IT-Sicherheitskatalog der BNetzA Informationssicherheit bei Netzbetreibern



Ähnliche Dokumente
Online bewerben - so funktioniert's

Grenzen zulässiger Rechtsberatung. Rechtsanwalt Dr. Nicolai von Holst 23. September 2015

Wann Ihnen Deloitte Finance Advisory helfen kann 7x7 Schlüsselfragen zur Identifizierung von Optimierungspotenzial in Ihrer Finanzfunktion

Unterstützung bei Kartellverfahren

NewTV Summit 2015 Video-on-Demand: Start frei für Premium-TV

Arbeitswelten der Zukunft Flexibles Arbeiten

Deloitte Christmas Survey 2015 Belebung für das Weihnachtsgeschäft. Oktober 2015

GPP Projekte gemeinsam zum Erfolg führen

Wertorientiertes Kunden- und Prozessmanagement Ansatz zur Integration. Frankfurt, November 2013

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

IT-Sicherheit in der Energiewirtschaft

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

ITIL & IT-Sicherheit. Michael Storz CN8

Anforderung an die Datensicherung Sicht der Wirtschaftsprüfung. David Pewal 20. Mai 2014

HERZLICH WILLKOMMEN! RESSOURCENMANAGEMENT

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH

Der Schutz von Patientendaten

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

Einladung. Bridging the gap US and German tax laws

Einladung. Potenziale nutzen und Risiken erkennen.

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag

Interne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht!

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Dieter Brunner ISO in der betrieblichen Praxis

Engagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Security & Safety in einer smarten Energiewelt. Ergebnisse der Breitenbefragung Stand März 2013

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Einladung. Brauwirtschaftliche Tagung

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Konzentrieren Sie sich auf Ihr Kerngeschäft! Wir sind Ihre Personalabteilung vor Ort.

IT-Security Portfolio

Deloitte Center for Data Privacy (CDP) Ganzheitliche Lösungen im Bereich Datenschutz

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Informationssicherheitsmanagement

Risikoanalyse mit der OCTAVE-Methode

Hype oder Hoffnungsträger? IoT und die Zukunft der Consumer Electronics. Berlin, 2. September 2015

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen.

360 - Der Weg zum gläsernen Unternehmen mit QlikView am Beispiel Einkauf

Prozessoptimierung. und. Prozessmanagement

Einführung eines ISMS nach ISO 27001:2013

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

DER SELBST-CHECK FÜR IHR PROJEKT

Internationaler Bankentag 2015 Financial Conduct

Checkliste zur qualitativen Nutzenbewertung

IT-Security Portfolio

Mit Sicherheit gut behandelt.

Mit dem richtigen Impuls kommen Sie weiter.

Cyber Security Empfehlungen zum IT-Sicherheitsgesetz

Mehr Effizienz und Wertschöpfung durch Ihre IT. Mit unseren Dienstleistungen werden Ihre Geschäftsprozesse erfolgreicher.

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Seminareinladung - Netzbetrieb & IT -

KitaStar 2015 Kita forscht!

Effizientes Risikomanagement für den Mittelstand

Common Reporting Standard (CRS) Der Schlüssel zur grenzenlosen Steuertransparenz?

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

MUSTER-IT-SICHERHEITSKONZEPTE DER EKD

Echte Leckerbissen Für Ihren Berufseinstieg

Informationssicherheit als Outsourcing Kandidat

WARENWIRT- SCHAFT UND ERP BERATUNG Mehr Sicherheit für Ihre Entscheidung

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Nutzung dieser Internetseite

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Risikomanagement Gesetzlicher Rahmen SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten?

.. für Ihre Business-Lösung


Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

Verpasst der Mittelstand den Zug?

