np FACHTHEMAIT-Sicherheit

40 np Jg.55 (2016), Heft 9

Umsetzung des IT-Sicherheitsgesetzesin der Energiewirtschaft

fügbarkeit, Integrität, Authentizitätund Vertraulichkeit der jeweiligeninformationstechnischen Systeme,Komponenten oder Prozesse die-nen. Dabei soll der Stand der Tech-nik eingehalten werden.

Herzlich willkommen in der Weltder Paragraphen! Was für Juristeneine Fingerübung ist, ist für diemeist technisch orientierten Ver-antwortlichen einer Versorgungsin-frastruktur, besonders bei kleinerenBetreibern, in der Regel eine massi-ve Herausforderung. Zur Erläute-rung mögen fünf einfache Fra-gestellungen dienen, die sich ohnelanges Überlegen aus diesem §8aergeben:1. Was genau wird als kritische In-

frastruktur definiert?

zu 1. Kritische Infrastruktur

Dazu wird im ITSG auf §10 Ab-satz 1 verwiesen, in dem erklärtwird, dass das BMI (Bundesminis-terium des Innern) durch Rechts-verordnung bestimmt, welche Ein-richtungen, Anlagen oder Teile da-von als kritische Infrastrukturen imSinne dieses Gesetzes in Betrachtkommen. Um welche Rechtsver-ordnung es sich handelt, erfährtder Leser im ITSG nicht. Statt des-sen findet sich auf der Internetseitedes BMI die »Verordnung zur Be-stimmung Kritischer Infrastruktu-ren (BSI-KritisV)«, die am 3. Mai2016 in Kraft getreten ist und regelt,welche Unternehmen aus den Sek-toren Energie, Informationstechnik

Für kritische Infrastrukturen in der Energie-wirtschaft wird seit Mitte 2015 der Aufbauvon Informations-Sicherheits-Management-Systemen (ISMS) vom Gesetzgeber gefor-dert. Mit der neun Monate später verab-schiedeten BSI-Kritisverordnung wird jetztendlich auch verbindlich definiert, was un-ter einer kritischen Infrastruktur im Sinnedes §10 Absatz 1 Satz 1 des BSI-Gesetzeszu verstehen ist. Für Unternehmen der Energiewirtschaft ergibt sich spätestens mitder BSI-KritisV umgehender Handlungsbe-darf, wenn sie die unveränderte gesetzlicheFrist zur Einführung und Zertifizierung einesISMS einhalten wollen.

Branchenspezifische Regelungen

Für die Energiewirtschaft gilt seit24.07.2015 das IT-Sicherheitsgesetz(ITSG), das am 12.08.2015 durchden IT-Sicherheitskatalog der Bun-desnetzagentur ergänzt wurde. Mit§8a des ITSG wurde beispielsweisedas BSI-Gesetz (BSIG) geändert:Die Betreiber kritischer Infrastruk-turen werden mit einer Zweijahres-Frist verpflichtet, angemessene or-ganisatorische und technische Vor-kehrungen zu treffen, die für dieFunktionsfähigkeit der von ihnenbetriebenen kritischen Infrastruk-turen maßgeblich sind. Konkretsollen diese Vorkehrungen zur Ver-meidung von Störungen der Ver-

2. Welche informationstechnischenSysteme, Komponenten und Pro-zesse sind konkret gemeint?

3. Was ist unter angemessenen Vor-kehrungen zu verstehen?

4. Was ist mit dem aktuellen Standder Technik gemeint?

5. Wann beginnt die Zweijahres-Frist?Die Antworten ergeben sich nicht

unmittelbar aus dem jeweiligen Pa-ragraphen, sondern aus Querver-weisen, anderen Gesetzen und Re-gularien sowie Expertenwissen un-terschiedlichster Couleur.

