Sicher ist sicher im Netzbetrieb: IT-Sicherheitskatalog, BSI-Schutzprofil & Co. – da kommt was auf Sie zu!

Download PDF
(c) BBH

(c) BBH

Nachdem das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits im letzten Jahr die Sicherheitsanforderungen an intelligente Messsysteme, unter anderem durch die Technische Richtlinie TR-03109-1 präzisiert hat, nimmt sich jetzt die Bundesnetzagentur (BNetzA) der sicherheitsrelevanten Aspekte der Netzsteuerung an. Entsprechend den Vorgaben des § 11 Abs. 1a EnWG zum Betrieb eines sicheren Energieversorgungsnetzes veröffentlichte die BNetzA bereits Ende letzten Jahres den Entwurf eines IT-Sicherheitskatalogs, der festlegt, welchen Schutzanforderungen die für die Netzführung bzw. -leitung relevanten Telekommunikations- und Datenverarbeitungssysteme künftig genügen müssen. Für Netzbetreiber sind das gravierende Anforderungen, deren Umsetzung Zeit und Geld Kosten wird. Eine gute Vorbereitung und sachgerechte Planung kann dabei erhebliches Einsparpotential heben.

1. Um was geht es? 

Die Informations- und Telekommunikationstechnologie (IKT) durchdringt bereits heute nahezu alle Geschäftsabläufe eines Energieversorgungsunternehmens. Diese Unterstützung bringt viele Vorteile, aber auch mehr Abhängigkeit und damit mehr Risiken. Die Gefahr, dass durch Angriffe auf die IKT-Systeme die Versorgungssicherheit beeinträchtigt wird, wächst. Mit der EnWG-Novelle 2011 hat der Gesetzgeber daher den in § 11 Abs. 1 EnWG verankerten gesetzlichen Auftrag der Netzbetreiber zum Betrieb eines sicheren Energieversorgungsnetzes mit Einfügung des § 11 Abs. 1a EnWG präzisiert. Danach umfasst der Betrieb eines sicheren Versorgungsnetzes auch einen angemessenen Schutz gegen Bedrohungen der IKT, die der Netzsteuerung dient. Zur Präzisierung eines solchen „angemessenen Schutzes“ enthält § 11 Abs. 1a EnWG einen gesetzlichen Auftrag an die BNetzA, zusammen mit dem BSI einen Katalog von Sicherheitsanforderungen zu erstellen und zu veröffentlichen. Ein angemessener Schutz der netzsteuerungsdienlichen IKT wird gesetzlich vermutet, wenn dieser Katalog eingehalten und dies vom Netzbetreiber dokumentiert ist.

Kernforderung des IT-Sicherheitskatalog ist, dass jeder Netzbetreiber, der mittels IKT-Systemen Einfluss auf die Netzsteuerung nehmen kann, ein Information-Security-Management-System (ISMS) einführt.  Der IT-Sicherheitskatalog erfasst Strom- und Gasetzbetreiber, unabhängig von Art (Netz der allgemeinen Versorgung oder geschlossenes Verteilernetz) und Größe.

Wenn die Funktionsfähigkeit des ISMS nach ISO 27000 ff. zertifiziert ist, besteht gemäß § 11 Abs. 1a EnWG die gesetzliche Vermutung, dass der Netzbetreiber für einen angemessenen Schutz des Betriebs des Energieversorgungsnetzes gesorgt hat.

blog 1


(c) BBHC: Bausteine eines Information Security Management Systems

Die Etablierung, Aufrechterhaltung und Verbesserung eines ISMS ist ein kontinuierlicher Prozess, der vor allem in der Einführungsphase viel Geld und Mühe kostet.

Ein ISMS wird bereits in der Technischen Richtlinie TR-03109-1 für die Administration von intelligenten Messsystemen – genauer: Smart Meter Gateways – vorgeschrieben. Sie gilt als wesentliche Hürde für die Erfüllung der Rolle Smart Meter Gateway Administrator. Die Anforderungen an einen sicheren Betrieb eines Energieversorgungsnetzes nach § 11 Abs. 1a EnWG müssen in die künftige Smart-Metering-Strategie einbezogen werden, um möglichen Fehlinvestitionen vorzubeugen.

2. Reifegradmodell Smart Grid

Auf dem durch die Energiewende forcierten Weg zum umfassenden Energieinformationsnetz fällt es den Beteiligten immer schwerer, die vorgegebenen Anforderungen einzuordnen. Wo stehe ich heute und welche Anforderungen an die IT-Sicherheit muss ich morgen erfüllen? Wie ausgereift sind meine Systeme und die zugehörige Infrastruktur und wie kann ich daraus ein persönliches Lastenheft ableiten?

Auf diese Fragen gibt es keine einheitlichen Antworten. Deshalb haben wir die Methodik eines Smart-Grid-Reifegradmodell entwickelt. Dabei werden die Bereiche

  • Strategie, Management & Rahmenbedingungen,
  • Organisation & Struktur,
  • Geschäfts- & Anlagenverwaltung,
  • Technologie,
  • Kundensituation sowie
  • Integration in die Wertschöpfungskette

näher betrachtet, die aktuelle IST-Situation aufgenommen und bewertet. Durch die Gegenüberstellung des IST-Standes und der zu erfüllenden Anforderungen können Handlungsfelder identifiziert und konkrete Maßnahmen abgeleitet werden.

blog 2


(c) BBHC: grafische Darstellung SOLL-IST Vergleich (Beispiel)

Das Reifegradmodell dient als Standortbestimmung der eigenen Leistungsfähigkeit und schafft so die Basis für die Umsetzungsphase des Smart Meter Rollouts sowie die langfristige Ertüchtigung des Netzes zum Smart Grid.

Ansprechpartner BBHC: Dr. Andreas Lied/Stefan Brühl
Ansprechpartner BBH: Dr. Jost Eder/Jan-Hendrik vom Wege/Dr. Michael Weise