FNN-Hinweis IT-Sicherheit in Stromnetzen Einordnung bestehender Regeln, Richtlinien und Gesetzesinitiativen März 2015
Impressum Forum Netztechnik / Netzbetrieb im VDE (FNN) Bismarckstraße 33, 10625 Berlin Telefon: + 49 (0) 30 3838687 0 Fax: + 49 (0) 30 3838687 7 E-Mail: fnn@vde.com Internet: http://www.vde.com/fnn März 2015
IT-Sicherheit in Stromnetzen Einordnung bestehender Regeln, Richtlinien und Gesetzesinitiativen
Inhaltsverzeichnis 1 Einleitung... 7 1.1 Bedeutung der IT-Sicherheit in der Stromversorgung... 7 1.2 Begriffe und wesentliche informationstechnische Schutzziele... 8 2 Bestehende Initiativen... 10 2.1 Initiativen des Gesetzgebers / Regulators... 10 2.1.1 IT-Sicherheitsgesetz (IT-SIG)... 10 2.1.2 IT-Sicherheitskatalog... 12 2.1.3 Bundesamt für Sicherheit in der Informationstechnik (BSI) Grundschutz... 14 2.2 Normen und Richtlinien... 15 2.2.1 DIN ISO/IEC 27000er Reihe... 15 2.2.2 IEC 62351... 18 2.3 Weitere Dokumente... 20 2.3.1 BDEW Whitepaper... 20 3 Bewertung und Einordnung... 22 3.1 Wirksamkeit der bestehenden Regeln... 22 3.2 Schlussfolgerung und Handlungsempfehlung... 23
Abbildungsverzeichnis Abbildung 1- Regelungshierarchie bestehender Initiativen... 10 Abbildung 2- Zusammenspiel der Normenreihe IEC 62351... 19
Vorwort Die Unterstützung durch Informations- und Kommunikationstechnik-Systeme (IKT) mit der wachsenden Abhängigkeit von Selbigen geht mit Chancen und Risiken einher. Um die Vorteile moderner IKT sicher nutzen zu können, wird ein angemessener Schutz gegen Bedrohungen auch im Bereich der Stromversorgung und Netzsteuerung auf unterschiedlichen Ebenen angestrebt. Neben der gesetzlichen Initiative mit dem Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme gibt es eine Vielzahl an weiteren Regelungen, Normen und Empfehlungen, deren Ziel es ist, die Sicherheit in Energieversorgungsunternehmen zu gewährleisten. Mit dem geplanten IT-Sicherheitsgesetz sollen besonders schützenswerte und sogenannte kritische Infrastrukturen (KRITIS) wie Energie- oder Telekommunikationsnetze besser vor Beeinträchtigungen und Missbrauch durch IT-Systeme geschützt werden. Im Dezember 2013 ist zudem ein IT-Sicherheitskatalog der BNetzA gem. 11 Abs. 1a EnWG für Systeme zur Netzsteuerung als Entwurf veröffentlicht worden, in dem wesentliche Anforderungen an Netzbetreiber gestellt werden. Parallel dazu werden Normungsaktivitäten und weitere Empfehlungen erarbeitet bzw. aktualisiert, die zunehmend auch dem Thema Netzbetrieb und Netztechnik zuzuordnen sind wie z.b. die DIN ISO/IEC 27000 Normungsreihe und die IEC 62351 Normungsreihe. Das vorliegende Dokument soll eine grundlegende Einordnung der bestehenden Normen und Regelwerke vornehmen, die für den (informationstechnisch) sicheren Netzbetrieb notwendig sind. Darauf aufbauend wurde eine Analyse und ein Ausblick auf den weiteren Handlungsbedarf für die Ausgestaltung einer sicheren Informationstechnik (IT) im Netzbetrieb erarbeitet. Der Hinweis richtet sich an Netzbetreiber und Netzserviceunternehmen. Im Fokus steht dabei die Stromversorgung. Die folgenden Überlegungen sind grundsätzlich auch in spartenübergreifenden Unternehmen und spartenspezifische Aspekte innerhalb der Prozess-IT anwendbar. Bedingt durch die physikalischen Eigenschaften und die technischen Besonderheiten der Stromversorgung besteht hier eine besondere Abhängigkeit von der Informations- und Kommunikationstechnik und deren inhärenten Sicherheit. Fokus dieses Dokuments sind die bestehenden oder absehbar in Kraft tretenden nationalen Normen (inkl. Vornormen), Gesetze und Richtlinien (Stand Januar 2015). Darüber hinaus existieren weitere Regelwerke, u.a. auf europäischer Ebene (z.b. ENISA), welche nicht Teil der Betrachtungen dieses Dokuments sind. 6/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN
1 Einleitung 1.1 Bedeutung der IT-Sicherheit in der Stromversorgung Die Informationstechnologie im Prozess des Netzbetriebes (Prozess-IT) erfüllt viele Funktionen zur Steuerung und zum Betrieb eines Versorgungsnetzes, um der Verantwortung der öffentlichen Versorgung bei gleichbleibend hoher Qualität nachzukommen. Dies umfasst die steuerungs- (Schutz-, Leit- und Fernwirktechnik) und nachrichtentechnischen Systeme (z.b. Datennetze) sowie die zentralen Systeme der Prozessdatenverarbeitung (z.b. Leitstelle). Sie dienen damit der Unterstützung der primärtechnischen Prozesse und sind unabdingbar für die Ausführung der Aufgaben der Netzführung. Diese Systeme erfüllen Funktionen ( Melden, Messen, Steuern, Schutzfunktionen und die zugehörigen Prozessdatenkommunikations-Techniken) sowohl an dezentral verteilten Standorten des Stromnetzes (z.b. in Umspannanlagen) als auch an den zentralen Netzführungsstandorten (Leitstellen). Darüber hinaus werden die zentralen Prozessdatenverarbeitungssysteme zur Unterstützung von betrieblich relevanten Aufgabenstellungen und Prozessen benötigt. Dabei nimmt die Komplexität des Gesamtsystems kontinuierlich zu. Der Anteil der Prozess-IT an der Netzbetriebsführung gewinnt weiter an Relevanz und hat zur Folge, dass aus den vormaligen Schaltanlagen komplexe IT-Systeme geworden sind. Haupttreiber sind: Zunehmende Digitalisierung der Systeme und Anlagentechnik im Netzbetrieb Stärkere Kopplung mit öffentlichen und fremden Netzen Wachsende Anzahl dezentraler Erzeugungsanlagen mit IT-Ankopplung Die zunehmende Interaktion zwischen den Netzebenen und Netzbetreibern mit einem vermehrten Austausch von Informationen und Daten (Integration der involvierten IT-Systeme) Die stärkere Vernetzung über die Wertschöpfungsstufen in der Energieversorgung Für die genannten Komponenten der Prozess-IT ergibt sich vor dem Hintergrund der Wahrnehmung der öffentlichen Versorgungsaufgabe ein hoher Schutzbedarf. Dabei besteht insbesondere an den Schnittstellen zur Prozess-IT ein erhöhtes Risiko für Angriffe, Beeinträchtigungen oder Manipulation durch Dritte. Die Auswirkungen möglicher Beeinträchtigungen differieren spartenspezifisch. Stromspezifische Herausforderungen an die IT-Sicherheit sind: Durch IT-Probleme ausgelöste Beeinträchtigungen können sich aufgrund der elektrotechnischen Besonderheiten direkt und in Echtzeit auf das Netz und andere Systeme auswirken. Ein extrem robustes und zuverlässiges Zusammenwirken der am Netz gekoppelten Komponenten bedingt, dass die Anforderungen an die IT-Sicherheit im Netzbetrieb im gleichen Maße auch für externe Komponenten gelten müssen. Zur Prozess-IT gehören grundsätzlich keine Systeme der allgemeinen Büro-IT, wie z.b. Arbeitsplatzrechner für Verwaltungsaufgaben, Konstruktions- und Planungssysteme usw. Die Ausprägung der Prozess-IT kann individuell und unternehmensspezifisch variieren und festgelegt werden. VDE FNN März 2015 IT Sicherheit in Stromnetzen 7/24
