Schließen

    Wünschen Sie nähere Informationen?

    Digitalhappen

    IT-Sicherheit für Energieversorger: Umsetzung in der Praxis

    Home Blog Energie

    Bestmögliche IT-Sicherheit liegt für Energieversorger nicht nur im eigenen Interesse. Wir geben Tipps, wie EVUs die Security-Vorgaben für KRITIS-Betreiber praktisch umsetzen können.

     

    IT-Sicherheit für Energieversorger: Hohe Anforderungen nicht nur für KRITIS-Betreiber

    Die Anforderungen an Energieversorger als KRITIS-Betreiber sind hoch – wie wir bereits in unserem Blogartikel IT-Sicherheit für kritische Infrastrukturen skizziert haben. Aber nicht nur die Vorgaben nach BSIG und BSI-KritisV sind für die IT-Sicherheit im Energiesektor relevant, denn Betreiber von Energieversorgungsnetzen und kritischen Energieanlagen in den Bereichen Strom und Gas werden durch das Energiewirtschaftsgesetz (§ 11 EnWG) reguliert – auch wenn sie nicht unter die Definition eines KRITIS-Betreibers fallen.

    Die gesetzlichen Rahmenbedingungen sind für KRITIS-Betreiber und andere EVUs inhaltlich ähnlich: Es müssen geeignete Schutzvorkehrungen für die IT-Sicherheit getroffen werden, und Störungen müssen durch die dafür eingerichtete Kontaktstelle des Betreibers möglichst unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.

    Anforderungen und Schutzvorkehrungen, welche geeignet sind und dem „Stand der Technik" entsprechen, werden von der Bundesnetzagentur (BNetzA) vorgegeben. Zudem dürfen KRITIS-Betreiber oder ihre Verbände – hier der BDEW – konkrete Maßnahmenkataloge in sogenannten Branchenspezifischen Sicherheitsstandards (B3S) festlegen.

    EWERK GRC ITsecurity itsicherheit energieversorger evu stadtwerk

     

    Das Mindestmaß an Erfüllungspflichten ergibt sich also durch die Vorgaben die BNetzA, die Vorgaben nach ISO, die Vorgaben der Technischen Richtlinien, die Vorgaben B3S (Branchenspezifische Sicherheitsstandard) und interne Anforderungen.

    Das Mindestmaß an Erfüllungspflichten ergibt sich als durch die Vorgaben der BNetzA, den Vorgaben der zu etablierenden Normen (wie ISO 27001) und technischen Richtlinien sowie aus den branchenspezifischen Sicherheitsstandards.

     

    Konkretisierung durch BNetzA-Sicherheitskataloge, B3S und BSI-Kataloge

    Die Bundesnetzagentur konkretisiert die Anforderungen gemäß EnWG in zwei Sicherheitskatalogen. Das ist zum einen der IT-Sicherheitskatalog für Betreiber von Strom- und Gasnetzen (gemäß § 11a) EnWG sowie der IT-Sicherheitskatalog für Betreiber von Energieanlagen, die als KRITIS-Betreiber gelten (gemäß § 11b EnWG).

    Darüber hinaus existieren für den KRITIS-Sektor Energie derzeit zwei B3S: der B3S für Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung (B3S Aggregatoren) und den B3S für die Verteilung von Fernwärme (B3S Fernwärmenetze). Sie geben ausführlichere Hinweise als die Kataloge der BnetzA. KRITIS-Unternehmen im Energie-Sektor können sich auch am Katalog Konkretisierung der Anforderungen an die gemäß § 8a BSIG umzusetzenden Maßnahmen des BSI orientieren.

    Die Kataloge von BSI und Bundesnetzagentur bzw. die B3S greifen auf seit Jahren bestehende und stetig weiterentwickelte Normen und Standards zurück, auf die oft auch explizit verwiesen wird. Ein wichtiger Begriff ist hier der des Informationssicherheitsmanagementsystems (ISMS). Mit einem solchen wird sichergestellt, dass nicht nur einzelne IT-Sicherheitsmaßnahmen mehr oder weniger willkürlich im Unternehmen implementiert werden, sondern es ein umfassendes System organisatorischer Prozesse gibt, mit dem der Bedarf an Maßnahmen ermittelt und geplant wird sowie die anforderungsgerechte Umsetzung, Durchführung und Kontrolle samt Weiterentwicklung sichergestellt werden kann. Die BNetzA verpflichtet betroffene Betreiber, ein ISMS zu etablieren und seine Konformität mit den Anforderungen der IT-Sicherheitskataloge durch eine Zertifizierung nachzuweisen.

     

    ISMS nach ISO/IEC 27001 oder BSI IT-Grundschutz

    Der international am besten etablierte Standard für ISMS ist die Normenreihe ISO/IEC 27xxx. Die Einführung eines ISMS nach ISO/IEC 27001 ist daher Pflicht für alle KRITIS-Betreiber, auch im Energiesektor. Während die ISO/IEC 27001 die Anforderungen an ein ISMS festlegt, geben insbesondere ISO/IEC 27002 (Leitfaden für Informationssicherheitsmaßnahmen) und ISO 27003 (Informationssicherheitsmanagementsysteme – Anleitung) umfangreiche Hilfestellungen zur Implementierung. Zudem enthält die Normenfamilie zahlreiche branchenspezifische Normen, darunter speziell für Energieversorger die ISO/IEC 27019 .

    Die ISO-Normenreihe 27xxx ist für die Implementierung eines ISMS bereits eine gute Basis und für alle Unternehmensgrößen geeignet. Für Unternehmen mit hohen Sicherheits- oder Datenschutzanforderungen, wie Betreiber von Energienetzen oder KRITIS-Anlagen, lohnt sich auch ein Blick auf den IT-Grundschutz des BSI. Dieser gibt mit dem BSI-Standards und dem IT-Grundschutz-Kompendium konkretere Maßnahmen vor als die ISO 27001 und beinhaltet insbesondere zahlreiche bereichsspezifische Bausteine mit detaillierten Anleitungen – u. a. für Infrastruktur, IT-Systeme, IT-Betrieb, Anwendungen und auch für industrielle Steuerungssysteme (ICS). Eine Zertifizierung nach ISO 27001, wie sie von KRITIS-Betreibern gefordert wird, ist auch auf der Basis von IT-Grundschutz möglich.

    Wie ein ISMS etabliert und zertifiziert werden kann, haben wir in einem umfassenden Whitepaper Schritt für Schritt für Sie zusammengefasst.

    ISMS featurebild LP

     

    Schutzziele der IT-Sicherheit für KRITIS

    Die Umsetzung von Maßnahmen zur IT-Sicherheit für Energieversorger beginnt stets mit der Identifikation der jeweils relevanten Schutzziele. Die IT-Sicherheitskatalog für KRITIS-Energieanlagen der BNetzA definiert beispielsweise neben den allgemeinen IT-Schutzzielen (wie Verfügbarkeit, Integrität, Vertraulichkeit) noch „besondere Schutzziele nach Anlagenkategorien“, etwa die Leistungsbereitstellung entsprechend den kommunizierten Fahrplänen. Der B3S Fernwärme definiert als Schutzziel die „Versorgung der Allgemeinheit mit Fernwärme, insbesondre im Winter während der Heizperiode“, der B3S Aggregatoren die „planmäßige Erzeugung von Strom zur Gewährleistung der Versorgungssicherheit“.

    Die allgemeinen IT-Schutzziele stehen gewissermaßen im Dienst des jeweiligen KRITIS-Schutzziels. Die Gewichtung der IT-Schutzziele zur Erreichung des KRITIS-Schutzziels kann je nach Branche und konkretem Unternehmen unterschiedlich sein: so bezeichnet etwa der B3S Fernwärme das IT-Schutzziel Vertraulichkeit als für das KRITIS-Schutzziel "nur in Ausnahmefällen von Relevanz".

    Geräte, Systeme und andere Ressourcen, die für eine Organisation von Wert sind, werden als Assets bezeichnet. Im Rahmen der IT-Sicherheit müssen nun Assets identifiziert und inventarisiert werden, um Klarheit darüber zu schaffen, welche für die Erbringung kritischer Dienstleistungen (kDL) relevant sind. Durch ihre Beeinträchtigung können die Schutzziele in Gefahr geraten, daher muss klar sein, welche Assets vorhanden sind, wer für sie verantwortlich ist und wie sie gehandhabt werden müssen.

     

    Risikomanagement: Risiken analysieren, bewerten, behandeln

    Hier setzt nun das Risikomanagement ein: Risiken für die Assets, die die Schutzziele bedrohen könnten, werden identifiziert, bewertet und behandelt.

    analyse_1

    Bei der Identifizierung der Risiken helfen Gefährdungskataloge, wie sie etwa branchenspezifisch in den B3S zur Verfügung gestellt werden. Auch die aktuelle Gefährdungslage wird mitbetrachtet: Welche Angriffsszenarien sind zurzeit häufig (zum Beispiel Ransomware), welche neuen Schwachstellen sind bekannt geworden und noch nicht überall geschlossen (Anfang 2022 zum Beispiel Log4j)? Zur Gefährdungslage zählt auch eine veränderte Anfälligkeit der IT-Infrastruktur durch zurückliegende Umstellungen oder Systemwechsel.

