www.ausecus.com

SICHERHEITENERGIE-ANLAGEN

IT

ISMS & IT-Sicherheit für Kraftwerke und GasspeicheranlagenGrundlage für eine sichere Betriebsführung

ISMSSS

IIIISSSSMMMMSSSSSSSSSS �����

�

AnalyAnalyAnalyAnalyAnalyAnalyAnalyAnalysensensenRisikoRisikoRisiko

SchutzbedarSchutzbedarSchutzbedarfUmsetzung

Auswahl undImplementierung MaßnahmenImplementierung MaßnahmenImplementierung Maßnahmen

VorprojektorprojektVorprojektVGeltungsbereichGeltungsbereichGeltungsbereich

GAPGAPGAP-Analyse-Analyse

SchulungSchulungSchulungSchulungSchulungSchulungSchulungSchulungSchulungSchulungSchulungSicherheitsbewusstsein Sicherheitsbewusstsein Sicherheitsbewusstsein

scha�scha�scha�enscha�enscha�

AAudituditInternes Audit

Begleitung Begleitung Begleitung Zerti�zierungti�zierungti�zierung

ISM

S Ze

rti�

katat

Außerdem sind der Anhang A und die Empfehlungen der DIN EN ISO/IEC 27001, 27002 und 27019 zu berücksichtigen.

Der VGB-Standard „IT-Sicherheit für Erzeugungsan-lagen“ (VGB-S-175) gibt über die Anforderungen der DIN-Normen hinaus im Anhang A Handlungs-empfehlungen, die sich speziell an die IT-Umgebung der Prozess- und Leittechnik beim Betrieb von Erzeugungsanlagen richten.

Bei der Implementierung des ISMS ist der Anhang A des VGB-S-175 in der jeweils geltenden Fassung zu berücksichtigen.

IT-Sicherheitskatalog für Energieanlagen durch die Bundesnetzagentur

Die Bundesnetzagentur (BNetzA) hat nach § 11 Abs. 1b EnWG einen Katalog von Sicherheitsanforderungen zum Schutz gegen Bedrohungen für Telekommunikations- und EDV-Systeme, die für einen sicheren Betrieb von Energieanlagen notwendig sind, erstellt (sog. „IT-Sicherheitskatalog“).

Adressaten des IT-Sicherheitskatalogs sind die Betreiber von Energieanlagen, die durch die BSI-Kritisverordnung anhand von Schwellenwerten als kritische Infrastruk-turen bestimmt wurden und an ein Energieversorgungs-netz angeschlossen sind.

Kernforderung des IT-Sicherheitskatalogs ist die Ver-p� ichtung der Betreiber der betro� enen Energiean-lagen, ein Informationssicherheits-Managementsystem zu implementieren. Der Geltungsbereich umfasst alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Anlagenbetrieb notwendig sind.

Bislang wurde der IT-Sicherheitskatalog von der BNetzA als Konsultationsentwurf verö� entlicht. Nach Inkraft-treten des Katalogs haben Betreiber von Energieanlagen 2 Monate Zeit, um den Ansprechpartner IT-Sicherheit an die BNetzA zu melden.

Zum Nachweis darüber, dass die Anforderungen umgesetzt wurden, hat der Betreiber 1,5 Jahre Zeit den Abschluss des Zerti� zierungsverfahrens durch Vorlage einer Kopie des Zerti� kats der BNetzA mitzuteilen.

ISMS & IT-SICHERHEITHANDLUNGSEMPFEHLUNGENISMS AUS DER PRAXIS

Anforderungen der Übertragungsnetzbetreiber an die Prozess-IT

Kraftwerksbetreiber, die Dienstleistungen im Bereich der Regelleistung (RL) erbringen wollen, müssen die „Mindestanforderungen an die Informationstechnik des Anbieters für die Erbringung von Regelleistung“ erfüllen.

Diese Mindestanforderungen an IT- und Informations-sicherheit berücksichtigen die gesetzlichen Vorgaben und Anforderungen des Bundes-amtes für Sicherheit in der Informationstechnik (BSI).

Ziel ist, das Gesamtsystem im täglichen Betrieb ange-messen gegen Sicherheitsbedrohungen zu schützen und eine hohe Verfügbarkeit der RL aufgrund der Bedeutung für die Systemsicherheit zu gewährleisten.

Dokumentation

Planung Vertrag IT-Sicherheits-Check

Bericht

• Ziel und Umfang festlegen

• Startzeitpunkt• Zeitraum• Ansprechpartner• Rahmen-

bedingungen

• Schriftliche Genehmigung

• Verschwiegenheits-vereinbarungen

• Verpflichtung gegenüber Dritten

• Bestandteile des IT-Sicherheits-Checks

• Abstimmung Vorgehensweise

• Technische Prüfung• Prüfung der

Organisation• Prüfung der

Prozesse

• Detaillierte Dokumentation der Vorgehensweise und der Ereignisse

• Aufzeigen von Gegenmaßnahmen

• Ergebnis für Schutz-bedarfsfestellung

Den aktuellen Stand durch IT-Sicherheits-Checks ermitteln

In der Praxis hat es sich sehr bewährt, zunächst den aktuellen Stand der IT-Sicherheit in Kraftwerken zu ermitteln. Hierzu ist ein IT-Sicherheits-Check durch externe Fachexperten besonders geeignet. Diese ermitteln das aktuelle Sicherheitsniveau Ihrer Netzwerke, zeigen Schwachstellen und Risiken auf, denen Ihr Betrieb ausgesetzt ist und erarbeiten praxisnahe und umsetzbare Vorschläge für Gegenmaßnahmen.

Alle Ergebnisse eines IT-Sicherheits-Checks können in einem nachfolgenden ISMS-Projekt wieder-verwertet werden und sind somit der e� zienteste Weg, um in ein solches Projekt einzusteigen.

Auch ohne ein ISMS-Projekt ist ein IT-Sicherheits-Check ratsam. Die Betriebssicherheit Ihres Kraft-werks wird schließlich durch Schwachstellen in Ihrer Prozess-IT bedroht. Diese Bedrohungen müssen gezielt angegangen werden, um in Zukunft weiterhin ein verfügbares und sicheres System betreiben zu können.

Regelenergieanbieter, Regelleistungsdienstleister und IT-Systemdienstleister, die Anlagen oder Systeme zur Steuerung und Bündelung von Erzeugungs- und Ver-brauchseinrichtungen mit einer Netto-Nennleistung von mindestens 420 MW in Deutschland bündeln, unterliegen ab 31.01.2018 einer Zerti� zierungsp� icht nach BSI-KritisV. In diesem Fall ist der Nachweis über eine Zerti� zierung gemäß den Vorgaben des BSI, des IT-Sicherheitsgesetzes und BSI-KritisV und in Anleh-nung an den IT-Sicherheitskatalog nach §11 Absatz 1a EnWG bzw. gem. eines IT-Sicherheitskatalogs nach § 11 Abs. 1b EnWG erforderlich.

Damit stellen die ÜNBs konkret eine vertragliche Verp� ichtung an alle Anbieter von Regelleistungen, ein Informationssicherheits-Managementsystem (ISMS) gemäß ISO 27001 einzuführen und zerti� zieren zu lassen.

Quellennachweis Bilder: Fotolia, Picture Alliance, Stadtwerke München, WVV GmbH

Erfahrung aus der Praxis

Unsere Mitarbeiter bringen langjährige Erfahrung mit ISMS und aus der IT-Sicherheit Leittechnik bei Energieerzeugern, Energieversorgern, Kraft-werken und Stadtwerken mit.

Durch unser herstellerübergreifendes Wissen und pragmatisches Denken sorgen wir dafür, dass die Schwerpunkte der IT-Sicherheit an den richtigen Stellen gesetzt werden und die Durchführung möglichst e� zient und zielgerichtet ist.

KONTAKT

ausecus GmbH Werner-von-Siemens-Straße 6D-86159 AugsburgTel. +49 / 821 / 20 70 97 - 0Fax +49 / 821 / 20 70 97 - 99

info@ausecus.comwww.ausecus.com

IT-SICHERHEITS-KATALOG

BNetzAIT-SICHERHEITS-

GESETZ

Bund

ISMS & IT-SICHERHEITIT-SICHERHEITS-CHECK