KRITIS Energieversorger: IT-Sicherheit kritischer Infrastrukturen

Informationssicherheit und IT-Sicherheit sind wichtige Themen für alle Industrien und Branchen, doch ganz besonders für Betreiber kritischer Infrastrukturen. Hierzu gehören auch Energieversorger (KRITIS Energieversorger). Für sie, den Staat sowie die Bevölkerung des jeweiligen Landes ist es katastrophal, wenn kein Strom mehr fließt. Die Antwort: Informationssicherheit für die KRITIS Energieversorger. Der Weg dorthin: ISO 27001 plus branchenspezifische Regelungen wie zum Beispiel IT-Sicherheitskatalog (ISO/IEC 27019), B3S Aggregatoren oder B3S Fernwärme.

INHALT

Welches Bedrohungspotenzial für die Energiewirtschaft gibt es?
Vor welcher Herausforderung steht die Branche?
Welche Anforderungen werden an die Energiewirtschaft gestellt?
KRITIS Energieversorger: Wie unterstützt ein Managementsystem?
Wie ist ein Managementsystem im Bereich Energie aufgebaut?
Was sollte zusätzlich im Rahmen eines ISMS bedacht werden?
FAZIT: Informationssicherheit bei Energieversorgern

Welches Bedrohungspotenzial für die Energiewirtschaft gibt es?

Zu den Bedrohungspotenzialen von Energieversorgern gehören Umweltaspekte und technische Störungen. Diese sind allerdings oft vorhersagbar und durch Notfallpläne abgedeckt, sodass schnell zum Normalbetrieb zurückgekehrt werden kann. Bei Angriffen auf die IT- und Kommunikationsstrukturen – im Sinne von IT-Sicherheit, Informationstechnik und Informationssicherheit bis hin zum Datenschutz – sieht es jedoch anders aus. Diese Bereiche werden oft nicht ausreichend berücksichtigt. Obgleich mehrere Angriffe in den letzten Jahren für Furore sorgten.

2010: Computerwurm Stuxnet in Kraftwerken im Iran

2014: Sabotageangriff auf Gaskraftwerke, Pipelines und Windkraft, mit Schwerpunkt in Spanien, aber auch in anderen Teilen Europas

2015: Angriff mit Stromausfall in der Ukraine – 700.000 Einwohner hatten zu Weihnachten keinen Strom.

2017: Durch Hacker sollte eine Explosion in einem Kraftwerk in Saudi Arabien ausgelöst werden, die glücklicherweise im letzten Moment verhindert werden konnte.

Heute: Hunderte Angriffe auf Energie-Infrastrukturen in Deutschland – täglich!

KRITIS Energieversorger: vor welcher Herausforderung steht die Branche?

Unternehmen der Energieversorgung müssen in der fortschreitenden Digitalisierung einen ganzheitlichen Schutz für ihre Anlagen, Netze und Einfallstore gewährleisten. Ihnen muss bewusst sein, dass einem Angreifer bereits einzelne Schwachstellen reichen, um dort einzufallen. Viele Unternehmen haben jedoch nur teilweise oder gar keine Absicherungen implementiert, auch wenn es dank des IT-Sicherheitsgesetzes (oder kurz IT‐SiG) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) deutlich besser aussieht als noch vor wenigen Jahren.

„So absurd Risikoszenarien zunächst erscheinen mögen – sie sollten Gehör finden.“

Selten sind es Einzelfälle, die zu einem Vorfall führen, meist handelt es sich um eine Verkettung unglücklicher Umstände. Daher ist es wichtig, Unternehmen und ihre Mitarbeiter für Risiken zu sensibilisieren, sodass letztere aktiv am Risikomanagement teilnehmen und Risiken adressieren. Selbst Risikoszenarien, die zunächst absurd erscheinen, sollten Gehör finden.

Informationssicherheit bei Energieversorgern: welche Anforderungen werden an die Energiewirtschaft gestellt?

Nach dem Beschluss der Cyberstrategie der Bundesregierung im Jahr 2011 folgte 2014 die Digitale Agenda, die 2015 zum „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT‐Sicherheitsgesetz, IT-SiG) wurde und u. a. dem Schutz kritischer Infrastrukturen (KRITIS) dienen sollte. Das IT-SiG besagt, dass erforderliche Dienste dem Stand der Technik nach angemessen abgesichert werden müssen.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop

Systeme zur Angriffserkennung

Müssen Sie als Betreiber kritischer Infrastruktur ab 1.5.2023 den Nachweis zum Einsatz von Systemen zur Angriffserkennung bringen? Dann erhalten Sie in unserer Webinaraufzeichnung die dafür notwendigen Information, unter anderem können Sie danach:

technische und organisatorische Inhalte des Prüfverfahrens bewerten,
den Umfang des Prüfverfahrens einschätzen und
Sie wissen, wie die Nachweise an das BSI zu erbringen sind.

Jetzt anschauen!

Weiterhin sind Betriebe, die über 500.000 Personen versorgen, dazu verpflichtet, die Anforderungen des IT‐Sicherheitsgesetz umzusetzen. Als Nachweis über die Umsetzung dieser Anforderungen wurden Managementsysteme implementiert. Energieversorger hatten und haben somit die Möglichkeit, sich zertifizieren zu lassen, um diesen Nachweis zu erbringen. Zugleich hat die Energiewirtschaft Branche ihre eigenen branchenspezifischen Sicherheitsstandards entwickelt:

B3S für die Verteilung von Fernwärme
B3S für Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung (B3S Aggregatoren)

KRITIS Energieversorger: wie unterstützt ein Managementsystem?

In der Energiebranche kann das Managementsystem mit einem Leitstand verglichen werden. Es handelt sich um ein Kontrollsystem, in dem relevante Informationen des abgedeckten Bereichs (Scope) gesammelt, gefiltert und angezeigt werden, um angemessen reagieren zu können. Verlässliche, aufgearbeitete Informationen ermöglichen dem Management, Entscheidungen zu treffen und Gefahren rechtzeitig zu erkennen.

Ein gut geführtes Managementsystem bietet:

einen permanenten Überblick über die aktuelle Gefährdungslage des Unternehmens
rechtzeitiges Erkennen von möglichen Gefahren (funktioniert nur, wenn genau hingesehen wird)
die Chance, mit vorliegenden Informationen geeignete Gegenmaßnahmen ergreifen zu können
die Möglichkeit, Risiken zu erkennen und diese im Managementsystem zu adressieren und beherrschbar zu machen
einen Nachweis gegenüber den Behörden als Erfüllungsmerkmal der Anforderungen aus dem Sicherheitsgesetz

KRITIS Energieversorger

Weiterführende Informationen:

spezielle Prüfverfahrenskompetenz
Auditkompetenz
IT-Sicherheitskompetenz
Branchenkompetenz Energie

Wir freuen uns auf den Kontakt mit Ihnen

Wie ist ein Managementsystem im Bereich Energie aufgebaut?

Für die Energiebranche als kritische Infrastruktur (KRITIS) ist der internationale Standard für Informationssicherheit, die ISO 27001, mit erweiterten Anforderungen des IT-Sicherheitskatalogs (ISO/IEC 27019) für die Energieversorgung, relevant. Eine Kombination dieser Normen hilft dabei, ein geeignetes Informationssicherheits-Managementsystem (ISMS) zu etablieren und sich zertifizieren zu lassen.

Generell sind folgende Überlegungen und Aktionen im Vorfeld wichtig:

Welche Informationen sind im Unternehmen vorhanden?
Wer hat Interesse an sensiblen Daten und Informationen (intern/extern)?
Welche Risiken ergeben sich daraus?
Wie werden diese Risiken behandelt?
Implementierung von „Sensoren“ zur rechtzeitigen Erkennung des Risikoeintritts
Erstellen eines Control-Sets, welches das Managementsystem bildet
Abgleich gegen die Vorgaben der ISO-Normen

In der Regel finden die Versorger selbst mehr Controls als die Normen ISO 27001 und ISO/IEC 27019 aufführen. Dennoch ist ein Blick auf die Vorschläge der Normen hilfreich bei der Implementierung und Voraussetzung für eine Zertifizierung.

Was sollte zusätzlich im Rahmen eines ISMS für die KRITIS Energieversorger bedacht werden?

Problematisch wird es, wenn es keinerlei Pläne und Vorgehensweisen für den Fall eines Angriffs gibt bzw. Risiken falsch eingeschätzt oder nicht erkannt werden. Energieversorger sollten sich daher rechtzeitig überlegen, was getan wird, wenn ein Risiko tatsächlich eintritt. Ihnen sollte bewusst sein, was geschieht, wenn die Systeme der kritischen Infrastruktur gehackt oder verschlüsselt wurden, wer informiert werden muss, wie die Systeme heruntergefahren werden und wie weiterer Schaden verhindert werden kann.

