart Grid etc.). Diese sollten immer mitbetrachtet, ggf. abgesichert und bei einem ganzheitlichen ISMS-Ansatz ebenfalls auch mitzertifiziert werden. Welche ISO-Norm ist anzuwenden? Relevant sind die Normen ISO/IEC 27001, und

5 Häufige Fragen zum ISMS-Projekt Welchen Zeitraum nimmt ein ISMS - Projekt ein? Erfahrungsgemäß gehen wir von einer Gesamtprojektdauer von 12 bis 24 Monaten aus. Je nach spezifischem Umsetzungsengagement kann sich dieser Zeitraum aber auch verschieben. Der Zeitraum bemisst sich nach Größe, Anzahl von Standorten, Umfang der umzusetzenden Einzelkonzepte und bereits vorhandenen (dokumentierten) IT-Sicherheitsstrukturen und IT-Sicherheitsprozessen. Kann der finanzielle Aufwand in den Basisjahren Gas (2015) / Strom (2016) anerkannt werden? Der Betrieb eines sicheren Energieversorgungsnetzes ist bereits gesetzliche Pflicht i.s.d. EnWG. Daher wäre eine Anerkennung grundsätzlich möglich, wenn die Kosten in den Basisjahren anfallen. Nach Auskunft der BNetzA hängt dies vom Einzelfall, der schlüssigen Argumentation und den konkret angegebenen Positionen der jeweiligen Energieversorger ab. Wir empfehlen hier eine rechtzeitige Klärung mit der BNetzA. Wer kann IT-Sicherheitsbeauftragter werden? Die Auswahl sollte auf eine Person fallen, die eine hohe Affinität zur IT, den IT-Sicherheitsvorschriften sowie Erfahrungen in der Projektarbeit hat und allgemeines Vertrauen genießt. Spezieller Schulungsaufwand wird als notwendig erachtet. Eine häufig anzutreffende Personalunion mit dem Datenschutzbeauftragten wird seitens der Aufsichtsbehörden als Interessenkonflikt angesehen. Es darf keine Selbstüberwachung stattfinden. Die Aufgabe des IT-Sicherheitsbeauftragten kann auch an externe Dienstleister outgesourced werden. Wie lange ist die Zertifizierung gültig? Das Zertifikat nach ISO ist für drei Jahre gültig. Nach erfolgter Zertifizierung wird in den beiden Folgejahren ein Überwachungsaudit durchgeführt. 5

6 ISMS-Projekt im Überblick Beispiel: mittelgroßes Stadtwerk bis 100 Mitarbeiter, maximal 2 Standorte Phase 1: Kick-Off ANMATHO AG & TÜV Rheinland: Fragebögen gestützte Informationsgewinnung zur Aufwandsabschätzung für Projekt & Zertifizierung Klärung noch offener Fragen beim Kunden vor Ort Anforderungen sämtlicher vorhandener relevanter Dokumentationen Auswertung & Strukturierung Kick-Off-Workshop 1. Zieldefinition 2. Meilensteindefinition 3. Projektzeitplanung 4. Bildung des Projektteams 5. Formulierung von Arbeitspaketen Phase 2: IT-Sicherheitsstrategie & -organisation Strategie-Workshop Leitlinien- & Richtliniendefinition Bildung der IT-Sicherheitsorganisation Rollendefinition & Benennung des IT-Sicherheitsbeauftragten Mitarbeiterschulung & Awarenes 6

7 ISMS-Projekt im Überblick Beispiel: mittelgroßes Stadtwerk bis 100 Mitarbeiter, maximal 2 Standorte Phase 3: IT-Sicherheits-Check IST-Analyse Erstellung Netzstrukturplan Schutzbedarfsfeststellung & Risikobetrachtung SOLL - Aufstellung gem. ISO & ISO Gap-Analyse Status quo-bericht Priorisierung & Handlungsempfehlungen Phase 4: Konzepterstellung & Einführung ISMS Modellierung des individuellen IT-Sicherheitskonzepts Erstellung der Einzelkonzepte (ca ) gem. ISO & ISO Fertigstellung ISMS Dokumentationsüberführung ISMS (evtl. Tool gestützt) Plausibilitäts- / Konsistenzprüfung Test ISMS Einführung ISMS Phase 5: Audit & Zertifizierung Zertifizierungsaudit (TÜV Rheinland) Verleihung Zertifikat 7