und Telekommunikation sowieWasser und Ernährung unter dasITSG fallen.(http://www.kritis.bund.de/SubSites/Kritis/DE/Aktuelles/Meldungen/160502_KritisV_Inkrafttreten.html).

zu 2. IT-Systeme, -Komponentenund Prozesse

Ein erstes Gefühl dafür ergibt sichaus §11 Absatz 1a EnWG (Ener-giewirtschaftsgesetz), der durchdas ITSG ebenfalls geändert wurde:Demnach geht es um den Schutz

Dipl.-Ing. (BA) Rolf Bachmann, Business Development Manager, Controlware GmbH, Dietzenbach

Bild 1: Berücksichtigung der ISO/IEC 27019:2013

von Telekommunikations- und elek-tronischen Datenverarbeitungssys-temen, die für einen sicheren Netz-betrieb erforderlich sind. Ohneweitere Detaillierung wird auf denIT-Sicherheitskatalog der Bundes-netzagentur verwiesen, der zusam-men mit dem BSI (Bundesamt fürSicherheit in der Informationstech-nik) erarbeitet und dessen Anwen-dung mit der Verabschiedung desITSG verbindlich für alle Energie-versorger wurde. In diesem findetsich unter anderem der Verweis aufdie ISO/IEC 27019, in der die be-troffenen Systeme, Komponentenund Prozesse näher definiert wer-den (Bild 1).

zu 3. Angemessene Vorkehrungen

»Angemessen« ist typisches Juris-tendeutsch und gibt sowohl demBetreiber einer Infrastruktur alsauch dem Gesetzgeber einen ge-wissen Spielraum bei der Ausle-

41np Jg.55 (2016), Heft 9

ken im Hinblick auf die Schutzzielefür die vom Katalog erfassten Kom-ponenten, Systeme und Anwen-dungen bestehen. Die Risikoein-schätzung orientiert sich an denSchadenskategorien »kritisch« (=existentiell bedrohlicher Schaden),»hoch« (= beträchtlicher Schaden)und »mäßig« (= begrenzter, über-schaubarer Schaden). Bei der Ein-stufung sind mindestens die fol-genden Kriterien zu berücksichti-gen:a. Beeinträchtigung der Versor-

gungssicherheit,b. Einschränkung des Energieflusses,c. betroffener Bevölkerungsanteil,d. Gefährdung für Leib und Leben,e. Auswirkungen auf weitere Infra-

strukturen (z. B. vor- und nach-gelagerte Netzbetreiber, Wasser-versorgung, Treibstoffversorgung),

f. Gefährdung für Datensicherheitund Datenschutz durch Offenle-gung oder Manipulation,

g. finanzielle Auswirkungen.

destens die im Geltungsbereich be-schriebenen Systeme umfassen.Bei der Implementierung des ISMSsind die Normen DIN ISO/IEC27002 und ISO/IEC TR 27019 (DINSPEC 27019) in der jeweils gelten-den Fassung zu berücksichtigen.Weiterhin ist der Netzbetreiber ver-pflichtet, die Konformität seinesISMS mit den Anforderungen desIT-Sicherheitskatalogs bis zum31.01.2018 durch ein Zertifikat zubelegen. Die Zertifizierung mussdurch eine unabhängige und fürdie Zertifizierung akkreditierte Stel-le durchgeführt werden. Die Bun-desnetzagentur hat hierzu gemein-sam mit der Deutschen Akkreditie-rungsstelle (DAkkS) ein entspre-chendes Konformitätsprogrammzur Akkreditierung von Zertifizie-rungsstellen für den IT-Sicherheits-katalog gemäß §11 Absatz 1a EnWGauf der Basis von ISO/IEC 27006 er-arbeitet und am 13.4.2016 veröf-fentlicht.

zu 5. Zweijahres-Frist

Die Frist beginnt mit der Verab-schiedung der Rechtsverordnung,auf die in §10 Absatz 1 ITSG verwie-sen wurde, zu laufen. Dabei han-delt es sich um die zuvor erwähnteBSI KritisV, die seit dem 3. Mai 2016in Kraft ist. Somit läuft die Frist am2. Mai 2018 aus.

