FNN-Hinweis. IT-Sicherheit in Stromnetzen

Ähnliche Dokumente
Informationssicherheit in der Energieversorgung

IT-Sicherheit in der Energiewirtschaft

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

Informationssicherheitsmanagement


I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Das IT-Sicherheitsgesetz

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

IT-Sicherheit der Netzleitstelle - Ausweitung auf Smart Meter

WSO de. <work-system-organisation im Internet> Allgemeine Information

Kirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG )

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

PRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag

BSI Technische Richtlinie

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Informationssicherheit als Outsourcing Kandidat

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme IPS GmbH

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

Cyber Security in der Stromversorgung

Qualitätsmanagement nach DIN EN ISO 9000ff

Mitteilung zur Kenntnisnahme

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

Seminareinladung - Netzbetrieb & IT -

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Die Umsetzung von IT-Sicherheit in KMU

ISO 9001:2015 REVISION. Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Rechtssicheres dokumentenersetzendes Scannen Entwicklung einer Technischen Richtlinie

Bericht des Gleichbehandlungsbeauftragten für das Geschäftsjahr 2012 gemäß 80 Tiroler Elektrizitätsgesetz 2012

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Kirchlicher Datenschutz

FAQ 04/2015. Auswirkung der ISO auf 3SE53/3SF13 Positionsschalter.

Verordnung über Medizinprodukte (Medizinprodukte-Verordnung - MPV)

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

Vorgelegt durch. den Gleichbehandlungsbeauftragten. für die. Stadtwerkeverbund Hellweg-Lippe Netz GmbH & Co. KG. Stadtwerke Hamm GmbH

MUSTER-IT-SICHERHEITSKONZEPTE DER EKD

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

Information zur Revision der ISO Sehr geehrte Damen und Herren,

Zwischenbericht der UAG NEGS- Fortschreibung

Verordnung über Medizinprodukte (Medizinprodukte-Verordnung - MPV)

DATEV eg, Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Marktanalyse Industrial Ethernet. - Überblick -

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden. zur Einführung neuer Studiengänge

LGA InterCert GmbH Nürnberg. Exzellente Patientenschulung. (c) Fachreferent Gesundheitswesen Martin Ossenbrink

VdS Schadenverhütung GmbH. Bereich Security

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Ausschuss für technische und operative Unterstützung (zur Unterrichtung) ZUSAMMENFASSUNG

Prozessorientiertes Asset Management und Mobile Workforce (unter Android)

Elektrische Anlagen und Betriebsmittel

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

DIN EN ISO 9000 ff. Qualitätsmanagement. David Prochnow

Herausforderungen 2013 der Marketingentscheider in B2B Unternehmen

Dieter Brunner ISO in der betrieblichen Praxis

GPP Projekte gemeinsam zum Erfolg führen

Medizinische elektrische Geräte und Systeme

M e r k b l a t t. Neues Verbrauchervertragsrecht 2014: Beispiele für Widerrufsbelehrungen

Technische Regeln für Betriebssicherheit TRBS 1111 Gefährdungsbeurteilung und sicherheitstechnische Bewertung

Grundsätze zur Ausgestaltung von Qualitätsmanagementsystemen. im gesundheitlichen Verbraucherschutz formuliert.

IS-Revision in der Verwaltung

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

BSI Technische Richtlinie

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Abschnitt 1 Anwendungsbereich und Allgemeine Anforderungen an die Konformitätsbewertung 1 Anwendungsbereich

Informationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager

ecco Kundensupport zur Normenrevision ISO 9001:2015 und ISO 14001:

Maschinenrichtlinie 2006/42/EG 150 Fragen und Antworten zum Selbststudium

Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Teil 2 Management virtueller Kooperation

Scannen Sie schon oder blättern Sie noch?

Die neue Datenträgervernichter DIN 66399

Diskussionspapier. Marktprozesse für den Austausch elektronischer Preisblätter Netznutzung

Die Betriebssicherheitsverordnung (BetrSichV) TRBS 1111 TRBS 2121 TRBS 1203

statuscheck im Unternehmen

Vorblatt. Ziel(e) Inhalt. Wesentliche Auswirkungen. Verhältnis zu den Rechtsvorschriften der Europäischen Union:

Vereinbarung über den elektronischen Datenaustausch (EDI)

Übergangsszenarien zum Lieferantenwechsel Strom und Gas

Inbetriebsetzung von PV-Anlagen zum Jahresende

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Aufgabenheft. Fakultät für Wirtschaftswissenschaft. Modul Business/IT-Alignment , 09:00 11:00 Uhr. Univ.-Prof. Dr. U.

Sicherheitsaspekte der kommunalen Arbeit

Sicherheit von Serverräumen Sicherheit von Serverräumen

EUROCERT. Rahmenvereinbarung

Transkript:

FNN-Hinweis IT-Sicherheit in Stromnetzen Einordnung bestehender Regeln, Richtlinien und Gesetzesinitiativen März 2015

Impressum Forum Netztechnik / Netzbetrieb im VDE (FNN) Bismarckstraße 33, 10625 Berlin Telefon: + 49 (0) 30 3838687 0 Fax: + 49 (0) 30 3838687 7 E-Mail: fnn@vde.com Internet: http://www.vde.com/fnn März 2015

IT-Sicherheit in Stromnetzen Einordnung bestehender Regeln, Richtlinien und Gesetzesinitiativen

Inhaltsverzeichnis 1 Einleitung... 7 1.1 Bedeutung der IT-Sicherheit in der Stromversorgung... 7 1.2 Begriffe und wesentliche informationstechnische Schutzziele... 8 2 Bestehende Initiativen... 10 2.1 Initiativen des Gesetzgebers / Regulators... 10 2.1.1 IT-Sicherheitsgesetz (IT-SIG)... 10 2.1.2 IT-Sicherheitskatalog... 12 2.1.3 Bundesamt für Sicherheit in der Informationstechnik (BSI) Grundschutz... 14 2.2 Normen und Richtlinien... 15 2.2.1 DIN ISO/IEC 27000er Reihe... 15 2.2.2 IEC 62351... 18 2.3 Weitere Dokumente... 20 2.3.1 BDEW Whitepaper... 20 3 Bewertung und Einordnung... 22 3.1 Wirksamkeit der bestehenden Regeln... 22 3.2 Schlussfolgerung und Handlungsempfehlung... 23

Abbildungsverzeichnis Abbildung 1- Regelungshierarchie bestehender Initiativen... 10 Abbildung 2- Zusammenspiel der Normenreihe IEC 62351... 19

