Bewegung an der Front

Management

Sicherheit - Etwas über ein Jahr ist das IT-Sicherheitsgesetz, das IT-SiG alt. Es beinhaltet unter anderem Änderungen am BSI-Gesetz und am EnWG (§11, Absatz 1a bis 1c). Unternehmen kritischer Infrastrukturen, also auch Energieversorger, müssen damit veränderten Anforderungen gerecht werden.

28. September 2016

Energieanlagenbetreiber sowie Gas- und Stromnetzbetreiber sind nach §11 Absatz 1c EnWG verpflichtet, Störungen der IT-Systeme gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Welche Betreiber unter die Neuregelungen fallen und ab welcher Größenklasse (»Schwellenwerten«) Anlagen oder Infrastrukturen als kritisch einzustufen sind, ist in der KRITIS-Verordnung festgelegt. Sie trat am 3. Mai 2016 in Kraft. Die aktuell gültige Meldepflicht wurde damit auch für den Energiesektor verbindlich.

Was zu melden ist

»Die Meldepflicht bezieht sich auf Sicherheitsvorfälle, die als ›außergewöhnliche IT-Störung‹ klassifiziert werden«, erklärt Carsten Maßloff, Geschäftsführer von Ceyoniq Consulting. Das Unternehmen berät versorgungswirtschaftliche Unternehmen seit 20 Jahren und hat mittlerweile weit über 30 Unternehmen aus diesem Bereich als Kunden.

Nicht unter solche außergewöhnliche Störungen fällt ein Angriff auf das Unternehmensnetzwerk von außen mit einem bekannten Schadprogramm, so Maßloff weiter. Wird allerdings ein Angriff mittels einem unbekannten Schadprogramm festgestellt, oder es werden Sicherheitslücken nach einem Software-Update des ERP-Systems festgestellt, so gilt dies als ›außergewöhnlich‹ und ist somit meldepflichtig.

Kommt es zu einem Sicherheitsvorfall, etwa dem Ausfall der IT-Systeme auch durch sogenannte ›gewöhnliche IT-Störungen‹, so liegt ebenfalls eine Meldepflicht vor. Eine genaue Abwägung sowie lückenlose Dokumentation sei unumgänglich. »Generell empfehlen wir, dass die Sicherheitsbeauftragten sich über Entwicklung und Neuerungen der Anforderungen informieren«, so Maßloff. Arbeitskreise und Initiativen wie die UP KRITIS arbeiten eng mit dem Gesetzgeber zusammen.

Energieversorger müssen sowohl erfolgte als auch drohende Sicherheitsvorfälle melden, ergänzt Holger Heimann, Geschäftsführer IT.sec. »Welchen Umfang dies annehmen wird, muss tatsächlich noch abgewartet werden.« Das Unternehmen bietet seit mehr als zehn Jahren Beratung für die Energiewirtschaft, die Anzahl der Kunden liegt im zweistelligen Bereich.

Wichtige Anforderungen

Auch müssten Unternehmen für sich entscheiden, ob sie Störungen selbst an das BSI melden oder idealerweise anonym über eine Meldestelle. Bei Einrichtung der Meldestelle und Aufbau eines geeigneten Information Security Incident Managements müsse etabliert werden, wie Vorfälle zu behandeln und zu bewerten sind.

Neben Kontaktstellen für die Meldung von Sicherheitsvorfällen an das BSI ist das Einführen eines Informationssicherheitsmanagementsystems (ISMS) und die regelmäßige Durchführung von Audits ein zentraler Aspekt der Anforderungen, erläutert Maßloff. »Die Verantwortung liegt dabei bei der Geschäftsleitung der betroffenen Unternehmen. Gerade durch die neue ISO 27001-Norm erhält die Managementbewertung ein besonders starkes Augenmerk.«

Eine weitere wichtige Anforderung aus dem IT-Sicherheitsgesetz ist ein sicherer Betrieb der eingesetzten Prozessleittechnik, ergänzt Heimann. »Insbesondere bei der Prozessleittechnik sind die Herausforderungen teils spannend, weil hier eine ganz andere Situation vorherrscht. Zum einen kommen die Verantwortlichen teils noch aus einer Welt ohne Netzwerkverbindungen, andererseits gibt es oft sehr enge Herstellerbindungen, bis hin zum de facto Outsourcing des Betriebs von Leittechnik.«

Sicherheitskatalog und ISMS

Die eigentlichen Maßnahmen, die Energieversorger treffen müssten, ergäben sich aus dem Anhang der ISO-Norm, den BSI-Grundschutz-Katalogen sowie aus den IT-Sicherheitskatalogen der Bundesnetzagentur, so Maßloff. Während der Sicherheitskatalog für Energieanlagenbetreiber nach dem neugeschaffenen §11, Absatz 1b EnWG noch nicht von der Bundesnetzagentur vorgelegt wurde, hat diese im August 2015 einen IT-Sicherheitskatalog für Betreiber von Gas- und Stromnetzen nach §11, Absatz 1a veröffentlicht.

Von dem Katalog nach §11 Absatz 1a sind Unternehmen jeder Größe betroffen, außer sie betreiben keine IT-Systeme im Sinne des Katalogs. Außerdem sind Netzbetreiber ausgenommen, die Systeme betreiben, bei denen keine Gefährdung besteht oder bei denen die Systeme vollständig von Dienstleistern betrieben werden. Der Netzbetreiber muss aber sicherstellen, dass der Dienstleister den IT-Sicherheitskatalog umsetzt und einhält, so die Bundesnetzagentur auf ihren Internetseiten. Dafür reiche ein Duplikat vom Zertifikat des Dienstleisters.

