EINES INFORMATIONS- INFORMATIONS-

↳die Erstellung eines Netzstrukturplans,

↳den Aufbau eines Risikomanagements (Risikoeinschätzung, ­behandlung) und

↳die Benennung eines Ansprechpartners IT­Sicherheit

4.1 Definition des Geltungsbereichs

Der IT­Sicherheitskatalog gibt vor, alle zentralen und dezentralen Anwendungen, Systeme und Kompo­

nenten, die für einen sicheren Netzbetrieb notwen­

dig sind in den Geltungsbereich aufzunehmen.

Entscheidend ist eine ausführliche Dokumentation des Geltungsbereiches. Dabei werden die einzelnen

:// 4.

ANWENDUNG DES

IT-SICHERHEITSKATALOGS UND IMPLEMENTIERUNG

EINES INFORMATIONS-

SICHERHEITSMANAGE-MENTSYSTEMS (ISMS)

Sicherheitsrelevante Geschäftsprozesse

Organisation IKT-Systeme

Geltungsbereich

Infrastruktur

Abbildung 5: Umfang des Geltungsbereiches Quelle: Eigene Darstellung

3 / IT-Sicherheit für KRITIS-Unternehmen in der digitalen Energiewirtschaft

Das ISMS­Team zur Einführung und Aufrechterhal­

tung des ISMS stellt sich aus mehreren Mitarbeitern aus unterschiedlichen Hierarchie­Ebenen zusammen.

Mit der Geschäftsführung muss in der Regel zunächst eine Sicherheitsstrategie abgestimmt werden. Das Kernteam der IT­Sicherheit, bestehend aus aus­

gewählten Mitarbeitern (oftmals mit Führungsverant­

wortung), baut systematisch ein ISMS nach den Anforderungen der Norm im Einklang mit der Sicher­

heitsstrategie auf, leitet Maßnahmen zur Umsetzung ab und dokumentiert diese in verschiedenen Richt­

linien und Anweisungen. Die Realisierung der Maß­

nahmen erfolgt anschließend in den Fachabteilungen (IT, Netzleitung, etc.) und durch die Belegschaft.

Eine gründliche Ausarbeitung von Schlüsseldoku­

menten ist bei der späteren Beweisführung in den Audits im Zertifizierungsprozess von großer Bedeu­

tung und sollte daher mit entsprechender Sorgfalt umgesetzt werden. Beim Aufbau eines ISMS gehört daher, neben dem bereits kennengelernten „Inventar der Werte“, insbesondere die Erklärung zur Anwendbarkeit (Statement of Applicability, kurz:

SOA). Sie stellt im Wesentlichen die Anforderungen aus der ISO 27001 sowie ISO 27019 dar und dient daher als ideale Übersicht über IST­Zustand des ISMS. Bei der Prüfung im Zertifizierungsprozess ist sie daher unerlässlich.

4.3 Das Risikomanagement im ISMS

Das Risikomanagement ist als zentraler Bestand­

teil für den Betrieb eines Informationssicherheits­

managementsystem zu verstehen. Ziel ist es, Risiken zu identifizieren und geeignete Maßnahmen abzuleiten, um bestehende Risiken behandeln zu können. Zu diesem Zweck, werden mögliche Gefährdungen, ihre Eintrittswahrscheinlichkeiten, Schadenskategorien und mögliche Konsequenzen erhoben und protokolliert. Voraussetzung dafür ist ein vollständiges Inventar der Werte, welches alle sicherheitsrelevanten Anwendungen, Systeme und Komponenten für den sicheren Netz­ bzw.

technik bezüglich Messungen, Steuerung und Rege­

lung oder das Zugangskontrollsystem.

Neben den IKT­Systemen werden außerdem bei beiden IT­Sicherheitskatalogen, die an den sicher­

heitsrelevanten Prozessen und Diensten maßgeb­

lich beteiligten Organisationseinheiten, Dienstleister und Personen, als auch die notwendigen Standorte, Gebäude und Räume (Infrastruktur) in den Gel­

tungsbereich mit aufgenommen.

Letztendlich ergibt sich der Geltungsbereich für ein ISMS, wie in Abbildung 5 dargestellt, aus den sicher­

heitsrelevanten IKT­Systemen und der dazugehöri­

gen Organisation und Infrastruktur, weshalb sich die Informationssicherheit als ein Zusammenspiel von physisch­, organisatorisch­ und informationstechni­

scher Sicherheit versteht (siehe Abbildung 6).

4.2 Einführung eines ISMS

Die Einführung eines Informationssicherheitsma­

nagementsystems (ISMS) nach DIN ISO 27001 ist generell mit einem mehrmonatigen Prozess ver­

bunden. Für eine vollständige Implementierung einschließlich des dazugehörigen Zertifizierungs­

prozess benötigen Unternehmen je nach verfügba­

ISMS

Gebäude- und Zutrittsschutz

Organisatorische Sicherheit

Sensibilisierung der Mitarbeiter Sicherheitsrichtlinien und -prozesse

Abbildung 6: Umfang der Informationssicherheit Quelle: Eigene Darstellung

3 / IT-Sicherheit für KRITIS-Unternehmen in der digitalen Energiewirtschaft

Eintrittswahrscheinlichkeit das Gesamtrisiko. Sämt­

liche Risikoeinschätzungen werden in einem sog.

Verzeichnis für Risikoeinschätzungen protokolliert.

Risikobehandlung

Anschließend erfolgt durch das Kernteam die Behandlung des Risikos mithilfe von angemessenen Maßnahmen unter Berücksichtigung der Ergebnisse der Risikoeinschätzung und dem Stand der Technik.

Die Wirtschaftlichkeit, Umsetzbarkeit und Gegen­

läufigkeit wird dabei geprüft, konsolidiert und bei der Auswahl der Maßnahmen berücksichtigt.

Die geplanten Maßnahmen werden anschließend in einem sog. Risikobehandlungsplan protokolliert und abgearbeitet. Die Auswirkungen der einzelnen Maßnahmen werden auf das Gesamtrisiko bzw. die Schadenskategorien und Eintrittswahrscheinlich­

keiten angerechnet. Sind die Maßnahmen angemes­

sen und wirtschaftlich wird das (Rest­)Risiko akzeptiert, ansonsten müssen neue Maßnahmen geplant werden. In Abbildung 7 wird das gesamte Verfahren im Risikomanagement schematisch dargestellt:

Definition der Rahmenbedingungen und Risikoeinschätzung

Daher müssen zunächst die Kriterien zur Bewertung von Risiken festgelegt werden. Im IT­Sicherheitska­

talog werden hierfür qualitative Schadenskategorien vorgegeben und mögliche Bedrohungen den jeweili­

gen Eintrittswahrscheinlichkeiten zugeordnet.

Die Einordnung erfolgt dabei für Schadenskatego­

rien der Assets (Werte) nach:

↳kritisch (Schadensauswirkungen können ein existenziell bedrohliches, katastrophalen Ausmaß erreichen),

↳hoch (Schadensauswirkungen können beträchtlich sein) und

↳mäßig (Schadensauswirkungen sind überschaubar).

Für mögliche Bedrohungen wie typischerweise:

↳höhere Gewalt (z.B. Feuer, Wasserschäden, Krankheit),

↳menschliche Fehlhandlungen (z.B. fehlerhafte Nutzung von IT),

↳organisatorische Mängel (z.B. unbefugter Zutritt/Zugriff),

↳technisches Versagen (z. B. Ausfall Strom oder Ausfall IT-System) und

↳vorsätzliche Handlungen (z.B. Hacker, Viren, Trojaner).

Werden Eintrittswahrscheinlichkeiten zugeordnet, die beispielsweise folgendermaßen aussehen könnten:

↳hoch (sehr wahrscheinlich),

↳mittel (wahrscheinlich) und

↳niedrig (unwahrscheinlich).

Zusammengerechnet ergeben die Schadenskatego­

rien je Asset mit der möglichen Bedrohung je

Definition der Rahmenbedingungen

Risikoeinschätzung Risikoidentifikation

Risikoanalyse Risikobewertung

Risikoüberwachung

Risikokommunikation und -konsultation

Transfer Nein Ja

ø Risikobehandlung (durch Maßnahmen)

Maßnahme angemessen und wirtschaftlich?

Akzeptanz des (Rest-)Risikos Reduktion Vermeidung

Abbildung 7: Ablauf Risikomanagement Quelle: Eigene Darstellung

3 / IT-Sicherheit für KRITIS-Unternehmen in der digitalen Energiewirtschaft

Krisenbewältigung geschaffen und regelmäßig geprobt (BSI 2017).

Zusätzlich – und auf ebenfalls auf freiwilliger Basis – gibt es die Allianz für Cybersicherheit¹⁰. Im Jahr 2012 zusammen mit dem Bundesverband Infor mationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) gegründet, ist es als Zusammenschluss aller wichtigen Akteure im Bereich der Cybersicherheit das Ziel, die allgemeine Widerstandsfähigkeit des Standortes Deutschland zu stärken (ebd.). Adressaten der Initiative sind Unternehmen und Institutionen, unabhängig davon, ob sie Kritische Infrastruktur sind. Zurzeit sind 4.802 Akteure registriert und beteiligt. Arbeitsgrundlage ist der Austausch von aktuellen Informationen, Wissen und Erfahrung, um Cyberrisiken zu erkennen und vorzubeugen.¹¹

10 https://www.allianz­fuer­cybersicherheit.de/Webs/ACS/DE/

Home/home_node.html, aufgerufen am 12.03.2021.

11 https://www.allianz­fuer­cybersicherheit.de/Webs/ACS/DE/

Ueber­uns/Teilnehmer/teilnehmer_node.html, aufgerufen am 12.03.2021.

Des Weiteren gibt es auf nationaler Ebene zwei Orga­

nisationen, die sich mit der Cybersicherheit vertieft befassen, UP KRITIS und die Allianz für Cyber­

sicherheit. Der UP KRITIS ist eine öffentlich­recht­

liche Kooperation. Leitgedanke der Kooperation ist es, in gemeinsamer Verantwortung von Wirtschaft und Staat, Kritische Infrastrukturen zu schützen und Versorgungssicherheit für die Bürger zu gewähr­

leisten. Beteiligte sind die Betreiber Kritischer Infrastrukturen, deren Verbände und die zuständi­

gen staatlichen Stellen. Im Januar 2017 zählte UP KRITIS mehr als 400 Beteiligte. Seit 2009 wurde ein Netzwerk zur Kommunikation und Austausch installiert, in dem u.a. Analysen durchgeführt und Empfehlungen erarbeitet werden. Zudem findet ein regelmäßiger Austausch über Vorfälle statt, um ein gemeinsames Lagebild zu erstellen. Durch die zusammenhängende und ressortübergreifende Arbeit werden Strukturen für eine koordinierte

:// 5.

UP KRITIS UND

Im Dokument Digitalisierung, Daten und Sicherheit: Herausforderungen für Unternehmen in der EnergiewirtschaftBerlin, Mai 2021Kompendium (Seite 100-103)