Prüfung und Zertifi zierung von Compliance-Systemen. Risiken erfolgreich managen Haftung vermeiden

Studieren an den Dualen Hochschulen mit Deloitte Ein Leitfaden

IDV Assessment- und Migration Factory für Banken und Versicherungen

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

Wir organisieren Ihre Sicherheit

Tender Manager. Sparen Sie Zeit und Kosten durch eine optimierte Erstellung Ihrer individuellen IT-Ausschreibungen

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

Unternehmensleitbild. Vision Mission Werte Spielregeln

Wer wir sind. Qualität ist das Ergebnis gewissenhafter Arbeit. Denn nur die setzt sich durch. Unser Profil

Rückenwind für Bezahlinhalte? Digital Democracy Survey 2014

erfahren unabhängig weitsichtig

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Finanzierung für den Mittelstand. Leitbild. der Abbildung schankz

IT-Sicherheitsmanagement bei der Landeshauptstadt München

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Personal- und Kundendaten Datenschutz bei Energieversorgern

Das Handwerkszeug. Teil I

Gestaltungsbeispiel Holdingstruktur

Rundum-G. Die Anforderungen durch ständig steigende

Stand vr bank Südthüringen eg 1 von 10. Smart TAN plus Umstellungsanleitung VR-NetWorld Software

Deloitte Center for Data Privacy (CDP)

Datenschutzbeauftragte

Transkript:

IT-Sicherheitskatalog der BNetzA Informationssicherheit bei Netzbetreibern

Die Energiewirtschaft wird zunehmend digital. Netzbetreiber sind bereits heute und zukünftig noch stärker auf IKT-Lösungen zur erfolgreichen Bewältigung der Energiewende angewiesen. Doch mit neuen IKT-basierten Prozessen, zunehmender Vernetzung der Business- und Prozess-IT sowie mit dem Zuwachs der Datenmenge wachsen auch die Risiken für die Unternehmen. Die jüngsten Probleme und Sicherheitsvorfälle zeigen, dass die Gefahr durch Nichtverfügbarkeit, Manipulation oder Diebstahl von Informationen bereits heute präsent ist. Es ist zu erwarten, dass diese Bedrohung zukünftig zunehmen wird. Beispiele von bekannt gewordenen Vorfällen 2012 setzten Unbekannte mit einem DDoS-Angriff die Webseiten und die E-Mail-Infrastruktur eines deutschen ÜNBs außer Betrieb. 2013 bestand eine konkrete Netzausfallgefahr in österreichischen und deutschen Netzen durch einen fehlgeleiteten Steuerbefehl eines deutschen Energieversorgers. 2014 wurden 1.000 Smart Meters von eigenen Mitarbeitern eines Stromversorgers unbemerkt so manipuliert, dass sie einen zu niedrigen Stromverbrauch erfassten und damit Stromdiebstahl ermöglichten. Insbesondere im Bereich der kritischen Infrastrukturen kann eine fehlende Informationssicherheit erhebliche ökonomische bzw. gesellschaftliche Schäden auslösen. Dies erklärt auch die Brisanz des Themas für Netzbetreiber. Mit der Verabschiedung des IT- Sicherheitskatalogs der BNetzA werden Netzbetreiber zur Implementierung eines ISMS verpflichtet. Informationssicherheit im Fokus der BNetzA Mit dem Entwurf des IT-Sicherheitskataloges der Bundesnetzagentur (BNetzA) liegt derzeit ein relevantes Regelwerk zur Sicherstellung der Informationssicherheit bei Netzbetreibern vor. Er basiert auf 11 Absatz 1a EnWG und umfasst vorrangig Maßnahmen zum Schutz der IKT im Bereich der Netzsteuerung. Eine zentrale Forderung ist die Einführung und anschließende Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) gemäß ISO/IEC 27001. Die Verabschiedung des Kataloges wird Mitte 2015 erwartet. Zusätzlich wurde am 12. Juni 2015 das neue IT-Sicherheitsgesetz verabschiedet, das die betroffenen Unternehmen der kritischen Infrastruktur verpflichtet, einen sog. Grundschutz einzuführen und bei Angriffen einer noch zu definierenden Meldepflicht nachzukommen. Der IT- Sicherheitskatalog der BNetzA konkretisiert die Anforderungen an Netzbetreiber und verpflichtet die betroffenen Unternehmen zum zügigen Handeln. Bei all dem steht die oberste Managementebene der Netzgesellschaften in der Verantwortung und der Verpflichtung, den Aufbau und Betrieb eines wirksamen und wirtschaftlichen ISMS durch entsprechende strategische, ressourcenbezogene und organisatorische Entscheidungen sicherzustellen. Spezifika eines ISMS für Netzbetreiber In Anlehnung an den IT-Sicherheitskatalog der BNetzA sind die Schutzziele Verfügbarkeit der zu schützenden Systeme und Daten Integrität der verarbeiteten Systeme und Informationen Vertraulichkeit der mit den betrachteten Systemen verarbeiteten Information von zentraler Bedeutung. Damit rücken mindestens die Systeme in den Fokus, welche die Fahrweise des Netzes mittelbar oder unmittelbar beeinflussen und die Versorgungssicherheit tangieren. Hierzu zählen z.b.: Leitsysteme und der Systembetrieb Übertragungs-, Telekommunikations- und Netzwerktechnik Sekundär-, Automatisierungs- und Fernwirktechnik Die BNetzA ordnet ihrerseits alle Systeme der Netzsteuerung in die hohe bis sehr hohe Schutzbedarfskategorie ein. 2

Um die ISO/IEC 27001 auf die spezifischen Systeme der Netzbetreiber zu adaptieren und eine Zertifizierung zu ermöglichen, stehen die Netzbetreiber vor enormen Herausforderungen. Denn welche Maßnahmen zu ergreifen sind, wird zunächst nicht vorgegeben. Festzuhalten bleibt hierzu nur, dass es in den Verantwortungsbereich des Netzbetreibers fällt, angemessene und dem Stand der Technik entsprechende Schutzmaßnahmen zur Erfüllung der Schutzziele bzw. Gewährleistung der Versorgungssicherheit zu treffen. Im Schadensfall ist der Netzbetreiber in der Nachweispflicht, dass er ausreichend effektive und angemessene Maßnahmen getroffen hat. In einem ISMS für Netzbetreiber genießt grundsätzlich das Schutzziel der Verfügbarkeit der Systeme und Daten hohe Priorität und wird sich daher in Schutzniveaus und den entsprechenden Schutzmaßnahmen widerspiegeln. Zudem unterscheidet sich die technische Systemlandschaft des Netzbetreibers in ihren Sicherheitsanforderungen von herkömmlichen IT-Umgebungen deutlich. So sind bei der Netzsteuerung häufig Altsysteme mit lückenhafter Sicherheitsarchitektur im Einsatz und nicht selten hat der Systemhersteller den Support bereits eingestellt. Prozessnahe IT-Systeme sind zudem eng auf die jeweilige Hardware ausgerichtet und bieten eingeschränkte Möglichkeiten zur Erweiterung um Sicherheitskomponenten. Allgemein bekannte Standardlösungen für IT-Sicherheit sind daher bei Netzbetreibern häufig nicht anwendbar oder ermöglichen kein ausreichendes Schutzniveau. So werden die Standardmaßnahmen wie Einsatz von Firewalls, Virenschutzprogrammen und Berechtigungsverwaltung bei Weitem nicht ausreichen. Weitere technische Maßnahmen wie Härtung der Systeme, Einsatz von Whitelists, Verschlüsselung, Netzwerksegmentierung etc. sind unbedingt in den Lösungsansatz aufzunehmen. Organisatorische Maßnahmen gehören ebenfalls dazu und müssen für die Umgebung des Netzbetreibers angepasst und eingeführt werden. Hierzu zählen die Konzepte für das Vorfallsmanagement, für Not- und Krisenfälle, aber auch das Trainings- und Awareness-Programm für alle Mitarbeiter, damit die Unternehmen bspw. auch Social-Engineering-Angriffen entgegen treten können. Funktionalitäten der Prozess-IT. Zum anderen muss die Kenntnis zum Stand der Technik für wirksame Schutzmaßnahmen in ausreichendem Maße vorliegen. Das richtige Zusammenspiel dieser beiden Komponenten ist ausschlaggebend für die erfolgreiche Einführung, den Betrieb und die regelmäßige Anpassung des ISMS und damit die Umsetzung der Anforderungen des IT- Sicherheitskatalogs. Abb. 1 Regulatorischer Rahmen und Richtlinien Nationale Gesetzgebung IT-Sicherheitsgesetz Bundesdatenschutzgesetz Energiewirtschaftsgesetz Regulatorischer Rahmen (BNetzA) IT-Sicherheitskatalog (noch nicht verabschiedet) Normen und Standards ISO/IEC 27001 BSI IT Grundschutz katalog Weitere Normen z.b. von NIST Sonstige Rahmenwerke und Whitepapers BDEW Whitepaper zu Anforderungen an sichere Steuerung- und TK-Systeme ENISA Guidelines for Security measures for Smart Grids Weitere Rahmenwerke z.b. von NIST, ITIL und CobiT Nicht zuletzt aus diesem Grund ist ein netzbetreiberspezifisches und individuell ausgerichtetes ISMS auszugestalten. Dabei soll die Zertifizierung nach ISO/IEC 27001 lediglich einen Mindeststandard beim jeweiligen ISMS sicherstellen. Voraussetzung hierfür sind zwei Aspekte: Zum einen bedarf es eines tiefen Verständnisses zu den 3

