Umstellung ISO/IEC 27019:2017 – ToDos für Netzbetreiber
Ab 01.01.2021 ist das Anwenden der ISO/IEC 27019:2017 für alle Strom- und Gas-Netzbetreiber verpflichtend – die GUTcert fasst alle relevanten Änderungen zusammen
Alle Betreiber von Energieversorgungsnetzen in Deutschland müssen sich seit 2017 einer Zertifizierung nach dem IT-Sicherheitskatalog nach §11 Abs. 1a EnWG (ITSK) unterziehen.
Die Anforderungen, die dabei zu erfüllen sind, sind detailliert im ITSK aufgeführt. Dazu gehören auch die Normen ISO/IEC 27001 und ISO/IEC 27019.
Nachdem in 2017 zunächst die 2015er Version der DIN ISO/IEC TR 27019 Grundlage für den Aufbau des Informationssicherheits-Managementsystems war, steht nun die Umstellung auf die aktuelle Ausgabe dieser Norm an.
Nach den Vorgaben des für alle akkreditierten Zertifizierungsstellen gültigen Konformitätsbewertungsprogramms (Stand 16.11.2017) ist die neue Version der ISO/IEC 27019 für alle Audits ab dem 01.01.2021 verbindlich anzuwenden.
Derzeit haben nur wenige Netzbetreiber ihr ISMS auf die neue Norm umgestellt. Dazu könnte auch beigetragen haben, dass zwar die englische Version seit Oktober 2017 verfügbar ist, die deutsche Übersetzung mit Ausgabestand August 2020 jedoch erst seit Kurzem verfügbar ist. Für diese Netzbetreiber wird es jetzt aber höchste Zeit, sich mit den geänderten Anforderungen auseinanderzusetzen und die notwendigen Umstellungen vorzubereiten.
Was beinhalten ISO/IEC 27001, ISO/IEC 27002 und ISO/IEC 27019?
Basis für den Aufbau eines zertifizierungsfähigen ISMS ist die ISO/IEC 27001. Diese wurde als eine der ersten Managementsystemnormen bereits 2013 auf die damals noch recht neue High Level Structure (HLS) umgestellt. Neben den allgemeinen Anforderungen an das Managementsystem enthält sie auch einen Anhang, in dem spezifische Maßnahmeziele und Maßnahmen aufgeführt sind, die zur Risikominimierung in einem ISMS betrachtet werden müssen. Insgesamt enthält dieser Anhang 114 Maßnahmen, die 14 Maßnahmezielen zugeordnet sind.
In der ISO/IEC 27002 werden diese Maßnahmen dann noch detailliert erläutert und mit Beispielen zur Anwendung unterlegt.
Während ISO/IEC 27001 und ISO/IEC 27002 generell für jedes ISMS unabhängig von der konkreten Branche anzuwenden sind, enthält die ISO/IEC 27019 neben vielen Erläuterungen auch bindende Ergänzungen zu Maßnahmezielen und Einzelmaßnahmen zur Risikominimierung in einem ISMS im Bereich Energieversorgung.
Was ändert sich mit der ISO/IEC 27019?
Durch die neue ISO/IEC 27019 wird ein Problem beseitigt, das die Umsetzung der ergänzenden Anforderungen in der Vergangenheit etwas erschwert hatte. Die DIN ISO/IEC TR 27019:2015 war gemäß der alten ISO/IEC 27002:2005 strukturiert. Da sich die Struktur der Maßnahmen in der aktuellen Version jedoch geändert hatet, mussten die Anwender der bisherigen ISO/IEC TR 27019:2015 mit Hilfe einer Mapping-Tabelle die energiespezifischen Ergänzungen der 27019 den Maßnahmen der ISO/IEC 27002 zuordnen. Das führte relativ häufig zu Problemen während der Audits.
Mit der aktuellen ISO/IEC 27019 hat diese Mapping-Tabelle nun ausgedient. Durch die identische Struktur ist die Zuordnung der Ergänzungen zu den grundlegenden Maßnahmen deutlich einfacher.