1.2 Begriffe und wesentliche informationstechnische Schutzziele Die normative Bedeutung der Fachbegriffe im Kontext der IT-Sicherheit ist in der entsprechenden Fachliteratur nachzulesen. Die nach Auffassung des FNN besonders und zum Verständnis des FNN Hinweises wichtigen Begriffe sind im Folgenden kurz dargestellt: IT-Sicherheit: IT-Sicherheit bezeichnet einen Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. IT-Sicherheit ist also der Zustand, in dem Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind. Informationssicherheit: Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. IT-Sicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Der Begriff "Informationssicherheit" statt IT-Sicherheit ist daher umfassender und wird zunehmend verwendet. Schutzziele: Als Schutzziele sind primär die Vertraulichkeit, die Integrität, die Authentizität sowie die Verfügbarkeit von Informations-Assets (Schutzgüter der IT-Sicherheit) zu betrachten. In der Praxis können weitere Schutzziele Bedeutung haben, z.b. die Nachweisbarkeit bzw. die Nicht-Abstreitbarkeit von Handlungen oder die Zuverlässigkeit von Services. Verfügbarkeit: Die Verfügbarkeit von Informationen, Funktionen eines IT-Systems, IT- Anwendungen oder IT-Netzen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können. Vertraulichkeit: Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein. Integrität: Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Authentizität: Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein Kommunikationspartner bzw. eine Information tatsächlich die Identität besitzt, die dieser bzw. diese vorgibt. Risikoeinschätzung: Ein Risiko ist die häufig auf Berechnungen beruhende Vorhersage eines möglichen Schadens. Mit einer Risikoeinschätzung wird untersucht, welche schädigenden Ereignisse eintreten können, wie wahrscheinlich das Eintreten eines schädigenden Ereignisses ist und welche Auswirkungen der Schaden hätte. Die Risikoeinschätzung ist im Zusammenhang mit IT-Sicherheit von zentraler Bedeutung. Schwachstellenanalyse: Die Schwachstellenanalyse soll alle potentiellen und tatsächlichen Lücken oder Abweichungen von einem definierten Sicherheitsniveau erheben. Sie kann technische und organisatorische Implikationen beinhalten. Schutzbedarfsfeststellung: Bei der Schutzbedarfsfeststellung wird der Schutzbedarf der Geschäftsprozesse, der verarbeiteten Informationen und der IT-Komponenten bestimmt. Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet. 8/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN
Schutzmaßnahmen: Unter Schutzmaßnahmen werden alle organisatorischen und technischen Maßnahmen zur Erreichung oder Verbesserung eines definierten Sicherheitsniveaus verstanden. Der Schutzbedarf eines Geschäftsprozesses, also der in diesem Prozess verarbeiteten Daten und für die Datenverarbeitung verwendeten technischen Systeme, wird auf Grundlage spezifischer und konkreter Schutzziele festgelegt. Die Risikoeinschätzung führt die Schutzbedarfsfeststellung und die Schwachstellenanalyse zusammen. Im Ergebnis der Risikoeinschätzung werden geeignete Maßnahmen (Akzeptanz, Vermeidung, Übertragung, Minimierung) festgelegt, um identifizierte Risiken zu behandeln und das definierte Sicherheitsniveau zu erreichen. Wesentliche Bedrohungen, die im Rahmen der IT-Sicherheitskonzeption berücksichtigt werden: Verlust/Zerstörung von Systemen/Komponenten Verlust elementarer Versorgungssysteme Kompromittierte Informationen Technisches Versagen Nicht autorisierte Zugriffe und Aktionen Verlust/Einschränkung der Funktionen Menschliches Versagen Darüber hinaus existieren weitere Bedrohungen. VDE FNN März 2015 IT Sicherheit in Stromnetzen 9/24
2 Bestehende Initiativen In dem folgenden Kapitel werden die bestehenden Initiativen zur IT-Sicherheit eingeordnet. Aus Sicht des FNN ergänzen sich die folgenden Regelwerke, wobei vereinzelte Überschneidungen nicht ausgeschlossen sind. Abbildung 1- Regelungshierarchie bestehender Initiativen Die hier dargestellten Gesetze, Verordnungen, Normen, Anwendungsregeln und sonstige Regelwerke werden i.d.r. durch unternehmensspezifische Richtlinien und Vorgaben unterlegt. 2.1 Initiativen des Gesetzgebers / Regulators 2.1.1 IT-Sicherheitsgesetz (IT-SIG) 2.1.1.1 Kurzbeschreibung Der Gesetzentwurf der Bundesregierung liegt vor. Es wird erwartet, dass das Gesetz im 2. Quartal 2015 in Kraft treten wird. Ziel des Gesetzes ist es, u.a. durch Sicherheitsanforderungen und Meldepflichten bei IT-Sicherheitsvorfällen das IT-Sicherheitsniveau bei Unternehmen, die Betreiber kritischer Infrastrukturen sind, zu erhöhen. Es handelt sich um ein Artikel-Gesetz, das unter anderem durch Änderungen im EnWG und im BSIG wirkt. Dies hat wiederum Auswirkungen auf die Ausprägung des IT-Sicherheitskatalogs der BNetzA (siehe 2.1.2). 2.1.1.2 Ziel/Fokus/Geltungsbereich Gemäß dem Gesetzentwurf sind alle Betreiber kritischer Infrastrukturen betroffen. Von den insgesamt sieben Sektoren betreffen die Folgenden die Energie- und Wasserversorgung: 10/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN
Sektor Energie (Stromversorgung, Erdgas) Sektor Wasser Sektor Informationstechnik und Telekommunikation Durch das Gesetz bzw. eine entsprechende Rechtsverordnung wird definiert, welche Einrichtungen, Anlagen oder Bestandteile als kritische Infrastrukturen gelten. Es werden grundlegende, allgemeine Anforderungen für die Umsetzung von Informationssicherheit definiert. Konkrete Anforderungen sind für die Ausprägung von Kontaktstellen und Meldeprozessen genannt, ohne jedoch genaue Schwellwerte und Kriterien festzulegen. 2.1.1.3 Anwendbarkeit Bei dem IT-Sicherheitsgesetz handelt es sich um eine staatliche Vorgabe, welche obligatorisch umzusetzen ist. Der Betrieb eines sicheren Energieversorgungsnetzes umfasst einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme. Für Betreiber von Energieversorgungsnetzen, die als kritische Infrastruktur eingestuft werden, gilt: innerhalb von zwei Jahren nach Inkrafttreten der Rechtsverordnung sind Maßnahmen für einen angemessenen Schutz gegen Bedrohungen durchzuführen. dass sie dem Bundesamt für Sicherheit in der Informationstechnik erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse unverzüglich melden, wenn diese zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit des Energieversorgungsnetzes oder der betreffenden Energieanlage führen können oder bereits geführt haben. Darüber hinaus erstellt die Regulierungsbehörde hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen und veröffentlicht diesen (siehe 2.1.2). Netzbetreiber als Betreiber kritischer Infrastrukturen sind somit verpflichtet, binnen zwei Jahren nach Inkrafttreten der Rechtsverordnung angemessene organisatorische und technische Vorkehrungen und sonstige Maßnahmen zum Schutz derjenigen informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind. Dabei ist der Stand der Technik zu berücksichtigen. Branchenspezifische Sicherheitsstandards sind optional vorgesehen. Die Anwendbarkeit wird von deren Ausprägung abhängen. Betreiber von Energieversorgungsnetzen müssen Verpflichtungen aus dem IT-SiG und dem in diesem Zusammenhang geänderten EnWG umsetzen. Für konkrete Maßnahmen sind daher die Anforderungen aus dem IT-Sicherheitskatalog der BNetzA relevant (Siehe 2.1.2), auf welchen in 11 Abs. 1a EnWG verwiesen wird. 2.1.1.4 Implementierungsaufwand Für Betreiber kritischer Infrastrukturen entsteht ein Erfüllungsaufwand für die Einhaltung eines Mindestniveaus an IT-Sicherheit und insbesondere den Nachweis der Erfüllung u.a. durch Sicherheitsaudits. Darüber hinaus entsteht ein Aufwand durch die Einrichtung und VDE FNN März 2015 IT Sicherheit in Stromnetzen 11/24
Aufrechterhaltung von Verfahren für die Meldung erheblicher Sicherheitsvorfälle an das BSI, sowie das Betreiben einer Kontaktstelle. Um bei Beeinträchtigungen der informationstechnischen Systeme, Komponenten oder Prozesse kritischer Infrastrukturen eine unverzügliche Information betroffener Betreiber zu gewährleisten, ist dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung eine jederzeit erreichbare Kontaktstelle zu benennen. 2.1.1.5 Berücksichtigte Bedrohungen Das Gesetz berücksichtigt alle bekannten Bedrohungen und deren Ausbreitung. Insbesondere durch die geforderten Kontakt- und Meldestellen soll eine umfassende Information über die aktuelle Gefährdungslage gewährleistet werden. 2.1.1.6 Abgedeckte Schutzziele Mit dem Gesetz soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland erreicht werden, die für das Funktionieren des Gemeinwesens zentral sind. Der Schutz der IT-Systeme solcher kritischen Infrastrukturen und der für den Infrastrukturbetrieb nötigen Netze ist daher von größter Wichtigkeit. 2.1.2 IT-Sicherheitskatalog 2.1.2.1 Kurzbeschreibung Die Bundesnetzagentur hat nach 11 Absatz 1a EnWG im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Entwurf für einen Katalog von Sicherheitsanforderungen zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen, erstellt (IT- Sicherheitskatalog V1, veröffentlicht im Dezember 2013). Der Katalog ergänzt das IT Sicherheitsgesetz. Eine aktualisierte Version wird nach dem Inkrafttreten des Gesetzes erwartet. Der Entwurf des IT-Sicherheitskatalogs sieht bei Betreibern von Energieversorgungsnetzen unter anderem die Implementierung von Maßnahmen zur IT-Sicherheit sowie die Einführung und Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) vor. Dieses ISMS muss sämtlichen organisatorischen und technischen Maßnahmen zum Schutz und sicheren Betrieb der im Fokus stehenden Systeme und Prozesse umfassen. Des Weiteren ist in jedem betroffenen Unternehmen ein IT-Sicherheitsbeauftragter zu benennen. Die im Entwurf von 2013 genannten Fristen betragen zwei Monate für die Benennung des IT- Sicherheitsbeauftragten durch den Netzbetreiber und ein Jahr für die Umsetzung der geforderten Maßnahmen nach Inkrafttreten des IT-Sicherheitskatalogs. 2.1.2.2 Ziel/Fokus/Geltungsbereich Das Ziel des IT-Sicherheitskatalogs ist ein umfassender Schutz gegen informationstechnische Bedrohungen für alle Telekommunikations- und elektronischen Datenverarbeitungssysteme, die der Netzsteuerung dienen (Sekundär-, Feld- und Automatisierungstechnik; Übertragungstechnik/Kommunikation; Leitsystem/Systembetrieb). Durch das IT-Sicherheitsgesetz (s. 2.1.1) und den damit geplanten Änderungen des EnWG soll der Geltungsbereich des IT-Sicherheitskataloges auf alle elektronischen Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind, erweitert 12/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN
werden. Damit soll ein wesentlicher Beitrag zum sicheren Betrieb und zur Erhöhung der Versorgungssicherheit der Energieversorgung geleistet werden. Die Identifizierung der zu schützenden Systeme und die Auswahl geeigneter Maßnahmen (nach technischer und wirtschaftlicher Verhältnismäßigkeit) obliegen den Betreibern eines Energieversorgungsnetzes (Strom und Gas). Die Netzbetreiber tragen auch die Verantwortung für die Umsetzung, Einhaltung und die stetige Verbesserung der Maßnahmen nach dem aktuellen Stand der Technik. Die geforderte Zertifizierung und regelmäßige Auditierung nach ISO/IEC 27001 durch eine akkreditierte Stelle soll dies sicherstellen. 2.1.2.3 Anwendbarkeit Die Anforderungen des aktuellen Entwurfs des IT-Sicherheitskatalogs sind auf einem eher allgemeinen Betrachtungslevel. Konkrete Details zur Umsetzung sind der Normenreihe DIN ISO/IEC 27000 zu entnehmen, auf die durchgehend referenziert wird und die in der klassischen Informationstechnik bereits häufig Anwendung findet. Bei der Einführung des ISMS sind das Unternehmens-Management, ISMS-Verantwortliche, IT- Administratoren, system- und betriebsmittelverantwortliche Mitarbeiter sowie die Anwender einzubeziehen. Eine nachhaltige Wirksamkeit der eingeführten Maßnahmen und insbesondere der Prozesse ist daher von der kontinuierlichen Mitwirkung aller Beteiligten abhängig. 