Energieversorger müssen wegen Fristeinhaltung ihre ISO/IEC 27001-Zertifizierungspflichten kennen

Dr. Stefan Krempl

Der IT-Sicherheitskatalog der Bundesnetzagentur setzt eine klare Deadline: Bis zum 31.1.2018 müssen Energieversorger (EVUs) ein Informationssicherheits-­Managementsystem (ISMS) aufbauen und nach ISO/IEC 27001 zertifizieren lassen. Daher gilt es, zügig zu handeln. Jetzt haben EVUs noch die Chance, alle Fristen einzuhalten und Puffer für eine betriebswirtschaftliche Optimierungen ihres Sicherheitsmanagements einzuplanen. Allerdings sollten EVUs zunächst das Bestehen einer Zertifizierungspflicht überprüfen. Lohnenswert ist das gerade für regionale und mittelständische Anbieter. Häufig können sie den organisatorischen und finanziellen Aufwand einer Zertifizierung komplett vermeiden.

Grundsätzlich müssen Energieversorger, die „nur Systeme ohne Gefährdungspotenzial betreiben“, keine Zertifizierung durchführen – sofern sie dies „durchKasten Seite 25 geeignete Nachweise“ belegen. Allerdings klärt der IT-Sicherheitskatalog nicht, was als „geeigneter Nachweis“ gilt und wie gewisse Komponenten zu bewerten sind, z. B. die vom Erneuerbare-Energien-Gesetz (EEG) geforderte Leistungsregulierung von Photovoltaik-Anlagen. Um diese Lücke zu schließen, hat die Süd-IT geeignete Verfahren und Kriterien entwickelt und der Bundesnetzagentur vorgestellt. Für EVUs, die sich von der Zertifizierungspflicht befreien wollen, stehen damit standardisierte Gutachten zur Verfügung, die formal und inhaltlich anerkannt sind. Generell empfiehlt es sich für EVUs, die Frage der Zertifizierungspflicht systematisch anzugehen. Das geschieht am besten in 3 Schritten:

Schritt 1: Identifikation zertifizierungs­pflichtiger Komponenten und Systeme

Zertifizierungspflichtig sind laut IT-Sicherheitskatalog (Abschnitt D) „alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Netzbetrieb notwendig sind“. Gegenstand der Zertifizierung ist damit die Netzsteuerung, also typischerweise die Netzleitwarte sowie angeschlossene Mess- und Steuereinrichtungen. Im Fokus stehen ebenso die wichtigsten unterstützenden Prozesse, z.B. IT-Administration und Personalwesen. Entferntere Bereiche wie Abrechnung oder Kundenpflege müssen dagegen nicht mitbetrachtet werden. Auf den Prüfstand gehören demnach
1. …alle ITK-Systeme, die direkt Einfluss auf das Netz nehmen können, z. B. Schalten, Regeln
2. …alle ITK-Systeme, die indirekt Einfluss auf das Netz nehmen können:
a. Steuerung von Verbrauchern und Erzeugern
b. Messsysteme, deren Ergebnisse die Netzfahrweise beeinflussen
c. ITK Systeme, die bei Betrieb, Entstörung und Schwarzfall wesentliche Unterstützung liefern

kostenkalkulation-einer-iso-zertifizierung

Grafik 1a – Ressourceneinsatz für die ISO27001 Zertifizierung

Schritt 2: Erstbewertung sicherheits­relevanter Komponenten und Systeme

Der Prima-facie-Check der ITK Systeme orientiert sich an Kontrollfragen, um abschätzen zu können, ob die Zertifizierungsbestimmungen des IT-Sicherheitskatalogs greifen:
1. Werden Schalthandlungen am Netz unter Verwendung von ITK-Systemen durchgeführt?
2. Gefährdet der Ausfall von ITK Systemen die Sicherheit des Netzbetriebes?
3. Lässt sich die Energieversorgung im Schwarzfall nur mit ITK-Einsatz wiederherstellen?

EVUs, die eine Frage mit „Ja“ beantworten, müssen in aller Regel ein ISMS aufbauen. Allerdings liegen die Fälle nicht immer so klar und bedürfen einer vertieften Analyse. Zur Festlegung des weiteren Vorgehens nehmen EVUs am besten eine Selbsteinschätzung in 5 Kategorien vor:

Kategorie 1: Keine Zertifizierungspflicht. Für EVUs, die keine ITK Systeme mit direkter oder indirekter Netzeinwirkung betreiben, gelten die Auflagen des IT-Sicherheitskatalogs nicht.
Vorgehen: Den Nachweis zur Zertifizierungsbefreiung mit dem Netzstrukturplan und einem einfachen Gutachten (ohne Risikoanalyse) führen.

