Durch die Einführung des Sicherheitskatalogs der Bundesnetzagentur ergeben sich Ansätze, wie die Pflichten des § 11 Ia EnWG seitens der IT-Sicherheit umzusetzen sind. Diese Arbeit soll diese Pflichten erläutern und Aufschluss über die Vorgaben des BSI zur Erfüllung dieser Pflichten geben. Darüber hinaus sollen über die möglichen Probleme der Sicherheitsvorgaben aufgeklärt werden.
Im Laufe der Zeit gewinnt die Nutzung informationstechnischer Systeme und das Internet mit seinen vielfältigen Angeboten für den Staat, die Wirtschaft und Gesellschaft an Bedeutung. Einerseits entstehen dadurch neue Potentiale, Freiräume und Synergien, aber andererseits ist die Abhängigkeit von IT-Systemen und die Bedeutung der Verfügbarkeit und Sicherheit von Daten nicht zu unterschätzen. Auch der Energiesektor ist davon betroffen. In der Vergangenheit gab es im Ausland drastische Störungen von Energieanlagen durch Cyberattacken. Um dies zu verhindern, sollen dementsprechend Netzbetreiber Maßnahmen nach § 11 EnWG umsetzen.
Inhaltsverzeichnis
I. Einleitung
II. Die Regelung des § 11 Ia EnWG
III. Natur und Vorgaben des Katalogs über die Sicherheitsanforderungen
1. Informationssicherheits-Managementsystem
a) Netzstrukturplan
b) Risikoanalyse
2. Ansprechpartner IT-Sicherheit
3. Zertifizierung
IV. Probleme der Sicherheitsanforderungen
V. Fazit
I. Einleitung
Im Laufe der Zeit gewinnt die Nutzung informationstechnischer Systeme und das Internet mit seinen vielfältigen Angeboten für den Staat, die Wirtschaft und Gesellschaft an Bedeutung.1 Einerseits entstehen dadurch neue Potentiale, Freiräume und Synergien aber andererseits ist die Abhängigkeit von IT-Systeme und die Bedeutung der Verfügbarkeit und Sicherheit von Daten nicht zu unterschätzen.2 Auch der Energiesektor ist davon betroffen. In der Vergangenheit gab es im Ausland drastische Störungen von Energieanlagen durch Cyberattacken wie beispielsweise einen Ausfall des ukrainischen Stromnetzes3 oder einer nahezu Auslösung einer Explosion eines Gaskraftwerkes in Saudi-Arabien4
Solche spektakulären Cyberangriffe sind zum Glück in Deutschland bislang ausgeblieben. Um dies zu verhindern sollen dementsprechend Netzbetreiber Maßnahmen nach § 11 EnWG umsetzen. Diese Arbeit soll diese Pflichten erläutern und Aufschluss über die Vorgaben des BSI zur Erfüllung dieser Pflichten geben. Darüber hinaus sollen über die möglichen Probleme der Sicherheitsvorgaben aufgeklärt werden.
II. Die Regelung des § 11 Ia EnWG
Betreiber von Energieversorgungsnetze sind gem. § 11 I 1 EnWG u.a. verpflichtet ein sicheres Energieversorgungsnetz zu betreiben. Mit der Novelle vom 26.07.2011 wurden spezielle Vorgaben für die IT-Sicherheit in der Energiewirtschaft durch die Einführung des § 11 Ia EnWG getroffen. Darüber hinaus wurde im Zuge des IT-Sicherheitsgesetzes § 11 Ia EnWG modifiziert und um Ib und Ic erweitert.5
Nach § 11 Ia 1 EnWG umfasst der Betrieb eines sicheren Energieversorgungsnetzes einen angemessenen Schutz gegen Bedrohungen für Telekommunikationsund elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind. Gemeint ist dabei, dass das Gesamtsystem durch die Sicherheit und Zuverlässigkeit dessen gegen IT-Gefahren wie beispielsweise Hackerangriffe geschützt werden muss.6 Dies soll gem. § 11 Ia EnWG durch Erfüllung des Katalogs der Sicherheitsanforderungen der Bundesnetzagentur, im Benehmen mit den Bundesamt für Sicherheit in der Informationstechnik (BSI), geschehen, der durch die Einführung des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) von 17.07.20157 ergänzt wurde. Dieser Sicherheitskatalog enthält u.a. alle Anforderungen zur Einführung eines Informationssicherheits-Managements um einen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme zu erzielen. Dementsprechend soll im folgenden auf diesen Sicherheitskatalog eingegangen werden.