2.1.2.4 Implementierungsaufwand Die Einführung eines Informationssicherheits-Managementsystems und vor allem die Umsetzung von zahlreichen Schutzmaßnahmen kommen in dieser Form aus der klassischen IT. Durch eine engere Zusammenarbeit der Prozessdatenverarbeitungssysteme (PDV) mit der allgemeinen IT können beim Aufbau eines ISMS z.b. durch die Verwendung bzw. Übertragung vorhandener Strukturen und Prozesse mögliche Synergien erzielt werden. Somit hängt der für die Erfüllung des IT-Sicherheitskatalogs erforderliche Aufwand auch vom Reifegrad in der allgemeinen IT und den Möglichkeiten und der Bereitschaft zur Zusammenarbeit ab. Des Weiteren sind für den zu implementierenden kontinuierlichen Verbesserungsprozess (KVP) aus der Norm DIN ISO/IEC 27001 dauerhaft personelle Ressourcen mit entsprechender fachlicher Eignung vorzuhalten. 2.1.2.5 Berücksichtigte Bedrohungen Durch die Einführung eines Informationssicherheits-Managementsystems und die Umsetzung konkreter technischer Maßnahmen werden Bedrohungen ganzheitlich berücksichtigt. Durch die geforderte Zertifizierung werden die Netzbetreiber dazu angehalten, alle Risiken selbst zu identifizieren, die unmittelbar einen reibungslosen Netzbetrieb beeinträchtigen. 2.1.2.6 Abgedeckte Schutzziele Im IT-Sicherheitskatalog stehen die üblichen zentralen Schutzziele der IT im Vordergrund. Eine Nachweisbarkeit ergibt sich teilweise indirekt bei Sicherstellen der Integrität. VDE FNN März 2015 IT Sicherheit in Stromnetzen 13/24
2.1.3 Bundesamt für Sicherheit in der Informationstechnik (BSI) Grundschutz 2.1.3.1 Kurzbeschreibung Der IT-Grundschutz ist ein Standard für die Informationssicherheit und wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben und regelmäßig aktualisiert. Er ist für die Behörden des Bundes eine verbindliche Vorgabe und bietet für Netzbetreiber eine Orientierungshilfe. Der IT-Grundschutz umfasst sowohl eine Methodik zur Einführung eines Informationssicherheitsmanagements (ISM) als auch Kataloge mit typischen Gefährdungen und entsprechenden Sicherheitsmaßnahmen für häufig eingesetzte Technologien und wesentliche Aspekte der Informationssicherheit. Durch seine modulare Struktur in Form sogenannter Bausteine kann der IT-Grundschutz an unterschiedliche Anwendungsfälle angepasst werden. Der Grundschutz wurde seinerzeit entwickelt um den Schutz in Bundesbehörden sicherzustellen. Aktuell führt das BSI eine umfangreiche Modernisierung des IT-Grundschutzes durch, durch die der IT-Grundschutz besser an die technologische Entwicklung und an aktuelle Cyber- Gefährdungen angepasst werden soll. Ende 2015 soll die Modernisierung überwiegend abgeschlossen sein. 2.1.3.2 Ziel/Fokus/Geltungsbereich Der IT-Grundschutz hat den Anspruch, den Anwender nicht nur bei der Steuerung der Informationssicherheit (Informationssicherheitsmanagement - ISM), sondern auch bei der konkreten Umsetzung zu unterstützen. Hierzu enthalten die Bausteine des IT-Grundschutzes sowohl organisatorische/personelle als auch technische Maßnahmenempfehlungen. Hinsichtlich der abgedeckten Technologien liegt der Schwerpunkt des IT-Grundschutzes aktuell auf typischen Landschaften der Rechenzentrums-, Büro- und mobilen IT. Im Zuge der Modernisierung des IT-Grundschutzes sollen jedoch auch die BSI-Empfehlungen zu Industrial Control Systems (ICS), die das BSI derzeit noch separat veröffentlicht, in den IT-Grundschutz integriert werden. Für die Bundesverwaltung und viele andere Teile der öffentlichen Verwaltung in Deutschland ist der IT-Grundschutz die Basis für das ISM und die Umsetzung von IT-Sicherheitsmaßnahmen. Darüber hinaus gibt es in einigen Bereichen spezialgesetzliche oder untergesetzliche Regelungen mit Bezug zum IT-Grundschutz. Für andere Bereiche wie z.b. EVUs hat der IT- Grundschutz den Charakter einer Orientierungshilfe, sofern nicht durch Verträge oder andere Anforderungen eine Verbindlichkeit hergestellt wird. 2.1.3.3 Anwendbarkeit Eine Beurteilung der Anwendbarkeit des aktuellen IT-Grundschutzes des BSI ist derzeit nicht sinnvoll, da eine umfassende Modernisierung vorgesehen ist. Diese umfasst zwei Elemente, die die Anwendbarkeit des IT-Grundschutzes auf die Sicherheit von Versorgungsnetzen deutlich erleichtern wird. Zum einen wird das BSI seine Empfehlungen zur Absicherung von Industrial Control Systems (ICS) in den IT-Grundschutz integrieren. Zweitens ist geplant, anhand von sogenannten Profilen die Anpassung des IT-Grundschutzes an die spezifischen Anforderungen bestimmter Branchen oder Anwendungsfälle zu ermöglichen. Profile können dabei eine Auswahl der vorhandenen Maßnahmen des IT-Grundschutzes treffen und/oder zusätzliche/konkretisierte Maßnahmen festlegen. Idealerweise werden solche Profile durch einen entsprechenden Arbeitskreis der Branche unter Beteiligung des BSI erarbeitet. 14/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN
2.1.3.4 Implementierungsaufwand Da der IT-Grundschutz sowohl das Management der Informationssicherheit als auch die konkrete Umsetzung von Sicherheitsmaßnahmen adressiert, hängt der Implementierungsaufwand entscheidend vom jeweiligen Anwendungsbereich und den dort bereits umgesetzten Sicherheitsmaßnahmen ab. 2.1.3.5 Berücksichtigte Bedrohungen IT-Grundschutz ist ein ganzheitlicher Ansatz und berücksichtigt alle relevanten Gefährdungsbereiche. Im Zuge der Modernisierung des IT-Grundschutzes ist geplant, die beobachtete Gefährdungslage noch stärker in die Priorisierung der Maßnahmen einfließen zu lassen. 