    Die so identifizierten Risiken werden nun analysiert und bewertet: Es wird ermittelt, welche potenziellen Folgen ein Risiko hat – ob es also nur geringe oder mäßige Schäden anrichten kann oder das Schadenspotenzial hoch oder gar kritisch ist – und mit welcher Wahrscheinlichkeit es eintritt. Je nach Bewertung müssen Maßnahmen festgelegt werden, um solche Risiken zu vermeiden oder zu reduzieren. Wichtig: Kritische und hohe Risiken sowie solche mit Relevanz für kritische Dienstleistungen dürfen EVUs in der Regel nicht als akzeptabel bewerten und daher auch nicht auf Maßnahmen verzichten.

     

    So setzen Energieversorger IT-Sicherheit optimal um

    Eine besonders wichtige Komponente des Risikomanagements bei KRITIS-Betreibern ist das Business Continuity Management (BCM). Es umfasst Maßnahmen zur Reduzierung des Ausfallrisikos kritischer Anlagen und zur Reaktion auf IT-Notfälle wie einen Angriff, eine Störung oder einen Systemausfall. Hierzu werden Verantwortlichkeiten und Rollen definiert, damit im Ernstfall sofort gehandelt werden kann. Es werden Pläne erstellt und Maßnahmen vorbereitet, mit denen die Betriebskontinuität trotz eines Vorfalls aufrechterhalten oder so schnell wie möglich wiederhergestellt werden kann. So fordert etwa der B3S Fernwärme einen Business Continuity Plan (BCP) mit folgenden obligatorischen Inhalten:

    • Handlungsanweisungen für den Notfall (Sofortreaktionen, Notbetrieb, Wiederherstellung des Leitsystems, Übergang zum Regelbetrieb)
    • Allgemeine Informationen (etwa zu referenzierten Dokumenten)
    • Rollen und Verantwortlichkeiten
    • Notwendige Ressourcen
    • Maßnahmen zur Aufrechterhaltung der Informationssicherheit

    Auch für den BCP müssen Verfügbarkeit sowie ein geregelter Aktualisierungsprozess, auch im Sinne einer kontinuierlichen Verbesserung, sichergestellt werden.

    Die weitere Risikobehandlung über BCM hinaus beinhaltet vor allem technische und organisatorische Maßnahmen für die IT-Sicherheit vorstellt, darunter:

    • Schutz vor und schnelle Erkennung von Schadprogrammen und Angriffen (etwa die Einführung oder Weiterentwicklung von Systemen zur Angriffserkennung, Intrusion Detection)
    • Zugangs-/Zugriffskontrolle: administrativ-organisatorisch und technisch (Identity and Access Management inkl. Rollen- und Rechtekonzept, sichere Anmeldeverfahren mit starken Passwörtern, Multifaktor-Authentifizierung etc.) sowie physisch (Zutrittskontrolle)
    • Nutzung starker Verschlüsselungsverfahren für Datenübertragung und -speicherung

    Eine weitere essenzielle, aber häufig übersehene Maßnahme zur Herstellung der IT-Sicherheit ist die Bereitstellung von ausreichend personellen Ressourcen und die fachliche Qualifikation des Personals – in Zeiten des Fachkräftemangels häufig eine schwierige Herausforderung, die in vielen Unternehmen zu höherer Fluktuation als früher führt. Bei Personalwechsel müssen auch die Rollen und Berechtigungen zeitnah auf den neuesten Stand gebracht werden.

     

    IT-Sicherheit für Energieversorger: So hilft EWERK

    Spätestens an diesem Punkt des IT-Sicherheitsprozesses arbeiten Energieversorger häufig mit externen Dienstleistern zusammen. Sie können etwa den sicheren IT-Betrieb ihrer Systeme an einen Dienstleister wie EWERK delegieren, ihre IT-Sicherheit nach einer Bestandsaufnahme durch unsere Consultants strukturiert durch einen erstellten Maßnahmenplan verbessern oder ihre IT-Prozesse teilweise oder komplett outsourcen. Wichtig ist dabei zu wissen: Auch beim Outsourcing und anderen Formen der externen Zusammenarbeit bleibt der KRITIS-Betreiber selbst gegenüber den Behörden für die IT-Sicherheit verantwortlich. Es liegt also an ihm, einen vertrauenswürdigen Zulieferer sorgfältig auszuwählen.