8 Optionale Dienstleistungen zum ISMS-Projekt Option 1 Stellung externer IT-Sicherheitsbeauftragter Zertifizierte Fachkraft Jahresvertrag Pauschalvergütung und Aufwandshonorar Priorisierung & Handlungsempfehlungen Option 2 Umsetzungsbegleitung ISMS Umsetzungsplanung Operative Umsetzung der Einzelkonzepte gem. ISO / ISO Sicherstellung der Gesamtumsetzung des ISMS Option 3 Vor - Audit Durchführung einer Audit - Simulation Auswertung und Analyse der Simulation Umsetzung notwendiger Ergänzungen Wiederholung der Audit - Simulation Abschlussbericht 8

9 Optionale Dienstleistungen zum ISMS-Projekt Option 4 Audit- & Zertifizierungsbegleitung Inhaltliche Vorbereitung auf das Zertifizierungsaudit Beratende Begleitung während des Audits Abschlussbericht Option 5 Vorbereitung & Begleitung der Überwachungsaudits Inhaltliche Vorbereitung auf das Überwachungsaudit Beratende Begleitung während des Audits Abschlussbericht und Handlungsempfehlungen Option 6 Erstellung & Umsetzung weiterer spezifischer Konzepte Konzepte, wie z.b.»» Telekommunikationsdiesteanbieter»» Smart Meter Gateway Administration»» etc. 9

10 Das IT-Sicherheitswiki für ISMS Als zentrales Tool zur Integration von technischer und organisatorischer Dokumentation eines ISMS setzt die ANMATHO AG bevorzugt ihr IT-Sicherheitswiki ein. Die Vorteile dieses Systems sind individuelle Anpassbarkeit, Mandantenfähigkeit sowie die sichere dateibasierende Replikation und Verfügbarkeit an verschiedenen Standorten. Das IT-Sicherheitswiki eignet sich ebenso zur Abbildung komplexer Vorgänge und Projekte. Die Dokumentenstrukturen gem. ISO sind mittels Mustern, Templates und Vorlagen bereits fertig hinterlegt. Dies erleichtert die korrekte Implementierung von spezifischen Inhalten erheblich. Mandantenfähigkeit, Berechtigungskonzepte und die mehrsprachige Darstellbarkeit qualifizieren das IT-Sicherheitswiki für den Einsatz in komplexen Themengebieten und Organisationen. Zusätzlich kann das System um spezifische Anwendungen erweitert und auf allen mit PHP arbeitenden Webservern unter Windows, Linux und UNIX integriert werden. Das System ist kaum fehleranfällig und im Notfall schnell wieder herstellbar. Das IT-Sicherheitswiki wird seit dem Jahr 2004 kontinuierlich weiterentwickelt, regelmäßig mit Updates versorgt und ist unter der GPL2 Lizenz verfügbar. 10

11 Experten für Informationssicherheit & Datenschutz Die ANMATHO AG ist ein auf die Bereiche IT-Infrastruktur, Informationssicherheit und Datenschutz spezialisierter Dienstleister. Wir sind seit über 15 Jahren aktiv und unsere umfassende Beratungs- und Umsetzungskompetenz vor allem in den Bereichen IT-Sicherheit wird von einer Vielzahl von Unternehmen geschätzt. Einer unserer Schwerpunkte ist die Begleitung, Beratung und Unterstützung von Energieversorgern bei der Planung und Umsetzung von ISMS zertifiziert nach ISO Hierzu veranstalten wir regelmäßig Kompaktseminare, halten Vorträge oder organisieren Foren mit unserem Partner TÜV Rheinland. Wir lernen sehr gerne von unseren Kunden und entwickeln uns noch lieber mit ihnen weiter. Daher freuen wir uns immer über Fragen, neue Sichtweisen, Meinungs- und Wissensaustausch oder interessante Anregungen. Kommen Sie gerne auf uns zu! Profitieren Sie von Ihren Synergien und unseren Erfahrungen. 11 ANMATHO AG Winterhuder Weg Hamburg phone: +49 (0)40 / fax: +49 (0)40 / info@anmatho.de