2.1.3.6 Abgedeckte Schutzziele Der IT-Grundschutz verwendet die international übliche Systematik von Verfügbarkeit, Vertraulichkeit und Integrität. Die in einigen Normen zusätzlich betrachteten Schutzziele Nachweisbarkeit, Verbindlichkeit oder Nicht-Abstreitbarkeit werden als Spezialfälle der Integrität betrachtet. Die Maßnahmen des IT-Grundschutzes decken diese erweiterten Schutzziele mit ab. 2.2 Normen und Richtlinien 2.2.1 DIN ISO/IEC 27000er Reihe Komplexe Sicherheitsbedrohungen können durch bloße Einzelmaßnahmen nicht nachhaltig beseitigt werden. Für den dauerhaft sicheren Betrieb von PDV-Systemen und deren Infrastruktur ist deshalb die Einrichtung eines ganzheitlichen Schutzkonzeptes sowie dessen stetige Optimierung eine wesentliche Voraussetzung. Hierzu können die DIN ISO/IEC 27001/2 und DIN ISO/IEC TR 27019 dienen. Zertifizierungsgrundlage ist die international gültige ISO/IEC 27001 aus dem Jahr 2013, die noch 2015 gemeinsam mit der ISO/IEC 27002 - als DIN-Norm umgesetzt werden soll. Eine Kernforderung im Entwurf des IT-Sicherheitskatalogs der BNetzA ist die Einführung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC 27001 Informationssicherheits-Managementsysteme - Anforderungen sowie dessen Zertifizierung durch eine unabhängige hierfür zugelassene Stelle. Bei der Implementierung des ISMS sind die ergänzende Norm DIN ISO/IEC 27002 Leitfaden für das Informationssicherheits-Management sowie die Spezifikation DIN ISO/IEC TR 27019 Leitfaden für das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung auf Grundlage der ISO/IEC 27002 grundsätzlich zu berücksichtigen. Die relevanten Normen DIN ISO/IEC 27001 und DIN ISO/IEC TR 27019 liegen in aktueller deutscher Fassung von 2015 vor, ISO/IEC 27002 in aktueller englischer Fassung von 2013. Die ISO/IEC TR 27019 ging aus der DIN SPEC 27009 hervor und ersetzt diese. VDE FNN März 2015 IT Sicherheit in Stromnetzen 15/24
2.2.1.1 Kurzbeschreibung Die Norm DIN ISO/IEC 27001 enthält den normativen Teil der Standardreihe 27000. Sie definiert die Anforderungen an ein Informationssicherheits-Managementsystem und die umzusetzenden Kontrollziele. Nachfolgend die wesentlichen Normforderungen: ganzheitliches ISMS, um unternehmenskritische Werte langfristig zu schützen Übernahme der Verantwortung durch das Management Risikomanagement Bereitstellung von Ressourcen regelmäßige Bewertung des ISMS durch das Management Messung der Wirksamkeit und kontinuierliche Verbesserung des ISMS Die Norm DIN ISO/IEC 27002 enthält Umsetzungsempfehlungen für die Managementgebiete der DIN ISO/IEC 27001 und entspricht vom Aufbau genau deren Anhang A. Es gibt keine offizielle Zertifizierung nach DIN ISO/IEC 27002. Ursprünglich wurde die Norm für die klassische Büro-IT entwickelt. Die DIN ISO/IEC TR 27019 erweitert die Sicherheitsmaßnahmen der Norm DIN ISO/IEC 27002 auf Prozessdatenverarbeitungssysteme (PDV-Systeme) in der Energieversorgung und deren zugehörige Infrastruktur, welche zur Führung von Strom- und Rohrnetzen erforderlich sind und definiert spezifische Maßnahmen (Controls) für diese Systeme. Die besonderen Anforderungen an diese Systeme im Vergleich zur klassischen Büro-IT bezüglich Entwicklung, Betrieb, Wartung und dem Einsatzumfeld rechtfertigen eine separate Betrachtung. Konventionelle Prozesstechnik (z.b. elektromechanische Systeme) wird darin nicht behandelt. Der Aufbau der DIN ISO/IEC TR 27019 ist analog zur Norm DIN ISO/IEC 27002. Die Maßnahmen der DIN ISO/IEC TR 27019 können nicht ohne Zuhilfenahme der Norm DIN ISO/IEC 27002 vollständig erfasst werden. Statt Nennung gleichlautender Inhalte wird direkt auf die DIN ISO/IEC 27002 referenziert. Dies gilt auch für unveränderte Textpassagen bei den erweiterten Controls. Hier wird zunächst wieder auf die DIN ISO/IEC 27002 referenziert, gefolgt von Umsetzungsempfehlungen für den EVU-Bereich. Neue bzw. ergänzende Controls sind in den entsprechenden Kapiteln eingefügt. 2.2.1.2 Ziel/Fokus/Geltungsbereich Das wesentliche Ziel der DIN ISO/IEC 27001 ist die Etablierung eines umfassenden Informationssicherheits-Managementsystems. Die ergänzenden Standards enthalten Umsetzungsmpfehlungen sowie Erweiterungen zur Anwendung im Umfeld der Energieversorgung. Die Maßnahmen, welche im Anhang A der DIN ISO/IEC 27001 genannt werden, behandeln dabei folgende Managementgebiete: Organisation der Informationssicherheit Sicherheitsrichtlinien Management von organisationseigenen Werten Sicherheit im Personalbereich physische und umgebungsbezogene Sicherheit 16/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN
logische Sicherheit Kommunikationssicherheit Betriebssicherheit Kryptographie Systembeschaffung, Entwicklung und Wartung Lieferantenbeziehungen Management von Informationssicherheitsvorfällen Notfallmanagement Einhaltung von Vorgaben (Compliance) Der Fokus der Norm umfasst die gesamte Informationssicherheit inklusive der für die Verarbeitung von Informationen notwendigen technischen Systeme (IKT-Systeme). Darüber hinaus werden bspw. Anforderungen an die Personalsicherheit oder die Gebäudesicherheit gestellt. Die sektorspezifische Norm DIN ISO/IEC TR 27019 enthält Umsetzungsempfehlungen der DIN ISO/IEC 27001 im Hinblick auf Prozessleit- und Steuerungssysteme aus dem EVU-Umfeld sowie deren zugehörige Infrastruktur. Sie berücksichtigt alle relevanten Bereiche der Energieversorgung, insbesondere auch den sicheren Betrieb sowie die Organisation. Der Geltungsbereich der Spezifikation umfasst: zentrale und dezentrale Prozess-, Leit-, Automatisierungs- und Überwachungssysteme digitale Schutzsysteme digitale Mess- und Zählvorrichtungen Kommunikations- und Fernwirktechnik Smart Grid Komponenten Programmier- und Parametriergeräte Sicherung von Leitstellen, Technikräumen, Außenstandorte und in Räumlichkeiten Dritter Behandlung von Altsystemen Notfallkommunikation Darüber hinaus geben weitere international gültige Normen dieser Reihe gute Hinweise zur Ausprägung und Umsetzung der IT-Sicherheitsmaßnahmen. Insbesondere sollten die ISO/IEC 27003 zur Implementierungsunterstützung, die ISO/IEC 27004 zum Nachweis der Wirksamkeit von Maßnahmen und die ISO/IEC 27005 zum Risikomanagement herangezogen werden. Informativ ist auch die ISO/IEC 27006, die Anforderungen zur Zertifierungsdurchführung beschreibt. 2.2.1.3 Anwendbarkeit Den Fokus der Norm DIN ISO/IEC 27001 bildet die Implementierung eines risikobasierten Managementsystems mit einem kontinuierlichen Verbesserungsprozess. Es muss eine VDE FNN März 2015 IT Sicherheit in Stromnetzen 17/24
Informationssicherheitsorganisation mit Rollen und Verantwortlichkeiten etabliert werden, welche Risiken für Informationen dauerhaft minimiert. 2.2.1.4 Implementierungsaufwand Eine Zertifizierung des ISMS nach ISO/IEC 27001 setzt die Umsetzung aller Anforderungen aus dem Hauptteil der Norm voraus. Die Maßnahmen aus dem Anhang A der Norm müssen vollständig in die Betrachtung mit einbezogen werden. Einzelne Maßnahmen können aber in begründeten Fällen von der Umsetzung ausgeschlossen werden. Die Einführung eines ISMS wird in der Regel als Projekt durchgeführt und ist mit entsprechenden Kosten und Ressourcen verbunden. Der Regelbetrieb und der kontinuierliche Verbesserungsprozess sind durch die Bereitstellung entsprechender Ressourcen dauerhaft sicherzustellen und in die Linienfunktionen zu integrieren. Die Anknüpfung an ein bestehendes ISMS nach DIN ISO/IEC 27001 führt zu einer maßgeblichen Reduzierung des Erfüllungsaufwandes. Der Aufwand für die Umsetzung der Maßnahmen nach DIN ISO/IEC TR 27019 hängt stark von den bereits realisierten Sicherheitsmaßnahmen gemäß DIN ISO/IEC 27002 ab, soweit diese auch im Bereich der Prozess-IT umgesetzt wurden. Auch das Alter der eingesetzten Technik hat einen Einfluss. Die Realisierung sollte stets angemessen sein und sich am Wert der zu schützenden Informationen orientieren. Personelle Ressourcen mit den entsprechenden Qualifikationen sind dauerhaft einzuplanen. 2.2.1.5 Berücksichtigte Bedrohungen Es werden keine konkreten Bedrohungen genannt. Grundsätzlich müssen alle Bedrohungen berücksichtigt werden, welche die Schutzziele von Informationen verletzen. Zur Identifikation, Bewertung und Behandlung möglicher Bedrohungen beinhaltet das geforderte ISMS eine nachvollziehbare, vergleichbare und fundierte Risikoeinschätzung. 2.2.1.6 Abgedeckte Schutzziele Da die PDV-Systeme aus dem EVU-Umfeld sowie deren Netzwerke integraler Bestandteil von kritischen Infrastrukturen sind und damit direkt Einfluss auf deren Verfügbarkeit haben können, bestehen hier insbesondere erhöhte Anforderungen bezüglich der Verfügbarkeit und Integrität. Das Schutzziel der Vertraulichkeit steht nicht im Vordergrund, wird allerdings durch entsprechende organisatorische Bestandteile eines ISMS ebenfalls abgedeckt. 2.2.2 IEC 62351 2.2.2.1 Kurzbeschreibung Die Normenreihe IEC 62351 erweitert gängige Kommunikationstandards für die Schutz- und Leittechnik (IEC 60870-5-101, IEC 60870-5-104, IEC 61850, IEC 61970) um Sicherheitsvorgaben. Die Standards der IEC 62351-Reihe - Power systems management and associated information exchange Data and communications security, von denen sich einige noch in der Entwicklungsphase befinden, bestehen aus 11 unterschiedlichen Teilen. Diese Normen spezifizieren und adaptieren in der Regel aus der allgemeinen IT-Welt bekannte 18/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN
Sicherheitsstandards und Maßnahmen für die Systeme der Telekommunikations- und Prozessleittechnik. Der Zusammenhang zwischen den Kommunikationsstandards und der IEC 62351 ist in der nachfolgenden Abbildung dargestellt. Abbildung 2- Zusammenspiel der Normenreihe IEC 62351 1 2.2.2.2 Ziel/Fokus/Geltungsbereich Der erste Teil des Standards beschäftigt sich mit den Hintergründen für die IT-Sicherheit beim Betrieb von Energieversorgungssystemen und mit einführenden Informationen über die einzelnen Teile der IEC 62351er-Reihe. Darüber hinaus werden im zweiten Teil Definitionen und Abkürzungen erläutert, welche weitestgehend auf bereits bestehenden Industriestandards basieren. Die Teile 3 bis 6 der IEC 62351 beinhalten Sicherheitsanforderungen für die Kommunikationsstandards IEC 60870, IEC 61850, IEC 61968 und IEC 61970. Einige der Sicherheitsstandards sind dabei für mehrere Kommunikationsstandards anwendbar, wohingegen andere sehr spezifisch auf bestimmte Einsatzfälle und Profile abgestimmt sind. Der Teil 3 beschreibt die Parameter und Einstellungen für die Transportschichtsicherheit (TLS)- Verschlüsselung beim Einsatz im Sektor Energie. Auch im Teil 4 wird primär mit TLS gearbeitet, um Sicherheitsmaßnahmen, wie z.b. die Authentisierung bei Zugriffen verschiedener Funktionseinheiten zu gewährleisten. Die Teile 7 bis 11 der IEC 62351 beinhalten Sicherheitsanforderungen an Ende-zu-Ende Verbindungen in Form von Sicherheitpolicies, Zugriffskontrollmechanismen, Schlüsselmanagement, Audit-Logs und andere Maßnahmen und stellen damit ein wesentlich größeres Betätigungsfeld dar. Teil 7 konzentriert sich auf das Netzwerk- und 1 Quelle: IEC TC 57 - WG 15 VDE FNN März 2015 IT Sicherheit in Stromnetzen 19/24
Systemmanagement (NSM) einer Informationsinfrastruktur. Teil 8 spezifiziert die Zugriffskontrollmechanismen für Benutzer auf Datenobjekte mittels rollenbasierter Zugriffskontrolle. Teil 9 legt fest, wie digitale Zertifikate und kryptografische Schlüssel erzeugt, verteilt, gesperrt und verarbeitet werden, um digitale Daten und Kommunikation zu schützen. Teil 10 der Normenreihe IEC 62351 behandelt die Beschreibung von Grundsätzen zur Sicherheitsarchitektur und Teil 11 die Sicherheit von XML-Files. 2.2.2.3 Anwendbarkeit Durch den zunehmenden Einsatz von standardisierten Kommunikationsprotokollen sind informationstechnische Sicherungsmaßnahmen (u.a. Verschlüsselungen) in Abhängigkeit von den unternehmensspezifischen Anforderungen zu empfehlen. Die IEC 62351 bietet hierfür einen systematisierten normativen Ansatz. Von Bedeutung sind die informations- bzw. nachrichtentechnische Kopplung zu anderen Netzbetreibern und/oder Marktpartner, sowie die Kopplung zwischen zentraler und dezentraler Leittechnik, insbesondere dann, wenn sie über fremde nachrichtentechnische Infrastruktur betrieben werden. 2.2.2.4 Implementierungsaufwand Der Umsetzungsaufwand ist stets vom aktuellen Stand der IT-Sicherheits- und Schutzmaßnahmen, den grundlegenden Rahmenbedingungen im Unternehmen und der Komplexität der Systeme abhängig. Da die notwendigen Voraussetzungen durch die derzeit im Einsatz befindliche Technik häufig nicht gegeben sind, finden die Normen derzeit noch keine breite Anwendung. 