An dieser Stelle gewinnt Business Continuity immer mehr an Bedeutung. In Kombination mit einem Informationssicherheits-Managementsystem (ISMS) erhöhen sich die Stabilität des Systems und die Möglichkeit, weiterhin Leistungen bereitzustellen. Der Aufbau eines Business Continuity Management Systems (BCM-System) gemäß ISO 22301 ist somit von Vorteil.

Weiterhin sind „branchenspezifische Sicherheitsstandards“ (B3S), die Richtlinien und Vorgaben zur Erhöhung der Sicherheit konkretisieren, essenziell. Betreiber oder ihre Verbände können für ihre jeweilige Branche solch einen Branchenstandard erstellen, um Vorgaben zum „Stand der Technik“ zu formulieren. Hier: B3S Fernwärme oder B3S Aggregatoren. Energieversorger, die sich dann bei einem Audit nach einem anerkannten B3S überprüfen lassen, erhalten dadurch Rechtssicherheit bzgl. des „Stand der Technik“.

„Ein Informationssicherheits-Managementsystem hilft Energieversorgern, den Überblick zu behalten und den Anforderungen eines B3S gerecht zu werden.”

Informationssicherheit bei Energieversorgern – Fazit

Ein Managementsystem nach ISO 27001 / ISO/IEC 27019 verhindert keine Angriffe auf die KRITIS Energieversorger. Es sorgt jedoch dafür, dass schnell(er) darauf reagiert werden kann. Je mehr Risiken im Vorfeld erkannt und behandelt werden, desto besser unterstützt ein solches System. Dieses muss jedoch als laufender Prozess gesehen und behandelt werden.

Dennoch müssen sie sich stets bewusst sein, dass ein Angreifer nur eine Schwachstelle finden muss, um potenziellen Schaden anzurichten.

Ist ein Informationssicherheits-Managementsystem nach ISO 27001/ISO 27019 somit die ultimative Lösung aller Probleme?

Nein, ist es nicht. Doch Risiken müssen behandelt werden. Deshalb sind Informationssicherheit und ein entsprechend gut implementiertes Managementsystem bei Energieversorgern wichtige Instrumente, um als KRITIS-Betreiber für höchstmögliche Sicherheit zu sorgen und branchenspezifischen Sicherheitsstandards gerecht zu werden.

iso 27001-annex-a-dqs-mitarbeiterin schaut auf laptop in it umgebung

Zertifizierung nach ISO 27001/ISO 27019

Wir zeigen Ihnen auf, mit welchem Aufwand und welchen Kosten Sie für eine Zertifizierung Ihres Informationssicherheits-Managementsystems rechnen müssen. Informieren Sie sich kostenfrei und unverbindlich.

Wir freuen uns auf den Kontakt mit Ihnen

Über die DQS GmbH

Die DQS ist auf Audits und Zertifizierungen für Managementsysteme und Prozesse spezialisiert. Mit der Erfahrung aus mehr als 35 Jahren und der Expertise von 800 Auditorinnen und Auditoren ist das Unternehmen aus Frankfurt am Main ein kompetenter Partner des Managements. Wir auditieren nach rund 100 anerkannten Normen und Regelwerken oder nach Ihren unternehmensspezifischen Vorgaben – regional, national und international.

Unparteilichkeit und Objektivität sind für uns wesentliche Elemente bei der Durchführung von Audits und Zertifizierungen. Und das gilt nicht nur für die normativen Bereiche, sondern auch für die Durchführung sämtlicher Audittätigkeiten – so auch für den B3S Energie.

Gerne helfen wir Ihnen weiter, wenn Sie das Informationssicherheits-Managementsystem (ISMS) Ihres Unternehmens oder Ihrer Organisation zertifizieren lassen möchten. Wir freuen uns auf das Gespräch mit Ihnen. Jetzt Kontakt aufnehmen.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Autor

Jens Nicolaysen

Jens Nicolaysen ist Senior Lead Auditor der DQS GmbH und Inhaber des Beratungsunternehmens JNC. Bezogen auf Energieversorger erstreckt sich seine langjährige Auditerfahrung über alle wichtigen ISO-Normen wie ISO/IEC 27001 (Informationssicherheitsmanagement), ISO 27019 (zusätzliche energiespezifische Anforderungen) oder etwa ISENG (IT-Sicherheitskatalog gem. §11 Absatz 1a und 1b EnWG). Weitere Themen in diesem Zusammenhang sind Business Continuity Management und Datenschutz. Sein Fokus als Berater liegt bei Fragestellungen und Lösungsanbieter im Spektrum Informationssicherheit, Rechenzentren und Servicemanagement.