Beitrag

BSI wird Root-CA der Smart-Meter-PKI Mo 21.12.2015

Zum Scoping bei ISO 27001 für Energieversorger

Zertifikat ist nicht gleich Zertifikat! Nicht nur der angewendete Standard ist entscheidend, sondern auch der Scope eines Zertifikates – also der Geltungsbereich oder Untersuchungsgegenstand, der angibt, worauf sich die Übereinstimmung mit einer Norm bezieht.

Was beim Scoping bei ISO 27001 zu beachten ist, erfahren Sie in diesem Beitrag – illustriert am Beispiel der Energieversorgung.

Weshalb ist Scoping wichtig? Mit einem Zertifikat gemäß ISO/IEC 27001 weist ein Unternehmen nach, dass ein Informationssicherheits-Managementsystem (ISMS) etabliert ist. Dieses Zertifikat einer akkreditierten Zertifizierungsstelle bürgt damit für Informationssicherheit im Unternehmen. Jedes ISO 27001-Zertifikat weist aus, wofür es gilt, d.h. für welchen Geltungsbereich die Einhaltung der Norm geprüft und bestätigt wurde.

Welcher Geltungsbereich ist sinnvoll? Selbstverständlich kann ein gesamtes Unternehmen gemäß ISO 27001 zertifiziert werden. Aufgrund der Komplexität der umzusetzenden Prozesse kann es sich allerdings als zielführender erweisen, sich zunächst auf die Bereiche zu konzentrieren, die als besonders relevant erachtet werden. Relevant für den eigenen Betrieb oder zur Erfüllung gewisser Erwartungshaltungen bei Kunden und Behörden. Zu klein darf ein ISMS übrigens auch nicht sein.

Erste Näherung: Was fordert denn die ISO 27001? Die Norm ISO/IEC 27001:2013 fordert in Abs. 4.3, dass der Anwendungsbereich des Informationssicherheits-Managementsystems (ISMS) festgelegt ist und als dokumentierte Information vorliegt. Ferner sind die Grenzen zu anderen Bereichen zu berücksichtigen.

Kann nun jeder Scope zertifiziert werden? Während ISO 27001 die Norm für den Auditor ist, muss eine akkreditierte Zertifizierungsstelle prüfen, ob der Geltungsbereich für eine Zertifizierung geeignet ist. Dazu ist die entsprechende Akkreditierungsnorm ISO/IEC 27006 relevant. Hier findet sich in Abs. 9.1.2 der Hinweis, dass die Zertifizierungsstelle dafür Sorge zu tragen hat, dass

  • der Geltungsbereich samt Abgrenzung des ISMS klar definiert ist und
  • angemessen im Hinblick auf die Organisation, ihre Standorte, Werte und Technologie sowie ihr „Business“ ist.
  • Ferner ist der Geltungsbereich in der Risikoanalyse zu berücksichtigen sowie in der Darstellung der Anwendbarkeit – im sogenannten „Statement of Applicability“ (SOA).
  • Auch hier ist die Abgrenzung zu anderen Bereichen klar darzulegen.

ISO 27001 bietet viele Freiheiten zum Scoping: Im Zwischenfazit ist damit festzuhalten, dass ein Antragsteller unter Berücksichtigung der zuvor genannten Aspekte relativ frei in Wahl und Zuschnitt „seines“ ISMS ist. Deshalb ist es wichtig, bei der Anerkennung eines ISO 27001-Zertifikates – etwa, wenn Sie einen Dienstleister einschalten möchten oder selber die Konformität nachweisen möchten – stets darauf zu achten, ob der im Zertifikat angegebene Geltungsbereich den entsprechenden Bereich umfasst. Falls Sie zum Scope eines Zertifikates Fragen haben, können Sie die akkreditierte Zertifizierungsstelle, die das Zertifikat erteilt hat, auch einfach fragen.

Können damit Energieversorger ihren Scope auch frei wählen? Nein! Hier hat der Gesetzgeber definiert, für welche Bereiche ein ISMS aufgebaut und durch ein Zertifikat nachgewiesen sein muss. Aktuell relevant sind dazu insbesondere das IT-Sicherheitsgesetz (IT-SiG) für Kritische Infrastrukturen (KRITIS) und das Energiewirtschaftsgesetz (EnWG) mit dem IT-Sicherheitskatalog der Bundesnetzagentur.

Zunächst ist dazu die Frage zu klären, welche Bereiche überhaupt vom Gesetzgeber geregelt werden.

Wer ist KRITIS? Was zu den Kritischen Infrastrukturen (KRITIS) zählt, wird durch § 2 Abs. 10 BSI-Gesetz (geändert durch Art. 1 Nr. 2 IT-SiG) neu definiert:

  • „Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die
  • den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
  • von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. […]“

 Und was müssen KRITIS tun? Welche Anforderungen Bereiche umsetzen müssen, die zu den Kritischen Infrastrukturen zählen, wird im BSI-Gesetz in § 8a (geändert durch Art. 1 Nr. 7 IT-SiG) unter der Überschrift „Sicherheit in der Informationstechnik Kritischer Infrastrukturen“ normiert:

  • „(1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei ist der Stand der Technik zu berücksichtigen. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.
  • (2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe,   im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde.
  • (3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt eine Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Bei Sicherheitsmängeln kann das Bundesamt die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse und im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.“

Was gilt für die Energieversorger zusätzlich? Unternehmen aus dem Bereich der Energie fallen unter das IT-Sicherheitsgesetz. Für sie sind ferner weitere Anforderungen relevant. Das Energiewirtschaftsgesetz (EnWG) normiert in §11 Abs. 1a:

  • „(1) Betreiber von Energieversorgungsnetzen sind verpflichtet, ein sicheres, zuverlässiges und leistungsfähiges Energieversorgungsnetz diskriminierungsfrei zu betreiben, zu warten und bedarfsgerecht zu optimieren, zu verstärken und auszubauen, soweit es wirtschaftlich zumutbar ist. […]
  • (1a) Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen. Die Regulierungsbehörde erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen und veröffentlicht diesen. Ein angemessener Schutz des Betriebs eines Energieversorgungsnetzes wird vermutet, wenn dieser Katalog der Sicherheitsanforderungen eingehalten und dies vom Betreiber dokumentiert worden ist. Die Einhaltung kann von der Regulierungsbehörde überprüft werden. Die Regulierungsbehörde kann durch Festlegung im Verfahren nach § 29 Absatz 1 nähere Bestimmungen zu Format, Inhalt und Gestaltung der Dokumentation nach Satz 3 treffen.“

 Was genau gefordert wird, erläutert der „IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz“ der Bundesnetzagentur. Hier werden in Abschnitt C Schutzziele definiert: „Der vorliegende IT-Sicherheitskatalog enthält Anforderungen zur Gewährleistung eines angemessenen Schutzes gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind.“

Unter Abs. E werden dazu die Sicherheitsanforderungen formuliert: „Zur Gewährleistung eines angemessenen Sicherheitsniveaus für TK- und EDV-Systeme, die für einen sicheren Netzbetrieb notwendig sind, ist die bloße Umsetzung von Einzelmaßnahmen, wie zum Beispiel der Einsatz von Antivirensoftware, Firewalls usw. nicht ausreichend. […]

Dementsprechend haben Netzbetreiber ein ISMS zu implementieren, das den Anforderungen der DIN ISO/IEC 27001 in der jeweils geltenden Fassung genügt und mindestens die unter Abschnitt D beschriebenen Systeme, d. h. Telekommunikations- und EDV-Systeme, die für einen sicheren Netzbetrieb notwendig sind, umfasst.“

 Präziser wird es unter Abschnitt G. Umsetzungsvorgaben, I. Zertifizierung: „Der Netzbetreiber ist verpflichtet, die Konformität seines ISMS mit den Anforderungen dieses IT-Sicherheitskatalogs durch ein Zertifikat zu belegen. Die Bundesnetzagentur erarbeitet hierzu gemeinsam mit der Deutschen Akkreditierungsstelle (DAkkS) ein entsprechendes Zertifikat auf der Basis von DIN ISO/IEC 27001. Die Zertifizierung muss durch eine unabhängige und für die Zertifizierung akkreditierte Stelle durchgeführt werden. Eine Übersicht akkreditierter Stellen zur Zertifizierung des IT-Sicherheitskatalogs kann auf der Internetseite der DAkkS abgerufen werden, sobald entsprechende Akkreditierungsverfahren abgeschlossen sind.“

Der IT-Sicherheitskatalog der Bundesnetzagentur gibt unter „III. Netzstrukturplan“ Hinweise zum Scope: „Der Netzbetreiber hat eine Übersicht über die vom Geltungsbereich des IT-Sicherheitskatalogs betroffenen Anwendungen, Systeme und Komponenten mit den anzutreffenden Haupttechnologien und deren Verbindungen zu erstellen. Die Übersicht ist nach den Technologiekategorien „Leitsystem/Systembetrieb“, „Übertragungstechnik/Kommunikation“ und „Sekundär-, Automatisierungs- und Fernwirktechnik“ zu unterscheiden. Tabelle 2 enthält eine kurze Beschreibung zu den Technologiekategorien sowie einige Beispiele.“

In diesem Kontext wird übrigens häufig auf ISO/IEC 27019 verwiesen – der Standard für ein ISMS im Energieumfeld. In Abs. 1 beschreibt die Norm, für wen sie geeignet ist: „The scope of this guideline covers process control systems used by the energy utility industry for controlling and monitoring the generation, transmission, storage and distribution of electric power, gas and heat in combination with the control of supporting processes.”

Zurück zur Ausgangsfrage zum Scoping bei ISO 27001 für Energieversorger.  Nachdem nun alle Fakten vorliegen – Was ist Scoping? Was fordert die Norm? Welche Bereiche werden nunmehr gesetzlich geregelt? Was wird dort gefordert? –, kommen wir jetzt zu der entscheidenden Frage: Wie sieht der Geltungsbereich eines Energieversorgers aus, der mit einem ISO 27001-Zertifikat seiner gesetzlichen Verpflichtung nachkommen möchte? Oder besser: Aussehen könnte? Wie geht man vor? Folgende Gedanken sollte man sich machen ……

Wer muss was tun? Unternehmen, die zu den Kritischen Infrastrukturen zählen, müssen ein „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind“. State-of-the-Art wäre dazu die Einführung eines Informationssicherheits-Managementsystems (ISMS). Die Umsetzung ist nachzuweisen, beispielsweise über ein Zertifikat. Unternehmen, die unter das Energiewirtschaftsgesetz (EnWG) fallen – also Betreiber von Energieversorgungsnetzen – müssen ein ISMS gem. ISO/IEC 27001 etablieren und von einer akkreditierten Zertifizierungsstelle zertifizieren lassen.

Was gehört damit zum Scope? Das IT-SiG fokussiert auf „die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen“. Der IT-Sicherheitskatalog konkretisiert diese „Funktionsfähigkeit“ auf „Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig" sind. Erfreulicherweise ist der IT-Sicherheitskatalog dazu sehr präzise: „alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Netzbetrieb notwendig sind. Enthalten sind demnach zumindest alle TK- und EDV-Systeme des Netzbetreibers, welche direkt Teil der Netzsteuerung sind, d. h. unmittelbar Einfluss nehmen auf die Netzfahrweise. Daneben sind auch TK- und EDV-Systeme im Netz betroffen, die selbst zwar nicht direkt Teil der Netzsteuerung sind, deren Ausfall jedoch die Sicherheit des Netzbetriebs gefährden könnte. Darunter fallen z. B. Messeinrichtungen an Trafo- oder Netzkoppelstationen.“ Im nächsten Absatz wird auch die Abgrenzung gezogen: „Solange und soweit Messsysteme nach § 21d EnWG zu netzbetrieblichen Zwecken [...] eingesetzt werden, hat der Netzbetreiber sicherzustellen, dass hinsichtlich dieses Teilbereichs Sicherheitsstandards eingehalten werden, die dem IT-Sicherheitskatalog zumindest gleichwertig sind. Vom Geltungsbereich ausgenommen sind Messsysteme nach § 21d EnWG damit in allen Fällen, in denen sie nicht zu netzbetrieblichen Zwecken eingesetzt werden (z. B. zur Ermittlung von Energieverbräuchen u. a.).“

Und was muss nun auf dem Zertifikat als Scope angegeben sein? Ein unverbindlicher Vorschlag: ISMS für die Netzsteuerung. Wie geht man nun sinnvollerweise vor? Erstellen Sie eine Strukturanalyse, in der alle Komponenten aus Ihrem Unternehmen aufgeführt sind:

  • Standorte, Gebäude, Räume;
  • IT-Systeme und Netzkomponenten;
  • Anwendungen.

    Evtl. können Sie dazu eine Liste Ihrer Assets nutzen. Verzeichnen Sie auch Abhängigkeiten, d.h. welche Anwendungen werden auf welchen IT-Systemen/ Netzkomponenten in welchen Räumen/ Gebäuden/ Standorten betrieben. Tipp: Gehen Sie nicht zu granular vor, sondern gruppieren Sie großzügig. Ziel ist es, einen Überblick zu bekommen. Klassifizieren Sie nun Ihre Komponenten dahingehend, ob diese für den sicheren Netzbetrieb notwendig sind sind. Vorschlag:

  • „enforcing“ für unabdingbar;
  • „supporting“ für Komponenten, die zwar einen Bezug zum Netz haben, aber vom Schutzbedarf her weniger wichtig sind;
  • „non-interfering“ für Komponenten, die keinen Einfluss haben.

    Der Scope setzt sich damit zusammen aus allen Komponenten, die als „enforcing“ klassifiziert wurden. Die Abgrenzung zu anderen Komponenten wird durch klare Schnittstellen zu „supporting“-Komponenten beschrieben.

Gleichfalls nützlich zum Scoping: Der „Praxisleitfaden IT-Sicherheitskatalog – Anforderungen an die IT für den sicheren Betrieb von Energieversorgungsnetzen“ vom Digitalverband BITKOM und dem Verband Kommunaler Unternehmen e.V. (VKU). Die datenschutz cert GmbH hat an dem Praxisleitfaden mitgewirkt, und sich mit der Frage auseinandergesetzt: Wie kann der Scope  eines Informationssicherheits-Managementsystems aus Sicht einer Zertifizierungsstelle aussehen? Der „Praxisleitfaden IT-Sicherheitskatalog“ steht auf den Seiten des BITKOM zum Download zur Verfügung.

Haben Sie Fragen dazu? Sprechen Sie uns gerne an. Wir sind auch auf der E-world 2016 in Essen: Halle 4, Stand 4-213 vom 16. bis 18. Februar 2016.

Von Dr. Sönke Maseberg in der Rubrik Smart Meter, cert News