Am wichtigsten für die Umsetzung der ISO/IEC 27019 sind die ergänzenden Maßnahmeziele und Maßnahmen. Hier ein kurzer Vergleich der reinen Zahlen:
Die inhaltlichen Neuerungen sind also durchaus überschaubar. Es müssen nur 2 Maßnahmen völlig neu betrachtet und umgesetzt werden und außerdem bei 13 schon bestehenden Maßnahmen die neuen Ergänzungen einbezogen werden.
Zusätzliche Maßnahmeziele und dazugehörige Maßnahmen
11.3 Sicherheit in Räumlichkeiten Dritter
11.3.1 Betriebseinrichtung in Bereichen anderer Energieerzeuger
11.3.2 Betriebseinrichtung beim Kunden vor Ort
11.3.3 Gekoppelte Steuerungs- und Kommunikationssysteme
Dieses Ziel war bereits in der alten DIN ISO/IEC TR 27019:2015 unter 9.3 enthalten, ebenso wie die dazugehörigen Maßnahmen. Auch inhaltlich hat sich hier nichts geändert – von einer geringfügig angepassten Übersetzung abgesehen.
Beim Überarbeiten der Anwendbarkeitserklärung ist lediglich zu beachten, dass die dieses Ziel jetzt gesondert im Kapitel 11 Physische und umgebungsbezogene Sicherheit einzuordnen ist.
12.8 Altsysteme
12.8.1 Behandlung von Altsystemen
Auch hier gilt das bereits für 11.3 Beschriebene – die frühere Zuordnung zu 10.11 wurde auf 12.8 geändert, das Maßnahmeziel ist gesondert unter 12 Betriebssicherheit einzuordnen.
12.9 Safety-Funktionen
12.9.1 Integrität und Verfügbarkeit von Safety-Funktionen
Hier gilt ebenfalls das bereits für 11.3 Beschriebene – die frühere Zuordnung zu 10.12 wurde auf 12.9 geändert, das Maßnahmeziel ist gesondert unter 12 Betriebssicherheit einzuordnen.
Zusätzliche Maßnahmen zu Maßnahmezielen aus der ISO/IEC 27002
6.1.7 Adressieren von Sicherheit im Umgang mit Kunden
Typisch für die Energiewirtschaft ist es, dass auch Anlagen betrieben werden, die sich im Eigentum von Kunden befinden und zu denen diese Kunden auch Zugang haben.
Daraus resultieren spezifische Risiken, die analysiert und ggf. mit geeigneten Maßnahmen reduziert werden müssen, bevor ein Zugang für Kunden eingerichtet wird.
In die entsprechenden Regelungen müssen natürlich auch (interne oder externe) Dienstleister eingezogen werden, die für Wartung oder Betrieb von entsprechenden Assets verantwortlich sind.
14.2.10 Least Functionality
Aktuelle Prozesssteuerungssysteme haben häufig einen sehr großen Funktionsumfang, um so alle Anforderungen von möglichen Anwendern erfüllen zu können.
Allerdings werden in den meisten Anwendungsfällen viele dieser Funktionen nicht benötigt. Andererseits bringt jede zusätzliche Funktionalität in IT-Systemen auch zusätzliche Risiken für deren Sicherheit mit sich. Deshalb fordert die neue ISO/IEC 27019 nun für jeden Anwender eine entsprechende Analyse, welche Funktionen notwendig sind und welche zwar vorhanden sind, aber nicht benötigt werden. Diese müssen dann durch entsprechende Maßnahmen deaktiviert bzw. unterbunden werden.
Neue Maßnahmen (bisher als Ergänzung zu bestehenden Maßnahmen enthalten)
6.1.6 Identifizierung von Risiken in Zusammenhang mit Externen
Diese Maßnahme war bisher inhaltlich als Ergänzung zu 6.2.1 (alt) enthalten, wurde aber meistens unter 15.1 Informationssicherheit in Lieferantenbeziehungen eingeordnet.
Inhaltlich hat sich hier nichts geändert. Allerdings sind durch die neue Zuordnung die entsprechenden Aktivitäten zum Umgang mit den hier genannten Risiken jetzt als gesonderte Maßnahme unter 6.1.6 in der Anwendbarkeitserklärung aufzuführen.
11.1.7 Sichern von Leitstellen
11.1.8 Sicherung von Technikräumen
11.1.9 Sicherung von Außenstandorten
Analog zu 6.1.1 waren diese Maßnahmen bisher als Ergänzung zu 11.1.4 Schutz vor externen und umweltbedingten Bedrohungen zu berücksichtigen. In der Neufassung der Anwendbarkeitserklärung sind sie jetzt als gesonderte Maßnahmen aufzuführen, inhaltlich haben sich die Anforderungen jedoch nicht geändert.
13.1.4 Sicherung der Prozessdatenkommunikation
13.1.5 Logische Anbindung von externen Prozesssteuerungssystemen
Auch hier müssen nur die bisher als Ergänzung zu 13.1.3 Trennung in Netzwerken festgelegten Aktivitäten nun als gesonderte Maßnahmen in der Anwendbarkeitserklärung aufgeführt werden. Neue Anforderungen enthält die Norm hier nicht.
17.2.2 Notfallkommunikation
In der alten DIN ISO/IEC TR 27019:2015 war diese Maßnahme noch dem zusätzlichen Maßnahmeziel 14.2 Wesentliche Notfalldienste zugeordnet, wurde im Zusammenhang mit der aktuellen ISO/IEC 27001 bisher als zusätzliche Maßnahme unter 17.2 Redundanzen aufgeführt.
Diese Zuordnung wurde nun auch ohne inhaltliche Änderung in die aktuelle 27019 übernommen. Hier sollte also kein Handlungsbedarf für die Anwender bestehen.
Neue Ergänzungen zu Maßnahmen aus der ISO/IEC 27002
Abschließend noch eine kurze Übersicht zu den neuen Ergänzungen für Maßnahmen aus der ISO/IEC 27002. Diese sollten im Rahmen der Umstellung auf die ISO/IEC 27019:2017 geprüft und die vorhandenen Maßnahmen dann ggf. ergänzt werden. In der 27019 sind dazu ausführliche Beschreibungen der möglichen Anwendungsbereiche aufgeführt.
6.1.4 Kontakt mit speziellen Interessensgruppen
Als Ergänzung zur bestehenden Anforderung muss jetzt auch sichergestellt werden, dass die über diesen Weg erhaltenen Informationen bewertet und in der Organisation verteilt werden.
6.2.1 Richtlinie zu Mobilgeräten
Die zunehmende Rolle von Mobilgeräten auch in Prozesssteuerungssystemen hat auch hier zu spezifischen Ergänzungen. Werden Mobilgeräte in diesem Zusammenhang eingesetzt (etwa Laptops für den Fernzugriff), sind die vorhandenen Maßnahmen entsprechend zu ergänzen.
6.2.2 Telearbeit
Das gleiche gilt sinngemäß für diesen Punkt, der für jeglichen Fernzugriff von eigenen Mitarbeitern auf Prozesssteuerungssysteme relevant ist.
9.1.1 Zugangssteuerungsrichtlinie
Hier sind zwei Ergänzungen zum bereits bestehenden Text hinzugekommen, die jetzt berücksichtigt werden müssen: sie betreffen zum einen die Notwendigkeit, in Notfallsituationen bestehende Zugangssicherheitsmaßnahmen außer Kraft zu setzen und zum anderen Maßnahmen zur Absicherung der Kommunikation, die durch nicht ausreichend authentifizierte Systeme (z.B. bei Datenaustausch von Maschine zu Maschine) erfolgt.
9.1.2 Zugang zu Netzwerken und Netzwerkdiensten
Diese neue Ergänzung beschreibt zusätzliche Aspekte zum physischen Zugangsschutz für Netzwerkgeräte v.a. an abgelegen Standorten sowie die Deaktivierung nicht benötigter Dienste und Schnittstellen.
9.4.5 Zugangssteuerung für Quellcode von Programmen
Unter 9.4.5 ist im Energiesektor auch Quellcode von Anwendungsprogrammier- oder Parametrierdaten von digitalen Steuerungen und deren Komponenten einzubeziehen.
Im Gegensatz zum Quellcode der verwendeten Software sind diese Daten üblicherweise auch im Unternehmen verfügbar, so dass ein hier möglicherweise bisher vorhandener Ausschluss nicht mehr zulässig wäre.
11.2.2 Versorgungseinrichtungen
Die bisher hier beschriebene Ergänzung (alt unter 9.2.2) wurde jetzt durch weitere Forderungen erweitert, die sich vor allem auf die Behandlung von Assets beziehen, die für einen Wiederaufbau des Netzes als notwendig erachtet werden. Für kritische Assets ist dabei auch die notwendige Überbrückungszeit für die unterbrechungsfreie Stromversorgung zu ermitteln.
12.1.2 Änderungssteuerung
Beim Change-Management verweist die neue ISO/IEC 27019 darauf, dass in vielen Fällen Software in Geräte eingebettet ist, so dass beim Tausch von Hardware häufig auch neue Software betrachtet werden muss.
12.6.1 Handhabung von technischen Schwachstellen
Als Grundvoraussetzung für das Handhaben technischer Schwachstellen verlangt die ISO/IEC 27019 jetzt von allen Anwendern, dass ein ständig aktualisiertes Verzeichnis der verwendeten Software (einschließlich externer Drittsoftware) geführt wird. Dieses muss ggf. durch die entsprechenden Systemintegratoren bzw. Systemanbieter bereitgestellt werden.
13.1.1 Netzwerksteuerungsmaßnahmen
Diese neue Ergänzung greift die inzwischen immer weiter verbreitete Verwendung von Drahtlos-Übertragungstechnologien in der Energietechnik auf. Die dabei vorhandenen zusätzlichen Risiken müssen bei der Konzeption des Prozessnetzes berücksichtigt werden.
16.1.5 Reaktion auf Informationssicherheitsvorfälle
Bei der Festlegung des Verfahrens zur Behandlung von Informationssicherheitsvorfällen sind jetzt auch Regelungen einzuschließen, ob und wie andere Stellen informiert werden, die möglicherweise von den gleichen Ursachen betroffen sind bzw. für übergreifende Korrektur- oder Verbesserungsmaßnahmen sorgen können.
Auch der Aspekt der Beweissicherung ist bei der Reaktion auf Sicherheitsvorfälle zu beachten. Da dies jedoch häufig einer möglichst schnellen Systemwiederherstellung widerspricht, müssen die Anwender im Vorfeld hierfür entsprechende Regelungen treffen.
17.2.1 Verfügbarkeit von informationsverarbeitenden Einrichtungen
An dieser Stelle wurde die bisherige Ergänzung um die spezifische Forderung erweitert, bezüglich der Kommunikation zu abgelegenen Anlagen auch Faktoren wie Wetterbedingungen zu berücksichtigen und diese ggf. bei den Betrachtungen zur Redundanz einzubeziehen.
18.2.3 Überprüfung der Einhaltung von technischen Vorgaben
Unter 18.2.3 fällt auch das Durchführen von Penetrationstests oder Schwachstellenanalysen. Hier verweist die 27019 jetzt auf die besonderen Risiken, die bei derartigen Tests an produktiv genutzten Prozesssteuerungssystemen vorhanden sind.
Diese Risiken sind durch eine geeignete Wahl der Testverfahren bzw. zusätzliches Personal (Incident Response Teams) zu minimieren.
Ausblick
Dies war nur ein kurzer Überblick zu den Änderungen, die künftig durch Betreiber von Energienetzen umzusetzen sind. Jede(r) ISMS-Beauftragte muss nun prüfen, welche neue Forderung für die jeweilige Organisation relevant ist und die notwendigen Änderungen in das ISMS einarbeiten.
Die Zeit dafür ist inzwischen knapp geworden. Trotzdem besteht für viele Anwender die Möglichkeit, das anstehende Rezertifizierungsaudit noch im Jahr 2020 auf Basis der alten DIN ISO/IEC TR 27019:2015 durchzuführen. Auch ein Vorziehen des Audits kommt ggf. in Frage: Das Audit kann durchaus drei Monate oder mehr vor dem Auslaufen des alten Zertifikats durchgeführt werden, ohne Einbußen bei der Laufzeit der neuen Zertifizierung hinzunehmen.
Sollte Ihr Zertifizierer hier nicht flexibel genug sein, erstellen wir Ihnen gerne ein Angebot für einen Wechsel.
Haben Sie Fragen oder Hinweise zum Thema ISMS? Dann wenden Sie sich gerne an Marcel Däfler, Andreas Lemke oder Markus Altenburg.