Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Transkript

1 Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit smartoptimo GmbH & Co. KG Luisenstraße Osnabrück Telefon Telefax

2 Die Abhängigkeit von Informationstechnik (IT) nimmt immer mehr zu. Die IT spielt für viele Firmen eine sehr wichtige Rolle für die Abbildung Ihrer Geschäftsprozesse und Dienstleistungen. Dies gilt auch für Stadtwerke und Energieversorger. Vorfälle wie z. B. ein Eingriff in die Steuerung von Netzen und Kraftwerken, Datenverlust oder Systemausfälle können schwerwiegende Folgen und hohe Kosten für Stadtwerke verursachen. Der IT-Sicherheitsstandard ist daher ein wichtiger Faktor für eine erfolgreiche Geschäftstätigkeit. Da Stadtwerke zur allgemeinen Versorgungssicherheit beitragen, verpflichtet der Gesetzgeber sie als Betreiber kritischer Infrastrukturen durch das IT-Sicherheitsgesetz zur Einhaltung von Mindeststandards. Das IT-Sicherheitsgesetz wurde am 12. Juni 2015 durch den Deutschen Bundestag verabschiedet. Nähere Einzelheiten für die Energiewirtschaft werden im IT-Sicherheitskatalog der Bundesnetzagentur geregelt, dessen Umsetzung für Energienetzbetreiber gemäß EnWG verpflichtend ist. Netzbetreiber müssen sich nach ISO zertifizieren lassen und diese Zertifizierung alle drei Jahre zu erneuern. Darüber hinaus muss gegenüber der Bundesnetzagentur ein IT- Sicherheitsbeauftragter benannt werden. Eine Herausforderung besteht darin, ein angemessenes Sicherheitsniveau zu vertretbaren Kosten zu erreichen und die Systeme weiterhin alltagstauglich im Betrieb einsetzen zu können. Beim Auftreten von Schadensfällen sind Stadtwerke dazu verpflichtet nachzuweisen, dass sie über angemessene Sicherheitsmaßnahmen verfügen. Die Zertifizierung kann hier als Grundlage dienen. Ein diesbezügliches Unterlassen kommt einem Organisationsverschulden gleich und kann gegenüber dem Stadtwerk zu Haftungsansprüchen wegen Vorsatz oder Fahrlässigkeit führen. 2

3 Kritische Infrastrukturen Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertete die aktuelle Gefährdungslage in Bezug auf die IT in Deutschland als kritisch. Hinzukommend wurde festgestellt, dass das IT-Sicherheitsniveau von Stadtwerk zu Stadtwerk stark abweicht. Gezielte Angriffe haben in den letzten Monaten in Einzelfällen erhebliche Defizite offenbart. Um in Zukunft vorhandene Defizite abzubauen und die IT-Sicherheit in Unternehmen zu steigern, plant die Bundesregierung das für KRITIS maßgebliche IT-Sicherheitsgesetz. Es wurde 2014 durch das Bundesministerium des Innern (BMI) erarbeitet und liegt seitdem als Entwurf vor. Es wurden keine weiteren Änderungen vorgenommen, sodass die Verabschiedung im Juni 2015 erfolgen soll. Das neue IT-Sicherheitsgesetz beinhaltet vor allem Anpassungen am BSI-Gesetz und am EnWG. Demzufolge sind Stadtwerke dazu verpflichtet die Sicherheitsstandards so umzusetzen, dass ein angemessenes Sicherheitsniveau zu vertretbaren Kosten erreicht wird und die Systeme weiterhin alltagstauglich im Betrieb eingesetzt werden können. Der Gesetzgeber hat noch keine explizite Definition gegeben, wer als KRITIS im Sinne des Gesetzes gilt. Klarheit hierüber soll eine noch zu verfassende bringen. Allgemein werden kritische Infrastrukturen definiert als Einrichtungen, Anlagen oder Teile davon, die den Sektoren Informationstechnik, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Energie angehören und zudem von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Durch ihren Ausfall bzw. Beeinträchtigung würden erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit entstehen. Anforderungen an Stadtwerke Aus der Zuordnung als KRITIS ergeben sich konkrete Anforderungen an Stadtwerke entweder zum BSI-Gesetz oder als Betreiber von Energieversorgungsnetzen bzw. Betreiber von Energieanlagen zum EnWG, sofern diese als KRITIS bestimmt werden. Beide Gesetze werden durch das IT-Sicherheitsgesetz hinsichtlich der Erfüllung von Sicherheitsanforderungen verschärft und ausgeweitet. Stadtwerke und Energieversorger unterliegen in ihrer Rolle als Netzbetreiber dem EnWG und sind demzufolge direkt vom IT-Sicherheitsgesetz betroffen. Einen Überblick über die aus den relevanten Gesetzten resultierenden Anforderungen bietet Abbildung 1. 3

4 Gesetz Adressat Anforderung IT- Sicherheitsgesetz (Finaler Entwurf vom ) BSI- Gesetz EnWG KRITIS die in der bestimmt wurden (mit Ausnahme von Kleinstunternehmen) Betreiber von Energieversorgungsnetzen Betreiber von Energieanlagen (die in der als KRITIS eingestuft wurden) * Umsetzung eines Mindestniveaus an IT-Sicherheit binnen zwei Jahren nach Inkrafttreten der * Nachweis der Erfüllung der Anforderungen mind. alle zwei Jahre durch Audits, Zertifizierung usw. * Errichtung einer Kontaktstelle und Meldepflichten ggü. dem BSI bei erheblichen Störungen * Schutz von IK-Technik und EDV- Systemen, die für sicheren Netzbetrieb erforderlich sind * Umsetzung des IT- Sicherheitskatalogs der BNetzA (Einführung ISMS + Zertifizierung nach ISO 27001) binnen einem Jahr nach Inkrafttreten * Benennung eines IT- Sicherheitsbeauftragten binnen zwei Monaten nach Inkrafttreten des Katalogs * Sofern zusätzlich in als KRITIS eingestuft: Meldepflichten ggü. BSI bei erheblichen Störungen * Angemessener Schutz von IK- Technik und EDV-Systemen, die für einen sicheren Anlagenbetrieb notwendig sind. Umsetzung binnen zwei Jahren nach Inkrafttreten der * Umsetzung eines Sicherheitskatalogs binnen zwei Jahren nach Inkrafttreten der * Meldepflichten ggü. BSI bei erheblichen Störungen Abbildung 1: Übersicht der gesetzlichen Anforderungen aus dem IT-Sicherheitsgesetz 4

5 Laut BSI-Gesetz und EnWG müssen Unternehmen die Sicherheitsanforderungen umsetzen und dokumentieren. Die konkrete Definition der umzusetzenden Anforderungen für Stadtwerke, die dem EnWG unterliegen, ist im Entwurf des Sicherheitskatalogs zu finden. Die Hauptforderungen umfassen die Einführung eines Informationssicherheitsmanagementsystems (ISMS) und die Zertifizierung des Systems nach ISO/IEC Ein ISMS ist ein ganzheitlicher Ansatz zur Erreichung von Informationssicherheit und soll ermöglichen, Sicherheitsrisiken auf allen Ebenen des Stadtwerks zu überwachen, zu bewerten und zu steuern. Mittels personellen, infrastrukturellen, organisatorischen und technischen Maßnahmen wird anhand der ISO-Vorgaben das entsprechende Managementsystem zur Sicherstellung eines angemessenen definierten Sicherheitsniveaus umgesetzt. Es muss sichergestellt werden, dass kommende Gefahren erkannt werden und entsprechend passend gehandelt wird Die Abbildung 2 illustriert Schritt für Schritt die Einführung eines ISMS. Der letzte Prozess stellt die Zertifizierung dar. Diese erfüllt die Funktion, die Wirksamkeit sowie die Normenkonformität des Systems nachzuweisen und gleichzeitig die Umsetzung und Einhaltung des IT-Sicherheitskatalogs durch das Stadtwerk zu dokumentieren. Eine Zertifizierung ist immer für drei Jahre gültig und erfordert eine Re-Zertifizierung, die wiederum die Gültigkeit um drei Jahre verlängert. Abbildung 2: Prozess zur Einrichtung eines ISMS 5

6 Stadtwerke, die als KRITIS eingestufte Anlagen betreiben, sind dazu verpflichtet sowohl die Umsetzung der vorgegebenen Sicherheitsmaßnahmen vorzunehmen als auch die Implementierung von Kontaktstellen, Meldeprozesse und Meldewege zum BSI. Dadurch wird gewährleistet, dass sicherheitsrelevante Informationen schnellstmöglich vom BSI gesammelt, ausgewertet und an andere Betreiber verteilt werden können. Ein erhöhter Schutz der Infrastrukturen sowie deren Betreiber wurde als Ziel gesetzt. Implikation für Stadtwerke Es fallen Kosten für die Umsetzung von Sicherheitsmaßnahmen sowie deren Zertifizierung an. Jedes Unternehmen ist dazu verpflichtet sich mit Maßnahmen zum Management von (IT-) Risiken auseinanderzusetzen. Das IT-Sicherheitsgesetz verleiht dieser Verpflichtung Nachdruck und verschärft zusätzlich die auf Basis des EnWG für Stadtwerke bereits geltenden Anforderungen. Außerdem wird die Verbindlichkeit des IT-Sicherheitskatalogs durch das IT-Sicherheitsgesetz gestärkt und impliziert die Verpflichtung zur Umsetzung des Katalogs. Die Verwaltungsbehörden haben die Möglichkeit Bußgelder in Höhe von bis zu Bei zu verhängen. Ein Stadtwerk ist dann in der Lage, frühzeitig Vorsorge vor möglichen Schadensereignissen zu treffen, wenn es eigene Sicherheitsrisiken identifiziert und geeignete Sicherheitsmaßnahmen realisiert. In einem durch Dritte ( Hacker ) verursachten Schadensfall muss das Stadtwerk nur bei eigenem Verschulden haften. Wenn der Sicherheitskatalog und die Zertifizierung aktiv eingehalten wurden, liegt ein eigenständiges Verschulden nicht vor und die Beweislast kehrt sich folglich auf den Anspruchsteller um. Nach der Anreizregulierungsverordnung ist eine Anerkennung für Investitionen in IT-Sicherheit zum Betrieb von sicheren Versorgungsnetzen grundsätzlich möglich. Die Voraussetzung hierfür ist, dass die anzuerkennenden Kosten im Basisjahr (Strom 2016, Gas 2015) anfallen. Aus diesem Grund sollten Maßnahmen rechtzeitig geprüft und angestoßen werden. 6