Vorwort Die Unterstützung durch Informations- und Kommunikationstechnik-Systeme (IKT) mit der wachsenden Abhängigkeit von Selbigen geht mit Chancen und Risiken einher. Um die Vorteile moderner IKT sicher nutzen zu können, wird ein angemessener Schutz gegen Bedrohungen auch im Bereich der Stromversorgung und Netzsteuerung auf unterschiedlichen Ebenen angestrebt. Neben der gesetzlichen Initiative mit dem Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme gibt es eine Vielzahl an weiteren Regelungen, Normen und Empfehlungen, deren Ziel es ist, die Sicherheit in Energieversorgungsunternehmen zu gewährleisten. Mit dem geplanten IT-Sicherheitsgesetz sollen besonders schützenswerte und sogenannte kritische Infrastrukturen (KRITIS) wie Energie- oder Telekommunikationsnetze besser vor Beeinträchtigungen und Missbrauch durch IT-Systeme geschützt werden. Im Dezember 2013 ist zudem ein IT-Sicherheitskatalog der BNetzA gem. 11 Abs. 1a EnWG für Systeme zur Netzsteuerung als Entwurf veröffentlicht worden, in dem wesentliche Anforderungen an Netzbetreiber gestellt werden. Parallel dazu werden Normungsaktivitäten und weitere Empfehlungen erarbeitet bzw. aktualisiert, die zunehmend auch dem Thema Netzbetrieb und Netztechnik zuzuordnen sind wie z.b. die DIN ISO/IEC 27000 Normungsreihe und die IEC 62351 Normungsreihe. Das vorliegende Dokument soll eine grundlegende Einordnung der bestehenden Normen und Regelwerke vornehmen, die für den (informationstechnisch) sicheren Netzbetrieb notwendig sind. Darauf aufbauend wurde eine Analyse und ein Ausblick auf den weiteren Handlungsbedarf für die Ausgestaltung einer sicheren Informationstechnik (IT) im Netzbetrieb erarbeitet. Der Hinweis richtet sich an Netzbetreiber und Netzserviceunternehmen. Im Fokus steht dabei die Stromversorgung. Die folgenden Überlegungen sind grundsätzlich auch in spartenübergreifenden Unternehmen und spartenspezifische Aspekte innerhalb der Prozess-IT anwendbar. Bedingt durch die physikalischen Eigenschaften und die technischen Besonderheiten der Stromversorgung besteht hier eine besondere Abhängigkeit von der Informations- und Kommunikationstechnik und deren inhärenten Sicherheit. Fokus dieses Dokuments sind die bestehenden oder absehbar in Kraft tretenden nationalen Normen (inkl. Vornormen), Gesetze und Richtlinien (Stand Januar 2015). Darüber hinaus existieren weitere Regelwerke, u.a. auf europäischer Ebene (z.b. ENISA), welche nicht Teil der Betrachtungen dieses Dokuments sind. 6/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN

1 Einleitung 1.1 Bedeutung der IT-Sicherheit in der Stromversorgung Die Informationstechnologie im Prozess des Netzbetriebes (Prozess-IT) erfüllt viele Funktionen zur Steuerung und zum Betrieb eines Versorgungsnetzes, um der Verantwortung der öffentlichen Versorgung bei gleichbleibend hoher Qualität nachzukommen. Dies umfasst die steuerungs- (Schutz-, Leit- und Fernwirktechnik) und nachrichtentechnischen Systeme (z.b. Datennetze) sowie die zentralen Systeme der Prozessdatenverarbeitung (z.b. Leitstelle). Sie dienen damit der Unterstützung der primärtechnischen Prozesse und sind unabdingbar für die Ausführung der Aufgaben der Netzführung. Diese Systeme erfüllen Funktionen ( Melden, Messen, Steuern, Schutzfunktionen und die zugehörigen Prozessdatenkommunikations-Techniken) sowohl an dezentral verteilten Standorten des Stromnetzes (z.b. in Umspannanlagen) als auch an den zentralen Netzführungsstandorten (Leitstellen). Darüber hinaus werden die zentralen Prozessdatenverarbeitungssysteme zur Unterstützung von betrieblich relevanten Aufgabenstellungen und Prozessen benötigt. Dabei nimmt die Komplexität des Gesamtsystems kontinuierlich zu. Der Anteil der Prozess-IT an der Netzbetriebsführung gewinnt weiter an Relevanz und hat zur Folge, dass aus den vormaligen Schaltanlagen komplexe IT-Systeme geworden sind. Haupttreiber sind: Zunehmende Digitalisierung der Systeme und Anlagentechnik im Netzbetrieb Stärkere Kopplung mit öffentlichen und fremden Netzen Wachsende Anzahl dezentraler Erzeugungsanlagen mit IT-Ankopplung Die zunehmende Interaktion zwischen den Netzebenen und Netzbetreibern mit einem vermehrten Austausch von Informationen und Daten (Integration der involvierten IT-Systeme) Die stärkere Vernetzung über die Wertschöpfungsstufen in der Energieversorgung Für die genannten Komponenten der Prozess-IT ergibt sich vor dem Hintergrund der Wahrnehmung der öffentlichen Versorgungsaufgabe ein hoher Schutzbedarf. Dabei besteht insbesondere an den Schnittstellen zur Prozess-IT ein erhöhtes Risiko für Angriffe, Beeinträchtigungen oder Manipulation durch Dritte. Die Auswirkungen möglicher Beeinträchtigungen differieren spartenspezifisch. Stromspezifische Herausforderungen an die IT-Sicherheit sind: Durch IT-Probleme ausgelöste Beeinträchtigungen können sich aufgrund der elektrotechnischen Besonderheiten direkt und in Echtzeit auf das Netz und andere Systeme auswirken. Ein extrem robustes und zuverlässiges Zusammenwirken der am Netz gekoppelten Komponenten bedingt, dass die Anforderungen an die IT-Sicherheit im Netzbetrieb im gleichen Maße auch für externe Komponenten gelten müssen. Zur Prozess-IT gehören grundsätzlich keine Systeme der allgemeinen Büro-IT, wie z.b. Arbeitsplatzrechner für Verwaltungsaufgaben, Konstruktions- und Planungssysteme usw. Die Ausprägung der Prozess-IT kann individuell und unternehmensspezifisch variieren und festgelegt werden. VDE FNN März 2015 IT Sicherheit in Stromnetzen 7/24

1.2 Begriffe und wesentliche informationstechnische Schutzziele Die normative Bedeutung der Fachbegriffe im Kontext der IT-Sicherheit ist in der entsprechenden Fachliteratur nachzulesen. Die nach Auffassung des FNN besonders und zum Verständnis des FNN Hinweises wichtigen Begriffe sind im Folgenden kurz dargestellt: IT-Sicherheit: IT-Sicherheit bezeichnet einen Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. IT-Sicherheit ist also der Zustand, in dem Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind. Informationssicherheit: Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. IT-Sicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Der Begriff "Informationssicherheit" statt IT-Sicherheit ist daher umfassender und wird zunehmend verwendet. Schutzziele: Als Schutzziele sind primär die Vertraulichkeit, die Integrität, die Authentizität sowie die Verfügbarkeit von Informations-Assets (Schutzgüter der IT-Sicherheit) zu betrachten. In der Praxis können weitere Schutzziele Bedeutung haben, z.b. die Nachweisbarkeit bzw. die Nicht-Abstreitbarkeit von Handlungen oder die Zuverlässigkeit von Services. Verfügbarkeit: Die Verfügbarkeit von Informationen, Funktionen eines IT-Systems, IT- Anwendungen oder IT-Netzen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können. Vertraulichkeit: Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein. Integrität: Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Authentizität: Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein Kommunikationspartner bzw. eine Information tatsächlich die Identität besitzt, die dieser bzw. diese vorgibt. Risikoeinschätzung: Ein Risiko ist die häufig auf Berechnungen beruhende Vorhersage eines möglichen Schadens. Mit einer Risikoeinschätzung wird untersucht, welche schädigenden Ereignisse eintreten können, wie wahrscheinlich das Eintreten eines schädigenden Ereignisses ist und welche Auswirkungen der Schaden hätte. Die Risikoeinschätzung ist im Zusammenhang mit IT-Sicherheit von zentraler Bedeutung. Schwachstellenanalyse: Die Schwachstellenanalyse soll alle potentiellen und tatsächlichen Lücken oder Abweichungen von einem definierten Sicherheitsniveau erheben. Sie kann technische und organisatorische Implikationen beinhalten. Schutzbedarfsfeststellung: Bei der Schutzbedarfsfeststellung wird der Schutzbedarf der Geschäftsprozesse, der verarbeiteten Informationen und der IT-Komponenten bestimmt. Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet. 8/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN

Schutzmaßnahmen: Unter Schutzmaßnahmen werden alle organisatorischen und technischen Maßnahmen zur Erreichung oder Verbesserung eines definierten Sicherheitsniveaus verstanden. Der Schutzbedarf eines Geschäftsprozesses, also der in diesem Prozess verarbeiteten Daten und für die Datenverarbeitung verwendeten technischen Systeme, wird auf Grundlage spezifischer und konkreter Schutzziele festgelegt. Die Risikoeinschätzung führt die Schutzbedarfsfeststellung und die Schwachstellenanalyse zusammen. Im Ergebnis der Risikoeinschätzung werden geeignete Maßnahmen (Akzeptanz, Vermeidung, Übertragung, Minimierung) festgelegt, um identifizierte Risiken zu behandeln und das definierte Sicherheitsniveau zu erreichen. Wesentliche Bedrohungen, die im Rahmen der IT-Sicherheitskonzeption berücksichtigt werden: Verlust/Zerstörung von Systemen/Komponenten Verlust elementarer Versorgungssysteme Kompromittierte Informationen Technisches Versagen Nicht autorisierte Zugriffe und Aktionen Verlust/Einschränkung der Funktionen Menschliches Versagen Darüber hinaus existieren weitere Bedrohungen. VDE FNN März 2015 IT Sicherheit in Stromnetzen 9/24

2 Bestehende Initiativen In dem folgenden Kapitel werden die bestehenden Initiativen zur IT-Sicherheit eingeordnet. Aus Sicht des FNN ergänzen sich die folgenden Regelwerke, wobei vereinzelte Überschneidungen nicht ausgeschlossen sind. Abbildung 1- Regelungshierarchie bestehender Initiativen Die hier dargestellten Gesetze, Verordnungen, Normen, Anwendungsregeln und sonstige Regelwerke werden i.d.r. durch unternehmensspezifische Richtlinien und Vorgaben unterlegt. 2.1 Initiativen des Gesetzgebers / Regulators 2.1.1 IT-Sicherheitsgesetz (IT-SIG) 2.1.1.1 Kurzbeschreibung Der Gesetzentwurf der Bundesregierung liegt vor. Es wird erwartet, dass das Gesetz im 2. Quartal 2015 in Kraft treten wird. Ziel des Gesetzes ist es, u.a. durch Sicherheitsanforderungen und Meldepflichten bei IT-Sicherheitsvorfällen das IT-Sicherheitsniveau bei Unternehmen, die Betreiber kritischer Infrastrukturen sind, zu erhöhen. Es handelt sich um ein Artikel-Gesetz, das unter anderem durch Änderungen im EnWG und im BSIG wirkt. Dies hat wiederum Auswirkungen auf die Ausprägung des IT-Sicherheitskatalogs der BNetzA (siehe 2.1.2). 2.1.1.2 Ziel/Fokus/Geltungsbereich Gemäß dem Gesetzentwurf sind alle Betreiber kritischer Infrastrukturen betroffen. Von den insgesamt sieben Sektoren betreffen die Folgenden die Energie- und Wasserversorgung: 10/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN

Sektor Energie (Stromversorgung, Erdgas) Sektor Wasser Sektor Informationstechnik und Telekommunikation Durch das Gesetz bzw. eine entsprechende Rechtsverordnung wird definiert, welche Einrichtungen, Anlagen oder Bestandteile als kritische Infrastrukturen gelten. Es werden grundlegende, allgemeine Anforderungen für die Umsetzung von Informationssicherheit definiert. Konkrete Anforderungen sind für die Ausprägung von Kontaktstellen und Meldeprozessen genannt, ohne jedoch genaue Schwellwerte und Kriterien festzulegen. 2.1.1.3 Anwendbarkeit Bei dem IT-Sicherheitsgesetz handelt es sich um eine staatliche Vorgabe, welche obligatorisch umzusetzen ist. Der Betrieb eines sicheren Energieversorgungsnetzes umfasst einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme. Für Betreiber von Energieversorgungsnetzen, die als kritische Infrastruktur eingestuft werden, gilt: innerhalb von zwei Jahren nach Inkrafttreten der Rechtsverordnung sind Maßnahmen für einen angemessenen Schutz gegen Bedrohungen durchzuführen. dass sie dem Bundesamt für Sicherheit in der Informationstechnik erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse unverzüglich melden, wenn diese zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit des Energieversorgungsnetzes oder der betreffenden Energieanlage führen können oder bereits geführt haben. Darüber hinaus erstellt die Regulierungsbehörde hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen und veröffentlicht diesen (siehe 2.1.2). Netzbetreiber als Betreiber kritischer Infrastrukturen sind somit verpflichtet, binnen zwei Jahren nach Inkrafttreten der Rechtsverordnung angemessene organisatorische und technische Vorkehrungen und sonstige Maßnahmen zum Schutz derjenigen informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind. Dabei ist der Stand der Technik zu berücksichtigen. Branchenspezifische Sicherheitsstandards sind optional vorgesehen. Die Anwendbarkeit wird von deren Ausprägung abhängen. Betreiber von Energieversorgungsnetzen müssen Verpflichtungen aus dem IT-SiG und dem in diesem Zusammenhang geänderten EnWG umsetzen. Für konkrete Maßnahmen sind daher die Anforderungen aus dem IT-Sicherheitskatalog der BNetzA relevant (Siehe 2.1.2), auf welchen in 11 Abs. 1a EnWG verwiesen wird. 2.1.1.4 Implementierungsaufwand Für Betreiber kritischer Infrastrukturen entsteht ein Erfüllungsaufwand für die Einhaltung eines Mindestniveaus an IT-Sicherheit und insbesondere den Nachweis der Erfüllung u.a. durch Sicherheitsaudits. Darüber hinaus entsteht ein Aufwand durch die Einrichtung und VDE FNN März 2015 IT Sicherheit in Stromnetzen 11/24

Aufrechterhaltung von Verfahren für die Meldung erheblicher Sicherheitsvorfälle an das BSI, sowie das Betreiben einer Kontaktstelle. Um bei Beeinträchtigungen der informationstechnischen Systeme, Komponenten oder Prozesse kritischer Infrastrukturen eine unverzügliche Information betroffener Betreiber zu gewährleisten, ist dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung eine jederzeit erreichbare Kontaktstelle zu benennen. 2.1.1.5 Berücksichtigte Bedrohungen Das Gesetz berücksichtigt alle bekannten Bedrohungen und deren Ausbreitung. Insbesondere durch die geforderten Kontakt- und Meldestellen soll eine umfassende Information über die aktuelle Gefährdungslage gewährleistet werden. 2.1.1.6 Abgedeckte Schutzziele Mit dem Gesetz soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland erreicht werden, die für das Funktionieren des Gemeinwesens zentral sind. Der Schutz der IT-Systeme solcher kritischen Infrastrukturen und der für den Infrastrukturbetrieb nötigen Netze ist daher von größter Wichtigkeit. 2.1.2 IT-Sicherheitskatalog 2.1.2.1 Kurzbeschreibung Die Bundesnetzagentur hat nach 11 Absatz 1a EnWG im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Entwurf für einen Katalog von Sicherheitsanforderungen zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen, erstellt (IT- Sicherheitskatalog V1, veröffentlicht im Dezember 2013). Der Katalog ergänzt das IT Sicherheitsgesetz. Eine aktualisierte Version wird nach dem Inkrafttreten des Gesetzes erwartet. Der Entwurf des IT-Sicherheitskatalogs sieht bei Betreibern von Energieversorgungsnetzen unter anderem die Implementierung von Maßnahmen zur IT-Sicherheit sowie die Einführung und Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) vor. Dieses ISMS muss sämtlichen organisatorischen und technischen Maßnahmen zum Schutz und sicheren Betrieb der im Fokus stehenden Systeme und Prozesse umfassen. Des Weiteren ist in jedem betroffenen Unternehmen ein IT-Sicherheitsbeauftragter zu benennen. Die im Entwurf von 2013 genannten Fristen betragen zwei Monate für die Benennung des IT- Sicherheitsbeauftragten durch den Netzbetreiber und ein Jahr für die Umsetzung der geforderten Maßnahmen nach Inkrafttreten des IT-Sicherheitskatalogs. 2.1.2.2 Ziel/Fokus/Geltungsbereich Das Ziel des IT-Sicherheitskatalogs ist ein umfassender Schutz gegen informationstechnische Bedrohungen für alle Telekommunikations- und elektronischen Datenverarbeitungssysteme, die der Netzsteuerung dienen (Sekundär-, Feld- und Automatisierungstechnik; Übertragungstechnik/Kommunikation; Leitsystem/Systembetrieb). Durch das IT-Sicherheitsgesetz (s. 2.1.1) und den damit geplanten Änderungen des EnWG soll der Geltungsbereich des IT-Sicherheitskataloges auf alle elektronischen Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind, erweitert 12/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN

werden. Damit soll ein wesentlicher Beitrag zum sicheren Betrieb und zur Erhöhung der Versorgungssicherheit der Energieversorgung geleistet werden. Die Identifizierung der zu schützenden Systeme und die Auswahl geeigneter Maßnahmen (nach technischer und wirtschaftlicher Verhältnismäßigkeit) obliegen den Betreibern eines Energieversorgungsnetzes (Strom und Gas). Die Netzbetreiber tragen auch die Verantwortung für die Umsetzung, Einhaltung und die stetige Verbesserung der Maßnahmen nach dem aktuellen Stand der Technik. Die geforderte Zertifizierung und regelmäßige Auditierung nach ISO/IEC 27001 durch eine akkreditierte Stelle soll dies sicherstellen. 2.1.2.3 Anwendbarkeit Die Anforderungen des aktuellen Entwurfs des IT-Sicherheitskatalogs sind auf einem eher allgemeinen Betrachtungslevel. Konkrete Details zur Umsetzung sind der Normenreihe DIN ISO/IEC 27000 zu entnehmen, auf die durchgehend referenziert wird und die in der klassischen Informationstechnik bereits häufig Anwendung findet. Bei der Einführung des ISMS sind das Unternehmens-Management, ISMS-Verantwortliche, IT- Administratoren, system- und betriebsmittelverantwortliche Mitarbeiter sowie die Anwender einzubeziehen. Eine nachhaltige Wirksamkeit der eingeführten Maßnahmen und insbesondere der Prozesse ist daher von der kontinuierlichen Mitwirkung aller Beteiligten abhängig. 2.1.2.4 Implementierungsaufwand Die Einführung eines Informationssicherheits-Managementsystems und vor allem die Umsetzung von zahlreichen Schutzmaßnahmen kommen in dieser Form aus der klassischen IT. Durch eine engere Zusammenarbeit der Prozessdatenverarbeitungssysteme (PDV) mit der allgemeinen IT können beim Aufbau eines ISMS z.b. durch die Verwendung bzw. Übertragung vorhandener Strukturen und Prozesse mögliche Synergien erzielt werden. Somit hängt der für die Erfüllung des IT-Sicherheitskatalogs erforderliche Aufwand auch vom Reifegrad in der allgemeinen IT und den Möglichkeiten und der Bereitschaft zur Zusammenarbeit ab. Des Weiteren sind für den zu implementierenden kontinuierlichen Verbesserungsprozess (KVP) aus der Norm DIN ISO/IEC 27001 dauerhaft personelle Ressourcen mit entsprechender fachlicher Eignung vorzuhalten. 2.1.2.5 Berücksichtigte Bedrohungen Durch die Einführung eines Informationssicherheits-Managementsystems und die Umsetzung konkreter technischer Maßnahmen werden Bedrohungen ganzheitlich berücksichtigt. Durch die geforderte Zertifizierung werden die Netzbetreiber dazu angehalten, alle Risiken selbst zu identifizieren, die unmittelbar einen reibungslosen Netzbetrieb beeinträchtigen. 2.1.2.6 Abgedeckte Schutzziele Im IT-Sicherheitskatalog stehen die üblichen zentralen Schutzziele der IT im Vordergrund. Eine Nachweisbarkeit ergibt sich teilweise indirekt bei Sicherstellen der Integrität. VDE FNN März 2015 IT Sicherheit in Stromnetzen 13/24

2.1.3 Bundesamt für Sicherheit in der Informationstechnik (BSI) Grundschutz 2.1.3.1 Kurzbeschreibung Der IT-Grundschutz ist ein Standard für die Informationssicherheit und wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben und regelmäßig aktualisiert. Er ist für die Behörden des Bundes eine verbindliche Vorgabe und bietet für Netzbetreiber eine Orientierungshilfe. Der IT-Grundschutz umfasst sowohl eine Methodik zur Einführung eines Informationssicherheitsmanagements (ISM) als auch Kataloge mit typischen Gefährdungen und entsprechenden Sicherheitsmaßnahmen für häufig eingesetzte Technologien und wesentliche Aspekte der Informationssicherheit. Durch seine modulare Struktur in Form sogenannter Bausteine kann der IT-Grundschutz an unterschiedliche Anwendungsfälle angepasst werden. Der Grundschutz wurde seinerzeit entwickelt um den Schutz in Bundesbehörden sicherzustellen. Aktuell führt das BSI eine umfangreiche Modernisierung des IT-Grundschutzes durch, durch die der IT-Grundschutz besser an die technologische Entwicklung und an aktuelle Cyber- Gefährdungen angepasst werden soll. Ende 2015 soll die Modernisierung überwiegend abgeschlossen sein. 2.1.3.2 Ziel/Fokus/Geltungsbereich Der IT-Grundschutz hat den Anspruch, den Anwender nicht nur bei der Steuerung der Informationssicherheit (Informationssicherheitsmanagement - ISM), sondern auch bei der konkreten Umsetzung zu unterstützen. Hierzu enthalten die Bausteine des IT-Grundschutzes sowohl organisatorische/personelle als auch technische Maßnahmenempfehlungen. Hinsichtlich der abgedeckten Technologien liegt der Schwerpunkt des IT-Grundschutzes aktuell auf typischen Landschaften der Rechenzentrums-, Büro- und mobilen IT. Im Zuge der Modernisierung des IT-Grundschutzes sollen jedoch auch die BSI-Empfehlungen zu Industrial Control Systems (ICS), die das BSI derzeit noch separat veröffentlicht, in den IT-Grundschutz integriert werden. Für die Bundesverwaltung und viele andere Teile der öffentlichen Verwaltung in Deutschland ist der IT-Grundschutz die Basis für das ISM und die Umsetzung von IT-Sicherheitsmaßnahmen. Darüber hinaus gibt es in einigen Bereichen spezialgesetzliche oder untergesetzliche Regelungen mit Bezug zum IT-Grundschutz. Für andere Bereiche wie z.b. EVUs hat der IT- Grundschutz den Charakter einer Orientierungshilfe, sofern nicht durch Verträge oder andere Anforderungen eine Verbindlichkeit hergestellt wird. 2.1.3.3 Anwendbarkeit Eine Beurteilung der Anwendbarkeit des aktuellen IT-Grundschutzes des BSI ist derzeit nicht sinnvoll, da eine umfassende Modernisierung vorgesehen ist. Diese umfasst zwei Elemente, die die Anwendbarkeit des IT-Grundschutzes auf die Sicherheit von Versorgungsnetzen deutlich erleichtern wird. Zum einen wird das BSI seine Empfehlungen zur Absicherung von Industrial Control Systems (ICS) in den IT-Grundschutz integrieren. Zweitens ist geplant, anhand von sogenannten Profilen die Anpassung des IT-Grundschutzes an die spezifischen Anforderungen bestimmter Branchen oder Anwendungsfälle zu ermöglichen. Profile können dabei eine Auswahl der vorhandenen Maßnahmen des IT-Grundschutzes treffen und/oder zusätzliche/konkretisierte Maßnahmen festlegen. Idealerweise werden solche Profile durch einen entsprechenden Arbeitskreis der Branche unter Beteiligung des BSI erarbeitet. 14/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN

2.1.3.4 Implementierungsaufwand Da der IT-Grundschutz sowohl das Management der Informationssicherheit als auch die konkrete Umsetzung von Sicherheitsmaßnahmen adressiert, hängt der Implementierungsaufwand entscheidend vom jeweiligen Anwendungsbereich und den dort bereits umgesetzten Sicherheitsmaßnahmen ab. 2.1.3.5 Berücksichtigte Bedrohungen IT-Grundschutz ist ein ganzheitlicher Ansatz und berücksichtigt alle relevanten Gefährdungsbereiche. Im Zuge der Modernisierung des IT-Grundschutzes ist geplant, die beobachtete Gefährdungslage noch stärker in die Priorisierung der Maßnahmen einfließen zu lassen. 2.1.3.6 Abgedeckte Schutzziele Der IT-Grundschutz verwendet die international übliche Systematik von Verfügbarkeit, Vertraulichkeit und Integrität. Die in einigen Normen zusätzlich betrachteten Schutzziele Nachweisbarkeit, Verbindlichkeit oder Nicht-Abstreitbarkeit werden als Spezialfälle der Integrität betrachtet. Die Maßnahmen des IT-Grundschutzes decken diese erweiterten Schutzziele mit ab. 2.2 Normen und Richtlinien 2.2.1 DIN ISO/IEC 27000er Reihe Komplexe Sicherheitsbedrohungen können durch bloße Einzelmaßnahmen nicht nachhaltig beseitigt werden. Für den dauerhaft sicheren Betrieb von PDV-Systemen und deren Infrastruktur ist deshalb die Einrichtung eines ganzheitlichen Schutzkonzeptes sowie dessen stetige Optimierung eine wesentliche Voraussetzung. Hierzu können die DIN ISO/IEC 27001/2 und DIN ISO/IEC TR 27019 dienen. Zertifizierungsgrundlage ist die international gültige ISO/IEC 27001 aus dem Jahr 2013, die noch 2015 gemeinsam mit der ISO/IEC 27002 - als DIN-Norm umgesetzt werden soll. Eine Kernforderung im Entwurf des IT-Sicherheitskatalogs der BNetzA ist die Einführung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC 27001 Informationssicherheits-Managementsysteme - Anforderungen sowie dessen Zertifizierung durch eine unabhängige hierfür zugelassene Stelle. Bei der Implementierung des ISMS sind die ergänzende Norm DIN ISO/IEC 27002 Leitfaden für das Informationssicherheits-Management sowie die Spezifikation DIN ISO/IEC TR 27019 Leitfaden für das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung auf Grundlage der ISO/IEC 27002 grundsätzlich zu berücksichtigen. Die relevanten Normen DIN ISO/IEC 27001 und DIN ISO/IEC TR 27019 liegen in aktueller deutscher Fassung von 2015 vor, ISO/IEC 27002 in aktueller englischer Fassung von 2013. Die ISO/IEC TR 27019 ging aus der DIN SPEC 27009 hervor und ersetzt diese. VDE FNN März 2015 IT Sicherheit in Stromnetzen 15/24

2.2.1.1 Kurzbeschreibung Die Norm DIN ISO/IEC 27001 enthält den normativen Teil der Standardreihe 27000. Sie definiert die Anforderungen an ein Informationssicherheits-Managementsystem und die umzusetzenden Kontrollziele. Nachfolgend die wesentlichen Normforderungen: ganzheitliches ISMS, um unternehmenskritische Werte langfristig zu schützen Übernahme der Verantwortung durch das Management Risikomanagement Bereitstellung von Ressourcen regelmäßige Bewertung des ISMS durch das Management Messung der Wirksamkeit und kontinuierliche Verbesserung des ISMS Die Norm DIN ISO/IEC 27002 enthält Umsetzungsempfehlungen für die Managementgebiete der DIN ISO/IEC 27001 und entspricht vom Aufbau genau deren Anhang A. Es gibt keine offizielle Zertifizierung nach DIN ISO/IEC 27002. Ursprünglich wurde die Norm für die klassische Büro-IT entwickelt. Die DIN ISO/IEC TR 27019 erweitert die Sicherheitsmaßnahmen der Norm DIN ISO/IEC 27002 auf Prozessdatenverarbeitungssysteme (PDV-Systeme) in der Energieversorgung und deren zugehörige Infrastruktur, welche zur Führung von Strom- und Rohrnetzen erforderlich sind und definiert spezifische Maßnahmen (Controls) für diese Systeme. Die besonderen Anforderungen an diese Systeme im Vergleich zur klassischen Büro-IT bezüglich Entwicklung, Betrieb, Wartung und dem Einsatzumfeld rechtfertigen eine separate Betrachtung. Konventionelle Prozesstechnik (z.b. elektromechanische Systeme) wird darin nicht behandelt. Der Aufbau der DIN ISO/IEC TR 27019 ist analog zur Norm DIN ISO/IEC 27002. Die Maßnahmen der DIN ISO/IEC TR 27019 können nicht ohne Zuhilfenahme der Norm DIN ISO/IEC 27002 vollständig erfasst werden. Statt Nennung gleichlautender Inhalte wird direkt auf die DIN ISO/IEC 27002 referenziert. Dies gilt auch für unveränderte Textpassagen bei den erweiterten Controls. Hier wird zunächst wieder auf die DIN ISO/IEC 27002 referenziert, gefolgt von Umsetzungsempfehlungen für den EVU-Bereich. Neue bzw. ergänzende Controls sind in den entsprechenden Kapiteln eingefügt. 2.2.1.2 Ziel/Fokus/Geltungsbereich Das wesentliche Ziel der DIN ISO/IEC 27001 ist die Etablierung eines umfassenden Informationssicherheits-Managementsystems. Die ergänzenden Standards enthalten Umsetzungsmpfehlungen sowie Erweiterungen zur Anwendung im Umfeld der Energieversorgung. Die Maßnahmen, welche im Anhang A der DIN ISO/IEC 27001 genannt werden, behandeln dabei folgende Managementgebiete: Organisation der Informationssicherheit Sicherheitsrichtlinien Management von organisationseigenen Werten Sicherheit im Personalbereich physische und umgebungsbezogene Sicherheit 16/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN

logische Sicherheit Kommunikationssicherheit Betriebssicherheit Kryptographie Systembeschaffung, Entwicklung und Wartung Lieferantenbeziehungen Management von Informationssicherheitsvorfällen Notfallmanagement Einhaltung von Vorgaben (Compliance) Der Fokus der Norm umfasst die gesamte Informationssicherheit inklusive der für die Verarbeitung von Informationen notwendigen technischen Systeme (IKT-Systeme). Darüber hinaus werden bspw. Anforderungen an die Personalsicherheit oder die Gebäudesicherheit gestellt. Die sektorspezifische Norm DIN ISO/IEC TR 27019 enthält Umsetzungsempfehlungen der DIN ISO/IEC 27001 im Hinblick auf Prozessleit- und Steuerungssysteme aus dem EVU-Umfeld sowie deren zugehörige Infrastruktur. Sie berücksichtigt alle relevanten Bereiche der Energieversorgung, insbesondere auch den sicheren Betrieb sowie die Organisation. Der Geltungsbereich der Spezifikation umfasst: zentrale und dezentrale Prozess-, Leit-, Automatisierungs- und Überwachungssysteme digitale Schutzsysteme digitale Mess- und Zählvorrichtungen Kommunikations- und Fernwirktechnik Smart Grid Komponenten Programmier- und Parametriergeräte Sicherung von Leitstellen, Technikräumen, Außenstandorte und in Räumlichkeiten Dritter Behandlung von Altsystemen Notfallkommunikation Darüber hinaus geben weitere international gültige Normen dieser Reihe gute Hinweise zur Ausprägung und Umsetzung der IT-Sicherheitsmaßnahmen. Insbesondere sollten die ISO/IEC 27003 zur Implementierungsunterstützung, die ISO/IEC 27004 zum Nachweis der Wirksamkeit von Maßnahmen und die ISO/IEC 27005 zum Risikomanagement herangezogen werden. Informativ ist auch die ISO/IEC 27006, die Anforderungen zur Zertifierungsdurchführung beschreibt. 2.2.1.3 Anwendbarkeit Den Fokus der Norm DIN ISO/IEC 27001 bildet die Implementierung eines risikobasierten Managementsystems mit einem kontinuierlichen Verbesserungsprozess. Es muss eine VDE FNN März 2015 IT Sicherheit in Stromnetzen 17/24

Informationssicherheitsorganisation mit Rollen und Verantwortlichkeiten etabliert werden, welche Risiken für Informationen dauerhaft minimiert. 2.2.1.4 Implementierungsaufwand Eine Zertifizierung des ISMS nach ISO/IEC 27001 setzt die Umsetzung aller Anforderungen aus dem Hauptteil der Norm voraus. Die Maßnahmen aus dem Anhang A der Norm müssen vollständig in die Betrachtung mit einbezogen werden. Einzelne Maßnahmen können aber in begründeten Fällen von der Umsetzung ausgeschlossen werden. Die Einführung eines ISMS wird in der Regel als Projekt durchgeführt und ist mit entsprechenden Kosten und Ressourcen verbunden. Der Regelbetrieb und der kontinuierliche Verbesserungsprozess sind durch die Bereitstellung entsprechender Ressourcen dauerhaft sicherzustellen und in die Linienfunktionen zu integrieren. Die Anknüpfung an ein bestehendes ISMS nach DIN ISO/IEC 27001 führt zu einer maßgeblichen Reduzierung des Erfüllungsaufwandes. Der Aufwand für die Umsetzung der Maßnahmen nach DIN ISO/IEC TR 27019 hängt stark von den bereits realisierten Sicherheitsmaßnahmen gemäß DIN ISO/IEC 27002 ab, soweit diese auch im Bereich der Prozess-IT umgesetzt wurden. Auch das Alter der eingesetzten Technik hat einen Einfluss. Die Realisierung sollte stets angemessen sein und sich am Wert der zu schützenden Informationen orientieren. Personelle Ressourcen mit den entsprechenden Qualifikationen sind dauerhaft einzuplanen. 2.2.1.5 Berücksichtigte Bedrohungen Es werden keine konkreten Bedrohungen genannt. Grundsätzlich müssen alle Bedrohungen berücksichtigt werden, welche die Schutzziele von Informationen verletzen. Zur Identifikation, Bewertung und Behandlung möglicher Bedrohungen beinhaltet das geforderte ISMS eine nachvollziehbare, vergleichbare und fundierte Risikoeinschätzung. 2.2.1.6 Abgedeckte Schutzziele Da die PDV-Systeme aus dem EVU-Umfeld sowie deren Netzwerke integraler Bestandteil von kritischen Infrastrukturen sind und damit direkt Einfluss auf deren Verfügbarkeit haben können, bestehen hier insbesondere erhöhte Anforderungen bezüglich der Verfügbarkeit und Integrität. Das Schutzziel der Vertraulichkeit steht nicht im Vordergrund, wird allerdings durch entsprechende organisatorische Bestandteile eines ISMS ebenfalls abgedeckt. 2.2.2 IEC 62351 2.2.2.1 Kurzbeschreibung Die Normenreihe IEC 62351 erweitert gängige Kommunikationstandards für die Schutz- und Leittechnik (IEC 60870-5-101, IEC 60870-5-104, IEC 61850, IEC 61970) um Sicherheitsvorgaben. Die Standards der IEC 62351-Reihe - Power systems management and associated information exchange Data and communications security, von denen sich einige noch in der Entwicklungsphase befinden, bestehen aus 11 unterschiedlichen Teilen. Diese Normen spezifizieren und adaptieren in der Regel aus der allgemeinen IT-Welt bekannte 18/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN

Sicherheitsstandards und Maßnahmen für die Systeme der Telekommunikations- und Prozessleittechnik. Der Zusammenhang zwischen den Kommunikationsstandards und der IEC 62351 ist in der nachfolgenden Abbildung dargestellt. Abbildung 2- Zusammenspiel der Normenreihe IEC 62351 1 2.2.2.2 Ziel/Fokus/Geltungsbereich Der erste Teil des Standards beschäftigt sich mit den Hintergründen für die IT-Sicherheit beim Betrieb von Energieversorgungssystemen und mit einführenden Informationen über die einzelnen Teile der IEC 62351er-Reihe. Darüber hinaus werden im zweiten Teil Definitionen und Abkürzungen erläutert, welche weitestgehend auf bereits bestehenden Industriestandards basieren. Die Teile 3 bis 6 der IEC 62351 beinhalten Sicherheitsanforderungen für die Kommunikationsstandards IEC 60870, IEC 61850, IEC 61968 und IEC 61970. Einige der Sicherheitsstandards sind dabei für mehrere Kommunikationsstandards anwendbar, wohingegen andere sehr spezifisch auf bestimmte Einsatzfälle und Profile abgestimmt sind. Der Teil 3 beschreibt die Parameter und Einstellungen für die Transportschichtsicherheit (TLS)- Verschlüsselung beim Einsatz im Sektor Energie. Auch im Teil 4 wird primär mit TLS gearbeitet, um Sicherheitsmaßnahmen, wie z.b. die Authentisierung bei Zugriffen verschiedener Funktionseinheiten zu gewährleisten. Die Teile 7 bis 11 der IEC 62351 beinhalten Sicherheitsanforderungen an Ende-zu-Ende Verbindungen in Form von Sicherheitpolicies, Zugriffskontrollmechanismen, Schlüsselmanagement, Audit-Logs und andere Maßnahmen und stellen damit ein wesentlich größeres Betätigungsfeld dar. Teil 7 konzentriert sich auf das Netzwerk- und 1 Quelle: IEC TC 57 - WG 15 VDE FNN März 2015 IT Sicherheit in Stromnetzen 19/24

Systemmanagement (NSM) einer Informationsinfrastruktur. Teil 8 spezifiziert die Zugriffskontrollmechanismen für Benutzer auf Datenobjekte mittels rollenbasierter Zugriffskontrolle. Teil 9 legt fest, wie digitale Zertifikate und kryptografische Schlüssel erzeugt, verteilt, gesperrt und verarbeitet werden, um digitale Daten und Kommunikation zu schützen. Teil 10 der Normenreihe IEC 62351 behandelt die Beschreibung von Grundsätzen zur Sicherheitsarchitektur und Teil 11 die Sicherheit von XML-Files. 2.2.2.3 Anwendbarkeit Durch den zunehmenden Einsatz von standardisierten Kommunikationsprotokollen sind informationstechnische Sicherungsmaßnahmen (u.a. Verschlüsselungen) in Abhängigkeit von den unternehmensspezifischen Anforderungen zu empfehlen. Die IEC 62351 bietet hierfür einen systematisierten normativen Ansatz. Von Bedeutung sind die informations- bzw. nachrichtentechnische Kopplung zu anderen Netzbetreibern und/oder Marktpartner, sowie die Kopplung zwischen zentraler und dezentraler Leittechnik, insbesondere dann, wenn sie über fremde nachrichtentechnische Infrastruktur betrieben werden. 2.2.2.4 Implementierungsaufwand Der Umsetzungsaufwand ist stets vom aktuellen Stand der IT-Sicherheits- und Schutzmaßnahmen, den grundlegenden Rahmenbedingungen im Unternehmen und der Komplexität der Systeme abhängig. Da die notwendigen Voraussetzungen durch die derzeit im Einsatz befindliche Technik häufig nicht gegeben sind, finden die Normen derzeit noch keine breite Anwendung. 2.2.2.5 Berücksichtigte Bedrohungen Grundsätzlich werden alle Bedrohungen berücksichtigt, welche die Schutzziele von Informationen, insbesondere bei der Nutzung externer Nachrichtenwege gefährden (z.b. Missbrauch, Sabotage, Manipulation). Im Speziellen bietet bspw. der Teil 3 der 62351 Schutz mittels TLS-Verschlüsselung vor Man-in-the-middle-Angriffen, Verfälschungen und unbefugten Zugriffen durch die Verwendung von Sicherheitszertifikaten. 2.2.2.6 Abgedeckte Schutzziele Die aus der IT-Welt bekannten Schutzmaßnahmen bezogen auf die allgemeinen Schutzziele werden überführt in die Prozesswelt. 2.3 Weitere Dokumente 2.3.1 BDEW Whitepaper 2.3.1.1 Kurzbeschreibung Das BDEW-Whitepaper (Whitepaper) beschreibt grundsätzliche Anforderungen zur IT-Sicherheit an Steuerungs- und Telekommunikationssysteme, die in Unternehmen der Energiewirtschaft eingesetzt werden. Es werden grundlegende, anwenderorientierte und praxisgerechte Sicherheitsmaßnahmen definiert, die sich an Planer, Technologen, Entwickler (Hersteller) und Betreiber dieser Systeme richten. Wesentlicher Inhalt sind die mit Fokus IT-Sicherheit beschriebenen funktionalen Eigenschaften der o.g. technischen Komponenten und Systeme 20/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN

sowie die Anforderungen an den Service und die Instandhaltung über die gesamte Lebensdauer der Systemtechnik (Hardware und Software). Die technischen Vorgaben und Anforderungen werden in einen organisatorischen und prozessualen Kontext gestellt und durch die Anwendungshinweise weiter konkretisiert. 2.3.1.2 Ziel/Fokus/Geltungsbereich Zitat aus dem Vorwort des BDEW-Whitepapers: Für die Unternehmen der Energiewirtschaft wurde das Whitepaper mit grundsätzlichen Sicherheitsmaßnahmen für Steuerungs- und Telekommunikationssysteme entwickelt. Ziel ist es dabei, die Systeme gegen Sicherheitsbedrohungen im täglichen Betrieb angemessen zu schützen. Die in diesem Whitepaper festgelegten Sicherheitsmaßnahmen werden für alle neuen Steuerungs- und Telekommunikationssysteme empfohlen. Strategisches Ziel des Whitepapers ist die positive Beeinflussung der Produktentwicklung für die oben genannten Systeme im Sinne der IT-Sicherheit und die Vermittlung eines gemeinsamen Verständnisses in der Branche für den Schutz der Systeme. Das Whitepaper wird zur Anwendung bei allen neu zu beschaffenden und einzuführenden Systemen im Prozessbereich von Energieversorgungsunternehmen empfohlen. Es handelt sich um eine Empfehlung des Verbandes BDEW und damit um keine verbindliche oder gesetzliche Vorgabe, die zwingend umgesetzt werden muss. 2.3.1.3 Anwendbarkeit Das Whitepaper hat sich in der Branche etabliert und kann als Basis für die IT- Sicherheitsanforderungen an die Hersteller und Lieferanten im Prozessbereich (Schutz-, Steuerund Leittechnik, Kommunikationstechnik) genutzt werden. Das Whitepaper ist eine Arbeitsgrundlage bei der Konzeption und Einführung neuer Systeme, im Rahmen der Beschaffung der Systemtechniken (als Bestandteil von Lastenheften) und der grundlegenden Auswahl und Beauftragung von Lieferanten und Dienstleistern. Es kann darüber hinaus zur Bewertung der derzeit eingesetzten Systeme herangezogen werden. 2.3.1.4 Implementierungsaufwand Der Umsetzungsaufwand ist stets vom aktuellen Stand der IT-Sicherheits- und Schutzmaßnahmen, den grundlegenden Rahmenbedingungen im Unternehmen und der Komplexität der Systeme abhängig. 2.3.1.5 Berücksichtigte Bedrohungen Die im Whitepaper beschriebenen Anforderungen und Maßnahmen ermöglichen eine grundsätzliche Berücksichtigung aller potentiellen Bedrohungen. Diese Einschätzung muss bei entsprechender Berücksichtigung der spezifischen Rahmenbedingungen im jeweiligen Unternehmen individuell unter Anwendung der Methoden Schutzbedarfsfeststellung und Risikoeinschätzung überprüft werden. 2.3.1.6 Abgedeckte Schutzziele Die allgemeinen Schutzziele werden durch die konkreten Auflagen des Auftraggebers an den Auftragnehmer erreicht. Elementar für eine erfolgreiche Anwendung ist jedoch eine gewissenhafte Vorbereitung des Auftraggebers, um die im Whitepaper abstrakt gehaltenen Vorgaben für eine praktische Umsetzung hinreichend genau zu detaillieren. VDE FNN März 2015 IT Sicherheit in Stromnetzen 21/24

