Kategorie: IT-Sicherheit

Ukraine: Blackout durch Hackerangriff

von Marianne Diem, November 2016
hackerangriff ukraine

Kritische Infrastrukturen: Der Blackout am 23. Dezember 2015 in der Ukraine war der weltweit erste, der durch einen Hackerangriff verursacht wurde und stellt somit einen Präzedenzfall dar.

Ablauf des Blackouts

Am 23. Dezember 2015 gegen 15 Uhr gingen in der westukrainischen Region Ivano-Frankiwsk unerwartet sieben 110 kV und dreiundzwanzig 35 kV Umspannwerke für mehrere Stunden vom Netz. Insgesamt waren drei unterschiedliche Stromversorger betroffen. Bis die Verteilnetzbetreiber in der Lage waren, die abgekoppelten Anlagen wieder in Betrieb zu nehmen, blieben etwa 225.000 Kunden ohne Strom.

Sofort nach dem Angriff behaupteten ukrainische Regierungsbeamte, dass die Ausfälle durch einen Hackerangriff hervorgerufen worden seien, und machten den russischen Geheimdienst hierfür verantwortlich. Dies löste mehrere nationale und internationale Untersuchungen des Vorfalls aus. Auch private Firmen und die U.S. Regierung boten Hilfe bei der Aufklärung der Vorgänge an. Der vorliegende Artikel basiert auf einem Whitepaper von E-ISAC und ICS-SANS und einem Bericht des Department of Homeland Security.

Wiewohl die Stromversorgung relativ schnell wiederhergestellt werden konnte und nur ein kleiner Teil der ukrainischen Bevölkerung betroffen war, ist der Vorfall alarmierend und wirft Fragen nach der Sicherheit kritischer Infrastrukturen auf. Die Langfristigkeit und großräumige Koordination des Angriffs, Zeitpunkt und Zielauswahl sprechen für einen politisch motivierten Akteur mit großen Ressourcen.

Analyse des Hackerangriffs

Die angegriffenen Firmen verfügten wie üblich über eine IT-Umgebung für die Verwaltung und eine gesonderte IT-Umgebung für die Leittechnik der Stromnetze. Wenn auch die Steuerung des Netzes von einer Leitwarte aus erfolgte, war die Leittechnik jedoch über eine VPN-Verbindung mit dem Business-Netzwerk verbunden. Hiermit wurden zwei Arten von Zugriffen auf verschiedenen Ebenen auf die Leittechnik möglich: Erstens konnten auch auf Rechnern außerhalb der Leitwarte Clients der Leittechnik installiert werden, die über das VPN verbunden sind. Zweitens konnten Rechner der Leittechnik remote auf Betriebssystemebene administriert werden. Beides machten sich die Hacker zu Nutze.

Ein derartiger Angriff lässt sich selten vollständig aufklären und betroffene Firmen wie auch die Untersuchungskommissionen wollen vielleicht auch nicht alle Details öffentlich machen. Laut der genannten Dokumente lief der Angriff in etwa wie folgt ab.

1. Zielauswahl

Die betroffenen Firmen waren für den Zweck, die Stromversorgung der Ukraine zu sabotieren, besonders geeignet. Sie zeichneten sich durch einen hohen Automatisierungsgrad ihrer Verteilnetze aus, die eine Abkopplung mehrerer Umspannstationen remote ermöglichte.

Das wohlgewählte Ziel und der hochkoordinierte Angriff machen wahrscheinlich, dass vorab Recherchen stattgefunden haben und nicht lediglich eine günstige Gelegenheit genutzt wurde. Höchstwahrscheinlich wurde auch die verwendete Schadsoftware vorab an Testsystemen geprüft.

2. Eindringen in das Netzwerk der Verwaltung

Um in das IT-Netzwerk der Verwaltung der betroffenen Stromversorger einzudringen, statteten die Angreifer Microsoft Office Dokumente (Excel und Word) mit der Crimeware BlackEnergy aus. BlackEnergy ist ein professionelles Tool, das das Eindringen in fremde Systeme automatisiert und dem Angreifer eine dann eine Plattform zur Erkundung des Systems und zum Download weiterer Schadsoftware bereitstellt.

Mit BlackEnergy manipulierte Office-Dokumente wurden vornehmlich an Mitarbeiter in der Verwaltung der Versorgerfirmen versandt. Öffneten diese die Dokumente, so erschien ein Popup mit beispielsweise der Mitteilung, die Wordversion sei veraltet. Der Nutzer wurde aufgefordert, Makros im Dokument zu aktivieren, um das Dokument zu aktualisieren. Tat der Nutzer dies, ließ er die Schadsoftware aufs System. Ihm wurde daraufhin ein plausibles, unverdächtig erscheinendes Dokument angezeigt. War die Schadsoftware installiert, lagen dem Angreifer erste Informationen über die IT-Umgebung offen, er hatte Zugang zu dem infizierten System und konnte weitere Schadsoftware installieren.

Die Angreifer scheinen somit bereits mehr als sechs Monate vor dem Blackout am 23. Dezember 2015 Zugriff auf das System gehabt zu haben.

3. Erlangen von Benutzerrechten

Im Folgenden erkundeten die Angreifer die Netzwerkumgebung. Sie gelangten an Netzwerkzugangsinformationen und integrierten sich als legitime Netzwerknutzer mit hohen Benutzerrechten. Hiermit wurde es den Angreifern möglich, die VPN-Verbindung aus dem Netzwerk der Verwaltung in die IT-Umgebung der Leittechnik auszuspionieren.

4. Eindringen in die Leittechnik

Der Angreifer setzte nun „boshafte“ Clients der Leittechnik auf und drang mit diesen oder mittels der Remote-Administrationstools in die Leittechnik des Stromnetzes vor und späte diese aus.

5. Angriff

Der Angriff selbst erfolgte durch direkten Zugriff auf die Leittechnik. Die unterschiedlichen Versorger wurden mit weniger als 30 Minuten Abstand an mehreren zentralen und regionalen Standorten getroffen. Der Ablauf sah jeweils in etwa wie folgt aus:

  • Übernahme der Kontrolle über die Leitwartenrechner
  • Aussperrung der Leitwarten-Mitarbeiter aus dem System
  • Remote-Abkopplung mehrerer Umspannstationen
  • Installation der Schadsoftware KillDisk und Löschung von Systemdateien
  • Denial-of-Service-Angriff auf das Callcenter des Energieversorgers mittels tausender automatisch generierter Telefonanrufe

KillDisk wurde dabei verwendet, um Systemdateien (wie z.B. Bootdateien) zu löschen und hiermit das Wiederhochfahren von Systemen zu verhindern. Hiermit wurden insbesondere die MMIs (Mensch-Maschine-Interfaces) der Netzleittechnik funktionsunfähig gemacht, um Bemühungen zur Wiederherstellung der Systemfunktionen zu vereiteln oder zu verzögern. Andere Dateien (z.B. Logdateien) wurden gelöscht, um Spuren des Angriffs zu verwischen.

Der Denial-of-Service Angriff auf das Callcenter des Energieversorgers mit tausenden automatisch generierter Anrufe hinderte Kunden daran, Ausfälle zu melden. Der Energieversorger blieb dadurch im Unklaren über das Ausmaß der Ausfälle. Weiterhin wurden Kunden verunsichert, deren Strom ausgefallen war und die den Versorger nicht erreichen konnten.

6. Fazit

Zusammenfassend waren BlackEnergy, Sicherheitslücken, KillDisk und andere Schadsoftware Hilfsmittel des Hackerangriffs, um Zugriff zu erhalten und die Wiederherstellung der Systeme zu verzögern. Ausgelöst wurde der Stromausfall dann durch direkte Eingriffe des Angreifers in die Leittechnik der Verteilnetze.

Sicherheitslücken

Zahlreiche Sicherheitslücken begünstigten den Angriff. Sensitive Informationen wie die verwendete IT-Infrastruktur mit Hersteller und Versionsnummer waren öffentlich auf den Internetseiten der Systemhersteller verfügbar.

Die VPNs aus dem Business Netzwerk in die Leittechnik des Stromnetzes hatten keine 2-Faktoren Authentifikation. Die Firewall ließ einen Remote-Adminzugriff unter Nutzung im System vorgesehener Möglichkeiten zu.

Die Netzwerkumgebung des Steuerungssystems wurde nicht routinemäßig überwacht. Eine Routinesuche nach Abnormalitäten und Bedrohungen verbunden mit aktiven Verteidigungsmaßnahmen wie einem Monitoring des Netzwerkes existierte nicht.

Diese Schwachstellen ermöglichten dem Angreifer, in der Netzwerkumgebung sechs Monate oder länger unerkannt zu verbleiben und die Umgebung für den nachfolgenden Angriff zu erkunden.

Lessons Learned

Bei dem Angriff auf die ukrainischen Verteilnetze hatte man es mit einem Angreifer zu tun, der offenbar über finanzielle Ressourcen und breites Knowhow verfügte. Er verwendete spezifisch für diesen Angriff angepasste Tools wie Spear Fishing Emails, Varianten der BlackEnergy Crimeware und adressatengerecht gestaltete, manipulierte Microsoft Office Dokumente. Der Angreifer war in der Lage, einen Denial-of-Service-Angriff auf das Callcenter aufzusetzen und kannte sich außerdem in den Prozessen und der IT-Infrastruktur eines Netzbetreibers aus. Der Angriff war von langer Hand geplant.

Die Netzbetreiber hingegen waren nicht optimal aufgestellt und wurden von dem Angriff überrascht, obwohl der politische Zustand der Ukraine zur Genüge Motive für Sabotage lieferte. Dennoch gelang es den betroffenen Versorgern, die Lage binnen drei Stunden aus eigener Kraft wieder unter Kontrolle zu bringen. Ein Katastrophenszenario, wie in dem Buch Blackout beschrieben, trat nicht ein. Vielleicht schießt man in einer echten Krise hilfreichen Leuten seltener ins Bein.

 

Digitalisierung & Messstellenbetriebsgesetz

von Marianne Diem, August 2016

Digitalisierung -SmartMeter

Das Gesetz zur Digitalisierung der Energiewende forciert den flächendeckenden Rollout von Smart Metern über ein neues Messstellenbetriebsgesetz.

Am 8.7.2016 ist das „Gesetz zur Digitalisierung der Energiewende“ nunmehr verabschiedet worden. Hiernach sollen Smart Meter möglichst flächendeckend in Firmen und Haushalte einziehen. Kritisiert wurde das Gesetz auch vom Bundesrat wegen Datenschutzbedenken und der Weitergabe von Betriebskosten an die Verbraucher. Der unter IT-Freaks bekannte Heise-Newsletter sprach von Zwangsbeglückung mit intelligenten Messsystemen.

Rollout von modernen Messeinrichtungen und intelligenten Messsystemen

Wesentlicher Inhalt des Gesetzes ist das neu geschaffene Messtellenbetriebsgesetz (MsbG). Ziel des Gesetzes ist der Rollout von modernen Messeinrichtungen und intelligenten Messsystemen. Dabei ist:

  • eine moderne Messeinrichtung (mM) eine Messeinrichtung, die den tatsächlichen Elektrizitätsverbrauch und die tatsächliche Nutzungszeit widerspiegelt, sowie über ein Smart Meter Gateway sicher in ein Kommunikationsnetz eingebunden werden kann (aber derzeit nicht eingebunden ist)
  • ein intelligentes Messsystem (iM) eine über Smart-Meter-Gateway in ein Kommunikationsnetz eingebundene moderne Messeinrichtung zur Erfassung elektrischer Energie, die den tatsächlichen Energieverbrauch
    und die tatsächliche Nutzungszeit widerspiegelt und den IT-Sicherheitsanforderungen nach §§ 21 und 22 MsbG genügt
  • ein Smart-Meter-Gateway die Kommunikationseinheit eines intelligenten Messsystems, das ein oder mehrere moderne Messeinrichtungen und weitere technische Einrichtungen wie insbesondere Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz nach § 22 MsbG sicher in ein Kommunikationsnetz einbinden kann und über Funktionalitäten zur Erfassung, Verarbeitung und Versendung von Daten verfügt

Verantwortlich für den Rollout von intelligenten Messsystemen ist der grundzuständige Messstellenbetreiber. Dies ist:

  • der Netzbetreiber, soweit er die Funktion der Bundesnetzagentur laut § 45 MsbG bis zum 30. Juni 2017 anzeigt und die Voraussetzungen § 41ff. erfüllt
  • ein drittes Unternehmen, wenn eine Übertragung dieser Rolle nach § 41 ff. MsbG erfolgt ist.

Nach § 29 ist der grundzuständige Messstellenbetreiber  bei  Letztverbrauchern über 6 MWh verpflichtet,  bei mindestens 95 % der Verbrauchsstellen bis zum Jahr 2032 intelligente Messysteme einzubauen. Voraussetzung ist, dass der Einbau technisch möglich ist. Letzteres bezieht sich insbesondere auf Sicherheitsanforderungen des BSI. Für den Rollout gelten Preisobergrenzen für die jährliche Entgeltverrechnung sowie die folgenden Zeitpläne:

letztverbraucher-smart-meter-rollout-zeitplan-preisobergrenze

Bei Letztverbrauchern unter 6 MWh müssen zumindest moderne Messsysteme eingebaut werden. Neubauten und Gebäude, die einer größeren Renovierung im Sinne der Richtlinie über die Gesamtenergieeffizienz von Gebäuden unterzogen werden, müssen bis zur Fertigstellung des Gebäudes mit intelligenten Messsystemen ausgestattet werden.

Anlagen nach EEG oder KWK-Gesetz müssen mit intelligenten Messsystemen ausgestattet werden, wenn ihre installierte Leistung 7kW übersteigt. Dabei gelten die folgenden Zeitpläne und Preisobergrenzen:

anlagen-smart-meter-rollout-zeitplan-preisobergrenzeWeiterhin kann der grundzuständige Messstellenbetreiber auch kleinere Messstellen mit intelligenten Messsystemen ausstatten, sofern er die dafür geltenden Preisobergrenzen laut § 29 MSBS einhält. Für den Messstellenbetrieb moderner Messeinrichtungen dürfen nicht mehr als 20 € pro Jahr und Zählpunkt in Rechnung gestellt werden.

Kosten des grundzuständigen Messstellenbetreibers für den Messstellenbetrieb von modernen Messeinrichtungen und intelligenten Messsystemen dürfen weder bei den Entgelten für den Netzzugang nach den §§ 21 und 21a des Energiewirtschaftsgesetzes noch bei der Genehmigung der Entgelte nach § 23a des Energiewirtschaftsgesetzes berücksichtigt werden (§ 7 MsbG), sondern müssen der neuen Rolle buchhalterisch zugewiesen werden.

Der grundzuständige Messstellenbetreiber muss in den ersten drei Jahren der jeweils geltenden Zeitpläne mindestens 10 % der insgesamt geforderten Messstellen umgestellt haben. Andernfalls droht der Entzug der Grundzuständigkeit durch die BNetzA (§45 MsbG).

IT-Sicherheitsanforderungen

Ein wesentlicher Bestandteil des Gesetzes sind IT-Sicherheitsanforderungen an intelligenten Messsysteme und den Einsatz von Smart-Meter-Gateways. Hierzu wurden vom BSI (Bundesamt für Sicherheit und Informationstechnik) Schutzprofile nach Common Criteria  sowie Technische Richtlinien erarbeitet, die eine Sicherheitszertifizierung der entsprechenden Geräte ermöglichen. Nur zertifizierte intelligente Messsysteme dürfen verbaut werden. Auch Smart-Meter-Gateways müssen vorgegebene Sicherheitsstandards erfüllen und zertifiziert werden.

Der Smart-Meter-Gateway-Administrator muss einen zuverlässigen technischen Betrieb des intelligenten Messsystems gewährleisten und organisatorisch sicherstellen und ist zu diesem Zweck für die Installation, Inbetriebnahme, Konfiguration, Administration, Überwachung und Wartung des Smart-Meter-Gateways und der informationstechnischen Anbindung von Messgeräten und von anderen an das Smart-Meter-Gateway angebundenen technischen Einrichtungen verantwortlich. Zur Sicherstellung der IT-Sicherheit hat er ein Informationssicherheitsmanagementsystem (ISMS) einzurichten, zu betreiben und zu dokumentieren. Die Erfüllung der IT-Sicherheitsanforderungen an den Smart-Meter-Gateway-Administrator muss ebenfalls durch eine berechtigte Institution zertifiziert werden.

Die Ausstattung von Messstellen mit einem intelligenten Messsystem ist nach MsbG § 30 dann technisch möglich, wenn mindestens drei voneinander unabhängige Unternehmen intelligente Messsysteme am Markt anbieten, die den am Einsatzbereich des Smart-Meter-Gateways orientierten Vorgaben in Schutzprofilen und Technischen Richtlinien des Bundesamts für Sicherheit in der Informationstechnik genügen. Die entsprechende Feststellung veröffentlicht das BSI auf seinen Internetseiten.

IT-Sicherheitsgesetz

von Marianne Diem, Juli 2016
it-sicherheitsgesetz-binladen

Das IT-Sicherheitsgesetz aus Sicht der Energiewirtschaft: Alle Strom- und Gasnetzbetreiber müssen bis zum 31.01.2018 den IT-Sicherheitskatalog der BNetzA umsetzen und ein Informationssicherheits-Managementsystem einführen. Kritische Infrastrukturen müssen Mindeststandards und Meldepflichten erfüllen.

„Das Spektrum der Bedrohungen im Cyber- und Informationsraum reicht vom Diebstahl und Missbrauch persönlicher Daten oder von der Wirtschaftsspionage über die Schädigung kritischer Infrastrukturen mit schwerwiegenden Folgen für die Zivilbevölkerung bis hin zur Störung oder Unterbindung der Regierungskommunikation einschließlich der militärischen Führungskommunikation.
 
Cyberangriffe auf Staaten und kritische Infrastrukturen sind schon lange keine Fiktion mehr, sondern Realität. Zahlreiche Vorfälle in ähnlich entwickelten und digitalisierten Staaten und Streitkräften in den letzten Jahren belegen dies.“
 
So äußert sich die Bundesregierung in dem gerade herausgegebenen Weißbuch 2016 zur Sicherheitspolitik und der Zukunft der Bundeswehr.
 
Entsprechende Warnungen kamen kürzlich auch vom Kaspersky Lab. Demnach sind aktuell über 220.000 Komponenten von industriellen Kontrollsystemen über das Netz weltweit verfügbar. 91,6 Prozent der Systeme nutzten unsichere Internetverbindungsprotokolle. In den vergangenen fünf Jahren seien Schwachstellen innerhalb von Industrie-Komponenten um das zehnfache gestiegen. Dass die Gefahr sehr real sei, hätten in den vergangenen Jahren mehrere Vorfälle gezeigt. So hätten 2015 Cyber-Angreifer in der Ukraine mit einer Attacke auf ein Elektrizitätswerk rund die Hälfte der Haushalte in der Region vom Strom gekappt.
 
Die Bundesregierung hat sich dieser Gefahren angenommen und zum Schutz kritischer Infrastrukturen – wozu insbesondere auch die Energieversorgung zählt – Gesetzesinitiativen veranlasst.

Gesetzliche Anforderungen für die Energiewirtschaft

Bereits im Rahmen der EnWG-Novelle 2011 wurde eine Verpflichtung der Strom- und Gasnetzbetreiber zum Betrieb eines sicheren Energieversorgungsnetzes nach § 11 Absatz 1a EnWG eingeführt. Hierfür wurde ein – zum damaligen Zeitpunkt noch nicht verbindlicher – IT-Sicherheitskatalog von der Bundesnetzagentur in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik erlassen.
 
Zum 17. Juli 2015 trat ein Artikelgesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft. Dieses Gesetz weist dem Bundesamt für Sicherheit in der Informationstechnik (BSI) die zentrale Rolle beim Schutz kritischer Infrastrukturen zu. Entsprechend wurden insbesondere das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) aber auch weitere Gesetze wie das EnWG geändert. Das BSI wird damit zu einer weiteren relevanten Behörde in der Energiewirtschaft.
 
Laut neuem BSI-Gesetz sind „Kritische Infrastrukturen“ „Einrichtungen, Anlagen oder Teile davon, die

  • den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
  • von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.“

Was genau eine Kritische Infrastruktur darstellt, ist laut Gesetz Gegenstand einer Verordnung. Diese ist inzwischen erlassen worden, es ist die sogenannte KRITIS-Verordnung (BSI-KritisV).
 
Zusätzlich zum formalen Rahmen der Kritischen Infrastrukturen und der entsprechenden Pflichten wurde auch der oben erwähnte § 11, Absatz 1a des EnWG so geändert , dass der IT-Sicherheitskatalog der BNetzA nunmehr von allen Strom- und Gasnetzbetreibern umgesetzt werden muss.

Kritische Infrastrukturen (KRITIS)

Im Sektor Energie werden die folgenden Dienstleistungen als potentiell kritisch im Sinne des IT-Sicherheitsgesetzes betrachtet:

  • die Versorgung der Allgemeinheit mit Elektrizität (Stromversorgung)
  • die Versorgung der Allgemeinheit mit Gas (Gasversorgung)
  • die Versorgung der Allgemeinheit mit Kraftstoff und Heizöl (Kraftstoff- und Heizölversorgung)
  • die Versorgung der Allgemeinheit mit Fernwärme (Fernwärmeversorgung)

Die genauen Kriterien für Kritische Infrastrukturen für die Energiewirtschaft sind in Anlage 1 der BSI-KritisV angegeben. Hier sind jeweils Anlagekategorien und zugehörige Schwellenwerte genannt. Im Wesentlichen handelt es sich um:

  • Erzeugungsanlagen, Speicheranlagen sowie Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung jeweils mit über 420 MW installierter elektrischer Netto-Nennleistung
  • Stromentnahme- oder -einspeisemessstellen mit über 420 MW Einspeisung oder Entnahme
  • Stromübertragungsnetze und -verteilnetze mit über 3.700 GWh/a entnommener Jahresarbeit
  • Strombörsen
  • Gastransportnetze, -verteilnetze und Förderanlagen mit Entnahmen bzw. Fördermengen über 5.190 GWh/a
  • Heizwerke und Heizkraftwerke mit über 2.300 GWh/a ausgeleiteter Wärme
  • Fernwärmenetze mit über 250 000 angeschlossenen Haushalten
  • bedeutende Infrastrukturen im Zusammenhang mit der Öl- und Kraftstoffversorgung

Laut BdeW sind etwa 110 Energieversorger von den neuen gesetzlichen Regelungen betroffen.

Anforderungen an Kritische Infrastrukturen

Laut dem geänderten BSI-Gesetz sind Betreiber Kritischer Infrastrukturen verpflichtet, binnen zwei Jahren nach Inkrafttreten der KritisV am 23.04.2016, also bis zum 23.04. 2018, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen“ umzusetzen. Branchenverbände werden dazu ermutigt, branchenspezifische Mindeststandards zu erarbeiten, die dann vom BSI geprüft werden und hiernach de facto verbindlich sind.
 
Für Netzbetreiber ist laut EnWG der IT-Sicherheitskatalog der BNetzA relevant. Im Moment liegen keine weiteren für die Energiewirtschaft relevanten branchenspezifischen Mindeststandards vor. Eine angemessene organisatorische und technische Vorkehrung beinhaltet aber in jedem Fall die Einführung eines Informationssicherheits-Managementsystems.

1. Informationssicherheits-Managementsystem (ISMS) nach Din 27001

Als angemessenes Vorgehen zur Sicherstellung von IT-Sicherheit gilt nach internationaler Best Practice die Einführung eines sogenannten Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC 27001. Ebenso gefordert ist dessen kontinuierliche Umsetzung, Überprüfung und Anpassung. Weiterhin sind die Normen DIN ISO/IEC 27002 und gegebenenfalls DIN ISO/IEC TR 27019 (DIN SPEC 27019) in der jeweiligen Fassung zu berücksichtigen. Diese enthalten Umsetzungsempfehlungen für die verbindlichen Maßnahmen des Anhangs A der DIN 27001 beziehungsweise spezifische Regelungen für den Netzbetrieb in der Energiewirtschaft.
 
Das BSI stellt weitere Dokumente zur Verfügung, um die DIN 2700x-Anforderungen zu untersetzen und eine „didaktischere Darstellung der Inhalte“ zu bieten. Siehe hierzu die IT-Grundschutz BSI-Standards 1001-1004. Um insbesondere kleinen Unternehmen den Einstieg in das Thema IT-Grundschutz zu erleichtern, gibt es einen IT-Sicherheitsleitfaden des BSI.
 
Neben der Umsetzung eines ISMS haben alle Kritis-Betreiber Meldepflichten zu erfüllen.

2. Meldepflichten für Betreiber Kritischer Infrastrukturen

Im BSI-Gesetz §8b wird das BSI als zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik festgelegt.

 

„Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen

  • führen können oder
  • geführt haben

 
[…] unverzüglich an das Bundesamt zu melden.“

 

Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der BSI-KritisV am 23.04.2016, also bis zum 23.10.2016, eine Kontaktstelle für die Kommunikation mit dem BSI zu benennen. Formulare und Informationen zur Störungsmeldung finden sich auf der Internetseite des BSI.
 
Netzbetreiber und Genehmigungsinhaber nach § 7 Absatz 1 des Atomgesetzes (AtG) haben bereits Kontaktinformationen bei der BNetzA bzw. bei den für nukleare Sicherheit und Sicherung zuständigen Genehmigungs- und Aufsichtsbehörden des Bundes und der Länder hinterlegt. Die Hinterlegung von Kontaktinformationen beim BSI ist hier freiwillig.
 
Das BSI leitet Störungsmeldungen an die jeweils zuständigen weiteren Regulierungsbehörden (BNetzA, Atombehörden) weiter.

IT-Sicherheitskatalog für Strom- und Gasnetzbetreiber

Der IT-Sicherheitskatalog der Bundesnetzagentur ist nunmehr verbindlicher Mindeststandard für alle Strom- und Gasnetzbetreiber. Die Konformität mit den Anforderungen des IT-Sicherheitskatalogs muss bis zum 31.01.2018 durch ein von der BNetzA vorgegebenes Zertifikat belegt werden. Der Katalog stellt auch den laut §8a BSI-Gesetz geforderten branchenspezifischen Sicherheitsstandard für kritische Infrastrukturen im Netzbereich dar. Der Unterschied zu anderen Bereichen der Energieversorgung ist jedoch, dass dieser branchenspezifische Sicherheitsstandard nach dem geänderten EnWG für alle Netzbetreiber – nicht nur für kritische Infrastrukturen – verbindlich ist.

1. Zentrale Anforderungen

Der Netzbetreiber ist verpflichtet, der Bundesnetzagentur für die Koordination und Kommunikation der IT-Sicherheit einen Ansprechpartner zu benennen (Kap. E. VII), dessen Kontaktdaten er der BNetzA mitteilt (musste bereits zum 30.11.2015 erfolgen).
 
Weiterhin müssen alle Netzbetreiber ein ISMS gemäß DIN 27001 einführen.
 
Der IT-Sicherheitskatalog der BNetzA beinhaltet weiterhin die folgenden Konkretisierungen:

2. Erstellung eines Netzstrukturplans (Kap. E.IV)

Der Netzstrukturplan muss alle Anwendungen, Systeme und Komponenten im Geltungsbereich des IT-Sicherheitskataloges (Kap.D.) erfassen, jeweils geordnet nach:

  • Leitsystem/Systembetrieb
  • Übertragungstechnik/Kommunikation
  • Sekundär-, Automatisierungs-und Fernwirktechnik

Der IT-Sicherheitskatalog enthält im Kapitel E.IV Beispiele und Beschreibungen für die Systemkategorien sowie Anforderungen an die Darstellung des Netzstrukturplans.

3. Risikoeinschätzung und Risikobehandlung (Kap. E.V, E.VI)

Der Netzbetreiber muss einen Prozess zur Risikoeinschätzung für mögliche Gefährdungen der oben genannten Schutzziele gemäß Kapitel der Din 27001 aufsetzen.  Die Risikoeinschätzung erfolgt in den Kategorien:

  • kritisch
  • hoch
  • mäßig

Dabei werden mindestens die folgenden Kategorien berücksichtigt:

  • Beeinträchtigung der Versorgungssicherheit
  • Einschränkung des Energieflusses
  • Betroffener Bevölkerungsanteil
  • Gefährdung für Leib und Leben
  • Auswirkungen auf weitere Infrastrukturen (z. B. vor- und nachgelagerte Netzbetreiber, Wasserversorgung)
  • Gefährdung für Datensicherheit und Datenschutz durch Offenlegung oder Manipulation
  • Finanzielle Auswirkungen

Die Risikoeinschätzung berücksichtigt sowohl die Bedrohung durch vorsätzliche Handlungen wie z.B. gezielte IT-Angriffe, Viren usw. wie auch nicht vorsätzliche Gefährdungen z.B. durch Höhere Gewalt, menschliches Versagen, organisatorische Mängel usw..
 
Die Risikobehandlung muss dem „Stand der Technik“ entsprechen oder gut begründet sein.

Schlussbemerkung

Die weitreichendste Änderung für die Energiewirtschaft, die durch das IT-Sicherheitsgesetz ausgelöst wurde, ist somit die verpflichtende Anforderung für alle Netzbetreiber bis zum 31.01.2018 ein ISMS einzuführen. Sie steht nicht im Zentrum des IT-Sicherheitsgesetzes und ist nur über eine kleine, fast zufällig erscheinende Wortlautänderung des EnWG aus dem IT-Sicherheitsgesetz hervorgegangen. Das zentrale Ziel des Gesetzes – der Schutz Kritischer Infrastrukturen – betrifft wegen der hohen Schwellwerte relativ wenige Unternehmen.