2. Forschungstag IT-Sicherheit NRW nrw-units. Informationssicherheit in der Energiewirtschaft

Transkript

1

2 2 2. Forschungstag IT-Sicherheit NRW nrw-units 15. Juni 2015 Hochschule Niederrhein Informationssicherheit in der Energiewirtschaft

3 3 Informationssicherheit in der Energiewirtschaft 1. Sicherheit der Stromversorgung 2. Von der IKT getriebene intelligente Energienetze und deren Auswirkungen auf die IT-Sicherheit 3. Struktur der Energiewirtschaft 4. Gesetzliche Anforderungen, Normen und Leitfäden 5. Forschungsaktivitäten

4 1. Sicherheit der Stromversorgung 4 Quelle: BDEW FNN Forum Netztechnik / Netzbetrieb im VDE

5 5 1. Sicherheit der Stromversorgung Bekannt ist das Beispiel der Stadtwerke Ettlingen. Diese beauftragten ein Hacker-Team ihre Anlagen zu penetrieren. Sie wollten testen, ob es diesen möglich wäre, die Stromversorgung lahm zu legen. Ein auf solche Penetrationstest spezialisiertes Team klärte zunächst die Rahmenbedingungen mit dem Auftraggeber, da die Stadtwerke ihre Systeme durch einen solchen Test nicht wirklich gefährden durften. Dann begann die eigentliche Arbeit. Nach wenigen Tagen waren sie bis in die Leitzentrale eingedrungen. Sie hätten die Elektrizitätsversorgung der Einwohner-Stadt abschalten können. Die so gewonnen Ergebnisse dienten dazu die gefundenen Schwachstellen zu analysieren und in Zusammenarbeit zwischen Testern, Betreibern und Herstellern so gut wie möglich auszuräumen.

6 6 2. Von der IKT getriebene intelligente Energienetze und deren Auswirkungen auf die IT-Sicherheit Die Komplexität unserer Versorgungsnetze nimmt insgesamt zu. Das konventionelle Stromnetz wird zu einem sogenannten Smart Grid. Das heißt es wird durch Kommunikations-, Mess-, Steuer-, Regel- und Automatisierungstechnik sowie IT- Komponenten aufgerüstet. Nach einer Definition der Bundesnetzagentur bedeutet smart dabei, dass Netz-Zustände in Echtzeit erfasst werden können und Möglichkeiten zur Steuerung und Regelung der Netze bestehen, so dass die bestehende Netzkapazität tatsächlich voll genutzt werden kann.

7 7 2. Von der IKT getriebene intelligente Energienetze und deren Auswirkungen auf die IT-Sicherheit Moderne Energienetze sind geprägt durch die die Vernetzung unterschiedlicher Domänen der IT-Technologie: Klassische Informationstechnik (IT) (PC, Server,...) Netzwerk- und Kommunikationstechnik (TK) (Internetsysteme, mobile Endgräte wie Mobiltelefone, Tablets) Gebäudetechnik (Medientechnik, Gebäudeautomation,...) Prozessdatenverarbeitung und Prozessleittechnik (Leitsysteme, Steuerungen, Controller, Zähler,...) Insbesondere durch die Vernetzung sind dieses Systeme inzwischen klassischen IT-Sicherheitsbedrohungen ausgesetzt.

8 8 3. Struktur der Energiewirtschaft

9 9 3. Struktur der Energiewirtschaft Veränderung der Marktordnung durch das EnWG Quelle: Cronos Münster

10 10 4. Gesetzliche Anforderungen, Normen und Leitfäden Entwurf Deutsches IT-Sicherheitsgesetz des BMI Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme Status: Wegen großer Widerstände von Seiten des BMWi und der Branchenverbände, wurde der Entwurf überarbeitet und Herbst 2014 erneut vorgelegt und im Juni 2015 verabschiedet. KRITIS-Betreiber werden verpflichtet, einen Mindeststandard an IT-Sicherheit einzuhalten: angemessene organisatorische und technische Vorkehrungen nach Stand der Technik für Systeme/Komponenten, die für die eigene Funktionsfähigkeit maßgeblich sind Prüfung durch Audits, Meldung der Auditergebnisse an das BSI KRITIS-Betreiber werden verpflichtet, dem BSI erhebliche IT- Sicherheitsvorfälle zu melden

