Regensburg, 18. Oktober 2017 Michael Berger

Transkript

1 Neue Vorgaben der Bundesnetzagentur zur IT-Sicherheit ISMS Informationssicherheits-Managementsystem Regensburg, 18. Oktober 2017 Michael Berger Folie 1 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

2 AUSGANGSLAGE UND ALLG. BETROFFENHEIT Folie 2 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

3 Ausgangslage und allg. Betroffenheit 11 Abs. 1 EnWG und 9 Abs. 1 EEG verpflichtet VNB dazu, ihre Netze entsprechend dem Stand der Technik zu optimieren, zu verstärken und auszubauen, um die Abnahme, Übertragung und Verteilung des Stroms sicherzustellen. Der starke Ausbau von regenerativen Energieerzeugungsanlagen und die gesetzlich vorgegebene Anschluss- und Abnahmepflicht unabhängig von der Aufnahmefähigkeit des Netzes, stellt die VNB vor große Herausforderungen. Im 1. Quartal 2016 wurde des Gesetz zur Digitalisierung der Energiewende beschlossen. Folie 3 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

4 Ausgangslage und allg. Betroffenheit Wärmepumpen Leistungskennlinie einer WKA SMGW SMGWA* Steuerbox PV-Anlagen WK-Anlagen Speicher Elektromobilität X-Verläufe während der Aufladung (BMWi3) * Smart Meter Gateway Administrator (SMGWA) Steuerbox (Smart Home) Kühlschrank Lichtsteuerung. Quelle: Nestle, Energiemanagement in der Niederspannungsversorgung mittels dezentraler Entscheidung Folie 4 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

5 Ausgangslage und allg. Betroffenheit ISO/IEC umfangreiche Datenübertragung und Integration Der ISO/IEC ist der jüngste der in Frage kommenden Kommunikationsstandards für die Schnittstelle zwischen Elektrofahrzeug und Ladestation. Der achtteilige Standard beschreibt umfassend verschiedene Ladeoptionen vom normalen AC-Laden, über zeitversetztes Laden bis hin zum Schnellladen und der Möglichkeit kabellos zu laden. Realisiert wird die Kommunikation über den Control Pilot des Ladekabels. Als Übertragungstechnologie kommt hier koexistent zum PWM-Signal des IEC eine Powerline Verbindung nach dem energiesparenden HomePlug Green PHY Standard zum Einsatz. Belegung des Stecker-Typs 2: PP: Proximity Pilot CP: Control Pilot L1, L2, L3: Außenleiterkontakte PE: Schutzkontakt N: Neutralleiter Folie 5 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

6 Ausgangslage und allg. Betroffenheit Folie 6 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

7 Ausgangslage und allg. Betroffenheit Quelle: BNetzA und BKartA Monitoringbericht Berlin. Folie 7 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

8 Ausgangslage und allg. Betroffenheit Systemtheoretische Merkmale des Energiewirtschaftssystem (Ament 2012) Folie 8 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

9 Ausgangslage und allg. Betroffenheit VNB ISO IT-Sicherheitskatalog Netz Erzeuger IT-Sicherheitskatalog Erzeuger Lieferant Sternförmige Kommunikation MSB (inkl. SMGWA) TR , TR Folie 9 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

10 Ausgangslage und allg. Betroffenheit IT-Sicherheitsgesetz EnWG, BSI-Gesetz BSI-KRITIS-Verordnung für alle Marktrollen Gesetze, Verordnungen, Normen, Zeitplan Umsetzung Marktrollen IT-Sicherheitskatalog (Energienetze) als B3S von der BNetzA, ISO 2700x, Netzbetreiber ISO 2700x, TR , TR , IT-Sicherheitskatalog (Erzeuger), als B3S von der BNetzA, ISO 2700x, Bei Inbetriebnahmen des ersten imsys Messstellenbetreiber (SWGWA) Erzeuger IT-Sicherheit BS Wasser/Abwasser als B3S vom DVWG und DWA, ISO 2700x, BSI-Standard 100-x, BSI IT-Grundschutzkatalog, Wasser- und Abwasserunternehmen B3S: Branchenspezifischer Sicherheitsstandard Folie 10 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

