1 Einleitung
ISO/IEC 27019
Der Standard ISO/IEC 27019 [1], Information technology – Security techniques – Information security controls for the energy utility industry, erweitert die Ausführungen der ISO/IEC 27002:2013 im Hinblick auf Prozesssteuerungssysteme und Automatisierungstechnik. Dies ermöglicht es Energieversorgungsunternehmen (EVU), ein ISO/IEC-27001-konformes ISMS aufzubauen, das sich von der Geschäftsebene bis hin zur Prozesssteuerungsebene erstreckt. Die deutsche Fassung der Norm liegt als DIN ISO/IEC 27019:2018 Entwurf [2] vor.
Der Standard ISO/IEC 27019 [1], Information technology – Security techniques – Information security controls for the energy utility industry, erweitert die Ausführungen der ISO/IEC 27002:2013 im Hinblick auf Prozesssteuerungssysteme und Automatisierungstechnik. Dies ermöglicht es Energieversorgungsunternehmen (EVU), ein ISO/IEC-27001-konformes ISMS aufzubauen, das sich von der Geschäftsebene bis hin zur Prozesssteuerungsebene erstreckt. Die deutsche Fassung der Norm liegt als DIN ISO/IEC 27019:2018 Entwurf [2] vor.
Die Anfangskapitel des Standards gehen nach der Einleitung wie üblich auf den Geltungsbereich des Standards sowie normative Referenzen ein und enthalten Begriffe und deren Definition. An das Kapitel mit Informationen zur Struktur des Standards schließen sich die folgenden Kapitel an:
| • | Informationssicherheitsrichtlinien |
| • | Organisation der Informationssicherheit |
| • | Personalsicherheit |
| • | Verwaltung der Werte (Asset Management) |
| • | Zugangssteuerung |
| • | Kryptografie |
| • | Physische und umgebungsbezogene Sicherheit |
| • | Betriebssicherheit |
| • | Kommunikationssicherheit |
| • | Anschaffung, Entwicklung und Instandhaltung von Systemen |
| • | Lieferantenbeziehungen |
| • | Handhabung von Informationssicherheitsvorfällen |
| • | Informationssicherheitsaspekte beim Business Continuity Management |
| • | Compliance |
| • | Anhang A: Energieversorgungsspezifische Referenzmaßnahmenziele und Maßnahmen |
| • | Literaturhinweise |
2 Überblick
Prozesssteuerungssysteme
Bei der Versorgung mit Energie in Form von Elektrizität, Gas, Öl oder Wärme kommen Prozesssteuerungssysteme zum Einsatz. Diese können zur kritischen Infrastruktur gehören. Prozesssteuerungssysteme sammeln und verarbeiten Daten, überwachen Prozesse und steuern Aktoren. Daher ist eine angemessene Informationssicherheit durch ein ISMS, das mit der ISO/IEC 27001:2013 übereinstimmt, wesentlich.
Bei der Versorgung mit Energie in Form von Elektrizität, Gas, Öl oder Wärme kommen Prozesssteuerungssysteme zum Einsatz. Diese können zur kritischen Infrastruktur gehören. Prozesssteuerungssysteme sammeln und verarbeiten Daten, überwachen Prozesse und steuern Aktoren. Daher ist eine angemessene Informationssicherheit durch ein ISMS, das mit der ISO/IEC 27001:2013 übereinstimmt, wesentlich.
Grundlegende Anforderungen ergeben sich dabei aus den Erwartungen der Kunden an eine zuverlässige Energieversorgung, aus gesetzlichen und regulatorischen Anforderungen sowie aus der Absicherung des Geschäftsbetriebs. Aus einer methodischen und regelmäßig wiederholten Risikobewertung ergeben sich Sicherheitsmaßnahmen, um die Risiken auf ein akzeptables Niveau zu senken.
3 Ergänzungen zur ISO 27002 in Bezug auf Prozesssteuerungssysteme von EVUs
Organisation
Da Energieversorger Teil der kritischen Infrastruktur sein können, gehören oft auch Anwendungen und Infrastruktur von Prozesssteuerungssystemen dazu. Daher sollte die interne Organisation zum einen Kontakt z. B. zur Feuerwehr und zu Aufsichtsbehörden halten sowie zum anderen zu Wetterdiensten.
