Vom Monolithen zum Microservice: Großer Wandel in kleinen Schritten
Dec 13, 2019 11:16:00 AM Wie man einen IT-Monolithen zu Microservices umbaut? Wir verraten es Ihnen – hier.
Bestmögliche IT-Sicherheit liegt für Energieversorger nicht nur im eigenen Interesse. Wir geben Tipps, wie EVUs die Security-Vorgaben für KRITIS-Betreiber praktisch umsetzen können.
IT-Sicherheit für Energieversorger: Hohe Anforderungen nicht nur für KRITIS-Betreiber
Die Anforderungen an Energieversorger als KRITIS-Betreiber sind hoch – wie wir bereits in unserem Blogartikel IT-Sicherheit für kritische Infrastrukturen skizziert haben. Aber nicht nur die Vorgaben nach BSIG und BSI-KritisV sind für die IT-Sicherheit im Energiesektor relevant, denn Betreiber von Energieversorgungsnetzen und kritischen Energieanlagen in den Bereichen Strom und Gas werden durch das Energiewirtschaftsgesetz (§ 11 EnWG) reguliert – auch wenn sie nicht unter die Definition eines KRITIS-Betreibers fallen.
Die gesetzlichen Rahmenbedingungen sind für KRITIS-Betreiber und andere EVUs inhaltlich ähnlich: Es müssen geeignete Schutzvorkehrungen für die IT-Sicherheit getroffen werden, und Störungen müssen durch die dafür eingerichtete Kontaktstelle des Betreibers möglichst unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.
Anforderungen und Schutzvorkehrungen, welche geeignet sind und dem „Stand der Technik" entsprechen, werden von der Bundesnetzagentur (BNetzA) vorgegeben. Zudem dürfen KRITIS-Betreiber oder ihre Verbände – hier der BDEW – konkrete Maßnahmenkataloge in sogenannten Branchenspezifischen Sicherheitsstandards (B3S) festlegen.
Das Mindestmaß an Erfüllungspflichten ergibt sich also durch die Vorgaben die BNetzA, die Vorgaben nach ISO, die Vorgaben der Technischen Richtlinien, die Vorgaben B3S (Branchenspezifische Sicherheitsstandard) und interne Anforderungen.
Konkretisierung durch BNetzA-Sicherheitskataloge, B3S und BSI-Kataloge
Die Bundesnetzagentur konkretisiert die Anforderungen gemäß EnWG in zwei Sicherheitskatalogen. Das ist zum einen der IT-Sicherheitskatalog für Betreiber von Strom- und Gasnetzen (gemäß § 11a) EnWG sowie der IT-Sicherheitskatalog für Betreiber von Energieanlagen, die als KRITIS-Betreiber gelten (gemäß § 11b EnWG).
Darüber hinaus existieren für den KRITIS-Sektor Energie derzeit zwei B3S: der B3S für Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung (B3S Aggregatoren) und den B3S für die Verteilung von Fernwärme (B3S Fernwärmenetze). Sie geben ausführlichere Hinweise als die Kataloge der BnetzA. KRITIS-Unternehmen im Energie-Sektor können sich auch am Katalog Konkretisierung der Anforderungen an die gemäß § 8a BSIG umzusetzenden Maßnahmen des BSI orientieren.
Die Kataloge von BSI und Bundesnetzagentur bzw. die B3S greifen auf seit Jahren bestehende und stetig weiterentwickelte Normen und Standards zurück, auf die oft auch explizit verwiesen wird. Ein wichtiger Begriff ist hier der des Informationssicherheitsmanagementsystems (ISMS). Mit einem solchen wird sichergestellt, dass nicht nur einzelne IT-Sicherheitsmaßnahmen mehr oder weniger willkürlich im Unternehmen implementiert werden, sondern es ein umfassendes System organisatorischer Prozesse gibt, mit dem der Bedarf an Maßnahmen ermittelt und geplant wird sowie die anforderungsgerechte Umsetzung, Durchführung und Kontrolle samt Weiterentwicklung sichergestellt werden kann. Die BNetzA verpflichtet betroffene Betreiber, ein ISMS zu etablieren und seine Konformität mit den Anforderungen der IT-Sicherheitskataloge durch eine Zertifizierung nachzuweisen.
ISMS nach ISO/IEC 27001 oder BSI IT-Grundschutz
Der international am besten etablierte Standard für ISMS ist die Normenreihe ISO/IEC 27xxx. Die Einführung eines ISMS nach ISO/IEC 27001 ist daher Pflicht für alle KRITIS-Betreiber, auch im Energiesektor. Während die ISO/IEC 27001 die Anforderungen an ein ISMS festlegt, geben insbesondere ISO/IEC 27002 (Leitfaden für Informationssicherheitsmaßnahmen) und ISO 27003 (Informationssicherheitsmanagementsysteme – Anleitung) umfangreiche Hilfestellungen zur Implementierung. Zudem enthält die Normenfamilie zahlreiche branchenspezifische Normen, darunter speziell für Energieversorger die ISO/IEC 27019 .
