Aktuelles

Kritische Infrastrukturen

Energieversorger mit sektorspezifischen Maßnahmen für Informationssicherheit

Das Bedrohungspotenzial aus dem Cyberspace ist beträchtlich. Besonders anfällig sind so genannte Kritische Infrastrukturen (KRITIS). So werden Einrichtungen, Anlagen oder Teile davon bezeichnet, deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit herbeiführen würden.


Die Zuordnung solcher Einrichtungen und Anlagen erfolgt nach Sektoren, die ihrerseits in Branchen unterteilt sind. Bereits seit 2005 existiert ein nationaler Plan, Informationsinfrastrukturen in Deutschland angemessen zu schützen und bei Vorfällen wirkungsvoll zu handeln (NPSI*). Daraus entstand im selben Jahr u. a. der Umsetzungsplan KRITIS (UP KRITIS), bei dem der Fokus auf Kritische Infrastrukturen gelegt wurde. Einrichtungen die dem Sektor „Staat und Verwaltung“ zugeordnet sind, gehen mit der Sicherheitsleitlinie UP BUND einen separaten Weg. Wirtschaft und Verwaltung haben zum Thema in Arbeitsgruppen konkrete Maßnahmen erarbeitet und ab 2014 auch entsprechende Handlungsfelder für die nächsten Jahre definiert. Was genau sind Kritische Infrastrukturen? In einer vernetzten Gesellschaft hätte der Ausfall einer Kritischen Infrastruktur fatale Folgen bis hin zu einem Domino-Effekt. Ein Angriff auf die IT-Struktur beispielsweise von Energieversorgern könnte einen weitgehenden Stromausfall bewirken, das bedeutet: Die Produktion steht still, die Kommunikation fällt flächendeckend aus, Transport-, Versorgungs- und Hilfeleistungen können nicht mehr oder nur unter erschwerten Bedingungen erbracht werden, etc. Die Folgen sind hohe staatliche und privatwirtschaftliche Verluste, was letztlich in eine Destabilisierung der Gesellschaft münden kann.

 
 

Aufgaben von UP KRITIS

  • Förderung der Robustheit von IKT-Komponenten** in kritischen Prozessen
  • Austausch über aktuelle Vorkommnisse
  • Gemeinsame Einschätzung und Bewertung der Cyber-Sicherheitslage
  • Erarbeitung gemeinsamer Dokumente und Positionen
  • Auf- und Ausbau von Krisenmanagementstrukturen
  • Koordinierte Krisenreaktion und -bewältigung
  • Durchführung von Notfall- und Krisenübungen
  • Gemeinsames Handeln gegenüber Dritten

Quelle: BSI Bundesamt für Sicherheit in der Informationstechnik


 
Kritische Infrastrukturen nach Sektoren
 

Sektoren

Bereich

 
Energie Elektrizität, Gas Mineralöl
Informationstechnik und
Telekommunikation
Informationstechnik, Telekommunikation
Gesundheit medizinische Versorgung, Arzneimittel und Impfstoffe,
Labore
Wasser öffentliche Wasserversorgung, öffentliche
Abwasserbeseitigung
Ernährung Ernährungswirtschaft, Lebensmittelhandel
Transport und Verkehr Luftfahrt, Seeschifffahrt, Binnenschifffahrt,
Schienenverkehr, Straßenverkehr, Logistik
Finanz- und Versicherungswesen Banken, Börsen, Versicherungen, Finanzdienstleister
Staat und Verwaltung Regierung und Verwaltung, Parlament, Justizeinrichtungen,
Notfall-/Rettungswesen inkl. Katastrophenschutz
Medien und Kultur Rundfunk, gedruckte / elektronische Presse, Kulturgut,
symbolträchtige Bauwerke

* Nationaler Plan zum Schutz der Informationsinfrastrukturen, Bundesministerium des Innern, 2005
** Die IKT (Informations- und Kommunikationstechnologie) besteht aus drei Komponenten: IT-Ausrüstung (Computer und dazugehörige Hardware), Kommunikationsausrüstung und Software.

