IT-Sicherheitskatalog: Netzbetreiber unter Handlungsdruck

No
21. Oktober 2014

Netzbetreiber sind gezwungen, für die Sicherheit ihrer Netzsteuerungs- sowie Telekommunikationssysteme zu sorgen. Die gesetzliche Grundlage hierfür bildet das Energiewirtschaftsgesetz, das die Aufgaben der Netzbetreiber definiert und aktuell durch einen IT-Sicherheitskatalog der Bundesnetzagentur ergänzt wird. Hierin fordert die Bundesnetzagentur Betreiber auf, nachweislich für die Verfügbarkeit und die Integrität ihrer IT sowie die Vertraulichkeit der verarbeiteten Informationen zu sorgen.

Das heißt konkret, dass zumindest Teilbereiche der Organisation in ein gemäß ISO 27001 zertifiziertes Informationssicherheits-Managementsystem (ISMS) eingebettet werden müssen. Dieses ISMS definiert alle erforderlichen Prozesse und Verantwortlichkeiten. Zunächst ist ein IT-Sicherheitsbeauftragter zu benennen und eine IT-Sicherheitsleitlinie zu erarbeiten. Außerdem ist zu definieren, welche Methode zur Risikoanalyse zum Einsatz kommt. Um ein angemessenes IT-Sicherheitskonzept zu etablieren, gilt es, den Ist-Zustand (IT-Objekte, Netzstrukturplan, Datenflüsse, Schutzmaßnahmen) zu erfassen und diesen mit den Anforderungen der Bundesnetzagentur abzugleichen. Das Resultat dieser Überprüfungen stellt den individuellen Handlungsbedarf des Netzbetreibers dar.

In der Designphase müssen die Informationssicherheitsprozesse, beispielsweise ein kontinuierlicher, interner Verbesserungsprozess (KVP), die Berichtswege und Gremien sowie das Risikomanagement festgelegt werden, damit sich ein dauerhaft wirksames ISMS etablieren und betreiben lässt. In der Implementierungsphase ist dann ein intelligenter Umsetzungsplan gefordert, bevor nach der Umsetzung der technischen und organisatorischen Maßnahmen das eigentliche Zertifizierungsaudit (ISO 27001) beginnen kann.

Der Aufbau und die erfolgreiche Zertifizierung eines ISMS ist eine gesamtorganisatorische Aufgabe, die für jeden Netzbetreiber eine große Herausforderung darstellt. Verantwortlich dafür ist die Geschäftsführung. Ein Scheitern ist keine Option. Einerseits, weil die Vorgaben des Regulators zwingend einzuhalten sind. Andererseits, weil sich nach einem Misserfolg die eigenen Mitarbeiter nur schwer für einen weiteren Versuch motivieren lassen.