„Stand der Technik“ bei der Umsetzung von Sicherheitsmaßnahmen

Hinweise und Empfehlungen für Netzbetreiber + Netzbetreiber Strom/Gas sind gemäß § 11 Abs. 1a Energiewirtschaftsgesetz (EnWG) zur Etablierung von Sicherheitsmaßnahmen für Systeme der Informations- und Kommunikationstechnik (IKT) des Netzbetriebs verpflichtet. Diese Maßnahmen müssen sich am „Stand der Technik“ hinsichtlich Erfüllung der Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität orientieren. Der vorliegende Artikel soll Netzbetreibern Hilfestellung bei der individuellen Bestimmung des „Standes der Technik“ bieten und anhand ausgewählter Technologiefelder Beispiele zur Umsetzung erläutern. Der vorliegende Artikel schließt an die Ausführungen „Wer kennt den Stand der Technik“?

Netzbetreiber (gemäß § 11 EnWG) und KRITIS-Betreiber allgemein (gemäß § 8a BSI-Gesetz, BSIG) sind aufgefordert, Sicherheitsmaßnahmen gemäß Stand der Technik („SdT“) zu etablieren.

In [1] wurde bereits auf die Schwierigkeit einer einheitlichen Festlegung, was unter einem „Stand der Technik“ zu verstehen ist, hingewiesen. Neben der dort zitierten Definition aus dem IT-Sicherheitsgesetz sei exemplarisch eine weitere Umschreibung aufgeführt:

„…Stand der Technik ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der nach herrschender Auffassung führender Fachleute das Erreichen des gesetzlich vorgegebenen Zieles gesichert erscheinen lässt. Verfahren, Einrichtungen und Betriebsweisen oder vergleichbare Verfahren, Einrichtungen und Betriebsweisen müssen sich in der Praxis bewährt haben oder sollten – wenn dies noch nicht der Fall ist – möglichst im Betrieb mit Erfolg erprobt worden sein.“. [2]

An dieser Stelle soll nochmals auf die in [1] beschriebene Kategorisierung (Drei-Stufen-Modell) hingewiesen werden. Für den praktischen Einsatz sind nur die „anerkannten Regeln der Technik“ und der „Stand der Technik“ von Relevanz. Der „SdT“ besitzt nicht das Merkmal der allgemeinen Anerkennung, wie es Verfahren nach den „anerkannten Regeln der Technik“ aufweisen. Der „SdT“ ist damit fortschrittlicher und dynamischer als die „anerkannten Regeln der Technik“ [3]. Besondere Bedeutung hat dieser Merkmalsunterschied für Technologiegebiete, wie z.B. Übertragungs- / Kommunikationstechnik oder IT-Sicherheit für Systeme der Informations- und Kommunikations-technik (IKT-Security), die Veränderungen in kurzer Zeit unterliegen (hohe Volatilität).

Stand der Technik - Versuch einer praxistauglichen Beschreibung

Nachfolgend soll versucht werden, anhand hervorstechender Technologieeigenschaften Bestandteile (Prüfpunkte) einer individuellen Definition „SdT“ zu erarbeiten. Diese Bausteine sollten vom Netz- bzw. KRITIS-Betreiber individuell gewichtet werden. Eine grundsätzliche Empfehlung lautet: Es gibt keine allumfassende Definition des „Standes der Technik“, die individuelle Ausprägung ist von jedem Betreiber eigenständig festzulegen. Folgende Hinweise und Fragen sollen beim „Findungsprozess“ helfen:

Aussage: „Der „SdT“ entspricht dem Entwicklungsstand von Verfahren, Betriebsweisen und Technologien nach herrschender Auffassung von Fachleuten (Konsens zwischen anerkannten Fachleuten)“ (siehe [2]). Der Aussage kann zugestimmt werden.

Aussage: „Der „SdT“ repräsentiert Verfahren, Betriebsweisen, welche sich in der Praxis bewährt haben, angemessen dokumentiert sind und in Fachkreisen oder Fachgremien diskutiert sowie publiziert wurden“. Dieser Aussage kann ebenfalls zugestimmt werden.

Aussage: „ISO/IEC 27002 und DIN ISO/IEC TR 27019 (Standards, Normen allgemein) repräsentieren den „SdT“. Der Aussage muss widersprochen werden, da die Standards einerseits nur Maßnahmen vorschlagen, ohne die konkrete technische Umsetzung zu beschreiben und andererseits Normen und Standards, wenn sie einige Zeit unverändert in Kraft sind, nicht unbedingt der aktuell vorherrschenden Ansicht von Fachleuten entsprechen.

Hinweis: Das BSI vertritt in seinen Vorgaben (BSIG) die Ansicht, dass von Betreibern Kritischer Infrastrukturen oder ihren Fachverbänden branchenspezifische Sicherheitsstandards (B3S) erarbeitet werden können, die den SdT widerspiegeln.

• Aussage: „Der „SdT“ entspricht den Technologien, Lösungen oder Verfahren, wie sie von unterschiedlichen Herstellern in gleicher oder leicht angepasster Form angeboten werden“. Dieser Ansatz ist zumindest problematisch. Einerseits kann man davon ausgehen, dass ein und dieselbe Technologie, wenn von unterschiedlichsten Anbietern propagiert, praxiserprobt ist. Das muss aber nicht heißen, dass sie für die konkreten Einsatzbedingungen des Anwenders ebenfalls „passt“. Beispiel: Schadsoftware-Schutzlösungen für die Office-Umgebung sind auf Systemen eines zentralen Netzleitsystems eventuell nur eingeschränkt und auf dezentraler Leittechnik überhaupt nicht verwendbar.

• Aussage: „Der „SdT“ entspricht den aktuellsten, fortschrittlichsten und modernsten verfügbaren Security-Technologien, -Protokollen und -Verfahren“. Die Aussage ist falsch und kann bei der individuellen Definition „SdT“ fatale Konsequenzen haben. Die angesprochenen Technologien sind meist nicht umfänglich praxiserprobt (können bspw. in Umgebungen der Prozessdatenverarbeitung (PDV) zu Inkompatibilitäten führen), sind personell schwer beherrschbar (fehlendes Know-how) und meist wirtschaftlich nicht vertretbar. Sie repräsentieren darüber hinaus die „dritte Säule“: Stand von Wissenschaft und Technik [1] und sind damit „overpowered“.

Weg zum unternehmensspezifischen „Stand der Technik“

Die Verantwortlichen / Sicherheitsbeauftragten sollten bei der Definition „Stand der Technik“ diverse Eingangsgrößen berücksichtigen und abwägen. Im Ergebnis entsteht eine individuelle Festlegung (Statement), welche Bestandteil der Sicherheits-Dokumentation (bspw. im Rahmen eines Informationssicherheits-Managementsystems) sein kann. Als Eckpfeiler für die Festlegung können in Betracht gezogen werden (Checkliste):

• Kernprozesse des Netzbetriebs sind klar herauszuarbeiten. In der Regel handelt es sich um den Betrieb der zentralen Leittechnik, Betrieb der Übertragungstechnik und Betrieb der Sekundärtechnik. Hinzu kommen diverse „Hilfsprozesse“, wie Sprach-Kommunikation, Betrieb mobiler Parametriersysteme oder ein Workforcemanagement (nicht unmittelbar für Netzbetrieb benötigt, aber Gefährdungspotenzial für Netzbetrieb bei Verletzung der Schutzziele existent).

• Bedrohungen, welche auf die genannten Prozesse bzw. deren Systeme einwirken sind zu erfassen (Risikobeurteilung, Gefährdungslage).

• „Weiche“ Nebenbedingungen, wie z.B. personelle Aufstellung (Know-How), Komplexität (Beherrschbarkeit) von Maßnahmen, absehbare Entwicklungen der Bedrohungslage oder potenzielle strategische Neu-Ausrichtungen des Unternehmens (IKT-Security künftig als Dienstleistung bezogen? Mehrsparten- oder Mehrmandantenbetrieb? usw.), welche mittelbar die Informationssicherheit beeinflussen (siehe den nachfolgenden Abschnitt).

• Hinweise zur Marktreife, Praxiserprobung, Angemessenheit und Dokumentationstiefe von Verfahren sollten Leitlinien (bspw. des BSI, BDEW oder VDE) entnommen werden [4]. 

• Produktbeschreibungen oder Einsatzprognosen zu spezifischen Lösungen der Systemhersteller oder Integratoren sollten ergänzend zu Rate gezogen werden. 

• Fachmeinungen und Erfahrungsberichte sollten auf anerkannten Fach-Symposien oder Expertentreffen gesammelt werden. Was setzen die „Anderen“ ein und wie betreiben die „Anderen“ diese Lösungen?

• Nicht zuletzt: Wirtschaftliche Rahmenbedingungen des Einsatzes der Systeme und Verfahren (Abwägung verschiedener Lösungen).

Die Entscheidung zum „Stand der Technik“ bei der Umsetzung von Maßnahmen zur Informationssicherheit stellt eine strategische Festlegung des Unternehmens dar. Sicherheitsverantwortliche erarbeiten gemeinsam mit Technikern / Ingenieuren und Controllern in Zusammenarbeit mit Herstellern / Lieferanten und ggf. mit juristischer Unterstützung eine Definition „Stand der Technik“ der Informationssicherheit für die konkreten IKT-Einsatzbedingungen.

Informationssicherheit - Bestimmung der Gefährdungslage aus Sicht der Netzbetreiber

Netzbetreiber sehen sich heute einer Reihe von Herausforderungen gegenüber, die kennzeichnend für die Volatilität und Dynamik des Strom- / Gasnetzbetriebs sind. [5]

Zu diesen Herausforderungen zählen u.a.:

• Zunehmender Sektor übergreifender Betrieb / Führung (Fernwärme, Nahverkehr, Stadtbeleuchtung usw.)

• Digitalisierung / digitale Transformation (Smart Grids / Digitale Messsysteme), wobei Stand heute unklar ist, was der inflationär verwendete Begriff „Digitalisierung“ genau umfasst

• Elektromobilität und stark zunehmende dezentrale Energieerzeugung; damit verbunden Schaffung von nötigen Flexibilitäten im Niederspannungsnetz (regelbare Ortsnetztransformatoren) und zentrale Netzführung Niederspannung als zukünftige Herausforderung

• Steigende Anforderungen an den Ausbildungsstand von Leitstellenpersonal (Ingenieure, Techniker), Personalgewinnung (Problem Schichtbetrieb) und betriebliche Ressourcen

Zusammengefasst: Zunehmende Komplexität in der Netzführung, Integration zusätzlicher Systeme und Zunahme von Kommunikationsschnittstellen erfordern Optimierungen, um weiterhin effizient und zuverlässig Netze betreiben zu können

Man kann von einer Neugestaltung der IT- /IKT-Landschaft der Netzbetreiber sprechen, einhergehend mit Neupositionierungen und Paradigmenwechseln. Es seien exemplarisch Big Data-Analyse und „Software-as-a-Service“ genannt, deren Schnittstellen zum eigentlichen Netzbetrieb heute noch unklar sind, die aber weiterführende IKT-Security-Maßnahmen nach sich ziehen (bspw. Bezug zu Datenschutzgrundverordnung). Netzbetreiber sind keine Technologiekonzerne à la Apple, Google oder Microsoft. Sie sind im besten Sinn des Wortes konservative Unternehmen, die die Verfügbarkeit der Kerngeschäftsprozesse (zuverlässiger Strom- / Gastransport) an erster Stelle sehen - auch wenn sich zurzeit diesbezüglich Veränderungen abzeichnen und neue Geschäftsfelder entwickeln - und die eben nicht über einen Stab aus IT-Experten, Data Scientists u.ä. verfügen.

Der Gesetzgeber fordert von den Netz- / KRITIS-Betreibern nichtsdestotrotz, die Netze sicher und zuverlässig zu betreiben [5]. Damit fällt den Betreibern eine Aufgabe zu, die durch bestehende Kompetenzen nur zum Teil abgedeckt wird. Die Unternehmen sehen sich, genau wie andere Wirtschaftszweige und die deutsche Gesellschaft insgesamt, obendrein einer neuen Gefährdungslage ausgesetzt, die z.B. durch folgende Bedrohungen gekennzeichnet ist:

• Ransomware (Erpressungstrojaner, wie bspw. „WannaCry“ oder „NotPetya“) befallen auch industrielle Steuerungssysteme

• Advanced Persistent Threads (APT) greifen gezielt industrielle Steuerungen an. Stuxnet ist der erste und bekannteste Vertreter dieser Art

• Industrielle Steuerungssysteme und -komponenten (SCADA, ICS usw.) sind potenzielles Ziel (staats-) terroristischer Attacken, auch wenn diese Art der Gefährdung zum heutigen Zeitpunkt als (noch) gering eingeschätzt wird. Beispiel: „Ukraine-Zwischenfall“ vom Dezember 2015 und 2016 (Schadsoftware „Industroyer“ bzw. „CrashOverride“

• Nicht zuletzt steigert die zunehmende Komplexität der IKT-Strukturen, die Anzahl an Schnittstellen zu Dienstleistern oder Marktpartnern und der allgemeine Grad der datentechnischen Vernetzung und Kommunikation den Aufwand für den sicheren Betrieb der IKT-Systeme exponentiell

Antworten in Form technischer Maßnahmen liegen vor und werden insbesondere im High-Tech-IT-Umfeld (Rechenzentrum, Telekommunikationsnetze, Internet-Backbone usw.) eingesetzt; meist mehrstufig auf verschiedenen Ebenen (Defence-In-Depth-Prinzip). Gegen eine undifferenzierte Übernahme dieses „Standes der Technik“ sprechen jedoch diverse Besonderheiten der PDV-Systemwelt der Netzbetreiber, wie z.B.:

• Netzbetreiber nutzen spezifische technische Systeme, Architekturen, Kommunikationsprotokolle, wie z.B. IEC 60870-5-101 /-104, IEC 61850 usw., welche in Kombination Alleinstellungsmerkmale aufweisen

• Verfügbarkeit und vollständige Integrität der Daten sind höher priorisiert als die Vertraulichkeit; zudem werden oft zeitkritische Anwendungen eingesetzt.

• PDV-Ausfall oder -Kompromittierung führt unmittelbar zu Rückwirkungen auf die primärtechnischen Einrichtungen und damit auf das Kerngeschäft (Netzbetrieb Strom und Gas)

• Installation von Patches oder Updates sind schwierig umsetzbar und nicht in festen Zyklen möglich (kein „Microsoft-Patchday“)

• Altsysteme (bereits abgekündigt) werden noch häufig eingesetzt (OS/2, Windows NT o-der MS-DOS), und damit verbunden ist eine heterogene Systemlandschaft

• Nutzungsdauer der Systeme oder Komponenten erstreckt sich eher über Jahrzehnte, statt über 3-5 Jahre, wie in der Office-IT

• Schutzmaßnahmen vor Schadsoftware sind meist nur auf ausgewählten Systemen möglich

„Stand der Technik“ in der PDV-Systemlandschaft von Netzbetreibern

Nachfolgend soll diskutiert werden, wie der „SdT“ zur Erreichung der Schutzziele einer typischen PDV-Systemlandschaft definiert werden kann. Das Modell setzt voraus, dass eine Risikoanalyse gemäß gewählter Methodik erstellt wurde. Eintrittswahrscheinlichkeiten und Schadensausmaße wurden ermittelt, Gefährdungsszenarien sind definiert (Bspw. auf Basis Anhang D der ISO/IEC 27005).

Die „Checkliste“ für eine Auswahl möglicher Sicherheits-Verfahren oder -Technologien gemäß „SdT“ beinhaltet folgende Prüfpunkte:

(1) Marktreife, Praxiserprobung, Angemessenheit und Qualität der in Fachkreisen publizierten Details, Lösungen usw.

(2) Verfahren / Technologien werden in Leitlinien anerkannter Gremien, Verbände usw. beschrieben und empfohlen.

(3) System-Hersteller oder Integratoren verfügen über Erfahrungen beim Einsatz der Technologien im Umfeld Netzbetrieb. 

(4) Vorhandenes Know-how (Expertenwissen) bei eigenen Mitarbeitern ist vorhanden bzw. kann über Weiterbildung angeeignet werden ODER Auslagerung des Betriebs an Externe ist möglich (dabei ist der wirtschaftliche Aspekt zu berücksichtigen, siehe (9)).

(5) Technologien / Verfahren sind innerhalb vorgegebener Szenarien beherrschbar (Produktivbetrieb vs. Notfallsituationen).

