Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
1Aktueller Stand KRITIS ©Krumpholz , Bachmann, Data-Consulting
Kevelaer, 15.08.2016
Das neue IT-Sicherheitsgesetz:Aktueller Stand in Sachen KRITIS
dez. Erzeugung
Koppelstellen
Kundenanlagen
Netzleitstelle
2Aktueller Stand KRITIS ©Krumpholz , Bachmann, Data-Consulting
Expertise in IT und Energiewirtschaft
Data Consulting
( ist ein auf die Energiewirtschaft und ITfokussiertes Beratungs- und Dienstleistungs-unternehmen, das von einem branchen-erfahrenen Führungsteam geleitet wird.
Das Leistungsangebot reicht von derStrategieformulierung bis zur Umsetzungs-begleitung. Aktuelle Sonderthemen sind dieBeratung in den Themen Digitalisierung, Elektro-Mobilität und KRITIS Verteilnetz-Betreiber.
Data Consulting ist seit über 25 Jahren am Marktaktiv.
Das Geschäftsfeld Energiewirtschaft wurde vorvier Jahren gebildet. Es wird durch erfahreneManager aus der Energiewirtschaft geführt.
3Aktueller Stand KRITIS ©Krumpholz , Bachmann, Data-Consulting
Zusammenfassung
Alle Strom- und Gasnetzbetreiber sind vom IT-Sicherheitsgesetz betroffen
� Kernbestandteil des Sicherheitskatalogs ist die Implementierung eines ISMS
� Zertifizierung des ISMS und Nachweis des Zertifikats bis zum 31.01.2018 bei der Bundesnetzagentur erforderlich
� Geschätzte Projektlaufzeit ab Beauftragung: rund 18 Monate
� Seit August 2015 sind die Vorgaben der Bundesnetzagentur bekannt.
� IT-Sicherheitskatalog wird sich in absehbarer Zeit als Branchenstandard für einen sicheren Netzbetrieb etablieren
Spätester Projektstart Ende Juli bis Ende September 2016, um die Zertifizierung fristgerecht abzuschließen
4Aktueller Stand KRITIS ©Krumpholz , Bachmann, Data-Consulting
KRITIS - Überblick
Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie)
Grundlagenpapier des Bundesministerium des Innern aus 2009
Grund-lage
Gefährdung und Verletzbarkeit moderner Gesellschaften – am Beispiel einesgroßräumigen Ausfalls der Stromversorgung; Büro für Technikfolgen-
Abschätzung beim Deutschen Bundestag, November 2010
Umsetzung
Ergänzende Dokumente
Technische Basisinfrastrukturen
� Energieversorgung
� Informations- und Kommunikationstechnologie
� Transport und Verkehr � (Trink-) Wasserversorgung und
Abwasserentsorgung
Unter den Kritischen Infrastrukturen hat die Energieversorgung - und dort die Stromversorgung - die höchste Kritikalität.
SozioökonomischeDienstleistungs-Infrastrukturen
� Gesundheitswesen, Ernährung� Notfall- und Rettungswesen,
Katastrophenschutz� Parlament, Regierung, öffentliche
Verwaltung, Justizeinrichtungen� Finanz- und Versicherungswesen� Medien und Kulturgüter
5Aktueller Stand KRITIS ©Krumpholz , Bachmann, Data-Consulting
0 – 2 h 2 – 8 h 8 – 24 h 24 – 72 h
Standzeit Kritischer Infrastrukturen – ohne Stromversorgung
(Nahezu) Alle kritischen Infrastrukturen sind auf die Versorgung mit elektrischer Energie angewiesen.
Ausgangssituation: „Standzeiten“ KRITIS
ITK� Festnetz analog� DSL� Mobilnetz
Transport und Verkehr� Tankstellen� ÖPNV� Tunnel
Wasser/Abwasser
Ernährung
Finanzen (Bargeld, e-c)
Krankenhäuser
6Aktueller Stand KRITIS ©Krumpholz , Bachmann, Data-Consulting
Vorbemerkung zum IT-Sicherheitsgesetz
Zwei Fehleinschätzungen zum IT-Sicherheitsgesetz
„Unsere Leittechnik ist physikalisch
von unseren IT-Systemen getrennt,
daher ist unser Netzbetrieb sicher.“
Physikalische Trennung reicht nicht aus:
Mögliche Risiken gemäß IT-Sicher-heitsgesetz entstehen z. B. durch
− Software-Updates
− Nutzung externer Speicher (z. B. USB-Sticks) und Programmier-Geräte
− Mitarbeiter
− Zugriff auf dezentrale Netzkomponenten
„Das IT-Sicherheitsgesetz betrifft nur
IT-Systeme“.
Gemäß IT-Sicherheitskatalog gilt für alle Netzbetreiber:
Betroffen sind primär die Systeme und Komponenten für die Netzsteuerung, also vor allem die Leittechnik und die Fernwirkköpfe.
7Aktueller Stand KRITIS ©Krumpholz , Bachmann, Data-Consulting
IT-Sicherheitsgesetz
� Das IT Sicherheitsgesetz ist am 25. Juli 2015 in Kraft getreten. Als Artikelgesetz resultieren daraus Änderungen und Anpassungen bestehender Gesetze, insbesondere Änderungen im EnWG.
� Alle Strom- und alle Gasnetzbetreiber sind verpflichtet, den seit August 2015 gültigen Sicherheitskatalog der Bundesnetzagentur einzuhalten und die hieraus resultierenden Sicherheitsvorgaben umzusetzen.
� Insbesondere haben systemkritische Anlagen- und Netzbetreiber dem BSI „wesentliche“ Störfälle zu melden.
� Die Definition von systemkritischen Anlagen- und Netzbetreibern erfolgt in der KRITIS Verordnung, die laut Begründungstext nur rund 120 Betreiber von Energieanlagen und Netzen als sicherheitskritisch einstuft, z. B. Verteilnetzbetreiber mit mehr als 500.000 Netzanschlüssen - maßgebliches Kriterium beim Verteilnetz ist allerdings die jährlich entnommene Arbeit.
Aktueller Stand in der Gesetzgebung
8Aktueller Stand KRITIS ©Krumpholz , Bachmann, Data-Consulting
IT Sicherheitsgesetz und IT-Sicherheitskatalog
� Gemäß §11 Absatz 1 EnWG sind zunächst alle Betreiber von Energieversorgungsnetzen verpflichtet, ein sicheres (() Netz zu betreiben.
� Gemäß §11 Absatz 1a EnWG wird definiert, dass ein Netz sicher betrieben wird bzw. angemessen geschützt ist, wenn der „Katalog für Sicherheitsanforderungen“ eingehalten und dokumentiert wird.
� Gemäß §11 Absatz 1b EnWG werden Betreiber von Energieanlagen, welche unter die KRITIS Verordnung fallen, verpflichtet, alle Vorgaben der neuen KRITIS Verordnung binnen zwei Jahren nach Inkrafttreten der Verordnung umzusetzen (23. April 2018). Alle Betreiber von Energieanlagen und Netzen, welche unter die KRITIS Verordnung fallen, sind gemäß §11 Absatz 1c EnWG verpflichtet, „erhebliche“ Störfälle an das BSI zu melden
Wesentliche Inhalte der neuen Gesetzesänderungen
9Aktueller Stand KRITIS ©Krumpholz , Bachmann, Data-Consulting
IT-Sicherheitskatalog
� Einhaltung des IT-Sicherheitskatalogs (expliziter Bezug auf §11 Absatz 1a EnWG) auf ist als „Mindeststandard“ für einen sicheren Netzbetrieb anzusehen.
� Geltungsbereich des vorliegenden IT-Sicherheitskatalogs umfasst alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Netzbetrieb notwendig sind.
� Netzbetreiber haben ein Informationssicherheits-Managementsystem (ISMS) zu implementieren, welches den Anforderungen der DIN ISO/IEC 27001 genügt und welche die DIN ISO/IEC 27002 und DIN ISO/IEC TR 27019 (DIN SPEC 27019) berücksichtigen.
� Ordnungsgemäßer Betrieb der betroffenen IKT-Systeme: Risiken durch IKT-basierte Angriffe müssen bewertet und durch geeignete Maßnahmen zum Schutz der relevanten Telekommunikations- und Datenverarbeitungssysteme behandelt werden.
Inhalte des Sicherheitskatalogs (I)
10Aktueller Stand KRITIS ©Krumpholz , Bachmann, Data-Consulting
Quelle: Nach SGCG/M490/G_Smart Grid Set of Standards 24 Version 3.1
Enterprise
Operation
Station
Field
Process
Generation Transmission Distribution DER CustomerPremises
Field Device
RTU
GIS CISAsset
Management
EMS SCADASCADA OMS
Meter relatedBack-Office
System
EMS and VPP
Communication Front-End Substation Automatisation System
Feeder Automatisation SystemDistribution Power Quality Control
ERP,BI,EDM,etc. DMS
Nur zentrale und dezentrale Anwendungen, Systeme und Komponenten, für einen sicheren Netzbetrieb betrachten?
Die Komplexität der heutigen IT Systemstruktur macht eine separate Betrachtung der SCADA Systeme quasi unmöglich
11Aktueller Stand KRITIS ©Krumpholz , Bachmann, Data-Consulting
IT-Sicherheitskatalog
� Netzstrukturplan: Der Netzbetreiber hat eine Übersicht über die vom Geltungsbereich des IT-Sicherheitskatalogs betroffenen Anwendungen, Systeme und Komponenten mit den anzutreffenden Haupttechnologien und deren Verbindungen zu erstellen.
� Risikoeinschätzung: Der Netzbetreiber muss einen Prozess zur Risikoeinschätzung der Informationssicherheit festlegen: Welches Risiko besteht in Hinblick auf die Schutzziele für die von diesem Katalog erfassten Komponenten, Systeme und Anwendungen?
� Risikobehandlung: Auswahl geeigneter und angemessener Maßnahmen in Anknüpfung an die Risikoeinschätzung.
Inhalte des Sicherheitskatalogs (II)
Umsetzung mit angemessenem Aufwand zeitlich gut machbar, daher wird sich der IT-Sicherheitskatalog voraussichtlich als Branchenstandard etablieren.
12Aktueller Stand KRITIS ©Krumpholz , Bachmann, Data-Consulting
IT-Sicherheitskatalog
� Ansprechpartner für IT-Sicherheit mussten bereits zum 30.11.2015 benannt werden.
� Alle weiteren Vorgaben müssen bis zum 31.01.2018 wie folgt bei allen Strom- und Gasversorgungsnetzen umgesetzt werden:
� Der Netzbetreiber ist verpflichtet, die Konformität seines ISMS mit den Anforderungen des IT-Sicherheitskatalogs durch ein Zertifikat eines externen Auditors zu belegen.
� Der Nachweis der Umsetzung muss durch die Vorlage einer Kopie des Zertifikats bei der Bundesnetzagentur bis zum 31.01.2018 erfolgen.
Umsetzungsfristen
13Aktueller Stand KRITIS ©Krumpholz , Bachmann, Data-Consulting
Zertifizierung durch einen unabhängigen, externen Auditor
Mitte 2017 Mitte 2016 31.01.2018
Zeitplanung
Ist da wirklich noch so viel Zeit?
Projektum-setzung mit den Phasen Act, Plan, Do und Check
Projekt-Kickoffund (in der Regel) Auftragsvergabe für Begleitung der Umsetzung durch externen Berater
14Aktueller Stand KRITIS ©Krumpholz , Bachmann, Data-Consulting
IT-Sicherheitskatalog
� EnWG definiert keinen Straftatbestand und auch keine Ordnungswidrigkeit
� Inhaltliche Differenzen zwischen EnWG und IT-Sicherheitskatalog
� Die BNetzA definiert den IT-Sicherheitskatalog zwar als Muss-Anwendung, dafür ist sie entsprechend §11 Absatz 1a EnWG unser Einschätzung nach nicht legitimiert bzw. der Katalog selbst hat nicht die notwendige Rechtsqualität.
� Der Katalog ist daher eher als technische Richtlinie zu sehen, d. h. die Konsequenz bei Nicht-Einhaltung eines Branchenstandards liegt dann in der persönlichen Haftung der Geschäftsführung im Falle eines Schadenfalls.
Konsequenzen bei Nicht-Einhaltung der Umsetzungsfrist
15Aktueller Stand KRITIS ©Krumpholz , Bachmann, Data-Consulting
Warum Data Consulting?
� Netzwerk von Experten aus der Energiewirtschaft mit profundem Know-how für den Netzbetrieb, insbesondere für die für den Verteilnetzbetriebnotwendigen Systeme und Komponenten
Experten für die Energiewirtschaft
Effiziente Umsetzung des IT Sicherheitskatalogs durch umfangreiches Knowhow und Verständnis der operativen Prozesse des Netzbetriebs
� Senior-Beratung mit dem Blick für das Machbare
� Ausgeprägte Mittelstandsorientierung
� Track-Record von erfolgreichen Beratungsprojekten
16Aktueller Stand KRITIS ©Krumpholz , Bachmann, Data-Consulting
KONTAKT
Data-Consulting GmbH
Rainer M. Bachmann Dr. Michael KrumpholzGeschäftsführer Partner
M: +49 178 184 1007 +49 177 6610430E: [email protected] [email protected]