3 Bewertung und Einordnung 3.1 Wirksamkeit der bestehenden Regeln Die betrachteten Initiativen bilden die Grundlage für ein adäquates Sicherheitsniveau und greifen, wie in der Grafik zur Regelhierarchie bzgl. der IT-Sicherheit (S. 10) dargestellt, wirksam ineinander. Sie bilden eine gute Basis um den zitierten Stand der Technik für die Prozess-IT geeignet und wirksam zu implementieren. Ein Informationssicherheits-Managementsystem (ISMS) bildet die wesentliche Grundlage für die Einführung und dauerhafte Gewährleistung der notwendigen IT-Sicherheit. Ein solches System kann unter Anwendung der DIN ISO/IEC 27000er Reihe etabliert bzw. betrieben werden. Die DIN ISO/IEC 27002 ergänzt die Rahmensetzung der DIN ISO/IEC 27001 um einen Standardsatz allgemein und auf hohem Abstraktionsniveau beschriebener Maßnahmen. Diese sind allerdings auf eine Anwendung in klassischen Bereichen der Informationstechnik begrenzt. Durch die DIN ISO/IEC TR 27019 wird dieser Maßnahmensatz geeignet für eine Anwendung im Bereich von Energieversorgungsnetzen und damit der Prozess-IT adaptiert. Für wichtige Technologiebereiche der Prozess-IT können Konkretisierungen der abstrakt geforderten Absicherungsmaßnahmen aus der Normenfamilie IEC 62351 entnommen werden. Insbesondere gilt dies für die Absicherung der leit- und fernwirktechnischen Kommunikationsprotokolle gemäß IEC 60870-5-101, IEC 60870-5--104 und IEC 61850. Hilfestellungen bei der Beauftragung von Herstellern und Dienstleistern zum Bau und Betrieb von Netzanlagen mit Komponenten der Prozess-IT finden sich im BDEW Whitepaper und den zugehörigen Anwendungshinweisen. Für Anwendungsbereiche, in denen die oben genannten Dokumente und Regelwerke keine hinreichenden Hinweise zur Umsetzung von IT-Sicherheitsmaßnahmen liefern, kann auf Elemente des BSI IT-Grundschutz zurückgegriffen werden. Eine genauere Einordnung sollte nach Konkretisierung der geplanten Neufassung des BSI IT-Grundschutz Ende 2015 erfolgen. Die regulatorische Rahmensetzung mit dem aktuellen Diskussionsstand zum IT-SiG, einer Anpassung des EnWG und des angekündigten IT-Sicherheitskatalogs der BNetzA berücksichtigen die vorgenannten Dokumente explizit (DIN ISO/IEC 27001, 27002 und DINISO/IEC TR 27019). Für eine effektive und effiziente Umsetzung der IT-Sicherheit in Stromnetzen bedarf es weiterer Konkretisierung zu folgenden Punkten: Ein durch den Netzbetreiber implementiertes IT-Sicherheitsniveau ist nahezu wirkungslos, wenn es im Hinblick auf die Systemsicherheit nicht im gleichen Maße durch Netzkunden und Betreiber von Erzeugungsanlagen umgesetzt wird. Die Sicherheitsanforderungen an diese Marktteilnehmer sind derzeit nicht im gleichen Maße beschrieben. Die Umsetzungsempfehlungen durch die DIN ISO/IEC 27002 und DIN ISO/IEC TR 27019 sind vorhanden. Ein detaillierter technischer Leitfaden zur Implementierung der Maßnahmen, spezifiziert auf die Anforderungen eines Netzbetreibers, liegt nicht vor. Derzeit existiert kein branchenspezifisches Prüfschema für eine ISMS-Zertifizierung. Derzeit ist nicht definiert, welche Informationssicherheitsereignisse meldepflichtig gegenüber BNetzA und/oder BSI sind insbesondere fehlen die Konkretisierung von Schwellwerten, 22/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN

Ereignisarten und die Erörterung anhand von Beispielen. Eine zum IT-Sicherheitsgesetz ergänzende Verordnung, die diese Fragestellungen aufgreift, wird Anfang 2016 erwartet. 3.2 Schlussfolgerung und Handlungsempfehlung Maßnahmen für die IT-Sicherheit sind ein wesentliches Element eines sicheren und zuverlässigen Netzbetriebes, um die hohe Versorgungsqualität zu erhalten. Die stärkere Vernetzung von Prozess-IT und öffentlichem Netz, sowie der zunehmende Austausch von Informationen und Daten zwischen den Netzbetreibern und anderen Marktpartnern erhöhen die Komplexität. Die wachsende Interaktion und Abhängigkeit von Komponenten, z.b. durch die steigende Anzahl dezentraler Erzeugungsanlagen, bringen neue Herausforderungen. Im Hinblick auf einen sicheren Netzbetrieb bedeutet dies, dass die IT-Verantwortung bzw. die Gewährleistung der Anforderungen an die IT-Sicherheit als bedeutende Funktion und Kernaufgabe des Netzbetriebes hinzukommt und vom Netzbetreiber wahrgenommen werden muss. Dabei ist zu betonen, dass der Aufwand für eine maximale Sicherheit gegen IT- Bedrohungen im Hinblick auf Organisation, Durchführung und Ressourcen erheblich ist. Die Einhaltung der bestehenden Regelwerke und Gesetzesanforderungen erhöht das Sicherheitsniveau. Die organisatorischen und technischen Maßnahmen müssen von den Mitarbeitern des Netzbetreibers auf die unternehmensspezifischen Gegebenheiten adaptiert und umgesetzt sowie regelmäßig überprüft und angepasst werden. Grundsätzlich ist davon auszugehen, dass die Anwendung der Normenreihe DIN ISO/IEC 27000 ein zentrales Element der Sicherheitskonzepte gegen IT-Bedrohungen sein wird. Da die regulatorische Rahmensetzung nicht vollständig abgeschlossen ist, kann eine abschließende Umsetzungsempfehlung noch nicht getroffen werden. Schlussfolgerungen und grundsätzliche Empfehlungen: Bei allen Netzbetreibern besteht die Notwendigkeit, ein Mindestmaß an IT- Sicherheitsmaßnahmen für alle relevanten Systeme sicherzustellen. Ein funktionierendes ISMS, als erste organisatorische Maßnahme, entfaltet eine adäquate Wirkung und muss Bestandteil der zukünftigen Aktivitäten der Netzbetreiber werden. Um die Informationssicherheit der im Geltungsbereich befindlichen Systeme zu gewährleisten, müssen regulatorische Anforderungen und technische Vorkehrungen nach dem Stand der Technik umgesetzt werden. Dies sind: organisatorische Maßnahmen (z.b. Bereitstellung entsprechender Ressourcen inklusive Benennung eines IT-Sicherheitsbeauftragten, Aufbau ISMS inklusive Identifikation entsprechender Prozesse, Festlegung der Verantwortlichkeiten, Risikoanalyse und Schutzbedarfsfeststellung, Personalsicherheit, physische und umgebungsbezogene Sicherheit) Technische Maßnahmen (z.b. grundsätzliche Anforderungen an Netzwerksegmentation, Schadsoftwareschutz, Verschlüsselung, Anforderungen an Protokollschnittstellen, Patchmanagement, Umgang mit Altsystemen) Mindestanforderungen an Lieferanten, Produkte, interne und externe Dienstleister (Orientierung am eigenen Sicherheitsniveau) VDE FNN März 2015 IT Sicherheit in Stromnetzen 23/24

Für ein wirkungsvolles ganzheitliches IT-Sicherheitskonzept müssen die im ISMS definierten Rollen sowohl für das Management als auch für die Fachbereiche angemessen ausgeprägt sein. Die Implementierung des ISMS beinhaltet die adäquate Einbeziehung der Geschäftsführung (Berücksichtigung in der Unternehmensstrategie und Organisationsvorgaben), des Mittleren Managements (Aufbau und Ablauforganisation, Ressourcenplanung, Berücksichtigung im Projektgeschäft, interne Regelwerke usw.) sowie des operativen Bereiches (Projektierer, Administratoren und Anwender - konkrete Anwendung und Umsetzung). Alle notwendigen organisatorischen und technischen Maßnahmen basieren in der Regel auf einer zyklischen Risikoabschätzung. Hierfür fehlen aktuell die entsprechenden regulatorischen Randbedingungen und Kriterien für ein gesellschaftlich einheitliches Bewertungsniveau. Im Ergebnis bedeutet die Einführung und Umsetzung von Sicherheitsmaßnahmen einen erheblichen Zusatzaufwand. Netzbetreiber müssen zukünftig wesentliche und zusätzliche Dokumentationsund Reporting-Pflichten erfüllen, sowie die Wirksamkeit der Maßnahmen durch regelmäßige Überprüfungen bzw. Zertifizierungen nachweisen. Eine wesentliche Herausforderung wird darin liegen, Mitarbeiter adäquat zu qualifizieren, entsprechende Dienstleister auszuwählen und den Stand der Technik für die spezifischen Belange der Netzbetreiber weiter auszuprägen und zu entwickeln. Die resultierenden unternehmensspezifischen Kosten sind derzeit weder beeinflussbar noch darstellbar. 24/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback