Verbesserungsbedarf am IT-Sicherheitskatalog
Energienetzbetreiber müssen IT-Sicherheitskatalog bis 2018 umsetzen
Änderungen sind begrüßenswert: Die aus dem IT-Grundschutz stammende Schutzbedarfsfeststellung widerspricht der Vorgehensweise in der ISO 27001-Norm
(01.09.15) - Am 12. August 2015 wurde der IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) veröffentlicht. Im Vergleich zum bisherigen Entwurf fällt auf, dass die finale Fassung stärker an internationale Standards ausgerichtet wurde, insbesondere an die aktuelle Norm ISO/IEC 27001:2013. Entsprechend entfiel die Schutzbedarfsfeststellung und die Auswahl konkreter Maßnahmen. Infolgedessen konnte der IT-Sicherheitskatalog im Vergleich zur ursprünglichen Version gekürzt werden. Auch der Aufbau des IT-Sicherheitskatalogs orientiert sich nun an der aktuellen ISO-Norm. Zudem beträgt die Umsetzungspflicht statt einem Jahr nun gut zwei Jahre. Bis zum 30. November 2015 müssen Energienetzbetreiber der BNetzA außerdem einen Ansprechpartner IT-Sicherheit inklusive Kontaktdaten mitteilen.
"Die Änderungen sind zu begrüßen", erklärt Stefan Beck, IT-Sicherheitsexperte bei Sopra Steria Consulting. Denn die aus dem IT-Grundschutz stammende Schutzbedarfsfeststellung widerspricht der Vorgehensweise in der ISO 27001-Norm. Damit müssen Netzbetreiber nicht mehr den Schutzbedarf für IT-Objekte feststellen. Stattdessen können sie sich auf die Ermittlung des Risiko- und Gefährdungspotentials konzentrieren. Deutlich mehr Gewicht bekam das Risikomanagement. Die beiden hinzugekommenen Abschnitte behandeln die Risikoeinschätzung sowie die Risikobehandlung. Auch hier wird auf eine einschlägige internationale Norm, ISO/IEC 27005 und ISO 31000, verwiesen.
Mehraufwand bedeuten zwei Änderungen: So sind Smart Meter nun nicht mehr kategorisch vom Geltungsbereich ausgeschlossen. Vielmehr kommt es auf deren Einsatzszenario an. Werden sie zu netzbetrieblichen Zwecken eingesetzt, wie z.B. die Ermittlung von Netzzustandsinformationen, müssen für sie mindestens gleichwertige Sicherheitsstandards eingehalten werden. Des Weiteren muss der Netzstrukturplan nun so angefertigt werden, dass Standard-Informations- und Kommunikationstechnologie-Objekte von denen der Netzsteuerung getrennt aufgezeigt werden.
Die ursprünglich angegebene Umsetzungspflicht von einem Jahr war kaum durchführbar. Die nun geforderten gut zwei Jahre geben den Unternehmen mehr Zeit. Gleichwohl ist die Einhaltung der Zeitvorgabe anspruchsvoll.
Eine weitere wichtige Änderung ergab sich hinsichtlich der Zertifizierung. Die BNetzA erarbeitet gemeinsam mit der Deutschen Akkreditierungsstelle ein spezielles Zertifikat auf der Basis von ISO/IEC 27001. Nur speziell für den IT-Sicherheitskatalog akkreditierte Zertifizierungsstellen dürfen auditieren und dieses Zertifikat vergeben.
Trotz der positiven Bewertung besteht in Zukunft Verbesserungsbedarf am IT-Sicherheitskatalog: "Die aktuelle Fassung setzt wichtige Zeichen, kann aber nur ein erster Schritt sein", sagt Beck. "Zum Beispiel könnte die Bundesnetzagentur, gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnologie, in einigen Jahren die von Netzbetreibern eingesetzten Sicherheitsmaßnahmen überwachen und kontrollieren." Dadurch ließe sich die Risikoeinschätzung und -behandlung über alle Netzbetreiber hinweg harmonisieren. Das Reporting von Abweichungen, Sicherheitsvorfällen und Ausfällen sollte analog zum IT-Sicherheitsgesetz auch hier eingeführt werden. (Sopra Steria Consulting: ra)
Sopra Steria Consulting: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.