IT Security Status of German Energy Providers

Abstract

As part of the research project "Secure information networks of small- and medium-sized energy providers" (SIDATE), a survey about the IT security status of German energy providers was conducted. The project itself is focused on the IT security of small- and medium-sized energy providers. In August 2016, 881 companies listed by the Federal Network Agency were approached. Between, September 1 st 2016 and October 15 th 2016, 61 (6.9\%) of the companies replied. The questionnaire focuses on the implementation of the regulatory requirements and on the implementation of an information security management system (ISMS). Additionally, questions about the energy control system, the network structure, processes, organisational structures, and the IT department were asked. Questions were asked in German, so all questions and answers are translated for this report.

Full text

Technical Report
IT Security Status of German
Energy Providers

IT Security Status of German Energy Providers
Page 2

IT Security Status of German Energy Providers
Page 3
The following people contributed to this report:
Julian Dax, University of Siegen
Ana Ivan, Goethe University Frankfurt
Benedikt Ley, University of Siegen
Sebastian Pape, Goethe University Frankfurt
Volkmar Pipek, University of Siegen
Kai Rannenberg, Goethe University Frankfurt
Christopher Schmitz, Goethe University Frankfurt
André Sekulla, University of Siegen
Secure information networks of small- and medium-sized energy
providers (SIDATE)
The focus of the SIDATE research project is the technical support of small- and medium-size
energy providers for the self-assessment and improvement of their IT security. Different
concepts and tools are developed and evaluated by the University of Siegen, Goethe
University Frankfurt, regio iT Gesellschaft für Informationstechnologie mbh, and
Arbeitsgemeinschaft für sparsame Energie- und Wasserverwendung (ASEW).
More information is available on the project’s website http://sidate.org/ .
Funding
This research project was funded by the Federal Ministry of Education and Research (BMBF)
as part of the funding focus “IT Security for Critical Infrastructure”.
Image credit
Image on title: ©TebNad / Fotolia

IT Security Status of German Energy Providers
Page 4

IT Security Status of German Energy Providers
Page 5
Table of Contents
INTRODUCTION 6
PART A: GENERAL COMPANY INFORMATION 7
PART B: ORGANISATIONAL ASPECTS 9
PART C: INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) 10
PART D: IT DEPARTMENT 13
PART E: ENERGY CONTROL SYSTEM: NETWORK STRUCTURE 14
PART F: ENERGY CONTROL SYSTEM: PROCESSES AND ORGANISATION 18

IT Security Status of German Energy Providers
Page 6
Introduction
As part of the research project “Secure information networks of small- and medium-sized
energy providers” (SIDATE), a survey about the IT security status of German energy
providers was conducted. The project itself is focused on the IT security of small- and
medium-sized energy providers.
In August 2016, 881 companies listed by the Federal Network Agency were approached.
Between, September 1st 2016 and October 15th 2016, 61 (6.9%) of the companies replied.
The questionnaire focuses on the implementation of the regulatory requirements and on the
implementation of an information security management system (ISMS). Additionally,
questions about the energy control system, the network structure, processes, organisational
structures, and the IT department were asked. Questions were asked in German, so all
questions and answers are translated for this report.
Subsequently, the result of the survey is presented. Some questions were only answered by
very few participants, and therefore, the related results are not presented.
The survey is organised as follows:
A) General Company Information
B) Organisational Aspects
C) Information Security Management System (ISMS)
D) Office IT
E) Energy Control System: Network Structure
F) Energy Control System: Processes and Organisation
There are two different types of bar charts. The first only contains blue bars. These charts
pertain to all energy providers that replied to the specific question. In contrast, the second
type of bar charts presents a categorical differentiation between energy providers. The
differentiation lies in the size of the company, which is represented by the number of
corresponding meter points.
In some cases, spider-web diagrams were used. A categorisation of the responding
companies was once again not included in these cases.

IT Security Status of German Energy Providers
Page 7
Part A: General Company Information
In the first part of the survey, general questions were asked in order to present an overview
of the participating energy providers. Based on the replies, the energy providers were
classified in four overarching categories, in order to achieve a better analysis of the following
survey items.
The categorization of the participants uses the number of meter points of the providers as a
criterion. The distribution by size is depicted in Figure 1. For the remaining analyses, the
providers are separated into the following categories: small (between 0 and 15,000 meter
points), medium (between 15,001 and 30,000 meter points), large (between 30,001 and
100,000 meter points), and very large (more than 100,001 meter points).
Figure 1: How many meter points are in your network?
Figure 2: How many employees are in your company?
0
2
4
6
8
10
12
14
16
18
„0 -1,000“ „1,001 -15,000“ „15,001 -30,000“ „30,001 -
100,000“
„100,001 -
500,000“
„> 500,000“
Figure 1: Number of Meter Points of the Energy Providers
Energy Providers
0
2
4
6
8
10
12
14
16
18
20
less than 50 50-100 100-250 250-500 500-1000 over 1000
Figure 2: Number of Employees
Small Medium Large Very large

IT Security Status of German Energy Providers
Page 8
Figure 3: Which unbundling model is implemented in your company?
0
5
10
15
20
25
30
not part of a network
society
small network
society
large network society other no data
Figure 3: Unbundling Model
Small Medium Large Very Large

IT Security Status of German Energy Providers
Page 9
Part B: Organisational Aspects
In this section of the survey, questions about organisational matters were posed.
Subsequently, questions about the particularities of the responding employees were
included. Examples thereof include items about their job position within the company, or
the department they are part of. Furthermore, concrete questions about the IT security
were asked.
Figure 4: Are independent service providers in the field of IT security in your company?
Figure 5: In your view, how well protected are the systems and data in your company?
0
10
20
30
40
50
60
Yes No No data
Figure 4: Independent Service Providers for
IT Security
Small Medium Large Very Large
0
5
10
15
20
25
30
35
Sufficient Satisfying Good Very good No data
Figure 5: Perceived System/Data Protection
Small Medium Large Very large

IT Security Status of German Energy Providers
Page 10
Part C: Information Security Management System (ISMS)
In order to provide an overview of the implementation status of information security
management systems, the survey was designed with specific related questions.
Figures 6 and 7 present the results of the following survey items:
- The implementation of ISMS …
- When are the ISMS implementation tasks supposed to start?
- When did the ISMS implementation begin?
- When is the ISMS implementation supposed to be finished?
- When was the ISMS implementation finished?
0
5
10
15
20
25
30
Figure 6: Overview of the ISMS Implementation
Status
Begin End
0
2
4
6
8
10
12
14
16
18
12345678
Figure 7: Duration in Half-Years
Companies

IT Security Status of German Energy Providers
Page 11
Figure 8: Were/Are external service providers (e.g. management consultants) subcontracted
for the ISMS implementation?
Figure 9: What is the current status of each ISMS implementation phase?
0
10
20
30
40
50
60
Yes No No data
Figure 8: Support from External Service Providers
Companies
0
5
10
15
20
25
30
35
40
Target Setting and Scoping
ISMS Policy Development
Overview of the existing
security architecture
Performing Risk Analyses
Elaboration of an Adjusted
Catalogue of Safety Measures
Design of the New Security
Architecture
Description of the Quality and
Risk Management Interfaces
Development of a Migration
Process
Elaboration of the Required
Documentation
Structure of the Security
Organisation
Implementation of
Management Processes
Formulation of Security
Architecture (Rules)
Measures of Sensitization and
Training
Implementation of Security
Measures
Final Project Scope Analysis
Preparation for Certification
Auditing
Execution of Business and
Organisational Audits Based…
Incident-Management Support
Figure 9: Status of each ISMS Implementation Phase
Not yet planned Planned Begun Finished

IT Security Status of German Energy Providers
Page 12
Figure 10: What were your reasons for implementing ISMS? (Multiple selection possible)
Figure 11: What are your hopes and expectations with regard to the ISMS implementation?
(Multiple selection possible)
0
5
10
15
20
25
30
35
Legal Requirements (IT Security
Catalogue, IT Security Law)
Increased Threat Levels Strong Dependency on IT
Figure 10: Reasons for Implementing ISMS
No Yes
0
0,2
0,4
0,6
0,8
1
Improving Information
Security in the Company
(Re-)Structuring of Relevant
Business Processes
Fulfilling Legal
Requirements
Better Representation of IT
Processes (Transparency)
Better Extrernal
Representation of IT
Security Processes
No data
Figure 11: Expectations of Implementing ISMS
Average Yes/No

IT Security Status of German Energy Providers
Page 13
Part D: IT Department
This section of the survey deals with the aspects of the IT security of the office IT. In order to
be able to guarantee higher security levels, there must be corresponding IT security
guidelines, which must be evaluated regularly. The evaluation is important, given the
continuous technical advances.
Figure 12: Are there IT security guidelines for the office IT in your company?
Figure 13: Are the IT security guidelines updated and, if necessary, adjusted regularly?
0
10
20
30
40
50
60
Yes No No data
Figure 12: IT Security Guidelines
Small Medium Large Very large
0
5
10
15
20
25
30
35
40
45
50
Yes No No data
Figure 13: Evaluation of IT Security Guidelines
Small Medium Large Very large

IT Security Status of German Energy Providers
Page 14
Part E: Energy Control System: Network Structure
The energy control system is the core system of the energy providers. Particular questions
about the network structure were included in the survey in order to gather more
information on the general structure of the energy control system. Two main tasks of the
energy control system are the energy network supervision and control, and the execution of
switching operations.
Another important aspect of the network structure is the separation between the energy
control system and other networks (e.g. office IT; Internet; 3rd parties). If there is no
separation threats and potential attack points may exist and need to be mitigated.
Figure 14: Does your energy control system undertake only energy network supervision, or
can it also execute switching operations?
Figure 15: How is the IT network of your energy control system separated from other
networks (e.g. IT department, Internet, maintenance companies)?
0
5
10
15
20
25
30
35
40
45
Supervision Only Supervision and Control No data
Figure 14: Tasks of the Energy Control System
Small Medium Large Very Large
0
5
10
15
20
25
30
35
40
45
Logical Separation Physical Separation No Separation
Figure 15: Separation of the Energy Control System from
Other Networks
Small Mediul Large Very Large

IT Security Status of German Energy Providers
Page 15
Figure 16: Is the network of your energy control system divided in different security domains
(e.g. through different VLANs)?
Figure 17: Which network technologies do you use in your energy control system network?
(Multiple selection possible)
0
5
10
15
20
25
30
35
Yes No No data
Figure 16: Breakdown of the Energy Control System into
Different Security Fields
Small Medium Large Very large
0
5
10
15
20
25
30
35
Cable Connections Wireless Connections No data
Figure 17: Technologies Used by the Energy Control System
No Yes

IT Security Status of German Energy Providers
Page 16
Figure 18: Which communication standards are used in the network of your energy control
system?
Figure 19: From which producers do you acquire the network administration systems and
devices? (only producers with more than four nominations are depicted in the figure)
0
5
10
15
20
25
30
35
IP Communication Serial Communication No data
Figure 18: Communication Standards Used by the Energy
Control System
No Yes
0
2
4
6
8
10
12
14
16
18
20
IDS Siemens SAE ABB EP
Figure 19: Producer of the Systems and Devices for
Network Administration and for Remote Control
Producer

IT Security Status of German Energy Providers
Page 17
Figure 20: Which types of remote access were established for your energy control system?
(multiple selection possible)
Figure 21: How are remote access procedures via external service providers regulated?
0
5
10
15
20
25
30
35
External Access Employee Access No data
Figure 20: Types of Remote Access of the Energy Control
System
No Yes
0
2
4
6
8
10
12
14
16
18
20
external service providers can
have access to the system and
undertake changes only after
receiving authorization, but
WITHOUT additional
surveillance
external service providers can
have access to the system and
undertake changes only after
receiving authorization and only
under surveillance
external service providerrs can
have access to the system and
undertake changes
independently
Figure 21: Regulation of External Access via External Service
Providers
Small Medium Large Very large

IT Security Status of German Energy Providers
Page 18
Part F: Energy Control System: Processes and Organisation
Apart from the technical data of the energy control system, the underlying organisational
structures and processes are also important. IT security must be continuously supervised
and improved, since the means and technologies of potential attackers evolve constantly.
At the same time, vulnerabilities must be dealt with, and there must be regular supervision
and information dissemination within the company, such that hacker attacks can be
prevented.
Figure 22: Are you/the responsible employees regularly informed about potential hard-
/software vulnerabilities?
Figure 23: How often are the devices and software within your energy control system
updated/renewed?
0
10
20
30
40
50
60
Yes No No data
Figure 22: Are There Regular Announcements Regarding
Potential Hard-/Software Vulnerabilities?
Small Medium Large Very Large
0
5
10
15
20
25
30
35
40
Regularly For known weaknesses No data
Figure 23: How often are devices/software of the
management system updated?
Small Medium Large Very large

IT Security Status of German Energy Providers
Page 19
Figure 24: Is there an inventory list in which all the software items are documented (e.g. with
version numbers, corresponding accounts and IP addresses)?
Figure 25: Are there recorded IT security guidelines for the energy control system in your
company?
0
5
10
15
20
25
30
35
Yes No
Figure 24: Is There an Inventory List?
Small Medium Large Very large
0
5
10
15
20
25
30
35
Yes No No data
Figure 25: IT security guidelines
Small Medium Large Very large

IT Security Status of German Energy Providers
Page 20
Figure 26: Under which security-relevant standards are your IT systems and processes for
network administration elaborated?
Figure 27: Do you perform IT risk analyses for the processes and IT systems for network
administration?
0
5
10
15
20
25
30
ISOIEC 27001 BSI Grundschutz Other None No data
Figure 26: Security-relevant Standards
Small Medium Large Very large
0
5
10
15
20
25
30
35
Yes No No data
Figure 27: IT Risk Analyses for Processes and IT Systems of
Network Administration
Small Medium Large Very large

IT Security Status of German Energy Providers
Page 21
Figure 28: How often do you perform such risk analyses?
Figure 29: Do you perform security audits, vulnerability scans, or penetration tests for the
administration systems of the network management technology?
0
5
10
15
20
25
30
35
More than once a
year
Yearly Every two years More rarely No data
Figure 28: Frequency of Risk Analyses
Small Medium Large Very large
0
5
10
15
20
25
30
Yes; by external
service providers
Yes; by own
employees
Yes; by both external
providers and
employees
No No data
Figure 29: Execution of security audits, vulnerability tests,
or penetration tests
Small Medium Large Very large

IT Security Status of German Energy Providers
Page 22
Figure 30: How often do you perform such vulnerability scans or penetration tests?
Figure 31: Do you have an emergency plan for security incidents of network administration?
0
1
2
3
4
5
6
7
8
More than once a
year
Yearly Every two years More rarely No data
Figure 30: Frequency of Vulnerability Scans or Penetration
Tests
Small Medium Large Very large
0
5
10
15
20
25
30
Yes No No data
Figure 31: Is There and Emergency Plan for IT Security
Incidents?
Small Medium Large Very large

IT Security Status of German Energy Providers
Page 23
Figure 32: Are security-relevant incidents (e.g. portscans, failed login attempts, unauthorised
processes) recorded and evaluated?
0
2
4
6
8
10
12
14
16
Yes, only logging Yes, logging and
evaluation
No, neither No data
Figure 32: Logging and Evaluation of Security-relevant
Incidents
Small Medium Large Very large
0
5
10
15
20
25
30
35
Yes No No data
Figure 33: [Firewall Logs]
Small Medium Large Very large

IT Security Status of German Energy Providers
Page 24
0
5
10
15
20
25
30
35
Yes No No data
Figure 34: [System Logs]
Small Medium Large Very large
0
5
10
15
20
25
30
35
Yes No No data
Figure 35: [Failed Logins]
Small Medium Large Very large

IT Security Status of German Energy Providers
Page 25
0
5
10
15
20
25
30
35
40
Yes No No data
Figure 36: [Honeypot Logs]
Small Medium Large Very large
0
5
10
15
20
25
30
Yes No No data
Figure 37: [No data]
Small Medium Large Very large

IT Security Status of German Energy Providers
Page 26
Figures 33 to 38: What information do you evaluate for identifying attacks in your IT systems
for network administration? (Multiple selection possible)
Figure 39: Do you use metrics to assess vulnerabilities (e.g. CVSS)?
0
0,1
0,2
0,3
0,4
0,5
0,6
0,7
0,8
Firewall Log
System Logs
Failed LoginsHoneypot Logs
No data
Figure 38: Information Used for the Evaluation
0
5
10
15
20
25
30
35
Yes No No data
Figure 39: Metrics for Assessing Vulnerabilities
Small Medium Large Very large

IT Security Status of German Energy Providers
Page 27
Figure 40: Is IT security defined as a requirement for acquiring new hard- and software?
0
5
10
15
20
25
30
35
40
Yes No No data
Figure 40: IT Security as a Requirement for Acquisition
Small Medium Large Very large

Technischer Bericht
Stand zur IT-Sicherheit deutscher
Stromnetzbetreiber

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 2

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 3
Bei der Erstellung dieses Berichts haben mitgewirkt:
Julian Dax, Universität Siegen
Benedikt Ley, Universität Siegen
Sebastian Pape, Goethe Universität Frankfurt
Volkmar Pipek, , Universität Siegen
Kai Rannenberg, Goethe Universität Frankfurt
Christopher Schmitz, Goethe Universität Frankfurt
André Sekulla, Universität Siegen
Sichere Informationsnetze bei kleinen und mittleren
Energieversorgern (SIDATE)
Im Fokus des Forschungsprojekts SIDATE steht die technische Unterstützung kleiner und
mittelgroßer Energieversorger bei der Selbsteinschätzung und Verbesserung ihrer IT-
Sicherheit. Es werden verschiedene Konzepte und Werkzeuge in Zusammenarbeit von
Universität Siegen, Goethe-Universität Frankfurt am Main, TÜV Rheinland i-sec GmbH,
regio iT Gesellschaft für Informationstechnologie mbh, und der Arbeitsgemeinschaft für
sparsame Energie- und Wasserverwendung (ASEW) entwickelt und evaluiert.
Weitere Informationen finden sich auf der Webseite http://sidate.org/ .
Förderhinweis
Diese Forschungsarbeit wurde durch das Bundesministerium für Bildung und Forschung
(BMBF) im Rahmen des Förderschwerpunktes „IT-Sicherheit für Kritische Infrastrukturen“
gefördert.
Bildnachweis
Titelbild ©TebNad / Fotolia

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 4

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 5
Inhaltsverzeichnis
EINLEITUNG 6
TEIL A: ALLGEMEINE INFORMATIONEN ZUM UNTERNEHMEN 7
TEIL B: ORGANISATORISCHES 9
TEIL C: INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) 10
TEIL D: BÜRO IT 13
TEIL E: LEITSYSTEM: NETZAUFBAU 14
TEIL F: LEITSYSTEM: PROZESS UND ORGANISATION 18

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 6
Einleitung
Innerhalb des Forschungsprojektes „Sichere Informationsnetze bei kleinen und mittleren
Energieversorgern“ (SIDATE) wurde eine Umfrage zum Stand der IT-Sicherheit bei deutschen
Stromnetzbetreibern durchgeführt. Das Projekt selbst beschäftigt sich mit der Informations-
Sicherheit bei kleinen und mittleren Energieversorgern.
Zur Durchführung der Umfrage wurden alle 881 im August 2016 bei der Bundesnetzagentur
gelisteten Betreiber angeschrieben. In dem Umfragezeitraum vom 1. September 2016 bis
zum 15. Oktober 2016 antworten 61 (6.9%) der Betreiber. Der Fragebogen fokussiert die
Umsetzung der rechtlichen Anforderungen und die Implementierung eines
Informationssicherheitsmanagementsystems (ISMS). Weiterhin wurden Fragen zu dem
Leitsystem, Netzaufbau, Prozessen, organisatorischen Strukturen und der Büro-IT gestellt.
Nachfolgend werden alle auswertbaren Ergebnisse der Umfrage präsentiert. Einige Fragen
wurden nur ungenügend beantwortet, sodass auf eine Präsentation dieser Ergebnisse
verzichtet worden ist.
Die Umfrage gliedert sich in folgende Teilbereiche:
A) Allgemeine Informationen zum Unternehmen
B) Organisatorisches
C) Information Security Management System (ISMS)
D) Büro IT
E) Leitsystem: Netzaufbau
F) Leitsystem: Prozess und Organisation
Es gibt zwei unterschiedliche Arten von Balkendiagrammen. Die erste besitzt farblich nur
blaue Balken. Diese beziehen sich auf alle Stromnetzbetreiber, welche die entsprechende
Frage beantwortet haben. Hingegen gibt es bei der zweiten Art der Balkendiagramme eine
kategorische Unterscheidung zwischen den Stromnetzbetreibern. Diese liegt in der Größe,
welche anhand der Anzahl der jeweils zugehörigen Zählpunkte festgemacht worden ist.
In einigen Ausnahmen wurde eine Art des Spinnennetzdiagramms verwendet. Auch in
diesen Fällen wurde auf eine Kategorisierung der antwortgebenden Unternehmen
verzichtet.

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 7
Teil A: Allgemeine Informationen zum Unternehmen
Um einen ersten Überblick zu den teilnehmenden Stromnetzbetreibern zu erhalten, wurden
im ersten Abschnitt der Umfrage allgemeine Fragen gestellt. Anhand der erhaltenen
Ergebnisse konnten die Stromnetzbetreiber in vier Größenkategorien unterteilt werden, um
die darauffolgenden Fragen besser auszuwerten.
Die Kategorisierung der Teilnehmer ist anhand der Anzahl der Zählpunkte des
Stromnetzbetreibers getätigt worden. In Abbildung 1 ist die Aufteilung der Größe gut
erkennbar. Für die weiteren Ergebnisse sind die Teilnehmer in die Kategorien „klein“ (0 bis
15.000 Zählpunkte), „mittel“ (15.001 bis 30.000 Zählpunkte), „groß“ (30.001 bis 100.000
Zähpunkte) und „sehr groß“ (ab 100.001 Zählpunkte) eingeteilt.
Abbildung 1: Wie viele Zählpunkte werden über Ihr Stromnetz versorgt?
Abbildung 2: Wie viele Mitarbeiter/innen sind in Ihrem Unternehmen beschäftigt?
0
2
4
6
8
10
12
14
16
18
„0 -1.000“ „1.001 -15.000“ „15.001 -30.000“ „30.001 -
100.000“
„100.001 -
500.000“
„> 500.000“
Abbildung 1: Anzahl der Zählpunkte des
Stromnetzbetreibers
Stromnetzbetreiber
0
2
4
6
8
10
12
14
16
18
20
weniger als 50 50-100 100-250 250-500 500-1000 mehr als 1000
Abbildung 2: Anzahl Mitarbeiter im Unternehmen
Klein Mittel Groß Sehr groß

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 8
Abbildung 3: Welches Entflechtungs-Modell wurde in Ihrem Unternehmen umgesetzt?
0
5
10
15
20
25
30
keine eigene
Netzgesellschaft
kleine
Netzgesellschaft
große
Netzgesellschaft
Sonstiges nicht bekannt
Abbildung 3: Entflechtungs-Modell
Klein Mittel Groß Sehr groß

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 9
Teil B: Organisatorisches
In diesem Abschnitt der Umfrage wurden organisatorische Gegebenheiten abgeklärt.
Darunter befanden sich Fragen um näheres zu der befragten Person zu erfahren. Zum
Beispiel in welcher Abteilung er zugeordnet ist und welche Rolle er im Unternehmen
innehat. Weiterhin wurden konkrete Fragen bezogen auf die IT-Sicherheit gestellt.
Abbildung 4: Werden in Ihrem Unternehmen, unabhängige Dienstleister im Bereich IT-
Sicherheit eingesetzt?
Abbildung 5: Wie gut sind Ihrer Einschätzung nach die Systeme und Daten Ihres
Unternehmens geschützt?
0
10
20
30
40
50
60
Ja Nein Nicht bekannt
Abbildung 4: Unabhängige Dienstleister im Bericht der IT-
Sicherheit
Klein Mittel Groß Sehr groß
0
5
10
15
20
25
30
35
Ausreichend Zufriedenstellend Gut Sehr Gut Nicht bekannt
Abbildung 5: Einschätzung System-/Datenschutz
Klein Mittel Groß Sehr groß

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 10
Teil C: Information Security Management System (ISMS)
Um einen besseren Überblick zum Status der Einführung des Information Security
Management Systems zu erhalten, wurden explizit Fragen dazu gestellt.
Abbildung 6 und 7 befasst sich mit folgenden Fragen:
- Die Einführung eines ISMS ...
- Wann sollen die Arbeiten zur Einführung eines ISMS beginnen?
- Wann wurde mit den Arbeiten zur Einführung eines ISMS begonnen?
- Bis wann sollen die Arbeiten zur Einführung eines ISMS abgeschlossen sein?
- Wann wurden die Arbeiten zur Einführung eines ISMS abgeschlossen?
0
5
10
15
20
25
30
Abbildung 6: Übersicht zum Status der ISMS
Einführung
Beginn Abgeschlossen
0
2
4
6
8
10
12
14
16
18
12345678
Abbildung 7: Dauer in Halbjahren
Unternehmen

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 11
Abbildung 8: Wurden bzw. werden bei der Einführung eines ISMS externe Dienstleister (z.B.
Unternehmensberater) hinzugezogen?
Abbildung 9: Wie ist der aktuelle Stand der jeweiligen ISMS Umsetzungsphasen?
0
10
20
30
40
50
60
Ja Nein keine Angabe
Abbildung 8: Unterstützung durch externe Dienstleister
Unternehmen
0
5
10
15
20
25
30
35
40
Zielsetzung und Scoping
Entwicklung der ISMS Policy
Erfassung von der vorhandenen
Sicherheitsarchitektur
Durchführung der
Risikoanalysen
Erstellung angepasster
Maßnahmenkataloge
Entwurf der neuen
Sicherheitsarchitektur
Beschreibung der Schnittstellen
zu Qualität- und…
Entwicklung eines
Mitgrationkonzeptes
Erstellung der geforderten
Dokumentation
Aufbau der
Sicherheitsorganisation
Implementierung der
Managementprozesse
Formulierung der
Sicherheitsarchitektur…
Sensibilisierungs- und
Schulungsmaßnahmen
Implementierung von
Sicherheitsmaßnahmen
Abschließende Soll- Ist-Analyse
Vorbereitung auf das
Zertifizierungsaudit
Durchführung von
betrieblichen und…
Unterstützung beim Incident-
Management
Abbildung 9: Aktueller Stand der jeweiligen ISMS Umsetzungsphase
Noch nicht geplant Geplant Begonnen Beendet

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 12
Abbildung 10: Was waren für Sie die wesentlichen Gründe für die Einführung eines ISMS
(Mehrfachauswahl möglich)?
Abbildung 11: Was erhoffen Sie sich bzw. erwarten Sie von der Einführung eines ISMS
(Mehrfachauswahl möglich)?
0
5
10
15
20
25
30
35
Rechtliche Anforderungen (IT-
Sicherheitskatalog, IT-
Sicherheitsgesetz)
Gestiegene Bedrohungslage Starke Abhängigkeit des
Geschäftsbetriebs von der IT
Abbildung 10: Gründe für die Einführung eines ISMS
Nein Ja
0
0,2
0,4
0,6
0,8
1
Verbesserung der
Informationssicherheit im
Unternehmen
(Neu-)Strukturierung der
relevanten
Geschäftsprozesse…
Erfüllung rechtlicher
Anforderungen
Bessere Darstellung der IT-
Prozesse (Transparenz)
Bessere Außendarstellung
der IT-Sicherheitsprozesse
Nicht bekannt
Abbildung 11: Erwartungen an die Einführung eines ISMS
Durchschnitt Ja/Nein

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 13
Teil D: Büro IT
In diesem Abschnitt der Umfrage wird die Büro IT im Hinblick auf die IT-Sicherheit
beleuchtet. Um eine höhere Sicherheit gewährleisten zu können muss es entsprechende IT-
Sicherheitsrichtlinien geben und diese müssen regelmäßig überprüft werden. Die
Überprüfung ist aufgrund der ständigen Weiterentwicklung der Technik wichtig.
Abbildung 12: Existieren IT-Sicherheitsrichtlinien für die Büro IT Ihres Unternehmens?
Abbildung 13: Werden die IT-Sicherheitsrichtlinien in regelmäßigen Zeitabständen überprüft
und ggf. angepasst?
0
10
20
30
40
50
60
Ja Nein Nicht bekannt
Abbildung 12: IT-Sicherheitsrichtlinien
Klein Mittel Groß Sehr groß
0
5
10
15
20
25
30
35
40
45
50
Ja Nein Nicht bekannt
Abbildung 13: Überprüfung der IT-Sicherheitsrichtlinien
Klein Mittel Groß Sehr groß

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 14
Teil E: Leitsystem: Netzaufbau
Das Leitsystem stellt den Kern des Stromnetzbetreibers dar. Um mehr Informationen über
den generellen Aufbau des Leitsystems zu erhalten, sind spezifische Fragen zu dem
Netzaufbau gestellt worden.
Zwei Hauptaufgaben des Leitsystems sind die Netzüberwachung und –steuerung bzw. die
Durchführung von Schaltvorgängen.
Ein weiterer wichtiger Aspekt des Netzaufbaus ist die Trennung zwischen dem Leitsystem
und den anderen Netzwerken (z. B. Büro IT; Internet; Wartungsfirmen). Liegen keine
Trennungen vor, könnte dies eine Gefahrenstelle bzw. ein möglicher Angriffspunkt sein,
welcher geschützt werden muss.
Abbildung 14: Dient Ihr Leitsystem nur der Netzüberwachung oder können hierüber auch
Schaltvorgänge durchgeführt werden?
0
5
10
15
20
25
30
35
40
45
Nur Überwachung Überwachung & Steuerung Nicht bekannt
Abbildung 14: Aufgaben des Leitsystem
Klein Mittel Groß Sehr groß
0
5
10
15
20
25
30
35
40
45
logische Trennung physikalische Trennung keine Netzwerktrennung
Abbildung 15: Trennung Leitsystem von anderen
Netzwerken
Klein Mittel Groß Sehr groß

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 15
Abbildung 15: Wie ist das IT-Netzwerk Ihres Leitsystems von anderen Netzwerken (z. B. Büro
IT, Internet, Wartungsfirmen) getrennt?
Abbildung 16: Ist das Netzwerk Ihres Leitsystems in verschiedene Sicherheitsbereiche
unterteilt (z. B. durch verschiedene VLANs)?
Abbildung 17: Welche Netzwerktechnologien werden im Netzwerk Ihres Leitsystems
eingesetzt (Mehrfachnennungen sind möglich)?
0
5
10
15
20
25
30
35
Ja Nein Nicht bekannt
Abbildung 16: Aufteilung des Leitsystems in verschiedene
Sicherheitsbereiche
Klein Mittel Groß Sehr groß
0
5
10
15
20
25
30
35
Kabelgebundene Verbindungen Drahtlose Verbindungen Nicht bekannt
Abbildung 17: Verwendete Netzwerktechnologien des
Leitsystems
Nein Ja

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 16
Abbildung 18: Welche Kommunikationsstandards werden im Netzwerk Ihres Leitsystems
verwendet (Mehrfachnennungen sind möglich)?
Abbildung 19: Von welchen Herstellern setzen Sie Systeme und Geräte zur Netzsteuerung
und zum Fernwirken ein? (ab mind. vier Nennungen in der Abbildung aufgenommen)
0
5
10
15
20
25
30
35
IP-Kommunikation Serielle Kommunikation Nicht bekannt
Abbildung 18: Verwendete Kommunikationsstandards des
Leitsystems
Nein Ja
0
2
4
6
8
10
12
14
16
18
20
IDS Siemens SAE ABB EP
Abbildung 19: Hersteller der verwendeten Systeme und
Geräte zur Netzsteuerung und zum Fernwirken
Hersteller

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 17
Abbildung 20: Welche Arten von Fernzugängen sind für Ihr Leitsystem eingerichtet
(Mehrfachnennungen möglich)?
Abbildung 21: Wie sind Fernzugriffe durch externe Dienstleister geregelt?
0
5
10
15
20
25
30
35
Externer Zugang Mitarbeiterzugang Nicht bekannt
Abbildung 20: Arten von Fernzugängen für das Leitsystem
Nein Ja
0
2
4
6
8
10
12
14
16
18
20
externer Dienstleister kann nur
nach vorheriger Autorisierung aber
OHNE weitere Überwachung auf
das System zugreifen und
Änderungen vornehmen
externer Dienstleister kann nur
nach vorheriger Autorisierung und
nur mit Überwachung auf das
System zugreifen und Änderungen
vornehmen
externer Dienstleister kann
eigenständig auf das System
zugreifen und Änderungen
vornehmen
Abbildung 21: Regelung der Fernzugriffe durch externe
Dienstleister
Klein Mittel Groß Sehr groß

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 18
Teil F: Leitsystem: Prozess und Organisation
Neben den technischen Daten des Leitsystems, ist das Prozess und die organisatorischen
Strukturen dahinter mindestens genauso wichtig. IT-Sicherheit muss stetig überwacht und
verbessert werden, da sich die Mittel und Techniken der potentiellen Angreifer ständig
weiterentwickelt. Genauso müssen aufgedeckte Schwachstellen behandelt werden und es
sollte eine regelmäßige Überwachung und Informationsweitergabe innerhalb des
Unternehmens gegeben sein, um eine Prävention gegen Hackerangriffe bieten zu können.
Abbildung 22: Informieren Sie sich, bzw. die verantwortlichen Mitarbeiter Ihres
Unternehmens, regelmäßig über mögliche Schwachstellen eingesetzter Hard- und Software?
Abbildung 23: Wie regelmäßig werden Geräte und Software innerhalb Ihres Leitsystems
aktualisiert bzw. erneuert?
0
10
20
30
40
50
60
Ja Nein Nicht bekannt
Abbildung 22: Wird sich regelmäßig über mögliche
Schwachstellen in eingesetzter Hard-/Software informiert?
Klein Mittel Groß Sehr groß
0
5
10
15
20
25
30
35
40
regelmäßig bei bekannten Schwachstellen nicht bekannt
Abbildung 23: Wie regelmäßig werden Geräte/Software des
Leitsystems aktualisiert?
Klein Mittel Groß Sehr groß

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 19
Abbildung 24: Existiert eine aktuelle Inventarliste, in der alle Softwarestände dokumentiert
sind (z. B. mit Versionsnummern, zugeordneten Accounts und IP-Adressen)?
Abbildung 25: Gibt es in Ihrem Unternehmen niedergeschriebene IT-Sicherheitsleitlinien für
den Bereich des Leitsystems?
0
5
10
15
20
25
30
35
Ja Nein
Abbildung 24: Existiert eine Inventarliste?
Klein Mittel Groß Sehr groß
0
5
10
15
20
25
30
35
Ja Nein Nicht bekannt
Abbildung 25: IT-Sicherheitsleitlinien
Klein Mittel Groß Sehr groß

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 20
Abbildung 26: Anhand welcher sicherheitsrelevanter Standards sind Ihre IT-Systeme und
Prozesse zu Netzsteuerung ausgelegt?
Abbildung 27: Führen Sie IT-Risikoanalysen für die Prozesse und IT-Systeme zur
Netzsteuerung durch?
0
5
10
15
20
25
30
ISOIEC 27001 BSI Grundschutz Sonstiges Keine Nicht bekannt
Abbildung 26: Sicherheitsrelevante Standards
Klein Mittel Groß Sehr groß
0
5
10
15
20
25
30
35
Ja Nein Nicht bekannt
Abbildung 27: IT-Risikoanalysen für Prozesse und IT-
Systeme der Netzsteuerung
Klein Mittel Groß Sehr groß

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 21
Abbildung 28: Wie regelmäßig führen Sie solche Risikoanalysen durch?
Abbildung 29: Führen Sie Sicherheitsaudits, Schwachstellenscans oder Penetrationstests für
die Systeme zur Steuerung der Netzleittechnik durch?
0
5
10
15
20
25
30
35
Mehrmals im Jahr Jährlich Alle zwei Jahre Seltener Nicht bekannt
Abbildung 28: Häufigkeit der Durchführung der
Risikoanalysen
Klein Mittel Groß Sehr groß
0
5
10
15
20
25
30
Ja; durch externe
Dienstleister
Ja; durch eigene
Mitarbeiter
Ja; sowohl externe
Diensleister als auch
durch eigene
Mitarbeiter
Nein Nicht bekannt
Abbildung 29: Durchführung von Sicherheitsaudits,
Schwachstellentests oder Penetrationstests
Klein Mittel Groß Sehr groß

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 22
Abbildung 30: Wie häufig führen Sie solche Schwachstellenscans oder Penetrationstests
durch?
Abbildung 31: Haben Sie einen Notfallplan für IT-Sicherheitsvorfälle die die Netzsteuerung
betreffen?
0
1
2
3
4
5
6
7
8
Mehrmals im Jahr Jährlich Alle zwei Jahre Seltener Nicht bekannt
Abbildung 30: Häufigkeit zur Durchführung von
Schwachstellenscans oder Penetrationstests
Klein Mittel Groß Sehr groß
0
5
10
15
20
25
30
Ja Nein Nicht bekannt
Abbildung 31: Existiert eine Notfallplan für IT-
Sicherheitsvorfälle?
Klein Mittel Groß Sehr groß

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 23
Abbildung 32: Werden sicherheitsrelevante Vorfälle (z. B. Portscans, fehlgeschlagene
Anmeldeversuche, nicht autorisierte Vorgänge) protokolliert und ausgewertet?
0
2
4
6
8
10
12
14
16
Ja, nur protokolliert Ja, protokolliert und
ausgewertet
Nein, weder noch Nicht bekannt
Abbildung 32: Protokollierung und Auswertung von
sicherheitsrelevante Vorfällen
Klein Mittel Groß Sehr groß
0
5
10
15
20
25
30
35
Ja Nein n.a.
Abbildung 33: [Firewall Logs]
Klein Mittel Groß Sehr groß

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 24
0
5
10
15
20
25
30
35
Ja Nein n.a.
Abbildung 34: [System Logs]
Klein Mittel Groß Sehr groß
0
5
10
15
20
25
30
35
Ja Nein n.a.
Abbildung 35: [fehlgeschlagene Anmeldungen]
Klein Mittel Groß Sehr groß

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 25
0
5
10
15
20
25
30
35
40
Ja Nein n.a.
Abbildung 36: [Honeypot Logs]
Klein Mittel Groß Sehr groß
0
5
10
15
20
25
30
Ja Nein n.a.
Abbildung 37: [nicht bekannt]
Klein Mittel Groß Sehr groß

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 26
Abbildung 33 bis 38: Welche Informationen werten Sie zur Identifikation von Angriffen auf
die IT-Systeme zur Netzsteuerung aus (Mehrfachauswahl möglich)?
Abbildung 39: Setzen Sie Metriken zur Bewertung von Schwachstellen ein (z. B. CVSS)?
0
0,1
0,2
0,3
0,4
0,5
0,6
0,7
0,8
Firewall Log
System Logs
fehlgeschlagene
Anmeldungen
Honeypot Logs
Nicht bekannt
Abbildung 38: Zur Auswertung verwendete Informationen
0
5
10
15
20
25
30
35
Ja Nein Nicht bekannt
Abbildung 39: Metriken zur Bewertung von Schwachstellen
Klein Mittel Groß Sehr groß

Stand zur IT-Sicherheit deutscher Stromnetzbetreiber
Seite 27
Abbildung 40: Ist IT-Sicherheit als eine Anforderung beim Kauf neuer Hard- und Software
definiert?
0
5
10
15
20
25
30
35
40
Ja Nein Nicht bekannt
Abbildung 40: IT-Sicherheit als Anforderung beim Kauf
Klein Mittel Groß Sehr groß