Die ISO-Normenreihe 27xxx ist für die Implementierung eines ISMS bereits eine gute Basis und für alle Unternehmensgrößen geeignet. Für Unternehmen mit hohen Sicherheits- oder Datenschutzanforderungen, wie Betreiber von Energienetzen oder KRITIS-Anlagen, lohnt sich auch ein Blick auf den IT-Grundschutz des BSI. Dieser gibt mit dem BSI-Standards und dem IT-Grundschutz-Kompendium konkretere Maßnahmen vor als die ISO 27001 und beinhaltet insbesondere zahlreiche bereichsspezifische Bausteine mit detaillierten Anleitungen – u. a. für Infrastruktur, IT-Systeme, IT-Betrieb, Anwendungen und auch für industrielle Steuerungssysteme (ICS). Eine Zertifizierung nach ISO 27001, wie sie von KRITIS-Betreibern gefordert wird, ist auch auf der Basis von IT-Grundschutz möglich.
Wie ein ISMS etabliert und zertifiziert werden kann, haben wir in einem umfassenden Whitepaper Schritt für Schritt für Sie zusammengefasst.
Schutzziele der IT-Sicherheit für KRITIS
Die Umsetzung von Maßnahmen zur IT-Sicherheit für Energieversorger beginnt stets mit der Identifikation der jeweils relevanten Schutzziele. Die IT-Sicherheitskatalog für KRITIS-Energieanlagen der BNetzA definiert beispielsweise neben den allgemeinen IT-Schutzzielen (wie Verfügbarkeit, Integrität, Vertraulichkeit) noch „besondere Schutzziele nach Anlagenkategorien“, etwa die Leistungsbereitstellung entsprechend den kommunizierten Fahrplänen. Der B3S Fernwärme definiert als Schutzziel die „Versorgung der Allgemeinheit mit Fernwärme, insbesondre im Winter während der Heizperiode“, der B3S Aggregatoren die „planmäßige Erzeugung von Strom zur Gewährleistung der Versorgungssicherheit“.
Die allgemeinen IT-Schutzziele stehen gewissermaßen im Dienst des jeweiligen KRITIS-Schutzziels. Die Gewichtung der IT-Schutzziele zur Erreichung des KRITIS-Schutzziels kann je nach Branche und konkretem Unternehmen unterschiedlich sein: so bezeichnet etwa der B3S Fernwärme das IT-Schutzziel Vertraulichkeit als für das KRITIS-Schutzziel "nur in Ausnahmefällen von Relevanz".
Geräte, Systeme und andere Ressourcen, die für eine Organisation von Wert sind, werden als Assets bezeichnet. Im Rahmen der IT-Sicherheit müssen nun Assets identifiziert und inventarisiert werden, um Klarheit darüber zu schaffen, welche für die Erbringung kritischer Dienstleistungen (kDL) relevant sind. Durch ihre Beeinträchtigung können die Schutzziele in Gefahr geraten, daher muss klar sein, welche Assets vorhanden sind, wer für sie verantwortlich ist und wie sie gehandhabt werden müssen.
Risikomanagement: Risiken analysieren, bewerten, behandeln
Hier setzt nun das Risikomanagement ein: Risiken für die Assets, die die Schutzziele bedrohen könnten, werden identifiziert, bewertet und behandelt.
Bei der Identifizierung der Risiken helfen Gefährdungskataloge, wie sie etwa branchenspezifisch in den B3S zur Verfügung gestellt werden. Auch die aktuelle Gefährdungslage wird mitbetrachtet: Welche Angriffsszenarien sind zurzeit häufig (zum Beispiel Ransomware), welche neuen Schwachstellen sind bekannt geworden und noch nicht überall geschlossen (Anfang 2022 zum Beispiel Log4j)? Zur Gefährdungslage zählt auch eine veränderte Anfälligkeit der IT-Infrastruktur durch zurückliegende Umstellungen oder Systemwechsel.
Die so identifizierten Risiken werden nun analysiert und bewertet: Es wird ermittelt, welche potenziellen Folgen ein Risiko hat – ob es also nur geringe oder mäßige Schäden anrichten kann oder das Schadenspotenzial hoch oder gar kritisch ist – und mit welcher Wahrscheinlichkeit es eintritt. Je nach Bewertung müssen Maßnahmen festgelegt werden, um solche Risiken zu vermeiden oder zu reduzieren. Wichtig: Kritische und hohe Risiken sowie solche mit Relevanz für kritische Dienstleistungen dürfen EVUs in der Regel nicht als akzeptabel bewerten und daher auch nicht auf Maßnahmen verzichten.
