Content uploaded by Sebastian Pape
Author content
All content in this area was uploaded by Sebastian Pape on Oct 29, 2019
Content may be subject to copyright.
Die KRITIS-Sektoren und ihre Spezifika | 69
Stand der IT-Sicherheit bei deutschen Strom-
netzbetreibern
Im Projekt SIDATE wurde eine Umfrage zum Stand der
IT-Sicherheit bei deutschen Stromnetzbetreibern durch-
geführt. Dazu wurden alle 881 im August 2016 bei der
Bundesnetzagentur gelisteten Betreiber angeschrieben.
Im Umfragezeitraum vom 1. September 2016 bis 15. Ok-
tober 2016 antworteten von diesen 61 (6,9%) Betreiber.
Der Fragebogen fokussiert auf die Umsetzung der recht-
lichen Anforderungen und die Implementierung eines
Managementsystems für Informationssicherheit (ISMS).
Weiterhin wurden aber auch Fragen zu Leitsystem, Net-
zauau, Prozessen und organisationalen Strukturen und
zur Büro-IT gestellt. Nachfolgend werden einige ausge-
wählte Ergebnisse der Umfrage präsentiert. Die vollstän-
dige Umfrage ist als technischer Bericht verfügbar [1].
Übersicht der teilnehmenden Stromnetz-
betreiber
Zunächst wurde die Größe abhängig von den Zählpunk-
ten der befragten Stromnetzbetreiber ermielt. Anhand
der Ergebnisse, wie in Abbildung 1 dargestellt ist, wurden
vier etwa gleich große Gruppierungen festgelegt (kleine
(bis 15.000 Zählpunkte), milere (15.001 bis 30.000 Zähl-
punkte), große (30.001 bis 100.000 Zählpunkte) und sehr
große (ab 100.000 Zählpunkten) Stromnetzbetreiber).
Stand der IT-Sicherheit bei deutschen Stadtwerken
Julian Dax, Benedikt Ley, Sebastian Pape, Volkmar Pipek, Kai Rannenberg,
Christopher Schmitz, André Sekulla
Forschungsprojekt:
SIDATE
Abb. 1: Anzahl der Zählpunkte im Unternehmen
70 | IT-Sicherheit für Kritische Infrastrukturen – State of the Art
IT-Sicherheit als Dienstleistung
Aus zwei weiteren Fragen (Abbildung 2) wird deutlich,
dass der Großteil der Netzbetreiber auf externes Infor-
mationssicherheits-Know-how zurückgrei, insbesonde-
re bei der Einführung eines ISMS (ohne Abbildung, siehe
technischer Bericht [1]).
Auch für die Durchführung von Sicherheitsaudits (Ab-
bildung 3) werden externe Dienstleister herangezogen.
Diese sollen Schwachstellenscans oder Penetrationstests
für die Systeme zur Steuerung der Netzleiechnik durch-
führen. Wobei etwa die Häle der Befragten angibt keine
Sicherheitsaudits durchzuführen.
IT-Sicherheitsmanagement
Anhand der aufgeführten Umfrageergebnisse wird er-
sichtlich, daß ein Großteil der Stromnetzbetreiber ihre
IT-Sicherheit an externe Dienstleister ausgelagert haben.
Dies kann für eine kurzfristige Lösung, die Einführung
des ISMS, sinnvoll sein. Auf längere Sicht gesehen sollten
sich die Mitarbeiter des Betreibers dennoch vermehrt um
IT-Sicherheit kümmern denn sie ist notwendig und wird
immer wichtiger. An dieser Stelle soll das SIDATE Portal
anknüpfen und als Wissensaustauschplaform zur Ver-
breitung von Erfahrungen in Bezug auf IT-Sicherheit
und entsprechende Maßnahmen beitragen.