III. Natur und Vorgaben des Katalogs über die Sicherheitsanforderungen
Nach § 11 Ia 3 EnWG enthält der Katalog Regelungen zur regelmäßigen Überprüfung der Erfüllung von Sicherheitsanforderungen. Adressat davon sind nach Maßgabe des § 11 Ia EnWG alle Strom- und Gasnetzbetreiber unabhängig von ihrer Art und Größe (wie z.B. auch Betreiber von geschlossene Verteilernetze i.S.v. § 110 EnWG).8 Kernforderung dieses Sicherheitskatalogs der Bundesnetzagentur ist die Einführung eines Informations sicherheits-Managementsystems gem. DIN ISO/IEC 27001 sowie die Zertifizierung durch eine unabhängige hierfür zugelassene Stelle.9 Diese Forderung soll insbesondere durch die Auswahl geeigneter, angemessener und dem allgemein Stand der Technik entsprechender Maßnahmen zur Realisierung erreicht werden. Angemessen ist dieser Schutz für den Betrieb eines Energieversorgungsnetzes gem § 11 Ia 3 EnWG, wenn die Anforderungen des Sicherheitskatalogs erfüllt werden. Darin werden konkret als Schutzziele definiert:
- die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten,
- die Sicherstellung der Integrität der verarbeiteten Information und Systeme,
- die Gewährleistung der Vertraulichkeit der mit den betrachteten Systemen verarbeiteten Informationen.10
Dabei versteht man unter Verfügbarkeit (engl. availability) die Gewährleistung, dass authentifizierte und autorisierte Subjekte in der Wahrnehmung ihrer Berechtigungen nicht unautorisiert beeinträchtigt werden können.11 Die Datenintegrität bedeutet, dass es Subjekten nicht möglich ist, die zu schützenden Daten unautorisiert und unbemerkt zu manipulieren.12 Bei der Vertraulichkeit (engl. confitia- lity) geht es darum, dass keine unautorisierte Informationsgewinnung ermöglicht wird.13
Diese Schutzziele sollen konkret durch die Einführung eines InformationssicherheitsManagementsystem gem. DIN ISO/IEC 27001 sowie die Zertifizierung davon und die Ernennung eines Ansprechpartners für IT-Sicherheit erreicht werden. Dementsprechend sollen im folgenden die Vorgaben des IT-Sicherheitskatalogs der Bundesnetzagentur genauer betrachtet werden.
1. Informationssicherheits-Managementsystem
Für den Erhalt eines sicheren Netzbetrieb auf EDV-Seite ist die bloße Umsetzung von Einzelmaßnahmen, wie z.B. der Einsatz von Antivirensoftware, Firewalls usw. nicht ausreichend.14
Als ganzheitlicher Ansatz zur Erreichung der Schutzziele mit kontinuierliche Überprüfung der Leistungsfähigkeit und Wirksamkeit wird daher auf ein sog. Informationssicherheitsmanagementsystem (ISMS) zurückgegriffen.15
Dabei wird festgelegt, mit welchen Instrumenten und Methoden die Leitungsebene die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar gelenkt (plant, einsetzt, durchführt, überwacht und verbessert) wird.16 Konkret werden diese Prozesse beispielsweise durch Anwendung des „Plan-Do-Check-Act- Modells” (PDCA-Modell) erreicht.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 1: BSI-Standard 200-1, S. 15.
Dieser PDCA Zyklus ist als Regelkreis zu verstehen, d.h. man startet wieder bei „Plan” nachdem die vier Phasen durchlaufen wurden. Dabei wird eine Ist- Analyse gemacht und ein Sollwert erzielt.17 Dies soll durch die Erstellung eines Netzstrukturplans und eine Risikoanalyse umgesetzt werden.
a) Netzstrukturplan
Inhaltlich soll im Netzstrukturplan aller Systeme/Komponenten sowie deren Verbindungen und Schnittstellen, unterteilt in die Technologiekategorien „Leitsys- tem/Systembetrieb”, „Übertragungstechnik” und „Sekundär-, Automatisierungsund Fernwirktechnik” aufgeführt werden.18 Kurzum muss ein Überblick über alle technische Anwendungen erschafft werden.
Dennoch kann die Anzahl an betrachteten Systeme im Netzgebiet sowie die Verbindungen dessen zu einer erhöhten Komplexität führen, sodass es sinnvoll sein kann gleichartige Systeme nach bestimmten Kriterien zu gruppieren.19
b) Risikoanalyse
Zum Prozess der Risikoanalyse für den Netzbetreiber gehören sowohl Risikoeinschätzung als auch Risikobehandlung.
Bei der Risikoeinschätzung sind durch den Netzbetreiber mindestens folgende Kriterien zu berücksichtigen:
- Beeinträchtigung der Versorgungssicherheit,
- Einschränkung des Energieflusses,
- Betroffener Bevölkerungsanteil,
- Gefährdung für Leib und Leben,
- Auswirkung auf weitere Infrastrukturen,
- Gefährdung für Datensicherheit und Datenschutz durch Offenlegung oder Manipulation,
- sowie finanzielle Auswirkungen.20
Diese sollen dann in den Schadenskategorien „kritisch”, „hoch” und „mäßig” eingestuft werden.
Für die Risikobehandlung sollen geeignete und angemessene Maßnahmen zu den eingeschätzten Risiken ausgewählt werden. Hierbei können die Risiken vermieden werden z.B. durch Ausschluss der Risikoursache, reduziert werden durch Modifizierung der Rahmenbedingungen die zur Risikoeinstufung beigetragen haben, transferiert d.h. teilen mit anderen Parteien wie Versicherungen oder akzeptiert werden.21 Zur Bestimmung der Geeignetheit und Angemessenheit der Maßnahmen sind konkret neben den Auswirkungen auf das Sicherheitsniveau auch Kosten-Nutzen-Aspekte und die Praxistauglichkeit zu beachten.22
2. Ansprechpartner IT-Sicherheit
Eine weitere Anforderung des IT-Sicherheitskatalogs ist die Benennung eines IT- Sicherheitsbeauftragten als Ansprechpartner für die Bundesnetzagentur. Dieser soll u.a. Auskunft geben über den Umsetzungsstand der Anforderungen des IT- Sicherheitskatalog sowie Sicherheitsvorfälle melden.23
Im Gegensatz zum Datenschutzbeauftragten ist der IT-Sicherheitsbeauftragte allein im Interesse des Unternehmens tätig.24 Demzufolge sollte aus Interessenskonflikten nicht die selbe Person beide Tätigkeiten aufnehmen.25
[...]
1 BT-Drs. 18/4096, S. 1.
2 BT-Drs. 18/4096, S. 1.
3 SZ, 22.01.2016, „Bundesamt geht von Hackerangriff auf ukrainisches Stromnetz aus”, https://www.sueddeutsche.de/digital/ukraine-bundesamt-geht-von-hackerangriff-auf- ukrainisches-stromnetz-aus-1.2830197, aufgerufen am: 04.09.2020.
4 Heise, 15.03.2018, Saudi-Arabien: „Cyberangriff hätte Explosion auslösen können - Ermittler sind alarmiert”, https://www.heise.de/newsticker/meldung/Saudi-Arabien-Cyberangriff- haette-Explosion-ausloesen-koennen-Ermittler-sind-alarmiert-3996010.html,aufgerufen am: 04.09.2020.
5 Maximilian Emanuel Elspas u.a., Hrsg.: EnWG: Energiewirtschaftsgesetz mit AbLaV, ARegV, GasGVV, GasHDrLtgV, GasNEV, GasNZV, KAV, KraftNAV, LSV, MaStRV, NAV, NDAV, Netz- ResV, StromGVV, StromNEV, StromNZV, SysStabV, ÜNSchutzV : Kommentar. Berliner Kommentare. Berlin: Erich Schmidt Verlag, 2018, § 11 EnWG, Rn. 66.
6 Franz Jürgen Säcker, Hrsg.: Berliner Kommentar zum Energierecht. 4., völlig neu bearbeitete und wesentlich erweiterte Auflage, Frankfurt am Main: Fachmedien Recht und Wirtschaft dfv Mediengruppe, 2019, § 11, Rn. 88.
7 BGB1. I 2015, S. 1324.
8 Stefan Brühl und Michael Weise: Auswirkungen eines künftigen IT-Sicherheitsgesetzes auf Betreiber Kritischer Infrastrukturen: Herausforderungen für Strom- und Gasnetzbetreiber bei der verpflichtenden Implementierung eines ISMS nach ISO 27001 ff. In: CR 05 2015, 290294, S. 291.
9 BNetzA, Sicherheitskatalog gemäß § 11 Absatz 1aEnWG, Stand: August 2015, S.3.
10 BNetzA, Sicherheitskatalog gemäß § 11 Absatz 1a EnWG, Stand: August 2015, S.5.
11 Claudia Eckert: IT-Sicherheit: Konzepte - Verfahren - Protokolle. 10., erweiterte und aktualisierte Auflage, ISBN: 978-3-11-055158-7. DOI: 10.1515/9783110563900, S. 12.
12 Eckert, IT-Sicherheit: Konzepte - Verfahren - Protokolle, S. 9.
13 Eckert, IT-Sicherheit: Konzepte - Verfahren - Protokolle, S. 10.
14 BNetzA, Sicherheitskatalog gemäß § 11 Absatz 1a EnWG, Stand: August 2015, S. 8.
15 BNetzA, Sicherheitskatalog gemäß § 11 Absatz 1a EnWG, Stand: August 2015, S. 8.
16 BSI-Standard 200-1, S. 15.
17 BNetzA, Sicherheitskatalog gemäß § 11 Absatz 1a EnWG, Stand: August 2015, S. 8.
18 BNetzA, Sicherheitskatalog gemäß § 11 Absatz 1a EnWG, Stand: August 2015, S. 11.
19 Brühl und Weise, “Auswirkungen eines künftigen IT-Sicherheitsgesetzes auf Betreiber Kritischer Infrastrukturen: Herausforderungen für Strom- und Gasnetzbetreiber bei der verpflichtenden Implementierung eines ISMS nach ISO 27001 ff.”, S. 292.
20 BNetzA, Sicherheitskatalog gemäß § 11 Absatz 1a EnWG, Stand: August 2015, S. 13.
21 BSI-Standard 200-1, S. 34.
22 BSI-Standard 200-1, S. 35.
23 BNetzA, Sicherheitskatalog gemäß § 11 Absatz 1a EnWG, Stand: August 2015, S. 14f.
24 Thomas Grützner und Alexander Jakob: Compliance von A - Z. 2. Auflage, Beck-Online Bücher. München: Beck, 2015. ISBN: 9783406678363, IT-Sicherheitsbeauftragter.
25 Grützner und Jakob, Compliance vonA-Z, IT-Sicherheitsbeauftragter.
- Citar trabajo
- Marianne Karpp (Autor), 2020, IT-Security als Aufgabe des Netzbetreibers gem. § 11 EnWG, Múnich, GRIN Verlag, https://www.grin.com/document/1064386
-
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X.