Netzbetreiber müssen laut Sicherheitskatalog unter anderem ein Informations-Sicherheitsmanagementsystem (ISMS) einführen, einen Ansprechpartner für die BNetzA festlegen und einen Netzstrukturplan erstellen. Das Zertifikat orientiert sich an der ISO 27001, berücksichtigt aber zusätzlich den IT-Sicherheitskatalog und die ISO 27019, erläutert der VKU auf seinen Internetseiten die Anforderungen. Er hat gemeinsam mit der Bitcom einen Leitfaden zur Umsetzung des Katalogs verfasst, der sich auf den Seiten des Verbands herunterladen lässt.

Bestehende Zertifikate, etwa nach ISO 27019 und BSI Grundschutz sind nicht ausreichend, so die BNetzA. Sie hat Anforderungen an Zertifizierungsstellen für das Zertifikat zum Sicherheitskatalog im April 2016 veröffentlicht, so dass sich Zertifizierer dafür akkreditieren lassen können.

Die größten Herausforderungen für die Energieversorger liegen im Aufbau von Know-How, im Aufbau eines Managementsystems inklusive Audit, Management Review und Zertifizierung und vor allem in der Prozess- und Risikoanalyse sowie Maßnahmenplanung, so Jörg Cordsen, Geschäftsführer von TTS Trusted Technologies and Solutions. Nach einer Studie, die TTS ein Jahr nach Erscheinen des IT-SiG durchgeführt hat, sehen über 50% der Unternehmen in diesen Bereichen die größten Herausforderungen. Das Unternehmen betreut seit 2002 Energieversorger, mittlerweile sind es knapp drei Dutzend.

Frist bis Januar 2018 einhalten

»Die wichtigste Anforderung ist wohl zeitlicher Natur. Energienetzbetreiber müssen Ende Januar 2018 ein Zertifikat liefern – aus einem Kaltstart, also ohne Know-how oder förderliche Vorarbeiten, wird das zu einer nervenaufreibenden Herausforderung.« Das Ergebnis der Risikoanalyse werde zeigen, welche Maßnahmen technischer, baulicher oder organisatorischer Natur zu treffen sind. Im Wesentlichen werden dies die Controls des Annex A der 27001 sowie die ergänzenden und zusätzlichen Controls der 27019 sein.

»Vom Projektstart bis zur Zertifizierung ist mit 12 bis 18 Monaten zu rechnen – es kann auch länger dauern, vor allem wenn es an Unterstützung durch das Management fehlt oder interne Ressourcen nicht verfügbar sind«, so Cordsen.

Mit bis zu zwei Jahren als Zeitfenster für ein ISMS-Projekt sollte man planen, rät Maßloff. Die Bundesdruckerei trifft in ihrem Whitepaper ähnliche Aussagen: Wie lange es dauere, ein zertifiziertes ISMS einzuführen, hänge vom Stand der Informationssicherheit im Unternehmen ab, heißt es dort. »In der Regel dauert es mindestens 15Monate vom Start des Projekts bis zur abschließenden Zertifizierung des ISMS«.

Sie beziffert den Projektaufwand pro ISMS auf rund 500.000Euro für Projektleitung, Risikoanalysen, Begleitung der Umsetzung organisatorischer und technischer Maßnahmen sowie zusätzlicher Managementkapazitäten. »Darin sind noch nicht die Kosten der technischen Maßnahmen an sich berücksichtigt.« Auch kämen noch laufende Aufwände hinzu.

Nachfrage steigt

»Nach einem sehr zurückhaltenden Interesse unmittelbar nach Inkrafttreten des IT-Sicherheitsgesetzes im Sommer 2015 ist seit Jahresbeginn 2016 eine deutliche Nachfragesteigerung im Markt zu spüren«, berichtet Maßloff zum IT-SiG. Die Zurückhaltung sei auf viele offene Fragen zurückzuführen gewesen, die mit Inkrafttreten der Verordnung am 3. Mai aber weitestgehend geklärt werden konnten.

Im Gesetz immer noch unklar oder nicht definiert ist aber zum Beispiel, ab wann genau davon auszugehen ist, dass eine Störung zu einer meldepflichtigen Beeinträchtigung führen kann, so Heimann. Auch was als Stand der Technik anzusehen sei, »vor allem unter Berücksichtung der Größe eines EVU«, ist nicht näher definiert.

»Bei der Einschätzung von Risiken im Sinne des ISMS können EVU teilweise voneinander abweichende Sichtweisen haben, was sich dann unmittelbar auf ein mehr oder weniger an Maßnahmen auswirkt«, führt er einen weiteren Punkt an. Auch gebe es durchaus noch Unklarheiten beim Scoping, also bei der Festlegung des Bereichs und der Abgrenzung zu sonstiger IKT, für den das IT-SiG anzuwenden ist.

Heimann berichtet von einer ähnlichen Nachfrageentwicklung: Mehr Dynamik ja, zugleich aber immer noch Unsicherheit. Man sei teilweise erstaunt gewesen, dass der Rücklauf zu Informationsveranstaltungen etablierter Anbieter teils mäßig war. »Offenbar ist noch nicht überall durchgedrungen, dass die Uhr läuft.«

Cordsen sieht das ähnlich: »Im Energiesektor besteht der größte Zugzwang. Nicht verwunderlich, dass wir hier die meisten Anfragen sowohl von Bestands- wie auch Neukunden erhalten.« Das decke sich auch mit den Ergebnissen der Studie. Der Umsetzungsstand und die eingeleiteten Maßnahmen seien erfreulich hoch. »Gleichwohl ist anzumerken, dass der Startschuss noch nicht überall gefallen ist.« (mwi)

Erschienen in Ausgabe: 08/2016