Informationssicherheit bei Energieversorgern

Energieversorgung und Netzsteuerung sind Teil der Kritischen Infrastrukturen (KRITIS) in Deutschland und setzen daher sichere Informations- und Kommunikationsstrukturen voraus: Die Verfügbarkeit der Systeme sowie die Integrität und Vertraulichkeit der verarbeiteten Informationen müssen gewährleistet werden. Auch bei der Einführung von intelligenten Messsystemen wurde festgestellt, dass die anfallenden personenbezogenen Messdaten angemessen geschützt werden müssen. Dies macht IT-Sicherheit in der Energiebranche essentiell.

  

Welche Anforderungen stellt das IT-Sicherheitsgesetz?

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) definiert für Unternehmen aus dem Bereich der Kritischen Infrastrukturen (KRITIS) Anforderungen an die Informationssicherheit; hierzu gehören auch Energieversorger. Energie­versorgungs­unternehmen werden verpflichtet, organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Diese Anforderung zielt ebenso wie die Vorgabe der Bundesnetzagentur auf ein Informationssicherheits-Managementsystem konform zur ISO 27001. Weiterhin werden die Energieversorgungsunternehmen verpflichtet, die Umsetzung der Maßnahmen mindestens alle zwei Jahre durch geeignete Maßnahmen wie Audits oder Zertifizierungen nachzuweisen.

  

Was umfasst der IT-Sicherheitskatalog der Bundesnetzagentur?

Um Telekommunikations- und IT-Systeme zur Netzsteuerung ausreichend vor Bedrohungen zu schützen, hat die Bundesnetzagentur zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemäß § 11 Absatz 1a Energiewirtschaftsgesetz (EnWG) einen verpflichtenden Sicherheitskatalog erstellt.

Als zentrale Maßnahme wird ein Informationssicherheits-Managementsystem konform zur Norm ISO 27001 gefordert, dass durch externe Auditoren überprüft und durch eine bei der Deutschen Akkreditierungsstelle (DAkkS) zugelassene Zertifizierungsstelle zertifiziert werden muss.

Außerdem hat die Bundesnetzagentur noch einen zweiten Sicherheitskatalog angekündigt. Dieser muss für Energieanlagen gemäß § 11 Absatz 1b EnWG umgesetzt werden, wenn die Anlage durch die BSI-Kritisverordnung (BSI-KritisV) als kritische Infrastruktur eingestuft wurde. Ein Erscheinungsdatum des zweiten Kataloges steht zum jetzigen Zeitpunkt noch nicht fest.

  

Wie kann an der Smart Metering PKI teilgenommen werden?

Die Energieversorger müssen auch im Bereich Smart Metering Anforderungen an die Informationssicherheit erfüllen. Die zu erfüllenden Anforderungen sind dabei von der angestrebten Rolle in der Smart Metering PKI abhängig.

Als Smart Meter Gateway-Administrator muss gemäß § 25 Abs.4 Messstellenbetriebsgesetz (MsbG) ein Informationssicherheits-Managementsystem, gemäß ISO 27001 oder IT-Grundschutz auf der Basis von ISO 27001, unter Berücksichtigung der TR-03109-6 aufgebaut und zertifiziert werden. Zur Teilnahme an der Smart Metering PKI müssen außerdem die Anforderungen aus der Certificate Policy der Smart Metering PKI, die vom BSI als Root-CA der Smart Metering PKI veröffentlicht wird, umgesetzt werden.

Die Certificate Policy der Smart Metering PKI legt auch fest, das Sub-CAs der Smart Metering PKI eine Zertifizierung gemäß TR-03145-1 und somit ein zertifiziertes Informationssicherheits-Managementsystem gemäß ISO 27001 benötigen. Außerdem müssen auch die Anforderung aus der und der Certificate Policy erfüllt werden. 

Die Certificate Policy stellt auch Anforderungen an die Rolle des externen Marktteilnehmers (EMT). Als aktiver EMT muss ein zertifiziertes Informationssicherheits-Managementsystem aufgebaut werden, dass alle IT-Systeme und Prozesse im Zusammenhang mit der Smart Metering PKI umfasst. Passive EMTs müssen ein Sicherheitskonzept erstellen, in dem die Anforderungen aus der Certificate Policy berücksichtigt werden.

   

Was ist speziell für die Energiewirtschaft zu beachten?

Um Informationssicherheit in der Energiewirtschaft nachweisen zu können, ist die Norm ISO/IEC TR 27019 „Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry“ erschienen.

Der Standard ISO/IEC 27019 betrifft die folgenden Themengebiete: 

  • Prozesssteuerung und Automatisierungssysteme
  • IT-Systeme in der Prozesskontrolle (Monitoring, Dokumentation)
  • IT-Infrastruktur für Prozessleitsysteme (z. B. Netzwerke, Remote-Zugriffe)
  • Schutz- und Sicherheitssysteme (z. B. Relais, SPS-Steuerungen)
  • Komponenten von intelligenten Stromnetzen

Als branchenspezifische Norm setzt die ISO 27011 auf der Norm ISO 27001 auf und erweitert die Vorgaben an ein Informationssicherheits-Management um typische Aspekte des Energiesektors. Zertifiziert wird wiederum nach der Norm ISO 27001.

  

So unterstützen wir Sie: