•  

Neue Version der ISO/IEC 27019

Die reibungslose Funktion der Leit- und Automatisierungstechnik und der zugehörigeren IT- und OT-Systeme (OT = Operational Technology) ist für eine zuverlässige Energieversorgung von wesentlicher Bedeutung. Dies umfasst natürlich auch einen ausreichenden Schutz vor IT-Sicherheitsbedrohungen. Der Internationale Standard ISO/IEC 27019 definiert für den Bereich der EVU-Prozesstechnik Sicherheitsmaßnahmen und Hinweise zu deren Umsetzung. Die ISO/IEC 27019 ergänzt hierzu den generischen Informationssicherheitsstandard ISO/IEC 27002 um sektor-spezifische Maßnahmen und Empfehlungen für den Bereich der Energieversorgung. Ihr konkreter Anwendungsbereich umfasst dabei bisher die Systeme der Prozesssteuerung, die zur Steuerung und Überwachung von Erzeugung, Übertragung, Speicherung und Verteilung von Strom, Gas und Wärme dienen. Ebenso werden die hierfür notwendigen unterstützenden Prozesse und Systeme betrachtet.

Der Internationale Standard ISO/IEC 27019 definiert für die Prozesstechnik der Energieversorgung Informationssicherheitsmaßnahmen und Hinweise zu deren Umsetzung (Bild: S. Beirer)

Auf Grund der herausgehobenen Rolle der Energieversorgung als Kritische Infrastruktur hat der Gesetzgeber mit dem IT-Sicherheitsgesetz sowohl im Energiewirtschafts- als auch im BSI-Gesetz Vorgaben zur Einhaltung von IT-Sicherheitsanforderungen für die verschiedenen Bereiche der Energiewirtschaft gemacht. Die Berücksichtigung der Maßnahmen aus der ISO/IEC 27019 ist hierbei als eine wesentliche Anforderung definiert, wie im BNetzA-Sicherheitskatalog für Strom- und Gasnetzbetreiber [1] oder in den aktuellen Entwürfen von branchenspezifischen Sicherheits-standards (B3S) z.B. für Anlagen zur Steuerung/Bündelung elektrischer Leistung [2].

Aktualisierte Norm-Version

Am 02. November diesen Jahres wurde von ISO/IEC eine vollständig überarbeitete Version der ISO/IEC 27019 unter dem neuen Titel "ISO/IEC 27019:2017(E) Information security controls for the energy utility industry" veröffentlicht [3]. Vorausgegangen war eine knapp zweijährige Revision der Norm, die insbesondere auf Grund der erforderlichen Anpassungen an die aktualisierte Version der ISO/IEC 27002 notwendig geworden war. Neben der Anpassung des Titels und der Änderung des Dokumententyps vom Technical Report zum International Standard gab es auch wesentliche inhaltliche Änderungen.

So umfasst der Geltungsbereich des Standards („Scope“) jetzt neben Strom, Gas und Fernwärme auch den Sektor Öl. Um Missverständnisse zu vermeiden, wird im Scope-Kapitel nun auch explizit erwähnt, dass der Nuklear-Sektor nicht vom Geltungsbereich abgedeckt wird. Stattdessen wird auf die hierfür gültige Norm IEC 62645 verwiesen. Des Weiteren wurde die im Scope-Kapitel ent-haltene beispielhafte Auflistung von System- und Komponentenkategorien überarbeitet und ergänzt.

Angepasste Dokumentenstruktur und Ergänzung der ISO/IEC 27001

Die ISO/IEC 27019 ist nun kompatibel zur aktuellen ISO/IEC 27002:2013 strukturiert, ein Mapping zwischen verschiedenen Kapitelnummern der beiden Standards ist somit nicht mehr notwendig. Die Norm orientiert sich jetzt auch an den verschiedenen Vorgaben für sektor-spezifische ISMS-Standards. So werden alle zusätzlichen sektor-spezifischen Maßnahmen, also solche die in der generischen ISO/IEC 27002 nicht enthalten sind, im Maßnahmentitel mit dem Präfix ENR für Energy gekennzeichnet. In Kapitel 4.2 sind Anforderungen ergänzt worden, nachdem die in der ISO/IEC 27001 in Kapitel 6.1.3 c) und d) im Bereich Risikobehandlung geforderte Maßnahmen-überprüfung und Erstellung des sog. Statement of Applicability (SoA) auch die zusätzlichen EVU-spezifischen Maßnahmen der ISO/IEC 27019 berücksichtigen müssen. Hierdurch wird eine Konformitätsbestätigung und Zertifizierung gegen die Kombination von ISO/IEC 27001 und 27019 durchführbar, was so bisher nicht möglich war. 

Zusätzliche sektor-spezifische Maßnahmen

In der aktuellen Version enthält die ISO/IEC 27019 vierzehn sektor-spezifische Maßnahmen, d.h. Controls, die nicht in der ISO/IEC 27002 enthalten sind (vgl. Tabelle 1).

 

Gegenüber der Vorversion ISO/IEC TR 27019:2013 wurde im Kapitel 14.2 System acquisition, development and maintenance das Control 14.2.10 ENR Least functionality ergänzt. Es geht hierbei um die Implementierung eines Minimalprinzips, nach dem EVU-Steuerungssysteme nur die für den Betrieb notwendigen Funktionen aufweisen sollen. Diese Maßnahme muss in der Regel bereits im Beschaffungsprozess umfassend berücksichtigt werden. Die in der ISO/IEC 27002:2013 entfernten Themen Identification of risks related to external parties und Addressing security when dealing with customers wurden auf Grund ihrer Relevanz für die Energieversorgung als sektor-spezifische Controls erneut aufgenommen. Alle sektor-spezifischen Controls werden im Annex A der Norm nochmals als Shall-Anforderungen aufgeführt. Dieser Annex ergänzt somit den Annex A der ISO/IEC 27001, er dient damit zur oben bereits erwähnten Erweiterung der Risikobehandlung gemäß Kapitel 6.1.3 der ISO/IEC 27001.

Die ISO/IEC 27019:2017 enthält insgesamt 39 Umsetzungsanleitungen und Informationen für die Energieversorgung zu dreizehn von vierzehn 27002:2013-Kapiteln. Gegenüber der Vorversion von 2013 wurden diese häufig inhaltlich überarbeitet. Die Änderungen reichen von einfachen Umformulierungen bis zu weiterreichenden inhaltlichen Erweiterungen und Ergänzungen. So wird in Kapitel 6.1.4 Contact with special interest groups nun zusätzlich empfohlen, dass die Informationen, welche über die Kontakte zu Interessensgruppen erhalten werden, von Fach-experten analysiert und innerhalb der Organisation zeitnah an die betroffenen Bereiche weitergemeldet werden. Zu 13.1.4 ENR - Securing process control data communication wurde ergänzt, dass die Empfehlungen nicht nur für geroutete Netzwerkkommunikation sondern auch für serielle Prozessdatenkommunikation wie IEC 60870-5-101 gelten.

Neue Umsetzungsempfehlungen werden z.B. zum Thema Telearbeit gemacht. Hier sind in Kapitel 6.2.2 umfassende Hinweise zu Absicherung von Fernzugriffsmöglichkeiten auf Leit- und Automatisierungstechnik beschrieben. Verschiedene Themen der Vorversion, die bereits in der überarbeiteten ISO/IEC 27002:2013 aufgegriffen wurden, sind dagegen entfernt worden, da sie über die ISO/IEC 27002 nun generisch gelten, z.B. das Thema Application Whitelisting in Kapitel 12.2.1 Controls against malware.

Auswirkungen auf den BNetzA-Sicherheitskatalog und Zertifizierung

Wie oben bereits erwähnt, wird die Berücksichtigung der Maßnahmen der ISO/IEC 27019 im BNetzA-Sicherheitskatalog für Strom- und Gasnetzbetreiber gefordert. Konkret verweist der Sicherheitskatalog dabei auf die deutsche Übersetzung der DIN ISO/IEC TR 27019 in der jeweils geltenden Fassung, das heißt derzeit in der deutschen Version von 2015. Gleichzeitig wird aber gefordert, dass die aktuellen internationalen ISO/IEC-Normen zu berücksichtigen sind, auch wenn eine deutsche Übersetzung noch nicht vorliegt. Damit erlangt die neue ISO/IEC 27019:2017 im Kontext des BNetzA-Sicherheitskatalogs sofort Gültigkeit.

Da die Netzbetreiber ihre Konformität zum Sicherheitskatalog bis zum 31. Januar 2018 gegenüber der Bundesnetzagentur nachweisen müssen, befinden sich viele Unternehmen derzeit noch im Prozess der der Erst-Zertifizierung. Hier wäre es natürlich wenig erfreulich, wenn sich kurz vor oder gar mitten im Zertifizierungsprozess die Zertifizierungsgrundlage ändern würde. Um dem vorzubeugen, hat die Bundenetzagentur am 16. November das hier maßgebliche Konformitäts-bewertungsprogramm in Abstimmung mit der Deutschen Akkreditierungsstelle (DAkkS) angepasst [4]. Unter anderem wurde hier eine Übergangsregelung in Kapitel 6 definiert, die Erst- und Re-Zertifizierungen sowie Überwachungsaudits auf Basis der alten 27019-Version bis zum 31.12.2020 erlaubt.  

Somit haben Norm-Anwender wie die Netzbetreiber, die regulatorisch zur Berücksichtigung der 27019-Maßnahmen verpflichtet sind, hinreichend Zeit, ihre internen ISMS-Vorgaben und die Maßnahmenumsetzung den aktuellen Änderungen anzupassen.

Dr. Stephan Beirer ist als Teamleiter bei der Opens external link in new windowGAI NetConsult GmbH für das Fachgebiet „Informationssicherheit von Prozesssteuerungs- und Automatisierungssystemen“ zuständig. In dieser Rolle ist Herr Dr. Beirer in verschiedenen nationalen und internationalen Verbänden und Normungsgremien aktiv. Unter anderem ist er bei ISO/IEC Mitglied bei JTC 1 SC27 WG 1 und hat dort als Editor der ISO/IEC 27019 deren initiale Erstellung und die aktuelle Überarbeitung geleitet.

Referenzen

[1] https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Energie/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheitskatalog_08-2015.pdf 

[2] https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/Was_tun/Stand_der_Technik/B3S_BAKs/B3S_BAKs_node.html 

[3] https://www.iso.org/standard/68091.html 

[4] https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Energie/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/Konformitaetsbewertungsprogramm.pdf 

 

Autor: Dr. Stephan Beirer

Diesen Artikel empfehlen