2.2.2.5 Berücksichtigte Bedrohungen Grundsätzlich werden alle Bedrohungen berücksichtigt, welche die Schutzziele von Informationen, insbesondere bei der Nutzung externer Nachrichtenwege gefährden (z.b. Missbrauch, Sabotage, Manipulation). Im Speziellen bietet bspw. der Teil 3 der 62351 Schutz mittels TLS-Verschlüsselung vor Man-in-the-middle-Angriffen, Verfälschungen und unbefugten Zugriffen durch die Verwendung von Sicherheitszertifikaten. 2.2.2.6 Abgedeckte Schutzziele Die aus der IT-Welt bekannten Schutzmaßnahmen bezogen auf die allgemeinen Schutzziele werden überführt in die Prozesswelt. 2.3 Weitere Dokumente 2.3.1 BDEW Whitepaper 2.3.1.1 Kurzbeschreibung Das BDEW-Whitepaper (Whitepaper) beschreibt grundsätzliche Anforderungen zur IT-Sicherheit an Steuerungs- und Telekommunikationssysteme, die in Unternehmen der Energiewirtschaft eingesetzt werden. Es werden grundlegende, anwenderorientierte und praxisgerechte Sicherheitsmaßnahmen definiert, die sich an Planer, Technologen, Entwickler (Hersteller) und Betreiber dieser Systeme richten. Wesentlicher Inhalt sind die mit Fokus IT-Sicherheit beschriebenen funktionalen Eigenschaften der o.g. technischen Komponenten und Systeme 20/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN
sowie die Anforderungen an den Service und die Instandhaltung über die gesamte Lebensdauer der Systemtechnik (Hardware und Software). Die technischen Vorgaben und Anforderungen werden in einen organisatorischen und prozessualen Kontext gestellt und durch die Anwendungshinweise weiter konkretisiert. 2.3.1.2 Ziel/Fokus/Geltungsbereich Zitat aus dem Vorwort des BDEW-Whitepapers: Für die Unternehmen der Energiewirtschaft wurde das Whitepaper mit grundsätzlichen Sicherheitsmaßnahmen für Steuerungs- und Telekommunikationssysteme entwickelt. Ziel ist es dabei, die Systeme gegen Sicherheitsbedrohungen im täglichen Betrieb angemessen zu schützen. Die in diesem Whitepaper festgelegten Sicherheitsmaßnahmen werden für alle neuen Steuerungs- und Telekommunikationssysteme empfohlen. Strategisches Ziel des Whitepapers ist die positive Beeinflussung der Produktentwicklung für die oben genannten Systeme im Sinne der IT-Sicherheit und die Vermittlung eines gemeinsamen Verständnisses in der Branche für den Schutz der Systeme. Das Whitepaper wird zur Anwendung bei allen neu zu beschaffenden und einzuführenden Systemen im Prozessbereich von Energieversorgungsunternehmen empfohlen. Es handelt sich um eine Empfehlung des Verbandes BDEW und damit um keine verbindliche oder gesetzliche Vorgabe, die zwingend umgesetzt werden muss. 2.3.1.3 Anwendbarkeit Das Whitepaper hat sich in der Branche etabliert und kann als Basis für die IT- Sicherheitsanforderungen an die Hersteller und Lieferanten im Prozessbereich (Schutz-, Steuerund Leittechnik, Kommunikationstechnik) genutzt werden. Das Whitepaper ist eine Arbeitsgrundlage bei der Konzeption und Einführung neuer Systeme, im Rahmen der Beschaffung der Systemtechniken (als Bestandteil von Lastenheften) und der grundlegenden Auswahl und Beauftragung von Lieferanten und Dienstleistern. Es kann darüber hinaus zur Bewertung der derzeit eingesetzten Systeme herangezogen werden. 2.3.1.4 Implementierungsaufwand Der Umsetzungsaufwand ist stets vom aktuellen Stand der IT-Sicherheits- und Schutzmaßnahmen, den grundlegenden Rahmenbedingungen im Unternehmen und der Komplexität der Systeme abhängig. 2.3.1.5 Berücksichtigte Bedrohungen Die im Whitepaper beschriebenen Anforderungen und Maßnahmen ermöglichen eine grundsätzliche Berücksichtigung aller potentiellen Bedrohungen. Diese Einschätzung muss bei entsprechender Berücksichtigung der spezifischen Rahmenbedingungen im jeweiligen Unternehmen individuell unter Anwendung der Methoden Schutzbedarfsfeststellung und Risikoeinschätzung überprüft werden. 2.3.1.6 Abgedeckte Schutzziele Die allgemeinen Schutzziele werden durch die konkreten Auflagen des Auftraggebers an den Auftragnehmer erreicht. Elementar für eine erfolgreiche Anwendung ist jedoch eine gewissenhafte Vorbereitung des Auftraggebers, um die im Whitepaper abstrakt gehaltenen Vorgaben für eine praktische Umsetzung hinreichend genau zu detaillieren. VDE FNN März 2015 IT Sicherheit in Stromnetzen 21/24
3 Bewertung und Einordnung 3.1 Wirksamkeit der bestehenden Regeln Die betrachteten Initiativen bilden die Grundlage für ein adäquates Sicherheitsniveau und greifen, wie in der Grafik zur Regelhierarchie bzgl. der IT-Sicherheit (S. 10) dargestellt, wirksam ineinander. Sie bilden eine gute Basis um den zitierten Stand der Technik für die Prozess-IT geeignet und wirksam zu implementieren. Ein Informationssicherheits-Managementsystem (ISMS) bildet die wesentliche Grundlage für die Einführung und dauerhafte Gewährleistung der notwendigen IT-Sicherheit. Ein solches System kann unter Anwendung der DIN ISO/IEC 27000er Reihe etabliert bzw. betrieben werden. Die DIN ISO/IEC 27002 ergänzt die Rahmensetzung der DIN ISO/IEC 27001 um einen Standardsatz allgemein und auf hohem Abstraktionsniveau beschriebener Maßnahmen. Diese sind allerdings auf eine Anwendung in klassischen Bereichen der Informationstechnik begrenzt. Durch die DIN ISO/IEC TR 27019 wird dieser Maßnahmensatz geeignet für eine Anwendung im Bereich von Energieversorgungsnetzen und damit der Prozess-IT adaptiert. Für wichtige Technologiebereiche der Prozess-IT können Konkretisierungen der abstrakt geforderten Absicherungsmaßnahmen aus der Normenfamilie IEC 62351 entnommen werden. Insbesondere gilt dies für die Absicherung der leit- und fernwirktechnischen Kommunikationsprotokolle gemäß IEC 60870-5-101, IEC 60870-5--104 und IEC 61850. Hilfestellungen bei der Beauftragung von Herstellern und Dienstleistern zum Bau und Betrieb von Netzanlagen mit Komponenten der Prozess-IT finden sich im BDEW Whitepaper und den zugehörigen Anwendungshinweisen. Für Anwendungsbereiche, in denen die oben genannten Dokumente und Regelwerke keine hinreichenden Hinweise zur Umsetzung von IT-Sicherheitsmaßnahmen liefern, kann auf Elemente des BSI IT-Grundschutz zurückgegriffen werden. Eine genauere Einordnung sollte nach Konkretisierung der geplanten Neufassung des BSI IT-Grundschutz Ende 2015 erfolgen. Die regulatorische Rahmensetzung mit dem aktuellen Diskussionsstand zum IT-SiG, einer Anpassung des EnWG und des angekündigten IT-Sicherheitskatalogs der BNetzA berücksichtigen die vorgenannten Dokumente explizit (DIN ISO/IEC 27001, 27002 und DINISO/IEC TR 27019). Für eine effektive und effiziente Umsetzung der IT-Sicherheit in Stromnetzen bedarf es weiterer Konkretisierung zu folgenden Punkten: Ein durch den Netzbetreiber implementiertes IT-Sicherheitsniveau ist nahezu wirkungslos, wenn es im Hinblick auf die Systemsicherheit nicht im gleichen Maße durch Netzkunden und Betreiber von Erzeugungsanlagen umgesetzt wird. Die Sicherheitsanforderungen an diese Marktteilnehmer sind derzeit nicht im gleichen Maße beschrieben. Die Umsetzungsempfehlungen durch die DIN ISO/IEC 27002 und DIN ISO/IEC TR 27019 sind vorhanden. Ein detaillierter technischer Leitfaden zur Implementierung der Maßnahmen, spezifiziert auf die Anforderungen eines Netzbetreibers, liegt nicht vor. Derzeit existiert kein branchenspezifisches Prüfschema für eine ISMS-Zertifizierung. Derzeit ist nicht definiert, welche Informationssicherheitsereignisse meldepflichtig gegenüber BNetzA und/oder BSI sind insbesondere fehlen die Konkretisierung von Schwellwerten, 22/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN
Ereignisarten und die Erörterung anhand von Beispielen. Eine zum IT-Sicherheitsgesetz ergänzende Verordnung, die diese Fragestellungen aufgreift, wird Anfang 2016 erwartet. 3.2 Schlussfolgerung und Handlungsempfehlung Maßnahmen für die IT-Sicherheit sind ein wesentliches Element eines sicheren und zuverlässigen Netzbetriebes, um die hohe Versorgungsqualität zu erhalten. Die stärkere Vernetzung von Prozess-IT und öffentlichem Netz, sowie der zunehmende Austausch von Informationen und Daten zwischen den Netzbetreibern und anderen Marktpartnern erhöhen die Komplexität. Die wachsende Interaktion und Abhängigkeit von Komponenten, z.b. durch die steigende Anzahl dezentraler Erzeugungsanlagen, bringen neue Herausforderungen. Im Hinblick auf einen sicheren Netzbetrieb bedeutet dies, dass die IT-Verantwortung bzw. die Gewährleistung der Anforderungen an die IT-Sicherheit als bedeutende Funktion und Kernaufgabe des Netzbetriebes hinzukommt und vom Netzbetreiber wahrgenommen werden muss. Dabei ist zu betonen, dass der Aufwand für eine maximale Sicherheit gegen IT- Bedrohungen im Hinblick auf Organisation, Durchführung und Ressourcen erheblich ist. Die Einhaltung der bestehenden Regelwerke und Gesetzesanforderungen erhöht das Sicherheitsniveau. Die organisatorischen und technischen Maßnahmen müssen von den Mitarbeitern des Netzbetreibers auf die unternehmensspezifischen Gegebenheiten adaptiert und umgesetzt sowie regelmäßig überprüft und angepasst werden. Grundsätzlich ist davon auszugehen, dass die Anwendung der Normenreihe DIN ISO/IEC 27000 ein zentrales Element der Sicherheitskonzepte gegen IT-Bedrohungen sein wird. Da die regulatorische Rahmensetzung nicht vollständig abgeschlossen ist, kann eine abschließende Umsetzungsempfehlung noch nicht getroffen werden. Schlussfolgerungen und grundsätzliche Empfehlungen: Bei allen Netzbetreibern besteht die Notwendigkeit, ein Mindestmaß an IT- Sicherheitsmaßnahmen für alle relevanten Systeme sicherzustellen. Ein funktionierendes ISMS, als erste organisatorische Maßnahme, entfaltet eine adäquate Wirkung und muss Bestandteil der zukünftigen Aktivitäten der Netzbetreiber werden. Um die Informationssicherheit der im Geltungsbereich befindlichen Systeme zu gewährleisten, müssen regulatorische Anforderungen und technische Vorkehrungen nach dem Stand der Technik umgesetzt werden. Dies sind: organisatorische Maßnahmen (z.b. Bereitstellung entsprechender Ressourcen inklusive Benennung eines IT-Sicherheitsbeauftragten, Aufbau ISMS inklusive Identifikation entsprechender Prozesse, Festlegung der Verantwortlichkeiten, Risikoanalyse und Schutzbedarfsfeststellung, Personalsicherheit, physische und umgebungsbezogene Sicherheit) Technische Maßnahmen (z.b. grundsätzliche Anforderungen an Netzwerksegmentation, Schadsoftwareschutz, Verschlüsselung, Anforderungen an Protokollschnittstellen, Patchmanagement, Umgang mit Altsystemen) Mindestanforderungen an Lieferanten, Produkte, interne und externe Dienstleister (Orientierung am eigenen Sicherheitsniveau) VDE FNN März 2015 IT Sicherheit in Stromnetzen 23/24
Für ein wirkungsvolles ganzheitliches IT-Sicherheitskonzept müssen die im ISMS definierten Rollen sowohl für das Management als auch für die Fachbereiche angemessen ausgeprägt sein. Die Implementierung des ISMS beinhaltet die adäquate Einbeziehung der Geschäftsführung (Berücksichtigung in der Unternehmensstrategie und Organisationsvorgaben), des Mittleren Managements (Aufbau und Ablauforganisation, Ressourcenplanung, Berücksichtigung im Projektgeschäft, interne Regelwerke usw.) sowie des operativen Bereiches (Projektierer, Administratoren und Anwender - konkrete Anwendung und Umsetzung). Alle notwendigen organisatorischen und technischen Maßnahmen basieren in der Regel auf einer zyklischen Risikoabschätzung. Hierfür fehlen aktuell die entsprechenden regulatorischen Randbedingungen und Kriterien für ein gesellschaftlich einheitliches Bewertungsniveau. Im Ergebnis bedeutet die Einführung und Umsetzung von Sicherheitsmaßnahmen einen erheblichen Zusatzaufwand. Netzbetreiber müssen zukünftig wesentliche und zusätzliche Dokumentationsund Reporting-Pflichten erfüllen, sowie die Wirksamkeit der Maßnahmen durch regelmäßige Überprüfungen bzw. Zertifizierungen nachweisen. Eine wesentliche Herausforderung wird darin liegen, Mitarbeiter adäquat zu qualifizieren, entsprechende Dienstleister auszuwählen und den Stand der Technik für die spezifischen Belange der Netzbetreiber weiter auszuprägen und zu entwickeln. Die resultierenden unternehmensspezifischen Kosten sind derzeit weder beeinflussbar noch darstellbar. 24/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN