Bereits in 2011 hat der Gesetzgeber mit einer Ergänzung des EnWG auf diese Gefahren reagiert; flankierend hierzu hat die Bundesnetzagentur (BNetzA) jüngst einen Katalog an IT-Sicherheitsanforderungen veröffentlicht, der in seiner Entwurfsfassung mit erheblichen Auswirkungen für Strom- und Gasnetzbetreiber verbunden ist. Kernforderung dieses „IT-Sicherheitskatalogs“ ist die Einführung und Umsetzung eines Information-SecurityManagement-System (ISMS). Das ISMS ist keine „Unbekannte“: es wird bereits in der Technischen Richtlinie TR-03109–1 für die Administration von („intelligenten“) Messsystemen – genauer: Smart Meter Gateways – vorgeschrieben. In diesem Bereich gilt sie als wesentliche Hürde für die Wahrnehmung der Funktion eines Smart Meter Gateway Administrators. Mit den Anforderungen des IT-Sicherheitskatalogs muss diese „Hürde“ jedoch ggf. anders bewertet werden.

Mit der EnWG-Novelle 2011 hat der Gesetzgeber den in § 11 Abs. 1 EnWG verankerten gesetzlichen Auftrag der Netzbetreiber (Strom und Gas) zum Betrieb eines sicheren Energieversorgungsnetzes mit Einfügung des § 11 Abs. 1a EnWG präzisiert. Danach umfasst der Betrieb eines sicheren Energieversorgungsnetzes auch einen angemessenen Schutz gegen Bedrohungen der IKT, die der Netz steuerung dient.

Zur Präzisierung eines solchen „angemessenen Schutzes“ enthält § 11 Abs. 1a EnWG einen gesetzlichen Auftrag an die BNetzA, zusammen mit dem Bundesamt für die Sicherheit in der Informationstechnik (BSI) einen Katalog von Sicherheitsanforderungen zu erstellen und zu veröffentlichen („ITSicherheitskatalog“). Angemessener Schutz der netzsteuerungsdienlichen IKT wird gesetzlich vermutet, wenn dieser Katalog eingehalten und dies vom Netzbetreiber dokumentiert ist. Die BNetzA hat gemäß § 11 Abs. 1a Satz 4 EnWG die Möglichkeit, per Festlegung nähere Bestimmungen zu Format, Inhalt und Gestaltung dieser Dokumentation zu treffen.

In diesem Zusammenhang sind auch die Bemühungen des Gesetzgebers zu erwähnen, ein sog. IT-Sicherheitsgesetz zu verabschieden. Ein entsprechender Referentenentwurf („Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“) datiert bereits vom 05.03.2013. Mit diesem Gesetz sollen im Schwerpunkt Ergänzungen des „Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik„ (BSIGesetz) erfolgen, um einen Mindeststandard für den IT-Schutz von Betreibern kritischer Infrastrukturen (KRITIS) festzulegen. Nach dem Entwurf dieses Gesetzes gehört der Sektor Energie zu den KRITIS; die konkreten Adressaten dieses Gesetzes werden jedoch noch in einer separat zu verabschiedenden Rechtsverordnung festgelegt.

IT-Sicherheitskatalog Am 12.12.2013 hat die BNetzA den Entwurf eines IT-Sicherheitskatalogs veröffentlicht und zur Konsultation gestellt. In seiner Entwurfsfassung adressiert der IT-Sicherheitskatalog sämtliche Strom- und Gasnetz be treiber, unabhängig von Art (Netz der allgemeinen Versorgung oder geschlossenes Verteilernetz) und Größe. Der IT-Sicherheits katalog hat keinen rechtsverbindlichen Charakter; es handelt sich insbesondere nicht um eine Festlegung. Rechtsschutzmöglichkeiten in der Form einer Beschwerde bestehen nicht. Mittelbare Verbindlichkeit erlangt der Kata log jedoch über die Verknüpfung mit der gesetzlichen Vermutungswirkung eines „angemessenen Schutzes“.

Zu den Anforderungen des IT-Sicher heitskatalogs gehört die Benennung eines ITSicherheitsbeauftragten. Dieser soll u. a. als Ansprechpartner für die BNetzA dienen und die Umsetzung des IT-Sicherheitskatalogs überwachen. Kernforderung dieses Katalogs ist, dass jeder Netzbetreiber, der mittels IKTSystemen Einfluss auf die Netzsteuerung nehmen kann, ein Information-Security-Management-System (ISMS) einführt. Damit werden im Kern dieselben Anforderungen gestellt, die auch die (ebenfalls noch im Entwurfsstand befindliche) Messsystemverordnung (MsysV) vom (zukünftigen) Smart Meter Gateway Administrator verlangt.

Die Anforderungen an die IT-Sicherheit betreffen unterschiedliche Teile der IKT-Systemlandschaft eines integrierten Energiever sorgers. Für die Smart Meter Gateway Administration muss das ISMS alle Systeme, Anwendungen und Daten umfassen, welche an der Administration von Smart Meter Gateways beteiligt sind.

»Kernforderung dieses Katalogs ist, dass jeder Netzbetreiber, der mittels IKT-Systemen Einfluss auf die Netzsteuerung nehmen kann, ein InformationSecurity-Management-System (ISMS) einführt.«

Zur Wahrung der IT-Sicherheit im Netzbetrieb hingegen muss das ISMS alle Systeme abdecken, die der Netzsteuerung direkt dienen bzw. unmittelbar Einfluss auf die Netzführung nehmen. Hierunter fallen insbesondere die zentralen Netzleitsysteme, übertragungstechnische Netzelemente, Rund steuer an lagen, Mess systeme an Trafo statio nen sowie jegliche Sensoren und Aktoren im Feld. Die gewachsenen Abhängigkeiten zwischen den eingesetzten IT-Systemen bzw. Anwendungen führen zu einer erschwerten Umfangsdefinition des ISMS. Beispielsweise sind alle datenliefernden Systeme einzubeziehen, die Auswirkungen auf das Leitsystem und damit die Netzfahrweise haben. Dies kann etwa die stammdatenführende Ver brauchsabrechnung sein, welche Anlage stammdaten von Erzeugungsanlagen bereitstellt oder auch ein Energiedaten manage mentsystem, von welchem aus „near-real-time“-Lastgänge in das Leitsystem importiert werden. Ob ein System damit unter den „Schirm“ des ISMS muss, kann nur durch eine detaillierte Analyse der betroffenen IT-(Teil-)Landschaft entschieden werden.

Während für die Zertifizierung des Netzbe triebs nach IT-Sicherheitskatalog eine „einfache“ ISO 27001 ff. Zertifizierung ausreicht, schreibt die Technische Richtlinie für die Smart Meter Gateway Administration eine Zertifizierung nach ISO 27001 ff. auf Basis des sog. IT-Grundschutzes vor (der IT-Grund schutzkatalog umfasst allein mehr als 4000 Seiten).

Dennoch haben beide Zertifizierungsarten eine gemeinsame Schnittmenge. Aus diesem Grund ist es wichtig, diese Überschneidungen (und damit ggf. verbundene Skaleneffekte) in die strategischen Überlegungen zum Thema Smart Meter Rollout und Umsetzung bzw. Auslagerung der Funktion des Smart Meter Gateway Administrators zu berücksichtigen. Einige Kostenbestandteile könnten sich bei näherem Hinsehen zu „eh-da“ Kosten wandeln, wie insbesondere die fixen Kosten für Teile des ISMS.

www.bbh-online.de

www.derenergieblog.de