Springe auf Hauptinhalt Springe auf Hauptmenü Springe auf SiteSearch
IT-Sicherheitsgesetz

Netzbetreiber müssen für Sicherheit sorgen

Die Netzbetreiber in Deutschland müssen in Zukunft ihre Netze gegen den Zugriff von außen schützen. Denn sie sind vom IT-Sicherheitsgesetz betroffen. Schließlich gehören die Stromnetze zur sogenannten kritischen Infrastruktur, die es besonders zu schützen gilt, um die Versorgungssicherheit zu gewährleisten. „Die Funktionsfähigkeit der Energieversorgung ist von einer intakten Informations- und Kommunikationstechnologie abhängig“, begründet Peter Franke, Vizepräsident der Bundesnetzagentur, die Notwendigkeit eines solchen Schutzes. „Mit der wachsenden Abhängigkeit von diesen Systemen gehen jedoch auch Risiken für die Versorgungssicherheit einher. „Es ist wichtig, Informations- und Kommunikationssysteme in der Energieversorgung gegen Bedrohungen zu schützen.“

Relevante Daten und Systeme schützen

Das Gesetz ist am Ende Juli dieses Jahres in Kraft getreten und alle Netzbetreiber – auch Stadtwerke, die eigene Netze betreiben – müssen die Vorgaben des IT-Sicherheitsgesetzes umsetzen. Das Ziel ist es, die Verfügbarkeit der zu schützenden Systeme und Daten sowie deren Integrität sicherzustellen und die Vertraulichkeit der Informationen zu gewährleisten. Konkret: Alle Systeme und Daten, die zur Steuerung eines Stromnetzes gebraucht werden, müssen gegen Angriffen von außen abgesichert werden. Dritte dürfen weder die gespeicherten Daten abrufen noch unerlaubt irgendwelche gefälschten Daten in das System laden, was zum Ausfall eines Stromnetzes führen könnte.

Wie dies geschehen soll, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen mit der Bundesnetzagentur (BNA) in einem entsprechenden IT-Sicherheitskatalog für Betreiber von Stromnetzen festgelegt. Dieser Sicherheitskatalog wurde jetzt veröffentlicht. Konkret müssen die Netzbetreiber dafür sorgen, dass alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Netzbetrieb notwendig sind, geschützt werden. Dazu gehören zumindest alle Telekommunikations- und EDV-Systeme des Netzbetreibers, die direkt Teil der Netzsteuerung sind. Das sind sie wenn die Systeme unmittelbar Einfluss auf die Netzfahrweise nehmen.

Netzbetrieb muss sicher sein

Zusätzlich gelten die Anforderungen aber auch für Telekommunikations- und EDV-Systeme im Netz, die selbst zwar nicht direkt Teil der Netzsteuerung sind, deren Ausfall jedoch die Sicherheit des Netzbetriebs gefährden könnte. Dazu gehören unter anderem Messeinrichtungen an Trafo- oder Netzkoppelstationen. Für all diese Systeme muss der Netzbetreiber die Mindestanforderungen an die informationstechnische Sicherheit erfüllen, die im IT-Sicherheitsgesetz festgelegt sind. Konkret ausgenommen haben das BSI und die BNA Messeinrichtungen zur Erfassung von Energieverbräuchen. Konkret: Der Stromzähler muss nicht die hohen Anforderungen nach dem IT-Sicherheitsgesetz erfüllen. Allerdings müssen die Messsysteme trotzdem die Anforderungen nach §21e des Energiewirtschaftsgesetzes erfüllen. Das heißt, sie müssen dem jeweiligen Stand der Technik entsprechen und der Netzbetreiber muss alle nach diesem Stand möglichen Maßnahmen treffen, um die Vertraulichkeit und Integrität der Daten sicherzustellen.