Kernvoraussetzungen für eine erfolgreiche Umsetzung

Anhand dieses willkürlich her-ausgegriffenen Beispiels sollte spä-testens jetzt klar sein, dass jedeseinzelne Unternehmen der Versor-gungswirtschaft – und speziell derEnergiewirtschaft – eine gehörigeAufgabe vor der Brust hat. Folgtman den gesetzlichen Vorgaben, soist der Aufbau eines Information-Security-Management-Systems(ISMS) der Schlüssel zur Bewälti-gung dieser Aufgabe. Bei einemISMS handelt es sich um die Verfah-ren und Regeln innerhalb eines Un-ternehmens, die dazu dienen, dieInformationssicherheit zu definie-ren und dauerhaft zu steuern, zukontrollieren, aufrechtzuerhaltenund fortlaufend zu verbessern. Da-mit wird klar, dass es sich um einenProzess und keineswegs um Hard-oder Software handelt, wie die Be-

Bild 2: ISO/IEC 27001:2013 – Einzeldienstleistungen

gung. Dies ist jedoch kein Freibrief,denn maßgeblich ist hierbei das Ri-siko, dem der betroffene Anlagen-teil ausgesetzt ist. Details zur Ein-schätzung und Behandlung dessel-ben finden sich im bereits erwähn-ten IT-Sicherheitskatalog bzw. inder DIN ISO/IEC 27001:2015-3, aufdie verwiesen wird. Dort ist be-schrieben, dass der Netzbetreibereinen Prozess zur Risikoeinschät-zung der Informationssicherheitfestlegen muss. Ziel dieses Prozes-ses ist es, festzustellen, welche Risi-

zu 4. Aktueller Stand der Technik

Auch wenn ein Information-Se-curity-Management-System (ISMS)im ITSG nicht explizit genanntwird, so ist dieser Ansatz zur Auf-rechterhaltung von Informationssi-cherheit aktuell Stand der Technik.Folglich ist der Aufbau eines ISMSauch eine Kernforderung aus demIT-Sicherheitskatalog. Dieses mussden Anforderungen der DINISO/IEC 27001 in der jeweils gel-tenden Fassung genügen und min-

np FACHTHEMAIT-Sicherheit

42 np Jg.55 (2016), Heft 9

zeichnung eventuell auf den erstenBlick vermuten lässt. Details sind inder internationalen Norm ISO/IEC27001 definiert. Im Rahmen derEinführung werden alle anderenThemen aus dem IT-Sicherheitska-talog (Bild 2) berücksichtigt.

Allerdings sollten Sie sich darüberim Klaren sein, dass ein ISMS per senoch nicht zu höherer IT-Sicherheitführt. Diese ist letztlich erst eineFolge der Maßnahmen, die Siedurch ein ISMS erkannt, priorisiertund schließlich umgesetzt haben.

Unabhängig von der Branche,Größe oder Struktur eines Unter-nehmens sind folgende Faktorenwesentlich für die erfolgreiche Ein-führung bzw. den erfolgreichen Be-trieb eines ISMS:• abteilungsübergreifende offene

Kommunikation,

• konstruktive offene Zusammenar-beit,

• ergebnisorientierte Vorgehens-weise bei allen Projektbeteiligten,

• lösungsoffener Denkansatz,• adäquater Einsatz von Know-

how-Trägern.So selbstverständlich die vorste-

hende Auflistung beim Lesen er-scheint, so komplex zeigt sich dieUmsetzung in der Praxis. Währendin größeren Unternehmen ver-schiedenste Funktionsbereiche ei-nes Unternehmens zusammenar-beiten sollen, die im Tagesgeschäftnicht selten in einer Konkurrenz-situation zueinander stehen, ste-hen die Mitarbeiter in kleinerenUnternehmen vor der Herausforde-rung, wie sie die zusätzliche Arbeitmit den Anforderungen aus demTagesgeschäft vereinbaren sollen(es fehlt schlicht und ergreifend an

Zeit). Deshalb ist es für ISMS-Pro-jekte extrem förderlich, wenn dieGeschäftsleitung die Einführungaktiv begleitet und unterstützt.