Das Dach: IT-Sicherheitsgesetz

In den letzten Jahren entstanden neue gesetzliche Regelungen und Normen bezüglich der Sicherheit bei der Nutzung von Informations- und Telekommunikationstechnik. Als wichtigste Grundlage gilt das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (ITSicherheitsgesetz/ IT-SiG), das zum 25. Juli 2015 in Kraft getreten ist. Mit diesem Gesetz werden u. a. zwei nachgelagerte Gesetze ergänzt: Zum einen in Artikel 1 das Gesetz des Bundesamts für Sicherheit in der Informationstechnik (BSIGesetz/ BSIG) und zum anderen in Artikel 3 das Gesetz über die Elektrizitäts- und Gasversorgung (Energiewirtschaftsgesetz/ EnWG).

Der erste kritische Sektor bei den Absicherungsbemühungen ist die Energieversorgung. Am 12. August 2015 wurde deshalb von der Bundesnetzagentur der IT-Sicherheitskatalog speziell für Energienetzbetreiber veröffentlicht. Mit den durch das IT-SiG verbundenen Änderungen des Energiewirtschaftsgesetzes (§11 EnWG) und den Vorgaben des IT-Sicherheitskatalogs liegen nun konkrete gesetzliche Anforderungen zur Informationssicherheit an die Betreiber von Strom- und Gasversorgungsnetzen vor. Und zwar ungeachtet ihrer Größe und der Frage, ob sie zur Kritischen Infrastruktur zählen oder nicht. Für Betreiber von Energieanlagen werden derzeit weitere Regelungen erarbeitet (bis Drucklegung dieser Ausgabe noch nicht verabschiedet). Für diese wird zukünftig auch die Einordnung in die Kategorisierung für die Betreiber von Kritischen Infrastrukturen vorgenommen.

Energienetzbetreiber: Vollumfängliches ISMS nach ISO/IEC 27001 gefordert

Diese Maßnahmen tragen der Tatsache Rechnung, dass Energieversorger einschließlich der Netzbetreiber aufgrund der zunehmenden Bedeutung von IT-gestützten Prozessen einen umfassenden Schutz vor gezielten Bedrohungen benötigen. Der IT-Sicherheitskatalog fordert grundsätzlich ein vollumfängliches Informationssicherheits-Managementsystem (ISMS).

Sektorspezifisch basieren die Anforderungen an das ISMS auf der ISO/IEC 27001:2013, in der Umsetzung spezifiziert durch die ISO/IEC TR 27019 und ergänzt durch die Anforderungen des IT-Sicherheitskatalogs der BNetzA. Themen wie die Prozesssteuerung, die Automatisierungstechnik der Energieversorgung sowie die Risikoeinschätzungen der Netzstruktur erhalten eine besondere Berücksichtigung in der Betrachtung des Managementsystems.

Bis zum 31. Januar 2018 müssen die Netzbetreiber gegenüber der Bundesnetzagentur die oben genannte Zertifizierung durch eine von der DAkkS akkreditierte Zertifizierungsstelle nachweisen.

 
 

ISO/IEC 27001

Die international anerkannte Norm bietet Organisationen eine optimale Basis zur Implementierung eines Informationssicherheits-Managementsystems (ISMS). Mit der Erfüllung der Normforderungen können Risiken im Bereich Informationssicherheit identifiziert, analysiert und durch entsprechende Maßnahmen beherrscht werden. Ein ISMS führt nachweislich zu einer stetigen Verbesserung des Sicherheitsniveaus, zur Reduzierung von vorhandenen Risiken, zur Einhaltung von Compliance-Anforderungen und der damit einhergehenden Vertrauenswürdigkeit.
Die Norm orientiert sich im Aufbau und der Herangehensweise an der High Level Structure, der nunmehr verbindlichen Grundstruktur für alle neuen Managementsystemnormen. Dies bietet die Möglichkeit der einfachen Integration eines ISMS in ein bestehendes Managementsystem.
Die Dienstleistungen der DQS im Umfeld der ISO/IEC 27001 sind individuell auf den Sicherheitsbedarf und die Ziele ihrer Kunden abgestimmt:

  • Kundenspezifische Audits
  • Prozessaudits
  • Lieferantenaudits
  • Risikoanalysen
  • Voraudits
  • Zertifizierungsaudits

 

Ihre Fragen beantwortet gern:

Holger Burfeind
DQS-Produktmanager
Informationssicherheit(at)dqs.de

 

 

show