Da Energieversorger Teil der kritischen Infrastruktur sein können, gehören oft auch Anwendungen und Infrastruktur von Prozesssteuerungssystemen dazu. Daher sollte die interne Organisation zum einen Kontakt z. B. zur Feuerwehr und zu Aufsichtsbehörden halten sowie zum anderen zu Wetterdiensten.
Zu Wartungszwecken und zur Fehlerbeseitigung benötigen Dritte, u. a. Hersteller und Integratoren, oftmals Fernzugriff auf Systeme und Komponenten. Außerdem kann die enge Kooperation zwischen den Systembetreibern zur Energieerzeugung, -übertragung und -verteilung eine ebenso enge Verbindung von deren Steuerungssystemen und Kommunikationsnetzen erforderlich machen. Daher sollten Energieversorger den Zugang zu kritischen Werten und diesbezüglichen Informationen unter Risikoaspekten bewerten. Wenn Dritte einen solchen Zugang besitzen, sollten Energieversorger z. B. vertraglich sicherstellen, dass die Dritten ein vergleichbares Sicherheitsniveau implementiert haben wie der Energieversorger selbst.
Im Falle des Fernzugangs zu Prozesssteuerungssystemen sollte eine Multifaktorauthentisierung zum Einsatz kommen. Weiterhin sollten die fernbedienbaren Funktionen minimiert und der Zugang sollte überwacht sein.
Personalsicherheit
Ein Screening von Mitarbeitern ist insbesondere dann in Betracht zu ziehen, wenn sie Zugang zu kritischen Werten oder zu Komponenten kritischer Infrastruktursysteme haben. Mitarbeiter, die für Prozesssteuerungssysteme verantwortlich sind, müssen über angemessenes Wissen zur Steuerung und Überwachung der Installation, der Instandhaltung und des sicheren Betriebs verfügen. Unter Berücksichtigung gesetzlicher Rahmenbedingungen sind für Notfälle Möglichkeiten zur Überschreitung der maximalen täglichen Arbeitszeit zu erwägen.
Ein Screening von Mitarbeitern ist insbesondere dann in Betracht zu ziehen, wenn sie Zugang zu kritischen Werten oder zu Komponenten kritischer Infrastruktursysteme haben. Mitarbeiter, die für Prozesssteuerungssysteme verantwortlich sind, müssen über angemessenes Wissen zur Steuerung und Überwachung der Installation, der Instandhaltung und des sicheren Betriebs verfügen. Unter Berücksichtigung gesetzlicher Rahmenbedingungen sind für Notfälle Möglichkeiten zur Überschreitung der maximalen täglichen Arbeitszeit zu erwägen.
Asset Management
In das Inventar der organisationseigenen Werte sollten energieversorgungsspezifische Geschäftsprozesse und Prozesssteuerungssysteme sowie jene Werte aufgenommen werden, die sie unterstützen. Dazu gehören z. B.:
In das Inventar der organisationseigenen Werte sollten energieversorgungsspezifische Geschäftsprozesse und Prozesssteuerungssysteme sowie jene Werte aufgenommen werden, die sie unterstützen. Dazu gehören z. B.:
| • | Netzpläne, |
| • | geografische Informationen, |
| • | Notfall- und Krisenpläne, |
| • | Messdaten, |
| • | Verbrauchszähler, |
| • | Prozesssteuerungssoftware, |
| • | Überwachungs- und Steuerungssysteme, |
| • | Firmware, |
| • | telemetrische Komponenten, |
| • | Sensoren, |
| • | Aktoren, aber auch |
| • | Wetter- und Telekommunikationsdienste. |
Bei Bedarf sollten die Klassifizierungskriterien energieversorgungsspezifisch erweitert werden, z. B. dahin gehend, dass es sich um Werte für die kritische Infrastruktur handeln kann oder dass Werte zur Erfüllung regulatorischer Anforderungen erforderlich sind.
Zugangssteuerung
Wenn persönliche Benutzerkonten nicht möglich sind, gibt eine Richtlinie die Bedingungen, präzisen Regelungen und zusätzlichen Maßnahmen für die Nutzung von Benutzergruppenkonten vor. Die Zugangskontrollrichtlinie sollte zudem berücksichtigen, dass das Personal im Notfall Sicherheitsmaßnahmen übersteuern können muss.
Wenn persönliche Benutzerkonten nicht möglich sind, gibt eine Richtlinie die Bedingungen, präzisen Regelungen und zusätzlichen Maßnahmen für die Nutzung von Benutzergruppenkonten vor. Die Zugangskontrollrichtlinie sollte zudem berücksichtigen, dass das Personal im Notfall Sicherheitsmaßnahmen übersteuern können muss.
Wenn bei bestimmten Prozesssteuerungsanwendungen Session Timeouts und Bildschirmschoner nicht geeignet sind, sollten die Risiken bedienerloser Sessions bewertet und zusätzliche Maßnahmen ergriffen werden.
Wenn Authentisierungsinformationen für den Systemzugang geteilt werden, sollten diese zum einen so sicher wie möglich sein und zum anderen häufiger als bei individuellen Authentisierungsinformationen gewechselt werden und außerdem bei Personalveränderungen. Die Standardpasswörter von Systemen sollten als unsicher betrachtet werden.
Kryptografie
In Bezug auf das Schlüsselmanagement weist die ISO/IEC 27019 auf den Standard IEC 62351-9 [3] hin.
In Bezug auf das Schlüsselmanagement weist die ISO/IEC 27019 auf den Standard IEC 62351-9 [3] hin.
Physische Sicherheit
Im Bereich der Energieversorgung lässt sich ein einheitlicher physischer Schutz üblicherweise nicht erreichen, da an dezentralen – eventuell unbesetzten – Standorten, z. B. in Technikräumen, periphere Komponenten im Einsatz sind. Anhand einer Risikobewertung sollte ermittelt werden, ob und welche Zusatzmaßnahmen ergriffen werden. Befinden sich sensible Werte an einem peripheren Standort, sollte ein physisches Zutrittskontrollsystem in Betracht gezogen werden.
Im Bereich der Energieversorgung lässt sich ein einheitlicher physischer Schutz üblicherweise nicht erreichen, da an dezentralen – eventuell unbesetzten – Standorten, z. B. in Technikräumen, periphere Komponenten im Einsatz sind. Anhand einer Risikobewertung sollte ermittelt werden, ob und welche Zusatzmaßnahmen ergriffen werden. Befinden sich sensible Werte an einem peripheren Standort, sollte ein physisches Zutrittskontrollsystem in Betracht gezogen werden.
Leitstände einrichten
Als zusätzliches Kontrollelement gibt die ISO/IEC 27019 die Sicherheit von Leitständen an. Für zentrale Einrichtungen wie z. B. Leitstände zur Netzsteuerung und Kontrollräume zentraler oder verteilter Kraftwerke sollten Maßnahmen zur physischen Sicherheit entworfen, realisiert und eingesetzt werden. Umgebungsbezogene Gefahren durch Naturgewalten wie Wind und Wasser sollten so weit wie möglich ausgeschlossen sein. Die Gebäude sollten stabil und feuerbeständig sein und über automatische Brandmeldeanlagen verfügen.
Als zusätzliches Kontrollelement gibt die ISO/IEC 27019 die Sicherheit von Leitständen an. Für zentrale Einrichtungen wie z. B. Leitstände zur Netzsteuerung und Kontrollräume zentraler oder verteilter Kraftwerke sollten Maßnahmen zur physischen Sicherheit entworfen, realisiert und eingesetzt werden. Umgebungsbezogene Gefahren durch Naturgewalten wie Wind und Wasser sollten so weit wie möglich ausgeschlossen sein. Die Gebäude sollten stabil und feuerbeständig sein und über automatische Brandmeldeanlagen verfügen.
Wenn externe Operatoren entweder die IT oder die Steuerungssysteme betreiben, ist eine physische Trennung zwischen Steuerungssystemen und IT-Systemen ebenso wie eine strikte Funktionstrennung wesentlich.