So setzen Energieversorger IT-Sicherheit optimal um
Eine besonders wichtige Komponente des Risikomanagements bei KRITIS-Betreibern ist das Business Continuity Management (BCM). Es umfasst Maßnahmen zur Reduzierung des Ausfallrisikos kritischer Anlagen und zur Reaktion auf IT-Notfälle wie einen Angriff, eine Störung oder einen Systemausfall. Hierzu werden Verantwortlichkeiten und Rollen definiert, damit im Ernstfall sofort gehandelt werden kann. Es werden Pläne erstellt und Maßnahmen vorbereitet, mit denen die Betriebskontinuität trotz eines Vorfalls aufrechterhalten oder so schnell wie möglich wiederhergestellt werden kann. So fordert etwa der B3S Fernwärme einen Business Continuity Plan (BCP) mit folgenden obligatorischen Inhalten:
- Handlungsanweisungen für den Notfall (Sofortreaktionen, Notbetrieb, Wiederherstellung des Leitsystems, Übergang zum Regelbetrieb)
- Allgemeine Informationen (etwa zu referenzierten Dokumenten)
- Rollen und Verantwortlichkeiten
- Notwendige Ressourcen
- Maßnahmen zur Aufrechterhaltung der Informationssicherheit
Auch für den BCP müssen Verfügbarkeit sowie ein geregelter Aktualisierungsprozess, auch im Sinne einer kontinuierlichen Verbesserung, sichergestellt werden.
Die weitere Risikobehandlung über BCM hinaus beinhaltet vor allem technische und organisatorische Maßnahmen für die IT-Sicherheit vorstellt, darunter:
- Schutz vor und schnelle Erkennung von Schadprogrammen und Angriffen (etwa die Einführung oder Weiterentwicklung von Systemen zur Angriffserkennung, Intrusion Detection)
- Zugangs-/Zugriffskontrolle: administrativ-organisatorisch und technisch (Identity and Access Management inkl. Rollen- und Rechtekonzept, sichere Anmeldeverfahren mit starken Passwörtern, Multifaktor-Authentifizierung etc.) sowie physisch (Zutrittskontrolle)
- Nutzung starker Verschlüsselungsverfahren für Datenübertragung und -speicherung
Eine weitere essenzielle, aber häufig übersehene Maßnahme zur Herstellung der IT-Sicherheit ist die Bereitstellung von ausreichend personellen Ressourcen und die fachliche Qualifikation des Personals – in Zeiten des Fachkräftemangels häufig eine schwierige Herausforderung, die in vielen Unternehmen zu höherer Fluktuation als früher führt. Bei Personalwechsel müssen auch die Rollen und Berechtigungen zeitnah auf den neuesten Stand gebracht werden.
IT-Sicherheit für Energieversorger: So hilft EWERK
Spätestens an diesem Punkt des IT-Sicherheitsprozesses arbeiten Energieversorger häufig mit externen Dienstleistern zusammen. Sie können etwa den sicheren IT-Betrieb ihrer Systeme an einen Dienstleister wie EWERK delegieren, ihre IT-Sicherheit nach einer Bestandsaufnahme durch unsere Consultants strukturiert durch einen erstellten Maßnahmenplan verbessern oder ihre IT-Prozesse teilweise oder komplett outsourcen. Wichtig ist dabei zu wissen: Auch beim Outsourcing und anderen Formen der externen Zusammenarbeit bleibt der KRITIS-Betreiber selbst gegenüber den Behörden für die IT-Sicherheit verantwortlich. Es liegt also an ihm, einen vertrauenswürdigen Zulieferer sorgfältig auszuwählen.
Zertifizierte IT-Dienstleister sind insbesondere in Zeiten der internen Bestrebungen der BNetzA die Zertifizierungsprozesse für kritische Energieerzeuger zu vereinfachen wertvoller denn je: Wenn EVUs Prozesse an einen Dienstleister auslagern, können sie den Umfang ihrer Zertifizierung verringern, wenn der Dienstleister seinerseits entsprechend zertifiziert ist.
EWERK ist seit 1995 Deutschlands IT-Dienstleister für kritische Infrastrukturen und erfüllt diverse Standards in Bezug auf Sicherheit und Prozesse. Wir verkaufen nicht einzelne IT-Produkte oder -Dienstleistungen, sondern bieten unseren KRITIS-Kunden eine Full-Service-Garantie von Beratungsleistungen über Softwareentwicklung und -modernisierung bis zum Aufbau und dem Betrieb von Infrastrukturen. Profitieren Sie dabei von compliancekonformer Digitalisierung bestehender Geschäftsprozesse.
