• lsungen neu
  • lsungen neu
  • co neu
  • kommunal neu
  • it neu
  • telco neu2
  • hc neu
  • so neu
Jan30

Kritische Infrastrukturen (KRITIS) in der Energiewirtschaft

Kategorien // enerson, consulting, Kooperationen, News

kritisKritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

„Strom fließt immer“ – diese pauschale Aussage ist in modernen Energienetzen längst überholt.

Stromleittechnik, also die Überwachung und Steuerung von Stromverteilungsnetzen, ist ebenso wie viele andere Bereiche in unserer Gesell­schaft von einem stetig wachsenden Di­gitalisierungsgrad betroffen. Informations- und Telekommunikations­technik (ITK) sind zu einem wichtigen Werkzeug geworden, um die technische Stabilität bei der „Power Quality“ zu ge­währleisten und den wirtschaftlichen An­forderungen zu genügen. Doch durch zunehmende Digitalisie­rung wächst das Risiko, dass davon ab­hängige Infrastrukturen so angegriffen werden, dass nicht nur wirtschaftlicher Schaden für das einzelne Unternehmen entsteht, sondern Dominoeffekte ganze Bereiche des öffentlichen Lebens lahm­legen. Die Energieversorgung ist dabei an vorderster Stelle eine kritische Infra­struktur.

Die Einschränkungen der kritischen In­frastrukturen durch Distributed Denial of Service (DDoS) Angriffe bekam Est­land im Mai 2007 zu spüren. Tagelang waren Banken und Kommunikation im Land lahmgelegt. Eindrucksvoll hat das Department of Homeland Security im Aurora-Projekt die Konsequenzen einer Hackerattacke auf die Energieinfra­struktur demonstriert. Der DDoS-Angriff auf einen deutschen Übertragungsnetz­betreiber Ende 2012 durch Hacker zeigt, dass Energieunternehmen durchaus im Fokus von Angreifern stehen können, auch wenn in diesem Beispiel die Ener­gieversorgung nicht betroffen war. Aber unabhängig von mehr oder weniger spektakulären Cyberangriffen schafft die zunehmende Durchdringung durch ITK zusätzliches Risikopotential, des­sen möglicher Schaden unabhängig von krimineller Energie, technischen oder menschlichen Fehlern und sonstigen Einflussfaktoren enorm sein kann.

Diese Risiken sollten proaktiv in einem Information Security Management Sys­tem (ISMS) minimiert werden, welches dann speziell auf die Process IT ausge­dehnt werden muss. Mindestens eben­so wichtig ist im Rahmen von KRITIS auch die Schadensbegrenzung. Vor allem ist es notwendig, bei einem soge­nannten Schwarzstart das Netz wieder geregelt hochfahren zu können. Im Rah­men der Energiewende entstehen durch die zunehmende Digitalisierung (Stich­wort „smart grid“) neue Schwachstellen, auf die organisatorisch und technisch im eigenen Hause reagiert werden muss.

Was ist zu tun?

Für den „Nationalen Umsetzungsplan für Kritische Infrastrukturen“ (UP KRI­TIS) ist das Bundesministerium des Innern (BMI) verantwortlich. Mit der konkreten Umsetzung sind zwei Bun­desämter durch den Innenminister beauftragt worden, nämlich das Bun­desamt für Bevölkerungsentwicklung und Katastrophenschutz und wegen der besonderen Bedeutung der Cyber­sicherheit im Rahmen von KRITIS, das Bundesamt für Sicherheit in der Informa­tionstechnik (BSI).

Nach dem Willen des BMI hat jedes Unternehmen bzw. jede betroffene Or­ganisation in der Energieversorgung deshalb ein Meldewesen zu etablieren, mit dem relevante Sicherheitsvorfälle an einen Single Point of Contact gemeldet werden müssen. Dieser Kontaktpunkt wird voraussichtlich der Bundesver­band der Energie- und Wasserwirtschaft (BDEW) sein. Dort wird bewertet, ob der Vorfall repräsentativ ist und ggf. an die Bundesbehörden weitergeleitet werden muss. Dies kann bis hin zum Cyberab­wehrzentrum des Bundes erfolgen. An­dererseits müssen umgekehrt Hinweise und Meldungen der Behörden und des Verbandes auf eigene Relevanz aus­gewertet werden und entsprechende Maßnahmen eingeleitet werden. Dies setzt eine Sicherheitsorganisation mit Regelwerk, Bewertungskriterien und Meldewesen voraus. Diese Organisati­on ist zumindest politisch in hohem Maß gewollt, wird vom Verband begrüßt und für seine Mitgliedsunternehmen aus­drücklich gefordert.

Anforderungen an die Sich­erheitsorganisation?

Zur Verbesserung der IT-Sicherheit sind Betreiber wichtiger kritischer Infrastruk­turen angehalten IT-Sicherheitsmaß­nahmen nach dem aktuellen Stand der Technik zu ergreifen und ihre Einhaltung sicherzustellen. Hierfür können bran­cheninterne Standards entwickelt wer­den, die das BSI als Konkretisierung der gesetzlichen Verpflichtung anerkennt.

Betreiber kritischer Infrastrukturen sind in der Pflicht dem BSI unverzüglich er­hebliche IT-Sicherheitsvorfälle, wie z.B. der unerlaubte Zugriff auf Systeme mit Auswirkung auf die Versorgungssi­cherheit oder die öffentliche Sicherheit, über hierfür etablierte Wege zu melden. Dadurch erhält das BSI ein valides, na­tionales Lagebild, um Betreiber bei der Bewältigung gegebener Vorfälle unter­stützen zu können.

Wieweit die Berichtspflicht gehen wird, ist noch nicht festgelegt. Größe der Be­drohung und Ausmaß des Schadens (z.B. Anzahl betroffener Einwohner) werden ausschlaggebend sein. Es ist aber schon im Eigeninteresse sinnvoll, sich im eigenen Hause entsprechend aufzustellen. Für die Realisierung dieser zentralen Regelungsinhalte müssen Un­ternehmen daher u.a. ein ISMS aufbau­en. Dies kann nach den Vorgaben des BSI erfolgen, die im Standard BSI 100-1 festgelegt sind. Dieser ist auf den klas­sischen IT-Betrieb (z.B. in Rechenzent­ren) zugeschnitten.

Weiterhin kann der internationale Stan­dard ISO 27000 angewendet werden, der größere Freiräume gestattet und seit kurzem mit einer eigenen Ausprägung für die Prozessleittechnik der Ener­giebranche entgegen kommt. Diese Ergänzung von ISO 27002 ist bereits in Deutschland verabschiedet, und wurde im Fast Track Verfahren als ISO/IEC/DTR 27019 international normiert. Eng verwandt mit diesen Vorgaben ist das BDEW-Whitepaper „Anforderungen an sichere Steuerungs- und Telekommu­nikationssysteme“.

 

Siemens Enterprise Communications und enerson consul­ting haben gemeinsam ein Beratungs­konzept ausgearbeitet, das Kunden aus der Energiewirtschaft neben um­fassender IT-Kompetenz auch tieferge­hendes Prozess-Know-how bietet. Mit diesem Beratungsansatz – der Sym­biose aus Betriebsprozesskompetenz von enerson consulting in der Energie­wirtschaft und der strategischen IT-Si­cherheits-Kompetenz von Siemens Enterprise Communications sind wir somit ein ganzheitlicher Partner für die aufkommenden KRITIS-Anforderungen.

 

Das Thema KRITIS wird am 24.4.2013  auf der 9. IT-Trends Sicherheit in Bochum präsentiert. Bei Interesse können Sie uns gerne dort ansprechen.

 

Weitere Informationen zu dem Beratungskonzept finden Sie in dem Flyer „KRITIS in der Energiewirtschaft“, der Ihnen unten zum Download bereit steht. Wenn Sie Näheres zu den ISMS-Produkten unseres Partners Siemens Enterprise Communications erfahren möchten, besuchen Sie die unten angegebene Webseite.

Gerne können Sie Sich auch jetzt schon mit uns in Verbindung setzen. Wir freuen uns auf Ihre Kontaktaufnahme!

 

 

Downloads

Download

Alle unsere Artikel finden Sie im Menü unter "News"

Login