11 4. Gesetzliche Anforderungen, Normen und Leitfäden Umsetzungsplan KRITIS Die Sektoren Kritischer Infrastrukturen in Deutschland Quelle: Bundesamt für Sicherheit in der Informationstechnik

12 4. Gesetzliche Anforderungen, Normen und Leitfäden ISMS im Energiesektor IT-Sicherheits-Gesetz (Entwurf) KRITIS EnWG Sicherheitskatalog der Bundesnetzagentur BDEW Whitepaper Quelle: bechtle Solingen ISO ISO DIN-SPEC / ISO Sicherheitskatalog Abschnitt F) (SoA)

13 13 4. Gesetzliche Anforderungen, Normen und Leitfäden Kernforderungen des IT-Sicherheitskatalogs gem. 11 EnWG Abs. 1a der BNetzA Aufbau eines Informationssicherheitsmanagementsystems (ISMS) nach DIN ISO/IEC Berücksichtigung der Anforderungen des Netzbetriebs durch Anwendung der sektor-spezifischen ISMS-Standards DIN SPEC (bzw. ISO/IEC 27019): Leitfaden für das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung auf Grundlage der ISO/IEC Benennung eines IT-Sicherheitsbeauftragten gegenüber der BNetzA Unabhängige Zertifizierung des ISMS binnen eines Jahres ab Veröffentlichung des endgültigen IT-Sicherheitskatalogs Die Anforderungen sind gleichermaßen von allen Betreibern von Strom- und Gasversorgungsnetzen unabhängig von der Größe umzusetzen.

14 14 4. Gesetzliche Anforderungen, Normen und Leitfäden Anforderungen im Bereich Smart Metering Die Technische Richtlinie BSI TR Kryptographische Vorgaben für die Infrastruktur von intelligenten Messsystemen beschreibt die Anforderungen an die Funktionalität, Interoperabilität und Sicherheit, die die Komponenten im Umfeld des Smart Metering erfüllen müssen Zusammen mit dem Smart Meter Gateway Protection Profile des BSI definiert die TR die wesentlichen Sicherheitsvorgaben für das zukünftig zu verwendende Smart Meter Gateway (SMGW). Der Datenschutzbeauftragte des Bundes hat hier in erster Linie den Schutz der Daten des Endkunden im Fokus gehabt Das SMGW kann zudem einen gesicherten Kommunikationskanal zum Zugriff auf steuerbaren Erzeugern / Lasten aufbauen Für den Netzbetrieb spielen die Messwerte des Smart Metering derzeit eine untergeordnete Rolle

15 15 4. Gesetzliche Anforderungen, Normen und Leitfäden Spezielle Regelung für den Bereich Energieversorgung (Strom/Gas): Zur Vermeidung einer Doppelregulierung werden EVU aus den Regelungen des IT-Sicherheitsgesetzes ausgenommen, da sie mit EnWG 11 bereits vergleichbaren Regelungen unterliegen. Das EnWG wird allerdings im Zuge des IT-Sicherheitsgesetzes an dessen Forderungen angepasst und erweitert. Wesentliche Änderungen sind: IT-Sicherheitskatalog gilt nun für TK-/DV-Systeme, die für einen sicheren Netzbetrieb notwendig sind. Einbeziehung der Energieanlagen (sofern KRITIS und öffentliche Netzanschluss) BNetzA erstellt (nunmehr zwei) IT-Sicherheitskataloge für IT-Systeme, die für einen sicheren Netz- bzw. Anlagenbetrieb erforderlich sind. Pflicht zum zweijährlichen Nachweis der Erfüllung gegenüber der BNetzA Pflicht zur unverzüglichen Meldung von IT-Sicherheitsvorfällen an das BSI

16 16 4. Gesetzliche Anforderungen, Normen und Leitfäden Forderung nach einem zertifiziertem ISMS wird Bestand haben Zertifizierung auf Basis aktueller Normversionen DIN ISO/IEC 27001:2013 ( eine deutsche Übersetzung ist mittlerweile verfügbar!) Berücksichtigung ISO/IEC 27002:2013 und DIN ISO/IEC TR Deutsche Version der 27002:2013 ist absehbar nicht verfügbar DIN27009 ist ersetzt worden; aber weiterhin auf 27002:2005 basierend Ggf. eigenes Zertifizierungsschema der DAkkS Der Zeitraum bis zum Nachweis der Zertifizierung wird aller Voraussicht nach analog zum IT-Sicherheitsgesetz 2 Jahre betragen. Der im Sicherheitskatalog näher beschriebene Geltungsbereich wird überarbeitet werden.