Die Einführung eines ISMS istnicht in wenigen Tagen oder Wo-chen zu leisten. Typischerweisesollte mit Einführungszeiten vonzwölf bis 24 Monaten zuzüglich derZeit für die Zertifizierung gerechnetwerden, abhängig von den Bedürf-nissen und Zielen, Sicherheitsan-forderungen, eingesetzten Verfah-ren sowie der Größe und Strukturdes Unternehmens. Die Zeit für dieZertifizierung ist hier nicht einge-rechnet. Beachten Sie in diesemZusammenhang unbedingt die ge-setzliche Vorgabe, die KonformitätIhres ISMS mit den Anforderungendes IT-Sicherheitskatalogs bis zum31.01.2018 durch ein Zertifikat zubelegen.

Tafel 1: Beispielhafte Schwellenwerte für den Sektor Stromversorgung Quelle: Auszug aus der BSI-KritisV

43np Jg.55 (2016), Heft 9

Was Sie jetzt umgehend tun soll-ten

1. Sofern Sie es noch nicht getanhaben: Prüfen Sie umgehend, obSie eine kritische Infrastruktur imSinne der BSI-KritisV betreiben.

Betroffen im Sektor Energie sindUnternehmen, die kritische Dienst-leistungen (das sind Leistungen de-ren Ausfall oder Beeinträchtigungzu erheblichen Versorgungseng-pässen oder zu Gefährdungen deröffentlichen Sicherheit führen wür-de) erbringen:• Stromversorgung,• Gasversorgung,• Kraftstoff- und Heizölversorgung,• Fernwärmeversorgung.

Im Teil 3 der BSI-KritisV sindSchwellenwerte für den sogenann-ten Versorgungsgrad definiert, ausdenen sich ergibt, ob eine Anlageals kritische Infrastruktur einzuord-nen ist. Der Betreiber hat den Ver-sorgungsgrad seiner Anlage für daszurückliegende Kalenderjahr biszum 31. März des Folgejahres zu er-mitteln. Tafel 1 (Auszug aus derBSI-KritisV) zeigt beispielhaft dieSchwellenwerte für den SektorStromversorgung.

Andere betroffene Sektoren sindWasser, Ernährung, Informations-technik und Telekommunikation:• Trinkwasserversorgung,• Abwasserbeseitigung,• Lebensmittelproduktion,• Lebensmittelverarbeitung,• Lebensmittelhandel,• Sprach- und Datenübertragung,• Datenspeicherung und -verarbei-

tung.2. Suchen Sie sich einen erfahre-

nen Dienstleister, der Sie bei derUmsetzung der gesetzlichen Vor-gaben unterstützt.

Grundsätzlich könnte man alsUnternehmen bei der Einführungeines ISMS auf die Unterstützungdurch einen Dienstleister verzich-ten. Das wäre dann in etwa so, alswürde man sich das Autofahren oh-ne Fahrlehrer selbst beibringen,während man gleichzeitig am öf-fentlichen Straßenverkehr teil-nimmt – learning by doing. Einkompetenter ISMS-Dienstleisterbringt Erfahrung aus etlichen an-deren Projekten mit und ist mit derMethodik bestens vertraut. Er ga-rantiert in der Regel, dass im Ein-führungsprozess alle wesentlichen www.controlware.de