    Zertifizierte IT-Dienstleister sind insbesondere in Zeiten der internen Bestrebungen der BNetzA die Zertifizierungsprozesse für kritische Energieerzeuger zu vereinfachen wertvoller denn je: Wenn EVUs Prozesse an einen Dienstleister auslagern, können sie den Umfang ihrer Zertifizierung verringern, wenn der Dienstleister seinerseits entsprechend zertifiziert ist.

    EWERK ist seit 1995 Deutschlands IT-Dienstleister für kritische Infrastrukturen und erfüllt diverse Standards in Bezug auf Sicherheit und Prozesse. Wir verkaufen nicht einzelne IT-Produkte oder -Dienstleistungen, sondern bieten unseren KRITIS-Kunden eine Full-Service-Garantie von Beratungsleistungen über Softwareentwicklung und -modernisierung bis zum Aufbau und dem Betrieb von Infrastrukturen. Profitieren Sie dabei von compliancekonformer Digitalisierung bestehender Geschäftsprozesse.

    Das unentdeckte Datengold

    Sep 13, 2018 9:00:00 AM In Deutschlands Archiven schlummern Tausende von Regalkilometern an Akten. Sie zu durchforsten und instand zu halten, kosten Wirtschaft und Staat jährlich Milliarden Euro. Es ist Zeit für einen ...

    Erst integrieren, dann verzieren: Kundenbeziehungen gekonnt managen

    May 10, 2017 6:30:00 AM Mit Extended-Relationship-Management-Lösungen (xRM) können Sie Ihre Kundenbeziehungen verbessern. Wichtig ist dabei das richtige Vorgehen.

    IT-Prozesse automatisieren: Mach’s selber, Maschine!

    Jul 27, 2017 11:00:00 AM Wo liegt es näher als in der IT, Prozesse zu automatisieren? Wir erklären Ihnen, wie Sie mithilfe von Configuration Management Tools Alltägliches auf wenige Klicks reduzieren – und so Raum für ...

    Überblick zum Smart Meter-Rollout: Chance und Herausforderung für Netzbetreiber

    Dec 20, 2019 7:03:18 AM Ab sofort greift der verpflichtende Smart-Meter-Rollout für die erste Welle von Messstellen. Für Netzbetreiber bedeutet das: neue Aufgaben, neue Geschäftsfelder – und neue Risiken. Ein Überblick des ...

    Urban Data: Warum Smart City ein Regelwerk für Daten braucht

    Oct 21, 2019 11:34:24 AM Ein offener Austausch von Daten ist der erste Schritt, um Smart City-Anwendungen überhaupt zu ermöglichen. Dann aber braucht es auch Regeln für die Nutzung der Daten.

    Vom Monolithen zum Microservice: Großer Wandel in kleinen Schritten

    Dec 13, 2019 11:16:00 AM Wie man einen IT-Monolithen zu Microservices umbaut? Wir verraten es Ihnen – hier.

    Unified Communications: Verpassen Sie nicht das Boot!

    Jan 17, 2019 11:36:12 AM Mitarbeiter sind aus der Sicht der IT-Abteilung heute ein sehr bewegliches Ziel, mit ständig wachsenden Ansprüchen an Kommunikationslösungen, die ihrem mobilen Leben entsprechen. Sie erwarten ...

    Smart City & OZG vereinen: Über ein digitales Bürgerportal zur ganzheitlichen Digitalstrategie

    Feb 9, 2021 11:00:00 AM Große Ideen, viel versprechende Chancen, digitale Potenziale – mit dem Thema Smart City lässt sich äußerst gut Buzzword-Bingo spielen. Kaum eine Stadt oder größere Kommune hat sich nicht schon mit ...

    EnWG 2021 – Alle Änderungen und Neuerungen im Überblick

    Jan 25, 2022 2:30:59 PM Das Energiewirtschaftsgesetz (EnWG) soll eine sichere, preisgünstige, verbraucher- und umweltfreundliche Versorgung mit Strom, Gas und neuerdings auch Wasserstoff ermöglichen. Um aktuellen ...

    Innovationen katapultieren Unternehmen und Branchen in neue Dimensionen. Wir wissen, wie.

    Zur Sache: Rein formell ist ein Projekt mit der Abnahme und Entlastung beendet. Das dachten auch die Verantwortlichen des