Informationssicherheit bei Energieversorgern

Energieversorgung und Netzsteuerung sind Teil der Kritischen Infrastrukturen (KRITIS) in Deutschland und setzen daher sichere Informations- und Kommunikationsstrukturen voraus: Die Verfügbarkeit der Systeme sowie die Integrität und Vertraulichkeit der verarbeiteten Informationen müssen gewährleistet werden. Auch bei der Einführung von intelligenten Messsystemen wurde festgestellt, dass die anfallenden personenbezogenen Messdaten angemessen geschützt werden müssen. Dies macht IT-Sicherheit in der Energiebranche essentiell.

Welche Anforderungen stellt das IT-Sicherheitsgesetz?

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) definiert für Unternehmen aus dem Bereich der Kritischen Infrastrukturen (KRITIS) Anforderungen an die Informationssicherheit; hierzu gehören auch Energieversorger. Energieversorgungsunternehmen werden verpflichtet, organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Diese Anforderung zielt ebenso wie die Vorgabe der Bundesnetzagentur auf ein Informationssicherheits-Managementsystem konform zur ISO 27001. Weiterhin werden die Energieversorgungsunternehmen verpflichtet, die Umsetzung der Maßnahmen mindestens alle zwei Jahre durch geeignete Maßnahmen wie Audits oder Zertifizierungen nachzuweisen.

Was umfasst der IT-Sicherheitskatalog der Bundesnetzagentur?

Um Telekommunikations- und IT-Systeme zur Netzsteuerung ausreichend vor Bedrohungen zu schützen, hat die Bundesnetzagentur zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemäß § 11 Absatz 1a Energiewirtschaftsgesetz (EnWG) einen verpflichtenden Sicherheitskatalog erstellt.

Als zentrale Maßnahme wird ein Informationssicherheits-Managementsystem konform zur Norm ISO 27001 gefordert, dass durch externe Auditoren überprüft und durch eine bei der Deutschen Akkreditierungsstelle (DAkkS) zugelassene Zertifizierungsstelle zertifiziert werden muss.

Außerdem hat die Bundesnetzagentur noch einen zweiten Sicherheitskatalog angekündigt. Dieser muss für Energieanlagen gemäß § 11 Absatz 1b EnWG umgesetzt werden, wenn die Anlage durch die BSI-Kritisverordnung (BSI-KritisV) als kritische Infrastruktur eingestuft wurde. Ein Erscheinungsdatum des zweiten Kataloges steht zum jetzigen Zeitpunkt noch nicht fest.

Wie kann an der Smart Metering PKI teilgenommen werden?

Die Energieversorger müssen auch im Bereich Smart Metering Anforderungen an die Informationssicherheit erfüllen. Die zu erfüllenden Anforderungen sind dabei von der angestrebten Rolle in der Smart Metering PKI abhängig.

Als Smart Meter Gateway-Administrator muss gemäß § 25 Abs.4 Messstellenbetriebsgesetz (MsbG) ein Informationssicherheits-Managementsystem, gemäß ISO 27001 oder IT-Grundschutz auf der Basis von ISO 27001, unter Berücksichtigung der TR-03109-6 aufgebaut und zertifiziert werden. Zur Teilnahme an der Smart Metering PKI müssen außerdem die Anforderungen aus der Certificate Policy der Smart Metering PKI, die vom BSI als Root-CA der Smart Metering PKI veröffentlicht wird, umgesetzt werden.

Die Certificate Policy der Smart Metering PKI legt auch fest, das Sub-CAs der Smart Metering PKI eine Zertifizierung gemäß TR-03145-1 und somit ein zertifiziertes Informationssicherheits-Managementsystem gemäß ISO 27001 benötigen. Außerdem müssen auch die Anforderung aus der und der Certificate Policy erfüllt werden.

Die Certificate Policy stellt auch Anforderungen an die Rolle des externen Marktteilnehmers (EMT). Als aktiver EMT muss ein zertifiziertes Informationssicherheits-Managementsystem aufgebaut werden, dass alle IT-Systeme und Prozesse im Zusammenhang mit der Smart Metering PKI umfasst. Passive EMTs müssen ein Sicherheitskonzept erstellen, in dem die Anforderungen aus der Certificate Policy berücksichtigt werden.

Was ist speziell für die Energiewirtschaft zu beachten?

Um Informationssicherheit in der Energiewirtschaft nachweisen zu können, ist die Norm ISO/IEC TR 27019 „Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry“ erschienen.

Der Standard ISO/IEC 27019 betrifft die folgenden Themengebiete:

Prozesssteuerung und Automatisierungssysteme
IT-Systeme in der Prozesskontrolle (Monitoring, Dokumentation)
IT-Infrastruktur für Prozessleitsysteme (z. B. Netzwerke, Remote-Zugriffe)
Schutz- und Sicherheitssysteme (z. B. Relais, SPS-Steuerungen)
Komponenten von intelligenten Stromnetzen

Als branchenspezifische Norm setzt die ISO 27011 auf der Norm ISO 27001 auf und erweitert die Vorgaben an ein Informationssicherheits-Management um typische Aspekte des Energiesektors. Zertifiziert wird wiederum nach der Norm ISO 27001.

So unterstützen wir Sie:

Unterstützung bei der Einführung eines ISMS

Zunächst würden in einer Gap-Analyse den aktuellen Stand zur IT-Sicherheit in ihrem Haus erfassen. Auf Basis der Gap-Analyse würden wir Sie bei der Einführung und beim Betrieb eines Informationssicherheits-Managementsystems (ISMS) unterstützen. Dazu begleiten wir Sie in allen Phasen des ISMS-Prozesses, von der Definition des Geltungsbereiches über die Etablierung einer angemessenen Organisationsstruktur und der Durchführung einer Risikoanalyse bis hin zur Umsetzung der Maßnahmen. Selbstverständlich werden dabei auch die einschlägigen Anforderungen, wie den IT-Sicherheitskatalog, die TR-03109-6 oder die TR-03145-1 sowie branchenspezifische Standards wie die ISO 27019 für die Energiewirtschaft berücksichtigt.

Gerne unterstützen wir Sie auch bei der Schulung von Mitarbeitern oder führen für Sie interne Audits durch.

Auditierung und Zertifizierung für Energieversorger

Nachdem Ihr Informationssicherheits-Managementsystem nach ISO 27001 eingeführt ist, kann dies durch eine unabhängige Stelle überprüft und anschließend zertifiziert werden. Die Auditierung und Zertifizierung erfolgt vollkommen unabhängig von der vorhergehenden Beratungsdienstleistung. Die Beratungsdienstleistung führt – je nach dem Standort Ihres Unternehmens – die datenschutz nord GmbH oder die datenschutz süd GmbH durch.

Als DSN GROUP freuen wir uns, Ihnen ein entsprechend umfangreiches Angebot machen zu können! Kontaktieren Sie uns.

Unsere Qualifikation

Unsere IT-Experten sind beim Bundesamt für Sicherheit in der Informationstechnik (BSI) als Auditoren für ISO 27001 auf der Basis von IT-Grundschutz anerkannt, bei der datenschutz cert GmbH als ISO 27001-Auditor lizensiert und haben für die Gateway-Administration erfolgreich an der notwendigen Auditorenschulung gemäß TR-03109-6 des BSI teilgenommen. Dies stellt sicher, dass wir beim Aufbau eines ISMS nach ISO 27001 oder IT-Grundschutz die notwendigen Standards und Richtlinien berücksichtigen. Des Weiteren verfügen wir über jahrelange Erfahrungen im Bereich ISO 27001.