Sicherheitsaudits und -leitlinien
Fast die Häle der befragten Stromnetzbetreiber führt
keine regelmäßigen Sicherheitsaudits durch (siehe Abbil-
dung 3). Die Stromnetzbetreiber, die Audits durchführen,
greifen überwiegend entweder nur oder auch auf exter-
ne Dienstleister zurück, was den unter IT-Sicherheit als
Dienstleistung beschriebenen Eindruck verstärkt. Eben-
so verfügt fast die Häle der befragten Stromnetzbetrei-
ber über keine Sicherheitsleitlinien (siehe Abbildung 4),
die auch in regelmäßigen Zeitabständen überprü und
gegebenenfalls angepasst werden (ohne Abbildung, siehe
technischer Bericht [1]).
Bei beiden Punkten ist der Trend zu sehen, daß der Anteil
von Stromnetzbetreibern, die Sicherheitsaudits durch-
führen bzw. Leitlinien haben von klein zu mileren zu
(sehr) großen Betreibern zunimmt.
Abb. 2: Unabhängige Dienstleister im Bereich der IT-Sicherheit
Die KRITIS-Sektoren und ihre Spezifika | 71
ISMS-Einführung
Zur Zeit der Befragung haben die meisten Stromnetz-
betreiber mit der Einführung eines Managementsys-
tems für Informationssicherheit (ISMS) begonnen (sie-
he Abbildung 5). Im 2. Halbjahr 2017 planen über 85%
die Einführung abgeschlossen zu haben. Abbildung 6
gibt einen detaillierten Einblick in den Stand der Ein-
führung von ISMS bei den Betreibern. Hier wird z.B.
deutlich das 36 der befragten Unternehmen mit der Er-
stellung der geforderten Dokumentationen begonnen
haben und 24 bereits die Phase der Zielsetzung und des
Scopings, d.h. der Frage welche Unternehmensbereiche
vom ISMS abgedeckt werden sollen, beendet haben. Mit
den Vorbereitungen auf das Zertifizierungsaudit haen
hingegen noch die wenigsten Energieversorger begon-
nen. Als Hauptgründe für die Einführung eines ISMS
wurden rechtliche Anforderungen und die gestiegene
Bedrohungslage genannt (ohne Abbildung, siehe tech-
nischer Bericht [1]). Erwartungen an die Einführung des
ISMS waren konsequenterweise dann auch die Erfüllung
rechtlicher Anforderungen sowie die Verbesserung der
Informationssicherheit im Unternehmen (ohne Abbil-
dung, siehe technischer Bericht [1]).
Risikoanalysen
Einer der komplexeren Teile des ISMS sind Risikoanaly-
sen, bei denen das Risiko möglicher Sicherheitsvorfälle
bewertet wird. Leider war etwas der Häle der Befragten
nicht bekannt wie häufig Risikoanalysen im Unterneh-
men durchgeführt werden (siehe Abbildung 7). Positiv
stimmt aber, dass bei der verbleibenden Häle die Mehr-
zahl Risikoanalysen mindestens einmal im Jahr durch-
führt.
Abb. 3: Sicherheitsaudits
72 | IT-Sicherheit für Kritische Infrastrukturen – State of the Art
Quelle
[1] Dax, J.; Ley, B.; Pape, S.; Pipek, V.; Rannenberg, K.; Schmitz, C:
und Sekulla, A.: Stand zur IT-Sicherheit deutscher Strom-
netzbetreiber: technischer Bericht, Universität Siegen, 2017.
URL: hp://dokumentix.ub.uni-siegen.de/opus/volltexte/
2017/1185/.
Abb. 4: IT-Sicherheitsleitlinien
Die KRITIS-Sektoren und ihre Spezifika | 73
Abb. 5: Übersicht zum Status der ISMS Einführung
Abb. 6: Aktueller Stand der jeweiligen ISMS Umsetzungsphase
74 | IT-Sicherheit für Kritische Infrastrukturen – State of the Art
Abb. 7: Häufigkeit derDurchführung der Risikoanalysen