Zum Inhalt springen

TÜV Süd: Versorgungssicherheit durch Zertifizierung gewährleisten

Die Bundesnetzagentur veröffentlichte 2015 gemäß Energiewirtschaftsgesetz (EnWG) den IT-Sicherheitskatalog, um die Sicherstellung der Energieversorgung zu gewährleisten. Netzbetreiber sind daher verpflichtet, bis 31. Januar 2018 ein Informationssicherheits-Managementsystem (ISMS) einzuführen und dieses zertifizieren zu lassen. TÜV Süd-Experte Alexander Häußler informiert über die Hintergründe und wie die Zertifizierung abläuft.

 

Durch die fortschreitende Energiewende und zunehmend dezentrale Stromerzeugung steigen die Anforderungen an eine sichere und zuverlässige Netzsteuerung. Diese ist aufgrund der Digitalisierung der Netzleit- und Messtechnik in hohem Maße von einer intakten Informations- und Kommunikationstechnologie (IKT) abhängig. Um die Versorgungssicherheit zu gewährleisten, veröffentlichte die Bundesnetzagentur (BNetzA) nach § 11 Absatz 1a EnWG daher den IT-Sicherheitskatalog. Dieser basiert auf den Normen DIN ISO/IEC 27001 und DIN ISO/IEC TR 27019 und wurde um spezifische Aspekte der Netzsteuerung erweitert. Die in den beiden Normen genannten Maßnahmen sind zwar nicht zwingend vollständig umzusetzen, aber im Rahmen des Risikomanagements vollständig auf ihre Relevanz zu prüfen.

Informationssicherheits-Managementsystem
Eine Kernforderung des Sicherheitskatalogs ist die Einführung eines Informationssicherheits-Managementsystems und dessen Zertifizierung durch eine zugelassene unabhängige Stelle wie TÜV SÜD. Denn um ein angemessenes Sicherheitsniveau für TK- und EDV-Systeme gewährleisten zu können und somit einen sicheren Netzbetrieb, reicht die Umsetzung von Einzelmaßnahmen wie Antivirensoftware oder Firewalls nicht aus. Es ist ein ganzheitlicher Ansatz nötig, der kontinuierlich auf Leistungsfähigkeit und Wirksamkeit zu prüfen und bei Bedarf anzupassen ist. Die Informationssicherheit muss daher als regelmäßiger Prozess fest in die Organisationsstrukturen eingebunden werden, etwa durch Anwendung des Plan-Do-Check-Act-Modells (PDCA-Modell). Wichtig ist hier, dass Leitlinien, Ziele und Prozesse festgelegt, Maßnahmen zu ihrer Umsetzung durchgeführt und die Entwicklungen überprüft werden. Ein großer Fokus liegt bei einem ISMS auf der Risikoanalyse und der Risikobehandlung. Durch interne Audits lässt sich feststellen, welche Korrektur- oder Vorbeugungsmaßnahmen nötig sind, um das ISMS ständig zu verbessern und nachhaltig sicherzustellen, dass der Betrieb der relevanten Telekommunikations- und Datenverarbeitungssysteme ordnungsgemäß erfolgt.

Akkreditierung der Zertifizierungsstellen
Um ein gleichbleibend hohes und vergleichbares Qualitätsniveau der Zertifizierungsstellen für den IT-Sicherheitskatalog gewährleisten zu können, fordert die Bundesnetzagentur eine Zertifizierung, die von einer bei der Deutschen Akkreditierungsstelle (DAkkS) akkreditierten Zertifizierungsstelle durchgeführt wurde. Dafür müssen gewisse Anforderungen erfüllt werden, die im Konformitätsbewertungsprogramm festgehalten sind. So muss etwa für einen Informationsaustausch unter den beschäftigten Auditoren gesorgt werden oder alle im Rahmen der Risikoeinschätzung mindestens als „hoch“ eingestuften Anwendungen und Systeme auditiert werden. Außerdem müssen die Auditoren eine von der Bundesnetzagentur anerkannte Schulung zu den Grundlagen der leitungsgebundenen Energieversorgung mit Strom und Gas erfolgreich absolvieren.

Zweistufiges Zertifizierungsverfahren
Die Zertifizierung nach dem IT-Sicherheitskatalog erfolgt in einem zweistufigen Verfahren. In der ersten Stufe vergewissert sich der Auditor vor Ort, ob das System grundsätzlich funktioniert und das Unternehmen zertifizierungsfähig ist. Dafür wird geprüft, ob der Netzstrukturplan alle Systeme enthält, die Einfluss auf die Netzsteuerung haben. Außerdem wird das Thema Risikoeinschätzung betrachtet: Wie wurde diese aufgesetzt, wie funktioniert sie und sind die Ergebnisse nachvollziehbar? Auch die Maßnahmen, die sogenannten Controls, werden darauf geprüft, ob sie anwendbar sind. Die Prüfung basiert auf den vom Unternehmen vorgelegten Dokumenten wie dem Netzstrukturplan und persönlichen Gesprächen. Zudem werden die grundsätzlichen Managementsystemaspekte wie die Durchführung von internen Audits oder Management-Bewertung betrachtet. Wird deutlich, dass Aspekte nicht nachvollziehbar oder falsch bewertet sind, muss der Netzbetreiber nacharbeiten. Über die Ergebnisse des ersten Audits erstellt der Auditor einen Bericht, den er bei der Zertifizierungsstelle einreicht. Diese prüft ebenfalls, ob alle Angaben nachvollziehbar sind und entscheidet, ob das Audit der Stufe zwei folgen kann.

Im Audit der Stufe zwei werden beim Unternehmen vor Ort das Managementsystem an sich, die technischen Systeme und die Maßnahmen mit Prozesscharakter genauer betrachtet. Der Auditor prüft hier die Implementierung der Controls. Dafür werden konkrete Beispiele betrachtet. Werden Aspekte gefunden, die nicht zu 100 Prozent den Anforderungen genügen, muss das Unternehmen eine Ursachenanalyse sowie Korrekturen und Korrekturmaßnahmen liefern. Erst wenn dies erfolgt ist, kann der Auditor auch für die zweite Stufe einen Bericht erstellen. Dieser wird wiederum bei der Zertifizierungsstelle eingereicht, die über die Vergabe des Zertifikats entscheidet.

TÜV SÜD informiert über die Vorbereitung der Zertifizierung
Um das Zertifikat zu erhalten, gibt es einiges zu beachten und vorzubereiten. TÜV SÜD-Experte Alexander Häußler weiß, welche Schritte nötig sind.

Netzstrukturplan erstellen
Netzbetreiber müssen einen Netzstrukturplan erstellen, wobei es sich um eine IST-Aufnahme der bestehenden Anwendungen, Systeme und Komponenten handelt, wie diese zusammenhängen und welche Auswirkungen sie auf die Netzsteuerung haben können. Die Übersicht ist dabei nach den Technologiekategorien „Leitsystem/Systembetrieb“, „Übertragungstechnik/Kommunikation“ und „Sekundär-, Automatisierungs- und Fernwirktechnik“ zu unterscheiden.

Risikoanalyse durchführen
Für die im Netzstrukturplan als relevant identifizierten Prozesse muss im Anschluss eine Risikoeinschätzung der Informationssicherheit erfolgen. Dabei gelten drei Schadenskategorien: „mäßig“, „hoch“ und „kritisch“. Systeme, Komponenten und Anwendungen, die für einen sicheren Netzbetrieb notwendig sind, sind grundsätzlich in der Kategorie „hoch“ einzuordnen. Bei der Einstufung werden unter anderem Kriterien wie Beeinträchtigung der Versorgungssicherheit, Einschränkung des Energieflusses, betroffener Bevölkerungsanteil oder Gefährdung für Leib und Leben zu Grunde gelegt. Zu den Risiken zählen gezielte IT-Angriffe und Schadsoftware genauso wie technisches Versagen oder elementare Gefährdungen.

Maßnahmen planen und umsetzen
Anhand der definierten Risiken sind geeignete und angemessene Maßnahmen zu definieren. Als geeignet gilt eine Maßnahme, wenn sie dem allgemein anerkannten Stand der Technik entspricht, für die Angemessenheit ist der technische und wirtschaftliche Aufwand zu berücksichtigen. Allerdings sollen Energienetzbetreiber hier auch die Folgen eines Ausfalls oder einer Beeinträchtigung des sicheren Netzbetriebs beachten.

Statement of Applicability
Die Erklärung zur Anwendbarkeit oder auch Statement of Applicability dient der zentralen Dokumentation, welche Maßnahmen, auch Controls genannt, im Rahmen des Informationssicherheits-Managementsystems als anwendbar definiert wurden. Die Erklärung muss alle 114 Controls der DIN ISO/IEC 27001 sowie die darüber hinausgehenden Controls der DIN ISO/IEC TR 27019 enthalten, inklusive einer nachvollziehbaren Begründung für deren Anwendung oder Ausschluss. Wurden weitere Controls ergänzt, können diese ebenfalls hier dokumentiert werden. Das Statement of Applicability wird bei der Zertifizierung von den Auditoren geprüft.

Ziele definieren und interne Audits durchführen
Zu einem Managementsystem gehört es ebenso, Ziele zu definieren, um zu messen, ob diese auch erreicht wurden. Für Energienetzbetreiber kann es ein Ziel sein, dass eine gewisse Anzahl an Stunden Stromausfall am Stück nicht überschritten wird. Oder, einen gewissen Prozentsatz an geschulten Mitarbeitern zu erreichen. Außerdem müssen interne Audits durchgeführt werden – entweder von eigenen Mitarbeitern oder von einem externen Berater. Wichtig ist, dass die Ergebnisse danach zur Verfügung stehen, da sie Bestandteil der Zertifizierung sind.

Ansprechpartner IT-Sicherheit
Für die Koordination und Kommunikation mit der Bundesnetzagentur muss der Netzbetreiber einen Ansprechpartner benennen. Dieser soll auf Anfrage über den Umsetzungsstand der Anforderungen aus dem IT-Sicherheitskatalog, über aufgetretene Sicherheitsvorfälle, deren Ursache sowie über Maßnahmen zur Behebung und zukünftigen Vermeidung informieren können.

Zertifizierungsstelle suchen
Sind alle Anforderungen erfüllt, kann eine Zertifizierung nach IT-Sicherheitskatalog erfolgen. Dafür ist es wichtig, eine Zertifizierungsstelle auszuwählen, die durch die DAkkS akkreditiert ist. Denn nur ein akkreditiertes Zertifikat wird von der Bundesnetzagentur auch anerkannt. Außerdem sollte berücksichtigt werden, wie viele Auditoren die Zertifizierungsstelle zur Verfügung stellt. An einem Audit dürfen nur die Auditoren teilnehmen, die eine bestimmte Schulung zum IT-Sicherheitskatalog besucht haben. Für die Zeitplanung ist außerdem zu berücksichtigen, dass die Zertifizierung in einem zweistufigen Verfahren erfolgt und daher zwei bis drei Monate dauert.

Weitere Informationen zum Thema Zertifizierung nach IT-Sicherheitskatalog gibt es unter http://www.tuev-sued.de/management-systeme/it-dienstleistungen/it-sicherheitskatalog