Unsere Leistungen Angesichts der in Kürze erwarteten Verabschiedung des IT-Sicherheitskataloges und damit zusammenhängenden Verpflichtung zur Einführung eines ISMS ist es für Netzbetreiber jetzt notwendig, sich mit den an sie gerichteten Anforderungen auseinanderzusetzen, Lösungsansätze aufzuarbeiten und die Umsetzung zu starten. Sehr gerne unterstützen wir Sie bei den Herausforderungen des ISMS. Hierfür steht Ihnen ein erfahrenes und interdisziplinäres Team aus Spezialisten unserer Energy & Resources Practice und der Cyber Risk Services Practice zur Verfügung. Unsere Vorgehensweise bei der Entwicklung und Einführung Ihres ISMS orientiert sich an den Vorgaben der ISO/IEC 27001, dem vorgeschlagenen Vorgehen im IT-Sicherheitskatalog und den Standards des BSI sowie Umsetzungsempfehlungen des BDEW. In Abb. 2 ist unsere Vorgehensweise in fünf Schritten skizziert. 1. Set-up festlegen: Zunächst grenzen wir den Geltungsbereich, die Sicherheits- und Schutzziele sowie die wesentlichen Rollen und Verantwortlichkeiten ab. 2. Ist-Analyse durchführen: Anschließend analysieren und kategorisieren wir die vorhandenen Assets. Hierbei erfolgt die Einordnung in Schutzbedarfskategorien, die die Basis zur Ableitung des Umfangs an Schutzmaßen bilden. 3. Maßnahmen konzipieren: Für die jeweiligen Assets bzw. Systeme konzipieren wir Maßnahmen, die sowohl IT-technische als auch organisatorische Aspekte berücksichtigen. Weiterhin erstellen wir den Maßnahmenkatalog und helfen bei der Priorisierung zur Umsetzung. 4. Maßnahmen umsetzen: Wir implementieren und dokumentieren die Sicherheitsorganisation und die Managementprozesse. Weiterhin schulen wir die betroffenen Mitarbeiter zur operativen Umsetzung des ISMS-Konzeptes. 5. Regelmäßiger Health Check: Wir unterstützen bei der Festlegung und Durchführung eines Review- Programms. Die Ergebnisse fließen wiederum in die Verbesserung des ISMS ein. Als Kunde profitieren Sie bei der Implementierung eines ISMS von der Branchenerfahrung unserer Berater, die in zahlreichen Projekten zu unterschiedlichsten Themen bei Netzbetreibern (Asset-Management, Systemführung, Netzwirtschaft usw.) Erfahrungen und Wissen aufgebaut haben. Wir haben in einer Vielzahl von Projekten bereits unsere Expertise in der Konzeption und Umsetzung von ISMS in komplexen Organisationen bewiesen. Wir sind weltweit einer der führenden Anbieter hierfür. Kontaktieren Sie uns gerne stellen wir Ihnen unsere Erfahrung mit der Einführung von Informationssicherheits-Managementsystemen dar. Als Kunde profitieren Sie bei der Implementierung eines ISMS von der Branchenerfahrung unserer Berater. 4

