Energie&Management: Sicherheit mit Brief und Siegel
Was Netzbetreiber bei der Einrichtung eine Informationssicherheitsmanagementsystems beachten sollten, schildert Dr. Joachim Cramer. Am 12. Juni hat das Parlament das lang diskutierte IS-Sicherheitsgesetz verabschiedet. Danach wird die Bundesnetzagentur (BNetzA) einen Katalog von IT-Sicherheitsanforderungen für Betreiber von Energienetzen mit weitreichenden Vorgaben veröffentlichen.
Die erhöhten Sicherheitsanforderungen zwingen Energieversorger zu besonderen Maßnahmen, wie etwa die Einführung eines Informationssicherheitsmanagementsystems (ISMS) gemäß DIN ISO/IEC 27001 (ISO 27001), die Benennung eines IT-Sicherheitsbeauftragten als Ansprechpartner für die BNetzA sowie die Zertifizierung dieses Systems durch eine hierfür zugelassende unabhängige Stelle. Nach Inkrafttreten ist dieser Anforderungskatalog unabhängig von der Größe oder Anzahl der angeschlossenen Kunden von allen Netzbetreibern umzusetzen, da keine so genannte De-minimis-Regelung existiert. Bei allen Netzbetreibern besteht daher akuter Handlungsbedarf. Welche Anforderungen stellt die BNetzA im IT-Sicherheitskatalog? Welches systematische Vorgehen zum Aufbau und zur Zertifiezierung eines ISMS empfiehlt sich?
Was geschützt werden soll
Ein ISMS soll den Schutz der Informationen eines Netzbetreibers sicherstellen. Als Informationen werden im Sinne von ISO 27001 nicht nur elektronisch in IT-Systemen gespeicherte Daten betrachtet. Vielmehr geht es unabhängig von der Erscheinungsform sowie Art der Nutzung und Speicherung um alle Informationen, die einen Wert für den Netzbetreiber darstellen. Damit umfasst der Begriff "Informationssicherheit" mehr Aspekte als die reine "IT-Sicherheit", ist aber enger gefasst als das allgemeine Verständnis von Sicherheit, da Netzbetreiber auch noch über andere zu schützende Werte (zum Beispiel die Netzt selbst) verfügen. Die wesentlichen Schutzziele gemäß ISO 27001 sind Vertraulichkeit, Integrität und Verfügbarkeit der Informationen. [...]