Vor kurzem wurde der IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) veröffentlicht. Im Vergleich zum bisherigen Entwurf fällt auf, dass die finale Fassung stärker an internationalen Standards ausgerichtet wurde, insbesondere an die aktuelle Norm ISO/IEC 27001:2013. Entsprechend entfiel die Schutzbedarfsfeststellung und die Auswahl konkreter Maßnahmen. Infolgedessen konnte der IT-Sicherheitskatalog im Vergleich zur ursprünglichen Version gekürzt werden. Auch der Aufbau des IT-Sicherheitskatalogs orientiert sich nun an der aktuellen ISO-Norm. Zudem beträgt die Umsetzungspflicht statt einem Jahr nun gut zwei Jahre. Bis zum 30. November 2015 müssen Energienetzbetreiber der BNetzA außerdem einen Ansprechpartner IT-Sicherheit inklusive Kontaktdaten mitteilen.
„Die Änderungen sind zu begrüßen“, erklärt Stefan Beck, IT-Sicherheitsexperte bei Sopra Steria Consulting. Denn die aus dem IT-Grundschutz stammende Schutzbedarfsfeststellung widerspreche der Vorgehensweise in der ISO 27001-Norm. Damit müssen Netzbetreiber nicht mehr den Schutzbedarf für IT-Objekte feststellen. Stattdessen können sie sich auf die Ermittlung des Risiko- und Gefährdungspotentials konzentrieren. Deutlich mehr Gewicht habe das Risikomanagement bekommen. Die beiden hinzugekommenen Abschnitte behandeln die Risikoeinschätzung sowie die Risikobehandlung. Auch hier wird auf eine einschlägige internationale Norm, ISO/IEC 27005 und ISO 31000, verwiesen.
Zwei Änderungen bedeuten Mehraufwand
1. Smart Meter sind nun nicht mehr kategorisch vom Geltungsbereich ausgeschlossen. Vielmehr kommt es auf deren Einsatzszenario an. Werden sie zu netzbetrieblichen Zwecken eingesetzt, wie z.B. die Ermittlung von Netzzustandsinformationen, müssen für sie mindestens gleichwertige Sicherheitsstandards eingehalten werden.
Außerdem muss der Netzstrukturplan nun so angefertigt werden, dass Standard-Informations- und Kommunikationstechnologie-Objekte von denen der Netzsteuerung getrennt aufgezeigt werden.
Die ursprünglich angegebene Umsetzungspflicht von einem Jahr war kaum durchführbar. Die nun geforderten gut zwei Jahre geben den Unternehmen mehr Zeit. Gleichwohl ist die Einhaltung der Zeitvorgabe anspruchsvoll.
2. Eine weitere wichtige Änderung ergab sich hinsichtlich der Zertifizierung. Die BNetzA erarbeitet gemeinsam mit der Deutschen Akkreditierungsstelle ein spezielles Zertifikat auf der Basis von ISO/IEC 27001. Nur speziell für den IT-Sicherheitskatalog akkreditierte Zertifizierungsstellen dürfen auditieren und dieses Zertifikat vergeben.
Trotz der positiven Bewertung besteht für Beck in Zukunft Verbesserungsbedarf am IT-Sicherheitskatalog: „Die aktuelle Fassung setzt wichtige Zeichen, kann aber nur ein erster Schritt sein“, sagt Beck. „Zum Beispiel könnte die Bundesnetzagentur, gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnologie, in einigen Jahren die von Netzbetreibern eingesetzten Sicherheitsmaßnahmen überwachen und kontrollieren.“ Dadurch ließe sich die Risikoeinschätzung und -behandlung über alle Netzbetreiber hinweg harmonisieren. Das Reporting von Abweichungen, Sicherheitsvorfällen und Ausfällen sollte analog zum IT-Sicherheitsgesetz auch hier eingeführt werden.