IT-Sicherheitsgesetz in Kraft getreten

Markt

Kritische Infrastrukturen - Der Hackerangriff auf das Datennetz des Deutschen Bundestages in Berlin wurde erst spät entdeckt. Dann war der Schaden irreparabel. So weit darf es bei Netzbetreibern oder Kraftwerken nicht kommen. Das neue IT-Sicherheitsgesetz legt ihnen zahlreiche Pflichten auf.

28. September 2015

Die IT-Sicherheitslage in Deutschland ist angespannt. Zunehmend werden Unternehmen und öffentliche Einrichtungen Ziel von Cyberangriffen, die zudem immer technologisch ausgereifter und komplexer werden. Vor diesem Hintergrund besteht das Ziel des am 25. Juli 2015 in Kraft getretenen IT-Sicherheitsgesetzes darin, die Sicherheit der Telekommunikations- und IT-Systeme in Deutschland zu verbessern, um aktuellen und zukünftigen Bedrohungen begegnen zu können. Besondere Bedeutung kommt dabei sogenannten kritischen Infrastrukturen aus den Bereichen Energie, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen zu, die für das Funktionieren des Gemeinwesens unerlässlich sind.

Mindeststandards

Diese Sektoren müssen künftig einen Mindeststandard im Hinblick auf die IT-Sicherheit einhalten. Zu der vom Gesetzgeber definierten Gruppe von Unternehmen gehören unter anderem auch die Betreiber von Energieversorgungsnetzen und Energieanlagen. Auch die IT-Strukturen dieser Betreiber sind verwundbar für Angriffe von außen. Sofern bei Cyberangriffen die Kontrolle über diese IT-Systeme übernommen wird beziehungsweise diese lahmgelegt werden, ist die sichere und zuverlässige Energieversorgung akut gefährdet.

Da eine funktionsfähige Energieversorgung entscheidend von intakten IT-Systemen abhängig ist, sieht das IT-Sicherheitsgesetz spezielle Anforderungen für den Betrieb von Energieversorgungsnetzen und Energieanlagen vor, die insbesondere in § 11 des Energiewirtschaftsgesetzes (EnWG) umgesetzt wurden.

Schutz der IT gemäß ENWG

Betreiber von Energieversorgungsnetzen sind gemäß § 11 Abs. 1 EnWG für einen sicheren Netzbetrieb verantwortlich. Der Betrieb eines sicheren Energieversorgungsnetzes wird im Hinblick auf die IT-Sicherheit in § 11 Abs. 1a EnWG konkretisiert. So umfasst ein sicherer Betrieb nicht nur die ausreichende Wartung und Instandhaltung des Netzes, sondern gemäß § 11 Abs. 1a EnWG auch einen angemessenen Schutz der IT-Systeme, die für einen sicheren Netzbetrieb notwendig sind. Mit dieser Regelung wird der Bedeutung von IT-Systemen für die Steuerung von Energieversorgungsnetzen im Rahmen einer funktionierenden Energieversorgung Rechnung getragen. Ein angemessener Schutz der für einen sicheren Betrieb eines Energieversorgungsnetzes erforderlichen IT-Systeme liegt gemäß §11 Abs. 1a Satz 4 EnWG nur dann vor, wenn die Anforderungen des IT-Sicherheitskataloges eingehalten werden, den die BNetzA im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) im August 2015 veröffentlicht hat.

Massnahmenkatalog

Insofern haben Energieversorgungsnetzbetreiber keine Möglichkeit, andere aus ihrer Sicht ausreichende Maßnahmen zum Schutz ihrer IT-Systeme zu ergreifen. Der Sicherheitskatalog stellt einen IT-sicherheitstechnischen Mindeststandard dar, der von den Netzbetreibern umzusetzen und einzuhalten ist.

Die Einhaltung der Anforderungen des IT-Sicherheitskataloges kann von der Regulierungsbehörde überprüft werden und ist durch die Energieversorgungsnetzbetreiber zu dokumentieren. Der IT-Sicherheitskatalog der BNetzA dient dem Schutz gegen Bedrohungen der für einen sicheren Netzbetrieb notwendigen IT-Systeme. Ziel des Katalogs ist die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten, der Integrität der verarbeiteten Informationen und Systeme sowie der Vertraulichkeit der mit den Systemen verarbeiteten Informationen. Zur Gewährleistung eines angemessenen Sicherheitsniveaus haben die Netzbetreiber ein Informationssicherheitsmanagementsystem (ISMS) einzurichten, dass den Anforderungen der DIN ISO/IEC 27001 genügt. Diese legt Leitlinien und allgemeine Prinzipien für Initiierung, Umsetzung, Betrieb und Verbesserung des Informationssicherheitsmanagements in einer Organisation fest. Dabei sind die Anforderungen der DIN immer im Hinblick auf die Erforderlichkeit eines sicheren Netzbetriebes anzuwenden.

Risiken einschätzen

Verantwortlich für die Einhaltung der Anforderungen des IT-Sicherheitskataloges ist der Netzbetreiber – auch, wenn er sich zur Umsetzung der Anforderungen Dritter bedient. Es ist sicherzustellen, dass der Betrieb der erforderlichen IT-Systeme ordnungsgemäß erfolgt. Die eingesetzten IT-Systeme müssen jederzeit beherrscht und technische Störungen als solche erkannt und behoben werden können. Ferner hat der Netzbetreiber einen Netzstrukturplan zu erstellen, in dem die vom IT-Sicherheitskatalog betroffenen Anwendungen, Systeme und Komponenten mit den Haupttechnologien und deren Verbindungen dargestellt werden.

Darüber hinaus hat der Netzbetreiber einen Prozess zur Risikoeinschätzung der Informationssicherheit festzulegen, die sich an den Schadenskategorien ›kritisch‹ (katastrophale Schadensauswirkungen), ›hoch‹ (beträchtliche Schadensauswirkungen) oder ›mäßig‹ (begrenzte Schadensauswirkungen) zu orientieren haben. Für die Koordination und Kommunikation der IT-Sicherheit müssen die Netzbetreiber der BNetzA ferner bis zum 30. November 2015 einen Ansprechpartner IT-Sicherheit und dessen Kontaktdaten benennen.

Dieser Ansprechpartner muss der Bundesnetzagentur auf Anfrage unter anderem zum Umsetzungsstand der Anforderungen des IT-Sicherheitskataloges, zu aufgetretenen Sicherheitsvorfällen sowie zu Maßnahmen zur Behebung beziehungsweise deren künftigen Vermeidung Auskunft erteilen.

Schließlich ist die Etablierung des ISMS sowie dessen Zertifizierung bis zum 31. Januar 2018 umzusetzen und der Bundesnetzagentur mitzuteilen. Nicht nur Cyberangriffe auf IT-Systeme von Energieversorgungsnetzen, sondern auch auf die von Energieanlagen können eine sichere Energieversorgung akut gefährden. Um einen umfassenden Schutz für einen sicheren Netzbetrieb sicherstellen zu können, werden gemäß §11 Abs. 1b EnWG zudem erstmals auch Betreiber von Energieanlagen, die mit dem Energieversorgungsnetz verbunden sind, in die gesetzlichen IT-Pflichten eingebunden.

Überall dort, wo eine Gefährdung für den Netzbetrieb möglich ist, müssen Energieanlagenbetreiber Sicherheitsmaßnahmen zum Schutz ihrer IT-Systeme ergreifen. Die Anforderungen richten sich jedoch nur an Betreiber von solchen Energieanlagen, die auf Grundlage einer – allerdings noch zu erlassenen – Rechtsverordnung künftig als kritische Infrastruktur bestimmt werden. Dies werden voraussichtlich unter anderem Kraftwerks-, Wind- und Solarparkbetreiber sein. Die BNetzA wird für die Betreiber von Energieanlagen ebenfalls einen IT-Sicherheitskatalog zur Umsetzung IT-sicherheitstechnischer Mindeststandards veröffentlichen.

Auch für Sicherheitsanlagen

IT-Sicherheitsvorfälle, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Energieversorgungsnetze oder der betreffenden Energieanlagen führen könnten oder geführt haben, sind der BSI unverzüglich zu melden. Energieversorgungsnetzbetreiber, aber auch Betreiber von Energieanlagen, sollten sich rechtzeitig mit den gesetzlichen Anforderungen und dem damit verbundenen Aufwand beschäftigen. Da die Implementierung des ISMS aufwendig und kostenintensiv ist, sollte mit der Umsetzung – unter anderem auch mit Blick auf die Kostenanerkennung im Rahmen der Netzentgeltkalkulation sowie die Basisjahre der Anreizregulierung – zeitnah begonnen werden.

Ohne ein zertifiziertes ISMS ist der Netzbetrieb künftig nicht mehr zulässig. Ungeachtet dessen dient die Umsetzung der IT-Standards nicht nur der Erfüllung gesetzlicher Anforderungen, sondern auch dem Schutz eigener unternehmerischer Interessen.

Dr. Hans-Christoph Thomale (FPS)

Erschienen in Ausgabe: 08/2015