Bereitstellung der Betriebsstättenliste für die Zertifizierung nach IT-Sicherheitskatalog
Standortdaten bedeutender Netzinfrastruktur sind über Anwendungen wie Open Infrastructure Map frei zugänglich. Dennoch besteht vereinzelt Zurückhaltung bei deren Übermittlung.
Seit dem jüngsten Brandanschlag auf einen Strommast in Grünheide und seinen wirtschaftlichen Folgen für die Tesla Germany GmbH nehmen wir eine zunehmende Verunsicherung bei unseren Kunden wahr, Standortdaten kritischer Infrastrukturen zu übermitteln.
Entsprechend dem Konformitätsbewertungsprogramm (KBP) der BNetzA bildet die Betriebsstättenliste eine wichtige Grundlage für die Auditplanung. In ihr werden die Betriebsstätten abgefragt, die nicht dauerhaft besetzt und Teil des Geltungsbereichs sind. Vom Kunden sind diese in Gruppen zu clustern, aus denen jeweils mind. zwei Betriebsstätten je Zertifizierungszyklus zu auditieren sind. Dabei ist durch den Netzbetreiber die Relevanz der Standorte für das Gesamtnetz sowie die Möglichkeit der Ferneinwirkung über IKT auf diesen Standort zu berücksichtigen.
Für die Übersendung der Daten wird durch die GUTcert eine Excel Tabelle für den Kunden bereitgestellt. Es ist ebenfalls zulässig, dass der Kunde eine eigene Liste gleichen Inhalts aus seinem System exportiert.
Der Auditleiter vermerkt die zu besuchenden Betriebsstätten im Auditplan. Nach dem Audit trägt er die besuchten Betriebsstätten sowie die Planung für die beiden folgenden Überprüfungsaudits in die Liste der Betriebsstätten ein und sendet diese gemeinsam mit den Auditunterlagen an die GUTcert.
Einerseits ist es durchaus verständlich, dass Netzbetreiber die genauen Standorte ihrer Infrastruktur nicht öffentlich machen wollen. Die GUTcert behandelt diese Daten auch vertraulich und schützt diese vor unbefugtem Zugriff außerhalb des Zertifizierungsverfahrens. Andererseits sind die Standortdaten der Netz-Infrastruktur durch Anwendungen wie Open Infrastructure Map jedoch frei im Internet verfügbar. Hier sind u.a. Umspannwerke, Windkraftanlagen, Hochspan¬nungs¬masten oder Trafostationen einzusehen.
Aus Sicht der GUTcert spricht deshalb nichts gegen die Verwendung der Betriebsstättenliste, um die Anforderungen des KBP bezüglich der Prüfung der Betriebsstätten zu erfüllen. Sie ist ein wichtiger Bestandteil innerhalb des Zertifizierungs¬verfahrens: Um eine reibungslose Zertifizierung bei unseren Kunden sicherzustellen, ist das Übertragen einer vollumfänglichen und mit den Anforderungen konformen Betriebsstättenliste Grundvoraussetzung.
Ansprechperson
Haben Sie Fragen oder Hinweise zu diesem Thema, wenden Sie sich gern an Nicole Petzke.