11 Ausgangslage und allg. Betroffenheit IT-Sicherheitsgesetz EnWG, BSI-Gesetz BSI-KRITIS-Verordnung für alle Marktrollen Gesetze, Verordnungen, Normen, Zeitplan Umsetzung Marktrollen ISO 2700x, TR , TR , bei Meldung der TAFs an den SWGWA Lieferant EU Datenschutz-Grundverordnung (DS- GVO) für alle Marktrollen Gesetze, Verordnungen, Normen, Zeitplan Umsetzung Marktrollen BDSG, Für alle Marktrollen die personenbezogene Daten erheben, verarbeiten und nutzen Folie 11 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

12 Ausgangslage und allg. Betroffenheit Anforderungen Überwachen und Überprüfen des ISMS Wesentliche Ziele dieser Aktivität sind, Regelmäßige Überprüfung der Wirksamkeit des ISMS Abschätzen der Wirksamkeit von Maßnahmen Regelmäßige Wiederholung der Risikoeinschätzung Durchführen regelmäßiger interner Audits Regelmäßige Managementbewertung des ISMS Aktualisieren der Sicherheitspläne Aufzeichnung von Aktivitäten und Ereignissen Folie 12 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

13 IT-SICHERHEITSKATALOG, ISO UND ISO Folie 13 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

14 IT-Sicherheitskatalog, ISO und ISO Die Bundesnetzagentur hat gemäß 11 Absatz 1a EnWG im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Katalog von Sicherheitsanforderungen erstellt und veröffentlicht, der dem Schutz gegen Bedrohungen der für einen sicheren Netzbetrieb notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme dient IT-Sicherheitskatalog. Die Ziele des IT-Sicherheitskatalogs sind die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten, die Sicherstellung der Integrität der verarbeiteten Informationen und Systeme und die Gewährleistung der Vertraulichkeit der verarbeiteten Informationen. Folie 14 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

15 IT-Sicherheitskatalog, ISO und ISO Quelle: BNetzA IT-Sicherheitskatalog gemäß 11 Absatz 1a Energiewirtschaftsgesetz. Berlin. Folie 15 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

16 IT-Sicherheitskatalog, ISO und ISO Behörde Bundesnetzagentur (BNetzA) IT-Sicherheitskatalog Die Behörde, überprüft die Einhaltung des IT-Sicherheitskatalogs (es handelt sich hier um Mindeststandards). Quelle: BNetzA IT-Sicherheitskatalog gemäß 11 Absatz 1a Energiewirtschaftsgesetz. Berlin. Folie 16 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

17 IT-Sicherheitskatalog, ISO und ISO Behörde Bundesnetzagentur (BNetzA) IT-Sicherheitskatalog Anforderungen 1. Kernforderung: Pflicht zum Aufbau und der Zertifizierung eines ISMS (Informationssicherheits-Managementsystem) gemäß der Norm ISO 27001, wobei die DIN ISO/IEC TR und weitere Vorgaben aus dem IT-Sicherheitskatalog zu beachten sind. 2. Aufstellung eines Netzstrukturplanes (auch als Grundlage für die Bestimmung des Scopes) Folie 17 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

18 IT-Sicherheitskatalog, ISO und ISO Quelle: BNetzA IT-Sicherheitskatalog gemäß 11 Absatz 1a Energiewirtschaftsgesetz. Berlin. Ja Ja Ja Folie 18 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

19 IT-Sicherheitskatalog, ISO und ISO Marktrollen, Abgrenzungen (Auszug) aus Sicht des VNBs: ISO 27019: Nicht in den Anwendungsbereich dieser Richtlinie ist die konventionelle oder klassische Steuerungstechnik, die nicht digital ist, d. h. rein elektromechanische oder elektronische Überwachung und Prozessleitsysteme. EnWG: Vom Geltungsbereich ausgenommen sind Messsysteme nach 21d EnWG damit in allen Fällen, in denen sie nicht zu netzbetrieblichen Zwecken eingesetzt werden (z. B. zur Ermittlung von Energieverbräuchen u. a.). ISO 27019: Weiterhin sind Energieprozesssteuerungssysteme privater Haushalte und andere, vergleichbarer Wohngebäudeinstallationen nicht in den Geltungsbereich dieser Richtlinie. Folie 19 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