Sicherheit ist ein kontinuierlicher Prozess

Um die Anforderungen des Sicherheitskatalogs zu erfüllen, müssen alle Netzbetreiber ein sogenanntes Informationssicherheits-Managementsystem (ISMS) einrichten. Dieses legt fest, mit welchen Instrumenten und Methoden die gesamte Informationssicherheit innerhalb eines Unternehmens – in diesem Fall des Netzbetreibers – realisiert werden. Das ISMS muss den Anforderungen der DIN ISO/IEC 27001, 27001 und IEC TR 27019 entsprechen. Eine wesentliche Anforderung ist, dass die IT-Sicherheit bei einem Netzbetreiber keine Momentaufnahme, sondern ein kontinuierlicher Prozess ist. Die Netzbetreiber müssen ihre Telekommunikations- und EDV-Struktur immer wieder auf dem neusten Stand absichern. Das bedeutet auch, dass die in den Normen festgelegten Maßnahmen nicht ungeprüft umzusetzen sind. Vielmehr muss der Netzbetreiber das Risiko einschätzen, das von einem vorhandenen System ausgeht, wenn Dritte Zugriff darauf erhalten. Von einem kritischen System System muss der Netzbetreiber ausgehen, wenn der Netzbetrieb ein existenziell bedrohliches bis katastrophales Ausmaß erreicht, wenn Dritte daran herum manipulieren. Ist die Schadensauswirkung beträchtlich, so sind diese Systeme in der Risikobewertung als hoch einzuschätzen. Mäßiges Risiko geht von Systemen aus, die nur begrenzt bis überschaubar Schaden anrichten, wenn von außen manipuliert wird. Bei der Einstufung der Schadenskategorien muss der Netzbetreiber die Beeinträchtigung der Versorgungssicherheit, die Einschränkung des Energieflusses, den betroffenen Bevölkerungsanteil, die Gefährdung für Leib und Leben, die Auswirkung auf andere Infrastrukturen, die Gefährdung der Datensicherheit und des Datenschutzes durch Offenlegung oder Manipulation und die finanziellen Auswirkungen berücksichtigen.

Grundlage ist Risikoeinschätzung

Der Netzbetreiber muss auf dieser Risikoeinschätzung aufbauen die entsprechenden Schutzmaßnahmen umsetzen, dass dies auf keinen Fall geschehen kann. Am Ende muss der Netzbetreiber jederzeit seine Informations- und Kommunikationstechnik (IKT) jederzeit beherrschen und technische Störungen sofort erkennen und beheben. „Im Rahmen des ISMS müssen auch Risiken durch IKT-basierte Angriffe bewertet und durch geeignete Maßnahmen zum Schutz der relevanten Telekommunikations- und Datenverarbeitungssysteme behandelt werden“, schreiben die BNA und das BSI vor.

Grundlage ist, dass der Netzbetreiber überhaupt sein eigenes Netz in- und auswendig kennt. So ist ein Netzstrukturplan vorgeschrieben, der eine Übersicht über die vom IT-Sicherheitskatalog betroffenen Anlagen erlaubt. So bekommt der Netzbetreiber auch eine Übersicht über die Struktur der Verbindungen zwischen diesen einzelnen Systemen. „Diese Übersicht ist nach den Technologiekategorien ‚Leitsystem/Systembetrieb‘, ‚Übertragungstechnik/Kommunikation‘ und ‚Sekundär-, Automatisierungs- und Fernwirktechnik‘ zu unterscheiden“, legen die beiden zuständigen Behörden fest.

Zertifikat bis 2018 nachweisen

Alle Netzbetreiber in der Bundesrepublik haben jetzt bis zum 31. Januar 2018 Zeit, die im Sicherheitskatalog beschriebenen Maßnahmen umzusetzen und ihre Netze gegen Manipulationen, gezielte IT-Angriffe, Computerviren, Schadsoftware, Abhören der Kommunikation oder einfach auch nur den Diebstahl von Rechnern abzusichern. Sie müssen sich ihr ISMS von einer dazu berechtigten Stelle zertifizieren lassen. Der nächste Termin für die Netzbetreiber was die Umsetzung der Informationssicherheit betrifft, ist aber schon der 30. November dieses Jahres. Bis dahin müssen sie der Bundesnetzagentur einen Ansprechpartner für die IT-Sicherheit und dessen Kontaktdaten mitteilen. Die Bundesnetzagentur hat dazu ein entsprechendes Formular auf ihrer Internetseite hinterlegt. (Sven Ullrich)