Räume mit Komponenten von Steuerungssystemen sollten sich an Standorten befinden, an denen die Bedrohungen durch Naturgewalten und eindringendes Wasser am geringsten sind. Sie sollten unauffällig sowie feuerbeständig sein und über automatische Brandmeldung und Feuerlöscher verfügen.
Dezentrale Standorte sollten einen angemessen sicheren Perimeterschutz und eine Brandmeldeanlage besitzen und z. B. im Hinblick auf Fehlfunktionen, Stromausfall und Feuer überwacht werden. Sind Komponenten von Prozessteuerungssystemen extremen Bedingungen ausgesetzt, z. B. in Bezug auf Hitze, Kälte, Staub und elektromagnetische Strahlung, muss ihre Eignung sichergestellt sein. Abhängig von den Wiederherstellungsplänen sollten kritische Komponenten/Werte außerdem eine angemessene Zeit lang ohne externe Stromversorgung arbeiten können.
Physische Sicherheit bei Dritten
Als zusätzliches Kontrollziel enthält die ISO/IEC 27019 die Sicherheit des Betriebsgeländes Dritter, falls Energieversorger dort Gerätschaften installiert haben. Das dortige Sicherheitsniveau sollte mit dem des Energieversorgers übereinstimmen und vertraglich vereinbart sein, ebenso wie z. B. Stromversorgung, Kühlung und Heizung. Die Überwachung der Gerätschaften und der Verbindung sollte möglich sein. Bei Bedarf sollte es möglich sein, Verbindungen zwischen dem Energieversorger und dem Dritten zu trennen.
Als zusätzliches Kontrollziel enthält die ISO/IEC 27019 die Sicherheit des Betriebsgeländes Dritter, falls Energieversorger dort Gerätschaften installiert haben. Das dortige Sicherheitsniveau sollte mit dem des Energieversorgers übereinstimmen und vertraglich vereinbart sein, ebenso wie z. B. Stromversorgung, Kühlung und Heizung. Die Überwachung der Gerätschaften und der Verbindung sollte möglich sein. Bei Bedarf sollte es möglich sein, Verbindungen zwischen dem Energieversorger und dem Dritten zu trennen.
Betriebssicherheit
Für die Betriebsprozesse sollte spezifiziert sein, unter welchen Bedingungen ein Notfall oder eine Krise ausgerufen wird. Sollte eine Trennung von Entwicklungs-, Test- und operativen Systemen nicht möglich sein, ist ein geeignetes Verfahren zu etablieren, um bei Unterbrechungen und Problemen schnell und angemessen reagieren zu können. Falls Programme zum Schutz vor Schadsoftware aus technischen Gründen nicht einsetzbar sind, sollten andere Arten von Schutzmaßnahmen ergriffen werden, z. B. durch Netzwerkisolierung.
Für die Betriebsprozesse sollte spezifiziert sein, unter welchen Bedingungen ein Notfall oder eine Krise ausgerufen wird. Sollte eine Trennung von Entwicklungs-, Test- und operativen Systemen nicht möglich sein, ist ein geeignetes Verfahren zu etablieren, um bei Unterbrechungen und Problemen schnell und angemessen reagieren zu können. Falls Programme zum Schutz vor Schadsoftware aus technischen Gründen nicht einsetzbar sind, sollten andere Arten von Schutzmaßnahmen ergriffen werden, z. B. durch Netzwerkisolierung.
Die Erhebung, Verarbeitung und Verwaltung von Ereignissen sollte konform zu geschäftlichen, gesetzlichen, regulatorischen und internen Anforderungen erfolgen.
Altsysteme
Altsysteme (legacy systems) sind ein zusätzliches Kontrollziel der ISO/IEC 27019. Altsysteme und ihre möglichen Schwachstellen sollten identifiziert und entsprechend dem Informationssicherheitsrisikobehandlungsprozess angemessene Sicherheitsmaßnahmen ergriffen werden. Wenn übliche Sicherheitsmaßnahmen nicht einsetz- bzw. umsetzbar sind, müssen alternative Maßnahmen ergriffen werden, z. B. Netzwerktrennung, Unterbindung des Fernzugriffs für Wartung und Konfiguration sowie Zugangskontrollen u. a. auf Netzwerkebene.
Altsysteme (legacy systems) sind ein zusätzliches Kontrollziel der ISO/IEC 27019. Altsysteme und ihre möglichen Schwachstellen sollten identifiziert und entsprechend dem Informationssicherheitsrisikobehandlungsprozess angemessene Sicherheitsmaßnahmen ergriffen werden. Wenn übliche Sicherheitsmaßnahmen nicht einsetz- bzw. umsetzbar sind, müssen alternative Maßnahmen ergriffen werden, z. B. Netzwerktrennung, Unterbindung des Fernzugriffs für Wartung und Konfiguration sowie Zugangskontrollen u. a. auf Netzwerkebene.
Safety-Funktionen
Die ISO/IEC 27019 enthält als weiteres zusätzliches Kontrollziel Safety-Funktionen. Systeme, Komponenten, Werte und Informationen, die für Safety-Funktionen erforderlich sind, sind im Hinblick auf Integrität und Verfügbarkeit entsprechend den gesetzlichen und sektorspezifischen Anforderungen zu schützen.
Die ISO/IEC 27019 enthält als weiteres zusätzliches Kontrollziel Safety-Funktionen. Systeme, Komponenten, Werte und Informationen, die für Safety-Funktionen erforderlich sind, sind im Hinblick auf Integrität und Verfügbarkeit entsprechend den gesetzlichen und sektorspezifischen Anforderungen zu schützen.
Kommunikationssicherheit
Wenn möglich, unterteilt man die Netzwerkinfrastruktur von Prozesssteuerungssystemen in mehrere (Sicherheits-)Zonen, die die unterschiedlichen Funktionen und Schutzbedarfe berücksichtigen. Insbesondere unterschiedliche technische und operative Bereiche sollten voneinander getrennt sein. Die Trennung der Zonen kann beispielsweise durch Firewalls oder Gateways erfolgen.
Wenn möglich, unterteilt man die Netzwerkinfrastruktur von Prozesssteuerungssystemen in mehrere (Sicherheits-)Zonen, die die unterschiedlichen Funktionen und Schutzbedarfe berücksichtigen. Insbesondere unterschiedliche technische und operative Bereiche sollten voneinander getrennt sein. Die Trennung der Zonen kann beispielsweise durch Firewalls oder Gateways erfolgen.
Als zusätzliches Kontrollelement enthält die ISO/IEC 27019 die Sicherheit der Datenkommunikation zwischen Prozesssteuerungen. Für die Datenkommunikation existieren verschiedene technische Standards und Protokolle. Einige davon enthalten keine spezifischen Sicherheitsmechanismen und andere optionale Erweiterungen. Die daraus resultierenden Risiken sollten ebenso wie die modifizierten Schutzmaßnahmen berücksichtigt werden.
Die logische Verbindung externer Prozesssteuerungssysteme ist ein weiteres zusätzliches Kontrollelement des Standards. Bevor Prozesssteuerungssysteme mit Systemen Dritter verbunden werden, werden die Risiken bewertet. Derartige Verbindungen sollten nur dann hergestellt werden, wenn dies aus betrieblichen Gründen erforderlich ist. Zudem müssen ein sicherer Betrieb und die Überwachung gewährleistet sein.
Entwicklung
Als zusätzliches Kontrollelement nennt die ISO/IEC 27019 die Funktionalitätsminimierung (least functionality). Prozesssteuerungssysteme sollten nur jene Funktionalität zur Verfügung stellen, die für den Betrieb notwendig ist.
Als zusätzliches Kontrollelement nennt die ISO/IEC 27019 die Funktionalitätsminimierung (least functionality). Prozesssteuerungssysteme sollten nur jene Funktionalität zur Verfügung stellen, die für den Betrieb notwendig ist.
Lieferantenbeziehungen
In Verträgen sollte der Schutzbedarf von Informationen kritischer Werte ausreichend berücksichtigt werden. Asset Owner sollten die Notwendigkeit des Zugangs Dritter zu Prozesssteuerungssystemen bewerten.
In Verträgen sollte der Schutzbedarf von Informationen kritischer Werte ausreichend berücksichtigt werden. Asset Owner sollten die Notwendigkeit des Zugangs Dritter zu Prozesssteuerungssystemen bewerten.
Notfallkommunikation
Die Notfallkommunikation ist ein zusätzliches Kontrollelement der ISO/IEC 27019. EVUs sollten für den Fall, dass größere Störungen, Naturkatastrophen oder Notfälle eintreten oder eintreten könnten, den Erhalt wesentlicher Kommunikationsverbindungen sicherstellen. Diese Kommunikationsverbindungen reichen z. B. zur Betriebs- und zur Notfallmannschaft an zentralen und peripheren Standorten, zu wichtigen Steuerungssystemen, zu Netzbetreibern, zu Wetterdiensten und zu Sicherheitsbehörden.
Die Notfallkommunikation ist ein zusätzliches Kontrollelement der ISO/IEC 27019. EVUs sollten für den Fall, dass größere Störungen, Naturkatastrophen oder Notfälle eintreten oder eintreten könnten, den Erhalt wesentlicher Kommunikationsverbindungen sicherstellen. Diese Kommunikationsverbindungen reichen z. B. zur Betriebs- und zur Notfallmannschaft an zentralen und peripheren Standorten, zu wichtigen Steuerungssystemen, zu Netzbetreibern, zu Wetterdiensten und zu Sicherheitsbehörden.
Compliance
Bei der Einhaltung von Vorgaben sind u. a. Anforderungen an die Nicht-Diskriminierung und an den Schutz kritischer Infrastrukturen sowie Anforderungen aufgrund spezifischer Datenschutzgesetze zu beachten.
Bei der Einhaltung von Vorgaben sind u. a. Anforderungen an die Nicht-Diskriminierung und an den Schutz kritischer Infrastrukturen sowie Anforderungen aufgrund spezifischer Datenschutzgesetze zu beachten.
Anhang A
Der Anhang A listet die zusätzlichen Kontrollelemente und Kontrollziele der ISO/IEC 27019 für den Energiesektor in einer Tabelle auf.
Der Anhang A listet die zusätzlichen Kontrollelemente und Kontrollziele der ISO/IEC 27019 für den Energiesektor in einer Tabelle auf.
Literaturhinweise
Dieses Kapitel nennt internationale Standards wie die IEC 62351 zur Daten- und Kommunikationssicherheit und die technische Spezifikation IEC TS 62443-1-1:2009 zur Netzwerk- und Systemsicherheit. Weiterhin angegeben sind Publikationen von CEN-CENELEC-ETSI und NIST sowie das Whitepaper mit den „Requirements for Secure Control and Telecommunication Systems” [4] des BDEW.
Dieses Kapitel nennt internationale Standards wie die IEC 62351 zur Daten- und Kommunikationssicherheit und die technische Spezifikation IEC TS 62443-1-1:2009 zur Netzwerk- und Systemsicherheit. Weiterhin angegeben sind Publikationen von CEN-CENELEC-ETSI und NIST sowie das Whitepaper mit den „Requirements for Secure Control and Telecommunication Systems” [4] des BDEW.
Quellen
1
ISO/IEC 27019, Information technology – Security techniques – Information security controls for the energy utility industry, International Organization for Standardization (ISO), 2017
2
DIN ISO/IEC 27019:2018-08 – Entwurf, Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmaßnahmen für die Energieversorgung (ISO/IEC 27019:2017)
3
IEC 62351-9:2017 – Power systems management and associated information exchange – Data and communications security – Part 9: Cyber security key management for power system equipment
4
Whitepaper „Requirements for Secure Control and Telecommunication Systems, Version 2.0, BDEW Bundesverband der Energie- und Wasserwirtschaft e. V. und Österreichs E-Wirtschaft, Mai 2018www.bdew.de/service/anwendungshilfen/whitepaper-anforderungen-sichere-steuerungs-telekommunikationssysteme/