Abb. 2 Vorgehen zur Einführung eines ISMS bei Netzbetreibern Set-up festlegen Festlegung des Geltungsbereiches des ISMS Festlegung der Informationssicherheitspolitik und der Informationssicherheitsziele Definition und Verankerung aller Rollen und Verantwortlichkeiten im Bezug auf Informationssicherheit Maßnahmen umsetzen Aufbau der Sicherheitsorganisation, Implementierung von Managementprozessen Umsetzung und Dokumentation der Sicherheitsmaßnahmen Schulungsmaßnahmen für Mitarbeiter Vorbereitungsmaßnahmen zur Zertifizierung 1 2 ISMS 4 3 Ist-Analyse durchführen Identifikation organisationseigener Assets im Sinne des BNetzA-Kataloges Darstellung der Assets in einem Netzstrukturplan Identifizierung der Gefährdungsarten für die jeweiligen Assets Einordnung der Assets in Schutzbedarfskategorien Maßnahmen konzipieren Aufzeigen der jeweils angemessensten Schutzmaßnahme (Stand der Technik) Festlegung der konkreten Maßnahmen für die Systeme Priorisierung der Maßnahmen für den Roll-out Dokumentation der Maßnahmen 5 Regelmäßiger Health Check Durchführung von regelmäßigen Prüfungen zur Wirksamkeit des ISMS (z.b. jährlich) Überprüfung der Umsetzung von bereits festgelegten Optimierungsmaßnahmen Erkennen von weiteren Optimierungspotenzialen unter Berücksichtigung von IT-Weiterentwicklungen und Veränderungen bei den Sicherheitsstandards 5

Ihre Ansprechpartner Für mehr Informationen Dr. Andreas Langer Director Energy & Resources Tel: +49 (0)69 75695 6512 anlanger@deloitte.de Peter Wirnsperger Partner Cyber Risk Services Tel: +49 (0)40 32080 4675 pwirnsperger@deloitte.de Peter Kestner Partner Cyber Risk Services Tel: +49 (0)89 29036 8064 pkestner@deloitte.de Für weitere Informationen besuchen Sie unsere Webseite auf www.deloitte.com/de Die Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft ( Deloitte ) als verantwortliche Stelle i.s.d. BDSG und, soweit gesetzlich zulässig, die mit ihr verbundenen Unternehmen und ihre Rechtsberatungspraxis (Deloitte Legal Rechtsanwaltsgesellschaft mbh) nutzen Ihre Daten im Rahmen individueller Vertragsbeziehungen sowie für eigene Marketingzwecke. Sie können der Verwendung Ihrer Daten für Marketingzwecke jederzeit durch entsprechende Mitteilung an Deloitte, Business Development, Kurfürstendamm 23, 10719 Berlin, oder kontakt@deloitte.de widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited ( DTTL ), eine private company limited by guarantee (Gesellschaft mit beschränkter Haftung nach britischem Recht), ihr Netzwerk von Mitgliedsunternehmen und ihre verbundenen Unternehmen. DTTL und jedes ihrer Mitgliedsunternehmen sind rechtlich selbstständig und unabhängig. DTTL (auch Deloitte Global genannt) erbringt selbst keine Leistungen gegenüber Mandanten. Eine detailliertere Beschreibung von DTTL und ihren Mitgliedsunternehmen finden Sie auf www.deloitte.com/de/ueberuns. Deloitte erbringt Dienstleistungen aus den Bereichen Wirtschaftsprüfung, Steuerberatung, Consulting und Corporate Finance für Unternehmen und Institutionen aus allen Wirtschaftszweigen; Rechtsberatung wird in Deutschland von Deloitte Legal erbracht. Mit einem weltweiten Netzwerk von Mitgliedsgesellschaften in mehr als 150 Ländern und Gebieten verbindet Deloitte herausragende Kompetenz mit erstklassigen Leistungen und steht Kunden so bei der Bewältigung ihrer komplexen unternehmerischen Herausforderungen zur Seite. Making an impact that matters für mehr als 210.000 Mitarbeiter von Deloitte ist dies gemeinsame Vision und individueller Anspruch zugleich. Diese Veröffentlichung enthält ausschließlich allgemeine Informationen, die nicht geeignet sind, den besonderen Umständen des Einzelfalls gerecht zu werden und ist nicht dazu bestimmt, Grundlage für wirtschaftliche oder sonstige Entscheidungen zu sein. Weder die Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft noch Deloitte Touche Tohmatsu Limited, noch ihre Mitgliedsunternehmen oder deren verbundene Unternehmen (insgesamt das Deloitte Netzwerk ) erbringen mittels dieser Veröffentlichung professionelle Beratungs- oder Dienstleistungen. Keines der Mitgliedsunternehmen des Deloitte Netzwerks ist verantwortlich für Verluste jedweder Art, die irgendjemand im Vertrauen auf diese Veröffentlichung erlitten hat. 2015 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft Stand 06/2015

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback