Informationssicherheit in der Energieversorgung · Unternehmensprozesse in der Energieversorgung sowohl im kaufmännischen als auch im technischen Bereich wird damit unterstrichen

Informationssicherheit in der Energieversorgung

Grundlegende organisatorische und technische Anforderungen

zur Erhöhung der IKT-Sicherheit in der Energiewirtschaft

Oesterreichs Energie 2/19

Informationssicherheit in der Energieversorgung

Grundlegende organisatorische und technische Anforderungen

zur Erhöhung der IKT-Sicherheit in der Energiewirtschaft

Herausgeber:

Oesterreichs E-Wirtschaft

Brahmsplatz 3, 1040 Wien, Österreich

Ansprechpartner:

Armin Selhofer (Österreichs E-Wirtschaft)

Erwin Bosin (TINETZ-Stromnetz Tirol AG)

Fachliche Unterstützung:

Dr. Stephan Beirer (GAI NetConsult GmbH, Berlin/Deutschland)

Rocco Gundlach (GAI NetConsult GmbH, Berlin/Deutschland)

Trotz sorgfältiger Prüfung wird keine Gewähr für die inhaltliche Richtigkeit übernommen. Außer für Vorsatz und grobe

Fahrlässigkeit ist jegliche Haftung von Herausgeber und Medieninhaber aus dem Inhalt dieses Werks ausgeschlossen.

Diese Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. © 2014

Version 1.1 von 20140331


Inhalt

Vorwort ................................................................................................................................. 4

Sicherheitsanforderungen ................................................................................................... 5

1 Sicherheitsorganisation ..................................................................................................5

2 Risikomanagement .........................................................................................................5

3 Bedeutung der Personalsicherheit ..................................................................................6

4 Sicherheitsvereinbarungen mit Dritten ............................................................................7

5 Schutz sensibler Daten ...................................................................................................8

6 Sicheres Systemdesign ..................................................................................................8

7 Sichere Software-Entwicklung ........................................................................................9

8 Sichere Netzwerkstruktur und Kommunikationsprotokolle ............................................ 10

9 Grundsicherung und Systemhärtung ............................................................................ 11

10 Rollen- und Berechtigungskonzept ............................................................................... 11

11 Konfigurations- und Änderungsmanagement ................................................................ 12

12 Patch- und Versionsmanagement ................................................................................. 13

13 Schadsoftwareschutz .................................................................................................... 14

14 Sichere Wartungsprozesse ........................................................................................... 14

15 Physische und umgebungsbezogene Sicherheit ........................................................... 15

16 Protokollierung und Überwachung ................................................................................ 16

17 Datensicherung und Wiederherstellung ........................................................................ 16

18 Reaktion auf Sicherheitsereignisse, Notfall- und Incidentmanagement ......................... 17

Literatur .............................................................................................................................. 18

Abkürzungsverzeichnis ..................................................................................................... 19


Vorwort

Das vorliegende Dokument beschreibt wesentliche Informationssicherheitsanforderungen für

Beschaffung und Betrieb der für Überwachung und Steuerung der Energieversorgung

eingesetzten IKT-Komponenten und Systeme. Es ist eine Zusammenfassung der im

BDEW/OE-Whitepaper „Anforderungen an sichere Steuerungs- und

Telekommunikationssysteme“, der ISO/IEC TR 27019 „Information security management

guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility

industry“ sowie den ENISA Guidelines „Appropriate security measures for smart grids“

aufgezeigten Maßnahmen und Anforderungen zur Minimierung des Informations-

Sicherheitsrisikos.

Der Leitfaden soll als Checkliste für Projektleiter, Asset- oder Systemverantwortliche,

Informationssicherheitsbeauftragte und das Management auf Energieversorger- bzw.

Herstellerseite dienen, anhand derer sichergestellt werden kann, dass keine wesentlichen

Maßnahmenkomplexe in der Beschaffung, Projektabwicklung, im Betrieb und in der

Organisation unberücksichtigt bleiben. Des Weiteren sollen wesentliche Aufgabenbereiche

im Bereich des Informationssicherheitsmanagements kurz beschrieben werden. Die

Hinweise referenzieren sowohl auf Maßnahmen im technischen als auch im

organisatorischen Bereich. Der Leitfaden soll einen Überblick über die wichtigsten

Themenbereiche bieten. Nähere Detailinformationen sind den aufgeführten Quellen zu

entnehmen.


Sicherheitsanforderungen

1 Sicherheitsorganisation

Informationssicherheit soll innerhalb des Unternehmens eingeführt und gesteuert werden.

Die Bedeutung von Informationen und der informationsverarbeitenden Systeme für alle

Unternehmensprozesse in der Energieversorgung sowohl im kaufmännischen als auch im

technischen Bereich wird damit unterstrichen.

Dafür soll das Management entsprechende Rahmenbedingungen schaffen, wie z.B.:

Eine Leitlinie zur Informationssicherheit verabschieden, die eine Richtungsvorgabe

hinsichtlich der Informationssicherheit darstellt und dabei Geschäftsanforderungen und

geltende Gesetze, Verträge und Regelungen berücksichtigt

Sicherheitsbezogene Verantwortlichkeiten und Rollen benennen und mit den notwendigen

Ressourcen ausstatten

Die Wirksamkeit der Leitlinie überprüfen und deren Verbesserung fördern, indem

Mitarbeiter geschult, relevante Verfahren und Abläufe erfasst und ausgewertet sowie

erkannte Abweichungen beseitigt, Prozesse angepasst oder Risiken minimiert bzw.

vermieden werden

Kontakte zu relevanten Behörden, Institutionen, speziellen Interessensgruppen und

Interessensvertretungen, wie z.B. Oesterreichs Energie, aufbauen und pflegen. Dazu

zählt auch, die Kommunikation zu anderen Anwendern über Internetforen oder Kongresse

zu fördern.

Um eine umfassende Sicherheitsorganisation gegenüber Externen nachweisen zu können,

kann eine Zertifizierung z.B. nach ISO/IEC 27001 sinnvoll sein.

Verweise:

OE / BDEW-Whitepaper: -

ISO/IEC TR 27019: 5.1 „Informationssicherheitsleitlinie“ und 6.1 „Interne Organisation“

ENISA Guidelines: Domain 1 „Security governance & risk management“

2 Risikomanagement

Innerhalb des Unternehmens soll ein Prozess eingeführt sein, der die Erfassung und

Bewertung von Risiken für den Geschäftsbetrieb beschreibt und dabei insbesondere auch

Informationssicherheitsrisiken betrachtet. Dies umfasst beispielsweise:

Eine umfassende Strategie zum Risikomanagement bezüglich aller relevanten Prozesse

der Organisation und organisationseigener Informations-Assets, wie z.B. Informationen,

Daten, Anwendungen, Systeme und IKT-Komponenten, die für die Erbringung der

Leistungen der Organisation notwendig sind.

Bestimmung von gesetzlichen, vertraglichen und gesellschaftlichen Anforderungen an die

Organisation

Erfassung von potenziellen Bedrohungen für diese Assets


Bewertung von Schwachstellen, Eintrittswahrscheinlichkeiten und möglichen

Auswirkungen

Insbesondere soll im Risikomanagement die gesellschaftliche Relevanz einer sicheren

Energieversorgung beachtet werden. Sicherheitsrisiken soll mit entsprechenden

Maßnahmen begegnet werden, wobei der Aufwand für die Maßnahmen mit den potenziellen

Schäden infolge des Schadeneintritts korreliert.

Verweise:


ISO/IEC TR 27019: 4.2 „Informationssicherheits-Managementsysteme im Bereich

der Energieversorgung“

ENISA Guidelines: Domain 1 „Security governance & risk management“

3 Bedeutung der Personalsicherheit

Eigene Angestellte, Auftragnehmer und Mitarbeiter, die bei Dritten unter Vertrag stehen, sind

Bestandteil des Informationssicherheits-Prozesses. Diese internen und externen Mitarbeiter

sollen entsprechend in den Informationssicherheits-Prozess eingebunden werden. Zu den

umzusetzenden Maßnahmen zählen z.B.:

Internen und externen Mitarbeitern sollen die Bedeutung der Informationssicherheit sowie

damit in Zusammenhang stehende Abläufe und Verfahren im Unternehmen bekannt

gemacht werden

Während der Anstellung sollen regelmäßige Schulungen das Sicherheitsbewusstsein

(Awareness) vertiefen und Mitarbeiter über Neuerungen, wie Sicherheitsbedrohungen,

neue interne oder gesetzliche Bestimmungen usw. in Kenntnis gesetzt werden

Vor der Anstellung bzw. der Beauftragung sollen angemessene Prüfungen der Person

des Mitarbeiters durchgeführt werden, insbesondere dann, wenn Tätigkeiten in sensitiven

Bereichen zum Aufgabengebiet des Mitarbeiters zählen

In Dienstverträgen und ergänzenden Dienstanweisungen sollen Festlegungen zur

Vertraulichkeit enthalten sein

Nach Beendigung der Anstellung bzw. der Beauftragung sollen Benutzerkonten gelöscht,

Zugriffserlaubnisse eingezogen oder ausgehändigte IKT-Systeme zurückgefordert werden

Verweise:


ISO/IEC TR 27019: 8 „Personalsicherheit“

ENISA Guidelines: Domain 4 „Personnel security, awareness and training“


4 Sicherheitsvereinbarungen mit Dritten

Dritte, die auf Informationen oder informationsverarbeitende Einrichtungen des

Unternehmens zugreifen, Informationen verarbeiten sowie Systeme administrieren oder

warten, sollen auf relevante Sicherheitsanforderungen hingewiesen und auf deren

Einhaltung verpflichtet werden. Dazu zählen:

Einhaltung von Vertraulichkeit und Verschwiegenheit bezüglich sensitiver Informationen

Maßnahmen zur Sicherstellung des physischen und logischen Schutzes von Systemen

und Anwendungen

Installation eines aktuellen Schadsoftwareschutzes sowie die Sicherheit erhöhende

Updates bzw. Patches des Betriebssystems sowie der Anwendungen auf für

Wartungszugriffe genutzten Systemen, wie z.B. Parametrierlaptops

Maßnahmen, die die Rückgabe oder Vernichtung von Informationen bei Vertragsende

sicherstellen

Anforderungen an das Personal (vgl. Kapitel 3)

Anforderungen hinsichtlich einer funktionierenden Krisen- und Notfallkommunikation im

Fall von Großstörungen, Unfällen usw.

Regelung von Haftungs- und Schadensersatzfragen gemäß Einkaufsbedingungen bei

Verstößen durch Dritte

Ergänzt werden diese Vereinbarungen ggf. durch:

Spezielle Schulungen für Dritte

Definition von Service Levels (SLAs) bei der Erbringung von Leistungen durch Externe

Festlegung von Sicherheitsmaßnahmen, wenn Subunternehmen zum Einsatz kommen.

Diese sollen ebenfalls auf die Einhaltung der Festlegungen verpflichtet werden.

Werden Systeme oder Komponenten im Verantwortungsbereich anderer Energieversorger

betrieben, beispielsweise in Übergabestationen, sollen Sicherheitsanforderungen und ggf.

notwendige Maßnahmen vertraglich festgeschrieben werden.

Verweise:

OE / BDEW-Whitepaper: 2.3.2 „Sichere Wartungsprozesse und RAS-Zugänge“

ISO/IEC TR 27019: 6.2.3 „Adressieren von Sicherheit in Vereinbarungen mit

Dritten“

ENISA Guidelines: Domain 4 „Management of third parties“


5 Schutz sensibler Daten

Sensible Daten, wie z.B. Passwörter, Parametrierdaten, vertrauliche Informationen usw.,

sollen nur verschlüsselt gespeichert oder übertragen werden. Im Rahmen einer

Klassifizierung der Informationen soll der Umfang des notwendigen Schutzes bei Nutzung

der Informationen festgelegt werden.

Informationen werden bezüglich ihres Werts, gesetzlicher Anforderungen und ihrer Kritikalität

für das Unternehmen erfasst, beurteilt und kategorisiert. Es müssen dabei neben

Informationssicherheitsaspekten auch Datenschutzanforderungen berücksichtigt werden.

Offensichtliche Anforderungen an den Schutzbedarf, wie beispielsweise die sichere

Speicherung von Passwörtern, sollen schon in der Standardkonfiguration einer

Softwarekomponente durch den Hersteller realisiert sein. Bei Umgang mit Datenträgern ist

die Sensitivität der darauf gespeicherten Informationen zu berücksichtigen.

Verweise:

OE / BDEW-Whitepaper: 2.1.1.6 „Verschlüsselung sensibler Daten bei Speicherung und

Übertragung“ und 2.1.1.7 „Verschlüsselungsstandards“

ISO/IEC TR 27019: 12.3 „Kryptographische Maßnahmen“ und weitere

ENISA Guidelines: Domain 9 „Information systems security“

6 Sicheres Systemdesign

Die Informationssicherheit im späteren Betrieb wird durch den Entwurf der Systemarchitektur

maßgeblich bestimmt. Wesentliche Grundprinzipien dafür sind:

Komponenten und Benutzer erhalten nur die minimal für den Systembetrieb notwendigen

Rechte und Berechtigungen (vgl. Kapitel 0)

Schutzmaßnahmen werden nicht nur auf einer Ebene, sondern auf mehreren Ebenen,

gestaffelt und sich ergänzend, etabliert

Sicherheitsrelevante Funktionen werden durch den Ausfall einzelner Komponenten nicht

außer Kraft gesetzt

Ergänzt werden diese Maßnahmen durch weitere Designprinzipien, wie beispielsweise

Zugriffs- und Zugangskontrollen oder Deaktivierung aller nicht explizit benötigten Dienste.

Ein „sicheres System“ lässt sich nur implementieren, wenn der gesamte Lebenszyklus von

der Definition der Anforderungen, über die Entwicklung, den Betrieb bis hin zur

Außerbetriebnahme unter Sicherheitsaspekten betrachtet wird.

Es dürfen nur standardisierte Kommunikations- und Anwendungsprotokolle Verwendung

finden. Ausnahmen von dieser Regelung sollen explizit begründet und durch den Betreiber

genehmigt werden. Protokolle, die die Integrität der Informationen bzw. eine Authentisierung

der Kommunikationspartner gewährleisten, sollen bevorzugt eingesetzt werden.

Web-Applikationen sollen nur nach Abstimmung und Freigabe durch den Betreiber unter

Berücksichtigung einer sicheren Netzwerkstruktur zum Einsatz kommen. Auf Grund häufig

auftretender Sicherheitslücken in Web-Applikationen sollen allgemein anerkannte

Sicherheitsempfehlungen, beispielsweise nach den Empfehlungen des Open Web


Application Security Project (OWASP) oder der ÖNORM A-7700 „Informationsverarbeitung -

Sicherheitstechnische Anforderungen an Webapplikationen“ bei der Entwicklung von Web-

Applikationen beachtet werden.

Verweise:

OE / BDEW-Whitepaper: 2.1.1.1 „Sichere Systemarchitektur“, 2.4.3 „Anwendungsproto-

kolle“ und weitere

ISO/IEC TR 27019: 12 „Beschaffung, Entwicklung und Wartung von Informations-

systemen“ und weitere

ENISA Guidelines: Domain 3 „Secure lifecycle process for smart grid

components/systems and operating procedures“

7 Sichere Software-Entwicklung

Die für den Betrieb von Systemen und Komponenten notwendigen Betriebssysteme,

Firmware und Applikationen sollen in einem sicheren und wohlstrukturiertem

Entwicklungsprozess erstellt werden. Die Qualität der Entwicklung soll durch verschiedene

Maßnahmen und Prozesse sichergestellt werden, wie z.B.:

Einsatz von zuverlässigen und fachlich qualifizierten Mitarbeitern, die fortlaufend geschult

werden

Verwendung anerkannter Entwicklungsstandards und Qualitätssicherungs-Prozesse, die

insbesondere auch Informationssicherheitsaspekte berücksichtigen

Softwaretests werden in einem definierten Testverfahren und in von Produktiv-

umgebungen separierten Testumgebungen durchgeführt

Festlegung sicherheitsrelevanter Anforderungen in der Programmierrichtlinie

Versionierung und Änderungs- und Fehlerverfolgung in Quellcode-Verwaltungssystemen

Sicherstellung der Sicherheit der für die Entwicklung genutzten Systeme, beispielsweise

Schutz vor unberechtigten Zugriffen oder Sicherstellung der Integrität des Quellcodes.

Für besonders sensitive Systeme soll im Rahmen der Beauftragung vertraglich vorgesehen

werden, dass der Betreiber im Rahmen einer Auditierung die Einhaltung entsprechender

Qualitätszusagen überprüfen darf, z.B. in Form einer Quellcodeanalyse oder der

Begutachtung des Softwareentwicklungsprozesses.

Verweise:

OE / BDEW-Whitepaper: 2.5.1 „Sichere Entwicklungsstandards, Qualitätsmanagement

und Freigabeprozesse“ und weitere

ISO/IEC TR 27019: 12.5.5 „Ausgelagerte Softwareentwicklung“

ENISA Guidelines: -


8 Sichere Netzwerkstruktur und Kommunikationsprotokolle

Das Design der Netzwerkstruktur sowie die Auswahl der Kommunikationsprotokolle sollen

sowohl funktionalen als auch sicherheitstechnischen Anforderungen genügen. Die

Netzwerkkonzeption soll die folgenden Vorgaben berücksichtigen:

Das Daten- bzw. Kommunikations-Netzwerk wird mit Hilfe von Firewalls, Routern oder

Switches in Zonen bzw. Segmente mit unterschiedlichen Funktionen und

unterschiedlichem Schutzbedarf unterteilt (Netzwerksegregation)

Die Netzwerke verschiedener Anwendungsbereiche (kaufmännische IKT, Leittechnik,

Fernwirktechnik, Smart Metering, Service-Netzwerke, etc.) sollen voneinander getrennt

werden, die notwendige Kommunikation soll ausschließlich über definierte und gesicherte

Übergänge stattfinden

Eine solche Zonierung findet auch Anwendung bei der Anbindung unterschiedlicher

Standorte, die Standorte werden jeweils unterschiedlichen Zonen zugeordnet

Die Kommunikation zwischen geographisch entfernten Standorten oder die Verbindungen

zu Dienstleistern oder anderen Externen sollen kryptographisch gesichert, z.B. in einem

VPN, erfolgen

Funktechnologien, wie WLAN, Bluetooth etc., sollen nur nach einer Risikoabschätzung

und unter Anwendung von entsprechenden Schutzmaßnahmen eingesetzt werden

Netzwerkzugriffe durch Externe im Rahmen von Wartungs- oder Servicearbeiten sollen

nicht direkt in das Prozessnetz durchgreifen, sondern zentral terminiert werden,

beispielsweise auf einem Terminalserver in einer dedizierten DMZ-Zone. Die Struktur und

die verwendeten Technologien bzw. Geräte richten sich nach den ermittelten

Anforderungen an das Kommunikationsnetz (z.B. Bandbreiten, Paketlaufzeiten,

Verzögerungen usw.)

Das Netzwerkkonzept, alle physikalischen oder logischen Verbindungen sowie alle

Schnittstellen sollen ausführlich dokumentiert werden. Diese Dokumentation soll stets auf

dem aktuellen Stand gehalten werden

Hinsichtlich der eingesetzten Technologien sollen die folgenden Anforderungen

berücksichtigt werden:

Protokolle sollen inhärent eine sichere Kommunikation durch Bereitstellung von

Authentifizierung oder Verschlüsselung bzw. einer Integritätsprüfung unterstützen. Bieten

die Protokolle sicherheitserhöhende Optionen, sollen diese genutzt werden

Alle Netzwerk-Komponenten sollen sich in eine zentrale Administration einbinden lassen.

Für administrative Zugriffe werden nur sichere Protokolle eingesetzt

Sicherheitseigenschaften, Service Levels (Vereinbarungen bezüglich maßgeblicher

Verbindungsparameter, wie Bandbreite, Paketverluste oder Verzögerungen) und

Administrationsanforderungen aller Netzdienste sollen ermittelt werden. Dies soll

unabhängig davon geschehen, ob die Dienste intern oder von externen Dritten erbracht

werden

Das Kommunikationsnetz soll durch geeignete Verfahren überwacht werden. Relevante

Ereignisse, ausgelöst durch Nutzer oder Netzdienste, sollen protokolliert werden. Ein


geeignetes Auswerteverfahren, welches Meldungen und Protokolleinträge hinsichtlich ihrer

Kritikalität filtert, soll etabliert werden.

Verweise:

OE / BDEW-Whitepaper: 2.3.1 „Sichere Netzwerkkonzeption und Kommunikations-

verfahren“

ISO/IEC TR 27019: 10.6.1 „Maßnahmen für Netze“ und 10.6.2 „Sicherheit von

Netzdiensten“

ENISA Guidelines: Domain 10 „Network security“

9 Grundsicherung und Systemhärtung

Im Rahmen der Systemhärtung sollen der Funktionsumfang und damit die Anzahl

vorhandener Programme, Software-Module, Dienste und Netzwerkprotokolle auf

Komponenten auf das nötige Minimum reduziert werden. Weiterhin sollen Standard-Nutzer

und -Passworte gelöscht oder deaktiviert, verfügbare Sicherheitsupdates installiert und nicht

benötigte Schnittstellen blockiert werden. Härtungsmaßnahmen sollen sich an Best-Practice-

Empfehlungen oder an Vorgaben der Lieferanten bzw. Hersteller der Komponenten

orientieren.

Die Grundkonfiguration der Systeme bzw. Komponenten soll dokumentiert werden.

Durchgeführte Härtungsmaßnahmen sind in dieser Dokumentation aufzuführen. Die korrekte

Umsetzung der Härtungsmaßnahmen sollte regelmäßig, insbesondere auch nach

Systemänderungen und Updates geprüft und dem aktuellen Stand der Best-Practice-

Empfehlungen entsprechend angepasst werden.

Verweise:

OE / BDEW-Whitepaper: 2.2.1 „Grundsicherung und Systemhärtung“

ISO/IEC TR 27019: 11.1.1 „Leitlinie zur Zugangskontrolle“ und 11.2 „Benutzer-

verwaltung“


components/systems and operating procedures“ und Domain 9

„Information systems security“

10 Rollen- und Berechtigungskonzept

Nutzerzugriffe auf Anwendungen, Systeme und Komponenten sollen durch ein

Rollenkonzept gesteuert werden, welches Berechtigungen in einem Benutzerprofil

zusammenfasst. Es sollen Rollen eingerichtet werden, die unterschiedlich gewichtete

Möglichkeiten administrativer oder steuernder Zugriffe erlauben. Für kritische Änderungen

soll die Möglichkeit eines 4-Augen-Prinzips in Erwägung gezogen werden.

Die Erteilung von Zugangs- bzw. Zugriffsberechtigungen soll durch einen formalen Prozess

erfolgen, der beispielsweise Antragsformulare und eine Freigabe des Antrags durch einen


berechtigten Vorgesetzten vorsieht. Der Prozess soll so gestaltet sein, dass Veränderungen

in der Organisation des Unternehmens oder des Benutzers berücksichtigt werden können,

z.B. bei einem Abteilungswechsel.

Der Bedienung eines Systems soll eine Authentifizierung des Benutzers vorausgehen. Bei

sensitiven Systemen soll eine 2-Faktor-Authentifizierung zur Anwendung kommen, die

beispielsweise Token, Smartcards oder biometrische Merkmale in Kombination mit einem

Passwort verwendet. Passwörter sollen den Passwortregelungen des Unternehmens

entsprechen.

Authentifizierungsinformationen sollen zentral verwaltet und durch geeignete technische

Maßnahmen stark gesichert gespeichert und übertragen werden. Erfolgreiche und

fehlgeschlagene Anmeldeversuche sowie alle Benutzeraktivitäten sollen unter

Berücksichtigung der entsprechenden Datenschutzvorschriften überwacht und protokolliert

werden.

Verweise:

OE / BDEW-Whitepaper: 2.4.1 „Benutzerverwaltung“

ISO/IEC TR 27019: 11.1.1 „Leitlinie zur Zugangskontrolle“ und 11.2 „Benutzer-

verwaltung“


11 Konfigurations- und Änderungsmanagement

Herstellerseitige Voreinstellungen von Systemen (z.B. Authentifizierungs-Informationen,

Nutzernamen, Konfigurationseinstellungen und -parameter) sollen erfasst und bei Bedarf

durch eine sichere Konfiguration ersetzt werden. Die so erzeugte Installation soll

dokumentiert werden.

Für Änderungen an Systemen beispielsweise durch Installation von Funktionserweiterungen,

Updates und Patches oder durch Parametrierungs-, Konfigurations- oder

Hardwareänderungen soll ein definierter Prozess zum Änderungsmanagement eingeführt

werden, der die Planung, Bewertung, Durchführung und Dokumentation von Änderungen

regelt und für sensitive und betriebskritische Änderungen auch ein Genehmigungsverfahren

umsetzt. Mindestens ein älterer Datenstand (Software-/ Firmwarestand, Datenmodell,

Parametrierung, etc.) soll gesichert und eine Rollbackmöglichkeit vorgesehen, dokumentiert

und ggf. getestet werden. Ein geeigneter Verwaltungsprozess für die eingesetzten

Softwareversionen soll implementiert werden.

Verweise:

OE / BDEW-Whitepaper: 2.5.5 „Konfigurations- und Change-Management, Rollback-

möglichkeiten“

ISO/IEC TR 27019: 10.1.2 „Änderungsverwaltung“ und 12.4.1 „Kontrolle von

Software im Betrieb“

ENISA Guidelines: Domain 3 „Secure lifecycle process for smart grid components /

systems and operating procedures“


12 Patch- und Versionsmanagement

Software-Patches beseitigen Schwachstellen, Sicherheitslücken und funktionale Fehler oder

fügen Applikationen, Betriebssystemen oder Firmware neue oder verbesserte Funktionen

hinzu.

Die Softwareinstallation von Prozessteuerungs-Komponenten und der zugehörigen

Konfigurations- und Managementsysteme soll patchfähig sein, damit bekannt gewordene

Sicherheitslücken beseitigt werden können. Dies umfasst neben Betriebssystem und

Firmware auch Applikationen und Hilfskomponenten. Software, die von Dritten bezogen wird

(sogenannte 3rd-Party-Software), soll sich ebenfalls in den Patch- bzw. Updateprozess

einbinden lassen. Das Einspielen von Patches und Updates soll den normalen Betrieb nicht

unterbrechen und die Verfügbarkeit des Gesamtsystems nur gering beeinflussen. Updates

auf prozessnahen Komponenten (Steuerungen, Controller, Fernwirk- oder Schutzgeräte

usw.) sind häufig nur während einer Anlagenaußerbetriebnahme (Wartung, Revision)

möglich. Um die Verfügbarkeit von Sicherheitsupdates zu gewährleisten, sollen nur aktuelle

und absehbar noch im Support befindliche Softwareversionen beschafft und in Betrieb

genommen werden. Die Patchfähigkeit der Systeme soll über den gesamten Lebenszyklus

durch regelmäßige Upgrades auf eine noch im Support befindliche Version sichergestellt

werden.

Die Anzahl notwendiger Patches und damit von Betriebsunterbrechungen kann minimiert

werden, indem Komponenten gehärtet werden. Damit wird die Anzahl der Dienste und

Schnittstellen auf das notwendige Minimum begrenzt.

Der Hersteller / Lieferant der Komponenten soll die organisatorischen und technischen

Aspekte des Patchprozesses umfassend beschreiben. Hierzu zählen z.B. die

Vorgehensweise und Zyklen zur Patch-Bereitstellung, Test- und Freigabeprozesse durch

den Hersteller / Lieferanten sowie die konkrete Vorgehensweise zur Patchinstallation sowie

Deinstallation bzw. Rollbackverfahren für fehlerhaft installierte Patches.

Um Fehlfunktionen durch Patches zu vermeiden, müssen diese intensiv getestet werden. In

der Regel erfolgt eine umfassende Prüfung vorab durch den Systemlieferanten. Der

Betreiber soll ergänzend einen Test der Grundfunktionen vor der Inbetriebnahme der

gepatchten Komponente durchführen. Die notwendigen Testfälle und deren Durchführung

müssen in der Hersteller-Dokumentation beschrieben sein. Bei kritischen Systemen ist eine

umfassende Prüfung in einem vom Prozess isolierten Testsystem sowie eine umfassende

Planung und Vorbereitung des Roll-Out-Prozesses notwendig, um den sicheren Betrieb nicht

zu gefährden.

Ggf. werden Meldewege von Sicherheitslücken oder Schwachstellen durch den Hersteller /

Lieferant bzw. die Bereitstellung von Updates / Patches in einem separaten Wartungsvertrag

festgelegt.


Verweise:

OE / BDEW-Whitepaper: Kapitel 2.1.1.3 „Patchfähigkeit, Patchmanagement“ und weitere

ISO/IEC TR 27019: 12.6.1 „Kontrolle technischer Schwachstellen“


components/systems and operating procedures“

13 Schadsoftwareschutz

Vernetzte, IP-basierende Systeme sollen mit einem Schadsoftwareschutz versehen sein. Ist

dies nicht möglich, beispielsweise bei sogenannten Embedded-Komponenten, soll alternativ

ein Konzept vom Hersteller / Lieferant vorgelegt werden, welches einen gleichwertigen

Schutz bietet, beispielsweise ein Perimeterschutz auf Schnittstellen. Die Kompatibilität des

Schadsoftwareschutzes zu den Applikationen und Komponenten der Prozessumgebung soll

unter Berücksichtigung der Empfehlungen des Herstellers / Lieferanten im Vorfeld verifiziert

werden.

Ein Schadsoftwareschutz kann entweder signaturbasiert (Blacklisting) oder als Whitelisting-

Lösung, die die Ausführung von nicht freigegebenen Programmen und Programmcode

verhindert, implementiert werden, wobei eine Kombination beider Varianten die

Schutzwirkung vor Schadsoftware erhöht. Die Konfiguration und Pflege der Schutzsoftware,

dazu zählt beispielsweise der Zyklus der Aktualisierung der Pattern bei signaturbasierten

Lösungen und deren Prüfung und Freigabe, soll gemeinsam mit dem Hersteller / Lieferanten

definiert und dokumentiert werden.

Verweise:

OE / BDEW-Whitepaper: Kapitel 2.2.2 „Antiviren-Software“

ISO/IEC TR 27019: 10.4.1 „Maßnahmen gegen Schadsoftware“


14 Sichere Wartungsprozesse

Im Rahmen von Wartungsarbeiten werden durch einen Dienstleister Service-Maßnahmen

durchgeführt mit dem Ziel, Systeme instand zu halten, Fehler oder Störungen zu beseitigen

oder Optimierungen bzw. Anpassungen an Komponenten / Systemen vorzunehmen.

Diesbezügliche Tätigkeiten können sowohl vor-Ort als auch im Rahmen sogenannter

Fernzugriffe erfolgen. In jedem Fall sollen an das Wartungspersonal, die für die Wartung

eingesetzten Systeme und an die Umgebung, aus der heraus die Zugriffe erfolgen,

besondere Sicherheits-Anforderungen gestellt werden:

Wartungspersonal des Dienstleisters soll gegenüber dem Betreiber benannt und

hinsichtlich der Systemumgebung des Betreibers geschult sein

Fernwartungs- und Vor-Ort-Zugriffe auf Systeme und Komponenten des Betreibers sollen

nur von speziell gesicherten Systemen des Dienstleisters aus erfolgen


Fernwartungszugriffe sollen beim Dienstleister nur aus einer abgesicherten DMZ-

Umgebung erfolgen und bedürfen einer starken Authentifizierung des Wartungspersonals

sowie einer separaten Freigabe durch den Betreiber

Wartungssysteme des Dienstleisters sollen folgende Eigenschaften aufweisen:

Sicherer logischer Zugangsschutz und Schutz vor unberechtigtem physischen Zugriff

Die Systeme sollen gehärtet und mit aktuellem Schadsoftwareschutz und

Softwarepatches sowie einer restriktiv konfigurierten Firewall ausgestattet sein

Die Durchführung der Wartung und die damit verbundenen technischen und

organisatorischen Randbedingungen sollen zwischen Betreiber und Dienstleister schriftlich

fixiert werden, beispielsweise innerhalb eines Wartungs- oder Instandhaltungsvertrags.

Der Betreiber soll für die Fernwartung eine abgesicherte Fernwartungsinfrastruktur

aufbauen. Eine direkte Kopplung der Netze der Dienstleister mit der Prozessumgebung des

Betreibers soll verhindert werden (siehe hierzu auch Kapitel 0). Wartungsprozesse sollen

durch den Betreiber überwacht und protokolliert werden.

Verweise:

OE / BDEW-Whitepaper: Kapitel 2.3.2 „Sichere Wartungsprozesse und RAS-Zugänge“

ISO/IEC TR 27019: 6.2.1 „Identifizierung von Risiken in Zusammenhang mit

externen Mitarbeitern“ und weitere


15 Physische und umgebungsbezogene Sicherheit

Sensitive informationsverarbeitende Einrichtungen sollen in Sicherheitsbereichen platziert

werden, die durch Zugangskontrollsysteme und Sicherheitsbarrieren vor unberechtigtem

Zutritt, Beschädigungen oder Störungen, beispielsweise in Folge von Naturereignissen

geschützt sind. Abhängig von der Sensitivität der Systeme sollen ergänzenden Maßnahmen,

wie Einbruchmeldesysteme oder ein Objektschutz, in Erwägung gezogen werden. Werden

sensitive Komponenten in dezentralen Standorten, wie z.B. Umspannwerken, betrieben,

sollen sie in separaten Technikräumen oder Schränken platziert werden. Wenn

Komponenten auf öffentlichem Gelände oder in Umgebungen Dritter verbaut werden, soll ein

hinreichender physischer Schutz, z.B. durch verstärkte Gehäuse oder Öffnungskontakte

vorgesehen werden.

Zutritte zu Sicherheitszonen sollen überwacht und protokolliert werden. Ein Zutritt soll nur

nach einer Authentisierung des Mitarbeiters gewährt werden. Dafür kommen

unterschiedliche technische Maßnahmen, wie beispielsweise biometrische Merkmale oder

Zugangs-Chipkarten, in Frage. Diese Regelungen sollen so gestaltet sein, dass sie auch auf

Besucher oder Dritte (z.B. Mitarbeiter von Dienstleistern) angewendet werden können.

Vergebene Zutrittsberechtigungen sollen dokumentiert werden. Sie sind periodisch auf

Aktualität zu überprüfen. Nicht mehr benötigte Zutrittsberechtigungen, beispielsweise nach

Beendigung von Wartungsarbeiten, sollen zeitnah entzogen werden.


Verweise:


ISO/IEC TR 27019: 9.1.1 „Sicherheitszonen“ und weitere

ENISA Guidelines: Domain 8 „Physical security“

16 Protokollierung und Überwachung

Die Überwachung von Systemen soll Informationssicherheitsereignisse aufzeichnen. Dazu

gehören administrative Tätigkeiten, aufgetretene Fehler oder sonstige Ereignisse, wie das

Betreten einer Sicherheitszone durch eigene Mitarbeiter oder durch Dritte.

Die Nachvollziehbarkeit von Handlungen wird sichergestellt, indem Zeitpunkt, Nutzername

und durchgeführte Handlungen / Nutzeraktivitäten protokolliert werden. Der Prozess der

Überwachung soll hinsichtlich der folgenden Punkte genauer spezifiziert sein:

Aufbau einer technischen Infrastruktur, in der Meldungen und Alarme erfasst, gespeichert

und ausgewertet werden

Festlegung der organisatorischen Abläufe im Alarm- oder Ereignisfall

Definition der aufzuzeichnenden Parameter und einer Auslöseschwelle für eine

Protokollierung

Auswerteregime (wer wertet in welchen Zeiträumen Aufzeichnungsprotokolle aus?) unter

Beachtung des Datenschutzes

Schutz der Aufzeichnungsprotokolle gegen Manipulation und Überschreiben

Definition einer einheitlichen Systemzeit durch Nutzung von zentralen Zeitservern

Aufbau eines Alarmmanagements, welches bestimmte Ereignisse an benannte Personen

oder Systeme unverzüglich weitermeldet

Verweise:

OE / BDEW-Whitepaper: 2.4.6 „Protokollierung, Audit-Trails, Timestamps, Alarm-

konzepte“

ISO/IEC TR 27019: 10.10 „Überwachung“ und weitere

ENISA Guidelines: Domain 6 „Audit and accountability“

17 Datensicherung und Wiederherstellung

Die Datensicherung und Wiederherstellung einzelner Anwendungen, des Gesamtsystems

und der jeweiligen Konfigurationsstände soll definiert und dokumentiert sein. Dafür sollen

eine angemessene technische Ausstattung, ausführliche Beschreibungen der Abläufe sowie

entsprechend geschultes Personal vorgehalten werden. Die Sicherungs- und

Wiederherstellungsprozesse sollen regelmäßig getestet und trainiert und bei Veränderungen

angepasst werden.

Für die Datensicherung verwendete Speichermedien sollen sicher und getrennt vom

Produktivsystem aufbewahrt und periodisch einer technischen Überprüfung unterzogen


werden. Sicherheitskritische Datensicherungen sollen geschützt abgelegt bzw. gespeichert

werden, z.B. durch Einsatz von Verschlüsselung.

Verweise:

OE / BDEW-Whitepaper: 2.6.1 „Backup: Konzept, Verfahren, Dokumentation, Tests“

ISO/IEC TR 27019: 10.5 „Backup“

ENISA Guidelines: Domain 7 „Continuity of operations“

18 Reaktion auf Sicherheitsereignisse, Notfall- und Incidentmanagement

Der Betreiber soll technische und personelle Kapazitäten vorhalten sowie Prozesse

definieren, um auf Sicherheitsvorfälle angemessen reagieren zu können.

Bedrohungsanalysen in Bezug auf die Prozessumgebung sollen durchgeführt und in deren

Ergebnis Gegenmaßnahmen ergriffen werden.

Notfall- und Krisenszenarien sollen auf Seiten des Betreibers im Rahmen eines

bereichsübergreifenden Risiko- und Notfallmanagements identifiziert, bewertet, dokumentiert

und in ihrer Durchführung trainiert werden. Dabei sollen insbesondere Störungen oder

Ausfälle von kritischen IKT- und Prozesssteuerungsumgebungen betrachtet werden. Es

sollen essentielle Prozesse identifiziert werden, deren Weiterbetrieb im Notfall gewährleistet

werden muss (z.B. Not-Betriebsführung in den Anlagen oder Sicherstellung einer

Notfallkommunikation). Für identifizierte Szenarien sollen Notfallkonzepte und

Wiederanlaufplanungen dokumentiert und getestet werden.

Akzeptable maximale Ausfall- und Wiederanlaufzeiten sollen definiert sein. Dokumentation

und Verfahren sollen bei relevanten System-Updates angepasst und im Rahmen des

Abnahmeverfahrens für Release-Wechsel erneut getestet werden.

Betreiber energietechnischer Anlagen sollen sicherstellen, dass

Kommunikationsverbindungen (Sprache und Daten) zu relevanten Systemen und

Organisationen in einer Notfallsituation funktionstüchtig sind. Sie unterliegen einer

gesonderten Notfallvorsorge in Eigenregie des Betreibers.

Verweise:

OE / BDEW-Whitepaper: Kapitel 2.6.2 „Notfallkonzeption und Wiederanlaufplanung“

ISO/IEC TR 27019: Kapitel 14 „Business Continuity Management“

ENISA Guidelines: Domain 7 „Continuity of operations“


Literatur

Oesterreichs Energie und BDEW: „Anforderungen an sichere Steuerungs- und

Telekommunikationssysteme, Ausführungshinweise zur Anwendung des BDEW Whitepaper,

Version 1.0“

ISO/IEC 27019:2013: „Information Technology - Security techniques - Information security

management guidelines based on ISO/IEC 27002 for process control systems specific to the

energy utility industry“

European Network and Information Security Agency (ENISA): „Appropriate security

measures for smart grids, Guidelines to assess the sophistication of security measures

implementation, Version 1.7“


Abkürzungsverzeichnis

Abkürzung Erläuterung

DMZ Demilitarisierte Zone. Bezeichnet ein Netzwerksegment zwischen

einem geschützten Netzwerk (Unternehmens-LAN, technische Netze

etc.) und einem unsicheren Netzwerk (bspw. Internet, Dienstleister,

Partnerunternehmen etc.), in dem Zugriffe aus dem unsicheren

Netzwerk heraus terminiert werden. Meist werden innerhalb einer DMZ

Schnittstellendienste bereitgestellt.

IKT Informations- und Kommunikationstechnik

IP Internet Protocol

LAN Local Area Network. In seiner Ausdehnung begrenztes

Kommunikationsnetzwerk. Meist wird damit das Netzwerk eines

Unternehmens oder eines Unternehmensstandortes beschrieben.

OWASP Open Web Application Security Project. Eine Organisation, die das Ziel

verfolgt, die Sicherheit von Anwendungen und Diensten, die auf

Webtechnologien basieren, zu verbessern

RAS Remote Access Services. Fernzugänge über ein ungeschütztes

Netzwerk auf Komponenten innerhalb der geschützten Netzwerk-

Umgebung des Unternehmens

SLA Service Level Agreements. Vereinbarungen zwischen zwei Parteien

bezüglich der Dienstgüte bei der Erbringung von Leistungen.

VPN Virtuelles Privates Netzwerk. Zusammenfassung von Techniken, um

geographisch auseinander liegende Standorte eines Unternehmens

sicher über ein als unsicher eingestuftes Übertragungsnetz (meist das

Internet) zu verbinden. Die Sicherheit wird durch kryptographische

Verfahren gewährleistet. Dabei werden die Authentizität, Integrität und

Vertraulichkeit von Nachrichten sichergestellt.

WLAN Wireless Local Area Network. Eine Funktechnologie zur drahtlosen

Datenübertragung innerhalb eines LAN.

Documents

Informationssicherheit in der Energieversorgung · Unternehmensprozesse in der Energieversorgung sowohl im kaufmännischen als auch im technischen Bereich wird damit unterstrichen