20 IT-Sicherheitskatalog, ISO und ISO Verantwortung/Delegation: Auch wenn Teile der relevanten Systemlandschaft dienstleistend von Dritten betrieben werden oder gar die ganze Betriebsführung ausgelagert wurde, bleibt die Verantwortung zur vollen Umsetzung des IT- Sicherheitskataloges beim Netzbetreiber. Die Delegation von Leistungen setzt also voraus, dass sofort ein intensives und gutes Controlling der jeweiligen Dienstleister durch die Netzbetreiber erfolgt. Quelle: BNetzA IT-Sicherheitskatalog gemäß 11 Absatz 1a Energiewirtschaftsgesetz. Berlin. Folie 20 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

21 ERSTEN AUDIT - ERFAHRUNGSBERICHT Folie 21 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

22 Ersten Audit - Erfahrungsbericht Stufe 1 Audit: :15 17:00 Uhr Überprüfung des Anwendungsbereichs des ISMS Management der Informationssicherheit Vorgehensweise der Risikoeinschätzung Durchsprache der SoA Strukturnetzplan Prüfung der Planung und Durchführung von internen Audits und Managementbewertungen Prüfung der Dokumentation des Managementsystems Stufe 2 Audit: :15 16:45 Uhr Fachexperte Folie 22 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

23 Ersten Audit - Erfahrungsbericht Weiter im IT-Sicherheitskatalog der BNetzA, Darstellung der Schnittstellen (müssen): Quelle: BNetzA IT-Sicherheitskatalog gemäß 11 Absatz 1a Energiewirtschaftsgesetz. Berlin. Folie 23 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

24 Ersten Audit - Erfahrungsbericht Weiter im IT-Sicherheitskatalog der BNetzA, Darstellung der Schnittstellen (müssen): - Anweisungen vom Übertragungsnetzbetreiber (ÜNB) - Wetterdaten - externe Lieferanten (Wartungsarbeiten, ) - - Prozessleitsystem wie sehen die Wartungszugriffe der Lieferanten beim Leitsystem aus wie werden die Berechtigungen beim Leitsystem vergeben Schaltpläne, wer darf schalten Folie 24 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

25 Ersten Audit - Erfahrungsbericht Die Risikoeinschätzung hat sich an den Schadenskategorien zu orientieren (nach dem IT-Sicherheitskatalog der BNetzA): Stufe Schadenskategorien Schadensauswirkung 1 kritisch die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen 2 hoch die Schadensauswirkungen können beträchtlich sein 3 mäßig die Schadensauswirkungen sind begrenzt und überschaubar Quelle: BNetzA IT-Sicherheitskatalog gemäß 11 Absatz 1a Energiewirtschaftsgesetz. Berlin. Folie 25 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001!

26 Ersten Audit - Erfahrungsbericht Risikoeinschätzung hat sich an den Schadenskategorien zu orientieren, Ansatz über die Kriterien aus dem Kriterien IT-Sicherheitskatalog der BNetzA: K 1 Beeinträchtigung der Quelle: BNetzA IT-Sicherheitskatalog gemäß 11 Absatz 1a Energiewirtschaftsgesetz. Berlin. K 2 K 3 K 4 K 5 K 6 K 7 Versorgungssicherheit Einschränkung des Energieflusses Betroffener Bevölkerungsanteil Gefährdung für Leib und Leben Auswirkungen auf weitere Infrastrukturen (z. B. vorund nachgelagerte Netzbetreiber, Wasserversorgung) Gefährdung für Datensicherheit und Datenschutz durch Offenlegung oder Manipulation, Finanzielle Auswirkungen Folie 26 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

27 Ersten Audit - Erfahrungsbericht Quelle: BDEW Anwendungshilfe zur Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI- Gesetz (BSI-KritisV) - IT-Sicherheitsansprechpartner für die BNetzA, welche Werte (wie werden die ermittelt) und wie an des BSI gemeldet. Folie 27 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

28 REFERENT Folie 28 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001

29 Vielen Dank für Ihre Aufmerksamkeit. Prof. Dr.-Ing. Michael Berger Geschäftsführer Auditor ISO/IEC Fachexperte ISO/IEC 27001/27019 Energiewirtschaft (BNetzA) implies GmbH Goltsteinstraße Düsseldorf Mobil: +49 (0)163 / Telefon: +49 (0)211/ Fax: +49 (0)211/ michael.berger@implies-audit.de Internet: Folie 29 Grundlagen ISO 27019, Prof. Dr.-Ing. Michael Berger, MBA, Auditor ISO 27001