Rolf.Bachmann@controlware.de

Komponenten adäquat berücksich-tigt werden, so dass ein externesAudit erfolgreich bestanden wird.Zudem kombiniert ein leistungs-fähiger Dienstleister technischesund branchenspezifisches Detail-wissen mit aktuellen IT-Themen.Dadurch ist er in der Lage, schonbei der ISMS-Einführung konkreteLösungsvorschläge zur Behebungerkannter Risiken zu unterbreitenbzw. auf aktuelle Risiken hinzuwei-sen. Denn wie bereits erwähnt,führen letztlich erst die Maßnah-men, die durch ein ISMS erkannt,priorisiert und schließlich umge-setzt werden, zu einer höheren IT-Sicherheit. Darüber hinaus hat einkompetenter Dienstleister übli-cherweise Erfahrung mit unter-schiedlichen Methoden und Stan-dards (z. B. ISO/IEC 27001 und BSI-Grundschutz) und verfolgt einenherstellerunabhängigen Beratungs-ansatz. Weitere Synergien ergebensich durch die Verzahnung unter-schiedlicher Lösungsschwerpunktewie zum Beispiel IT-Sicherheit, IT-Vernetzung, Unified Communicati-ons, Data Center, Cloud usw.

Fazit

Die Umsetzung der Forderungenaus dem IT-Sicherheitsgesetz istkomplex und zeitintensiv. Die Ein-führung eines ISMS ist für viele Un-ternehmen der Energiewirtschaftzum einen gesetzlich vorgeschrie-ben und zum anderen ein adäqua-tes Mittel, ihre IT-Sicherheit struk-turiert zu bewerten und kontinu-ierlich zu verbessern. Insbesondereda das System nach ISO/IEC 27001zertifiziert werden muss, ist es rat-sam, die Einführung durch einenerfahrenen Dienstleister begleitenzu lassen. Mögliche Fallstricke undunnötige Verzögerungen bzw. über-flüssige Mehrkosten werden da-durch vermieden. Unternehmender Energiewirtschaft, die mit derEinführung eines ISMS noch nichtbegonnen haben, sollten umge-hend klären, ob sie von den gesetz-lichen Vorgaben betroffen sind undmit der Einführung starten, wennsie den gesetzlich vorgegebenenSchlusstermin einhalten wollen.

Über Controlware

Als Systemintegrator und Managed-Service-Provider verfügt Controlwareüber langjährige Erfahrung beim Aufbau von Informations-Sicherheits-Ma-nagement-Systemen und bietet hier ein umfangreiches Service-Angebot.• Zertifizierungsreife Implementierung eines ISMS nach ISO/IEC

27001:2013• Bereitstellung eines Security Officers• Durchführung einer angemessenen Prozess- und Risikoanalyse

(Klassifizierung und Überwachung der Kennzahlen bzgl. des Anwen-dungsbereiches)

• Risikomanagement und Metriken• Auswahl der Schutzmaßnahmen und Statements (Controls) zur Ein-

führung• Dokumentation der Maßnahmen, Regeln und Prozesse (Security Policies

und Richtlinien)• Technische und Projektmanagement-Unterstützung bei der Implementie-

rung von Schutzmaßahmen• Erstellung von Verbesserungsplan und Management-Handbuch (ISMS)

inklusive Vorschlägen zur Behebung von Sicherheitsproblemen durchzielgerichtete Empfehlungen

Ein wichtiger Hinweis zum Schluss: Controlware führt keine Rechtsbera-tung durch. In unseren Veröffentlichungen werden Auszüge aus den gesetz-lichen Vorgaben zur Verdeutlichung einiger wesentlicher Aspekte der ITK-Sicherheit in kritischen Infrastrukturen herangezogen. Für eine vollum-fängliche Rechtsberatung hinsichtlich der aus dem ITSG und nachgelager-ten Gesetzen und Vorschriften erwachsenden Anforderungen an das jewei-lige Unternehmen, empfehlen wir, sich an den entsprechenden Rechtsbei-stand zu wenden.