↳die Erstellung eines Netzstrukturplans,
↳den Aufbau eines Risikomanagements (Risikoeinschätzung, behandlung) und
↳die Benennung eines Ansprechpartners ITSicherheit
4.1 Definition des Geltungsbereichs
Der ITSicherheitskatalog gibt vor, alle zentralen und dezentralen Anwendungen, Systeme und Kompo
nenten, die für einen sicheren Netzbetrieb notwen
dig sind in den Geltungsbereich aufzunehmen.
Entscheidend ist eine ausführliche Dokumentation des Geltungsbereiches. Dabei werden die einzelnen
:// 4.
ANWENDUNG DES
IT-SICHERHEITSKATALOGS UND IMPLEMENTIERUNG
EINES INFORMATIONS-
SICHERHEITSMANAGE-MENTSYSTEMS (ISMS)
Sicherheitsrelevante Geschäftsprozesse
Organisation IKT-Systeme
Geltungsbereich
Infrastruktur
Abbildung 5: Umfang des Geltungsbereiches Quelle: Eigene Darstellung
3 / IT-Sicherheit für KRITIS-Unternehmen in der digitalen Energiewirtschaft
Das ISMSTeam zur Einführung und Aufrechterhal
tung des ISMS stellt sich aus mehreren Mitarbeitern aus unterschiedlichen HierarchieEbenen zusammen.
Mit der Geschäftsführung muss in der Regel zunächst eine Sicherheitsstrategie abgestimmt werden. Das Kernteam der ITSicherheit, bestehend aus aus
gewählten Mitarbeitern (oftmals mit Führungsverant
wortung), baut systematisch ein ISMS nach den Anforderungen der Norm im Einklang mit der Sicher
heitsstrategie auf, leitet Maßnahmen zur Umsetzung ab und dokumentiert diese in verschiedenen Richt
linien und Anweisungen. Die Realisierung der Maß
nahmen erfolgt anschließend in den Fachabteilungen (IT, Netzleitung, etc.) und durch die Belegschaft.
Eine gründliche Ausarbeitung von Schlüsseldoku
menten ist bei der späteren Beweisführung in den Audits im Zertifizierungsprozess von großer Bedeu
tung und sollte daher mit entsprechender Sorgfalt umgesetzt werden. Beim Aufbau eines ISMS gehört daher, neben dem bereits kennengelernten „Inventar der Werte“, insbesondere die Erklärung zur Anwendbarkeit (Statement of Applicability, kurz:
SOA). Sie stellt im Wesentlichen die Anforderungen aus der ISO 27001 sowie ISO 27019 dar und dient daher als ideale Übersicht über ISTZustand des ISMS. Bei der Prüfung im Zertifizierungsprozess ist sie daher unerlässlich.
4.3 Das Risikomanagement im ISMS
Das Risikomanagement ist als zentraler Bestand
teil für den Betrieb eines Informationssicherheits
managementsystem zu verstehen. Ziel ist es, Risiken zu identifizieren und geeignete Maßnahmen abzuleiten, um bestehende Risiken behandeln zu können. Zu diesem Zweck, werden mögliche Gefährdungen, ihre Eintrittswahrscheinlichkeiten, Schadenskategorien und mögliche Konsequenzen erhoben und protokolliert. Voraussetzung dafür ist ein vollständiges Inventar der Werte, welches alle sicherheitsrelevanten Anwendungen, Systeme und Komponenten für den sicheren Netz bzw.
technik bezüglich Messungen, Steuerung und Rege
lung oder das Zugangskontrollsystem.
Neben den IKTSystemen werden außerdem bei beiden ITSicherheitskatalogen, die an den sicher
heitsrelevanten Prozessen und Diensten maßgeb
lich beteiligten Organisationseinheiten, Dienstleister und Personen, als auch die notwendigen Standorte, Gebäude und Räume (Infrastruktur) in den Gel
tungsbereich mit aufgenommen.
Letztendlich ergibt sich der Geltungsbereich für ein ISMS, wie in Abbildung 5 dargestellt, aus den sicher
heitsrelevanten IKTSystemen und der dazugehöri
gen Organisation und Infrastruktur, weshalb sich die Informationssicherheit als ein Zusammenspiel von physisch, organisatorisch und informationstechni
scher Sicherheit versteht (siehe Abbildung 6).
4.2 Einführung eines ISMS
Die Einführung eines Informationssicherheitsma
nagementsystems (ISMS) nach DIN ISO 27001 ist generell mit einem mehrmonatigen Prozess ver
bunden. Für eine vollständige Implementierung einschließlich des dazugehörigen Zertifizierungs
prozess benötigen Unternehmen je nach verfügba
ISMS
Gebäude- und ZutrittsschutzOrganisatorische Sicherheit
Sensibilisierung der Mitarbeiter Sicherheitsrichtlinien und -prozesse
Abbildung 6: Umfang der Informationssicherheit Quelle: Eigene Darstellung
3 / IT-Sicherheit für KRITIS-Unternehmen in der digitalen Energiewirtschaft
Eintrittswahrscheinlichkeit das Gesamtrisiko. Sämt
liche Risikoeinschätzungen werden in einem sog.
Verzeichnis für Risikoeinschätzungen protokolliert.
Risikobehandlung
Anschließend erfolgt durch das Kernteam die Behandlung des Risikos mithilfe von angemessenen Maßnahmen unter Berücksichtigung der Ergebnisse der Risikoeinschätzung und dem Stand der Technik.
Die Wirtschaftlichkeit, Umsetzbarkeit und Gegen
läufigkeit wird dabei geprüft, konsolidiert und bei der Auswahl der Maßnahmen berücksichtigt.
Die geplanten Maßnahmen werden anschließend in einem sog. Risikobehandlungsplan protokolliert und abgearbeitet. Die Auswirkungen der einzelnen Maßnahmen werden auf das Gesamtrisiko bzw. die Schadenskategorien und Eintrittswahrscheinlich
keiten angerechnet. Sind die Maßnahmen angemes
sen und wirtschaftlich wird das (Rest)Risiko akzeptiert, ansonsten müssen neue Maßnahmen geplant werden. In Abbildung 7 wird das gesamte Verfahren im Risikomanagement schematisch dargestellt:
Definition der Rahmenbedingungen und Risikoeinschätzung
Daher müssen zunächst die Kriterien zur Bewertung von Risiken festgelegt werden. Im ITSicherheitska
talog werden hierfür qualitative Schadenskategorien vorgegeben und mögliche Bedrohungen den jeweili
gen Eintrittswahrscheinlichkeiten zugeordnet.
Die Einordnung erfolgt dabei für Schadenskatego
rien der Assets (Werte) nach:
↳kritisch (Schadensauswirkungen können ein existenziell bedrohliches, katastrophalen Ausmaß erreichen),
↳hoch (Schadensauswirkungen können beträchtlich sein) und
↳mäßig (Schadensauswirkungen sind überschaubar).
Für mögliche Bedrohungen wie typischerweise:
↳höhere Gewalt (z.B. Feuer, Wasserschäden, Krankheit),
↳menschliche Fehlhandlungen (z.B. fehlerhafte Nutzung von IT),
↳organisatorische Mängel (z.B. unbefugter Zutritt/Zugriff),
↳technisches Versagen (z. B. Ausfall Strom oder Ausfall IT-System) und
↳vorsätzliche Handlungen (z.B. Hacker, Viren, Trojaner).
Werden Eintrittswahrscheinlichkeiten zugeordnet, die beispielsweise folgendermaßen aussehen könnten:
↳hoch (sehr wahrscheinlich),
↳mittel (wahrscheinlich) und
↳niedrig (unwahrscheinlich).
Zusammengerechnet ergeben die Schadenskatego
rien je Asset mit der möglichen Bedrohung je
Definition der Rahmenbedingungen
Risikoeinschätzung Risikoidentifikation
Risikoanalyse Risikobewertung
Risikoüberwachung
Risikokommunikation und -konsultation
Transfer Nein Ja
ø Risikobehandlung (durch Maßnahmen)
Maßnahme angemessen und wirtschaftlich?
Akzeptanz des (Rest-)Risikos Reduktion Vermeidung
Abbildung 7: Ablauf Risikomanagement Quelle: Eigene Darstellung
3 / IT-Sicherheit für KRITIS-Unternehmen in der digitalen Energiewirtschaft
Krisenbewältigung geschaffen und regelmäßig geprobt (BSI 2017).
Zusätzlich – und auf ebenfalls auf freiwilliger Basis – gibt es die Allianz für Cybersicherheit10. Im Jahr 2012 zusammen mit dem Bundesverband Infor mationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) gegründet, ist es als Zusammenschluss aller wichtigen Akteure im Bereich der Cybersicherheit das Ziel, die allgemeine Widerstandsfähigkeit des Standortes Deutschland zu stärken (ebd.). Adressaten der Initiative sind Unternehmen und Institutionen, unabhängig davon, ob sie Kritische Infrastruktur sind. Zurzeit sind 4.802 Akteure registriert und beteiligt. Arbeitsgrundlage ist der Austausch von aktuellen Informationen, Wissen und Erfahrung, um Cyberrisiken zu erkennen und vorzubeugen.11
10 https://www.allianzfuercybersicherheit.de/Webs/ACS/DE/
Home/home_node.html, aufgerufen am 12.03.2021.
11 https://www.allianzfuercybersicherheit.de/Webs/ACS/DE/
Ueberuns/Teilnehmer/teilnehmer_node.html, aufgerufen am 12.03.2021.
Des Weiteren gibt es auf nationaler Ebene zwei Orga
nisationen, die sich mit der Cybersicherheit vertieft befassen, UP KRITIS und die Allianz für Cyber
sicherheit. Der UP KRITIS ist eine öffentlichrecht
liche Kooperation. Leitgedanke der Kooperation ist es, in gemeinsamer Verantwortung von Wirtschaft und Staat, Kritische Infrastrukturen zu schützen und Versorgungssicherheit für die Bürger zu gewähr
leisten. Beteiligte sind die Betreiber Kritischer Infrastrukturen, deren Verbände und die zuständi
gen staatlichen Stellen. Im Januar 2017 zählte UP KRITIS mehr als 400 Beteiligte. Seit 2009 wurde ein Netzwerk zur Kommunikation und Austausch installiert, in dem u.a. Analysen durchgeführt und Empfehlungen erarbeitet werden. Zudem findet ein regelmäßiger Austausch über Vorfälle statt, um ein gemeinsames Lagebild zu erstellen. Durch die zusammenhängende und ressortübergreifende Arbeit werden Strukturen für eine koordinierte