Kategorie 2: Bestehende Zertifizierungspflicht. Das ist der Fall, wenn Netzschalthandlungen mithilfe von ITK-Systemen durchgeführt werden oder wenn ein ITK-Ausfall den Netzbetrieb sowie die Wiederherstellung der Energieversorgung im Schwarzfall gefährdet.
Vorgehen: Zügige Planung und Durchführung der ISO 27001-Zertifizierung (Kasten 1)

Kategorie 3: Indirekte Zertifizierungspflicht: EVUs mit Teil- oder Komplettoutsourcing von ITK-gestützten Betriebsprozessen müssen gegenüber der Bundesnetzagentur die Zertifizierung oder Zertifizierungsbefreiung ihres Partners belegen.
Vorgehen: Die Erfüllung der rechtlichen Pflichten frühzeitig abstimmen, Termine verabreden und den Umsetzungsfortschritt regelmäßig prüfen.

risikobewertung

Grafik 2 – Risikobewertung

Kategorie 4: Zertifizierungsbefreiung möglich. Systeme und Komponenten, die zwar nicht direkt, aber indirekt auf das Netz einwirken können, müssen einer eingehenden Risikobewertung unterzogen werden. Das leisten Gutachten, die Gefährdungspotenziale evaluieren und auf dieser Basis die Freistellung von einer Zertifizierung validieren.
Vorgehen: Die Erfüllung der rechtlichen Pflichten vertraglich vereinbaren, Termine abstimmen und den Umsetzungsfortschritt prüfen.

Kategorie 5: Zertifizierungsbefreiung nur unter Voraussetzungen möglich.
Bestehen erhebliche Risiken für ITK-Systeme mit indirektem Einfluss auf den Netzbetrieb, dann ergeben sich alternative Handlungsoptionen.
Vorgehen: Entweder Aufbau eines zertifizierten ISMS gemäß IT-Sicherheitskatalog (wie Kategorie 2) oder Zertifizierungsbefreiung nach dem Rückbau risikobehafteter Anlagen.

schema_zertifizierung_pru%e2%95%a0efung_umsetzung

Grafik 3 – Prüfung, Vermeidung und Erfüllung der ISO27001-Verpflichtungen (Schema)

Schritt 3: Systematische Risikoanalysen zur Zertifizierungsbefreiung

Für EVUs der ersten drei Kategorien ist der Status zumeist eindeutig und schnell entscheidbar. Dagegen benötigen die anderen EVUs zur Zertifizierungsbefreiung anerkannte Gutachten mit umfassender Risikoanalyse: Anhand von typischen Bedrohungs-, Betriebs- und Outsourcing-Szenarien lassen sich Risiken zunächst ermitteln und dann nach Gefährdungsart, Schadenshöhe und Eintrittswahrscheinlichkeit klassifizieren (Grafik 2). Als Resultat ergibt sich eine individuelle
1. Einschätzung der Risiken: kritisch, hoch, mittel, niedrig und unerheblich
2. Bewertung der Risiken: inakzeptabel, zustimmungspflichtig, akzeptabel
3. Handlungsableitung: Risikoausschluss, Risikominimierung, Risikoakzeptanz, Risikokontrolle

EVUs, die belegen können, dass ihre ITK-Systeme allenfalls durch niedrige und damit akzeptable Risiken belastet sind, haben guten Aussichten, eine Zertifizierung zu vermeiden. Dennoch sollten EVUs einen Reserveplan für die Zertifizierung im Hinterkopf haben, falls sich die behördliche Anerkennung der Risikoanalysen schwierig gestalten sollte.

Fazit

Angesichts der näher rückenden Deadline zur ISO27001-Zertifizierung sollten EVUs jetzt ihre Verpflichtungen prüfen. Versorger mit Kernprozessen ohne ITK-Einsatz sind auf der sicheren Seite: eine Zertifizierung ist nicht erforderlich. Betreiben sie allerdings Systeme mit Einfluss auf den Netzbetrieb, müssen alle Gefährdungspotenziale erfasst, eingeschätzt und bewertet werden. EVUs, die eine Zertifizierungsbefreiung anstreben, sollten hierbei systematisch und transparent vorgehen, um die behördliche Anerkennung für ihre Risikoanalysen zu erhalten. Hilfreich sind dabei Analysen und Gutachten, die die Zertifizierungsbefreiung möglichst weit standardisieren und damit Planungssicherheit für die EVUs schaffen.

dr-stefan-krempl-su%e2%95%a0ed-it-agAutor:

Dr. Stefan Krempl
SÜD-IT AG
ISO 27001 Lead-Auditor (TÜV Rheinland)
Datenschutzbeauftragter
Stahlgruberring 11
D-81829 München
Tel.: 089/4613505-11