17 4. Gesetzliche Anforderungen, Normen und Leitfäden Zusammenhänge der Normen Sicherheitskatalog Abschnitt F) Sicherheitskatalog Abschnitt E) I. Sicherheitsleitlinie ( ) XI. Einhaltung von Vorgaben (Compliance) ISO ISO ISO Anwendungsbereich 2 Normative Verweisungen 3 Begriffe 4 Infor m a t i o n s s i c he r h e i t s - Managementsystem 5 Verantwortung des Managements 6 Interne ISMS-Audits 7 Managementbewertung des ISMS 8 Verbesserung des ISMS Anhang A (normativ) Maßnahmenziele A.5 Sicherheitsleitlinie ( ) A.15 Einhaltung von Vorgaben (Compliance) 1 Anwendungsbereich 2 Begriffe 3 Aufbau dieser Norm 4 Risikoeinschätzung und behandlung 5 Sicherheitsleitlinie ( ) 15 Einhaltung von Vorgaben (Compliance) 1 Anwendungsbereich 2 Normative Verweisungen 3 Begriffe 4 Aufbau dieser Norm 5 Sicherheitsleitlinie ( ) 15 Einhaltung von Vorgaben (Compliance) Quelle: bechtle Solingen

18 18 5. Forschungsaktivitäten Unternehmen, die der oben aufgeführten Ortsstufe zu zurechnen sind und damit viele kleine Energieversorgungsunternehmen sind das Rückgrat der Energiewirtschaft. Sie sind häufig auch die Besitzer der Netze. Gerade kleinen Übertragungsnetzbetreibern (Regionalstufe und Ortsstufe) fällt es schwer, den Erwartungen bzgl. der IT-Sicherheit gerecht zu werden und an sie gestellte Anforderungen zu erfüllen. Gründe hierfür sind insbesondere die geringe Akzeptanz des Managements, fehlende Ressourcen und fehlendes Fachwissen in diesen Unternehmen in Bezug auf die IT-Sicherheit, sowie die Kosten, die mit der Umsetzung der Anforderung verbunden sind.

19 19 5. Forschungsaktivitäten Das Dilemma, in dem sich gerade kleinere Netzbetreiber befinden, ist offensichtlich: Sie betreiben oftmals Altsysteme, da aus verschiedensten Gründen (z.b. Privatisierung des Energiesektors) keine Investitionen möglich waren oder sind. Die BDEW-Richtlinien lassen sich dann jedoch nur mit Einschränkungen direkt anwenden. Den Aufwand für eine Anpassung können kleinere Netzbetreiber wegen beschränkter Ressourcen in der Regel nicht leisten. Es fehlt eine geeignete, branchenspezifische Metrik zur Beurteilung der Sicherheit. Die Anwendung der BDEW-Richtlinien, welche stark auf der ISO Normreihe basiert, kann schon alleine aufgrund der umfangreichen Anforderungen nicht vollständig gewährleistet werden. Es fehlt ein geeignetes, angepasstes Vorgehensmodell zur Umsetzung entsprechender Richtlinien. MWI 201

20 20 5. Forschungsaktivitäten Entwicklung einer Metrik In dem hier skizzierten Forschungsprojekt wird untersucht wie der Stand der IT-Sicherheit bei kleineren Übertragungsnetzbetreibern erfasst und beurteilt werden kann. Dazu wird eine Metrik entwickelt und erprobt. Entwicklung eines Vorgehensmodells Diese so entwickelte Metrik soll konkret auf ausgewählte kleinere Betreiber kritischer Infrastrukturen angewendet werden, um mit den so gewonnenen Erkenntnissen ein Vorgehensmodell zur Erhöhung der IT-Sicherheit der kritischen IT-Infrastrukturen der kleinen Netzbetreiber elektrischer Energie zu entwickeln. Dieses Modell muss pragmatisch, einfach anzuwenden und wirtschaftlich einsetzbar sein. Es soll dabei unter besonderer Berücksichtigung des Faktors Mensch entwickelt werden. Die Technologie steht dabei nicht im Vordergrund.

21