(6) Technologien / Verfahren sind auch bei perspektivischer Verschärfung der Bedrohungslage noch angemessen.

(7) Zukünftige strategische Ausrichtung des Unternehmens (Elektromobilität, sektorübergreifende Tätigkeiten usw.) kollidiert nicht mit den definierten Verfahren oder wird durch diese eingeschränkt.

(8) Fachmeinungen und Erfahrungsberichte anderer Betreiber liegen vor (Zeitraum, in dem sich ein konsistentes Meinungsbild ergeben hat, erstreckt sich über mehrere Jahre).

(9) Vorgeschlagene Lösungen sind betriebswirtschaftlich sinnvoll und vertretbar.

Zusätzlich kann als sog. KO-Kriterium die Übereinstimmung der Verfahren mit geltenden Gesetzen und Bestimmungen aufgenommen werden. Das heißt, Verfahren oder Technologien, welche u.U. gegen gesetzliche Bestimmungen verstoßen, kommen nicht in Betracht, auch wenn eine Vielzahl der Punkte (1) bis (9) vollumfänglich erfüllt sind.

Vorschlag für eine Wichtung der Prüfpunkte:

Hinweis: Die Auflistung kann individuell ergänzt werden. Die Reihenfolge der Punkte ist willkürlich. Die Nummerierungen werden in den nachfolgenden Beispielen zur besseren Darstellung genutzt. Auf relevante Controls der DIN ISO/IEC 27001:2015 wird dabei verwiesen.

Beispiel „Sichere Systemarchitektur eines zentralen Netzleitsystems“

Anhand ausgewählter Gefährdungen soll der individuelle Prozess der Auswahl „Stand der Technik“ für Gegenmaßnahmen dargestellt werden. 

Gefährdung: Fehlende oder unzureichende Identifikations- und Authentisierungsverfahren für Benutzer

Entscheidung: Der Abgleich gegen die Prüfpunkte bestätigt, dass die Verwendung zentraler Verzeichnisdienste für das vorgesehene Einsatzszenario dem „Stand der Technik“ gemäß individueller Methodik entspricht.

Gefährdung: Das PDV-Daten- / Kommunikationsnetz ist nicht oder nicht angemessen segmentiert

Entscheidung: Der Abgleich gegen die Prüfpunkte bestätigt, dass die Netzwerkzonierung mittels VLANs und filternden Firewalls für das vorgesehene Einsatzszenario dem „Stand der Technik“ entspricht. Prüfpunkt (4) erfordert eine Prüfung, ob notwendiges Expertenwissens im vollen Umfang zur Verfügung steht oder als Dienstleistung bereitgestellt werden kann.

Gefährdung: Unangemessene / fehlende Zutrittskontrolle zu Gebäuden und Räumen

Entscheidung: Der Abgleich gegen die Prüfpunkte zeigt, dass eine Zutrittssteuerung mittels biometrischer Verfahren Irisscan und Gesichtserkennung dem „Stand der Technik“ für das vorgesehene Einsatzszenario nicht entspricht.

Gefährdung: Ungeschützte Kommunikationsverbindungen über Schnittstellen zu externen Komponenten (Prozessankopplung)

 

Entscheidung: Der Abgleich gegen die Prüfpunkte bestätigt die Verwendung kryptographischer Verfahren für das vorgesehene Einsatzszenario als dem „Stand der Technik“ angemessen.

Hinweis: Berücksichtigung der Empfehlungen des BSI [6] (siehe Prüfpunkt (2)).

Gefährdung: Mangel an bestehenden Monitoring-Mechanismen für Sicherheitsverletzungen

 

Entscheidung: Das Beispiel verdeutlicht die Notwendigkeit einer Wichtung der Prüfpunkte. Prüfpunkt (4) kann sowohl als erfüllt als auch als nicht erfüllt angesehen werden, so dass in Abhängigkeit von der Outsourcingstrategie des Netzbetreibers entschieden werden muss. Insbesondere zukünftige Bedrohungen in Form von APT oder professionellem Hacking sollten in die Entscheidungsfindung einfließen, da diese Gefahren durch herkömmliche Sicherheitsmechanismen auf Basis bekannter Signaturen oder statischer Filter nicht erkannt werden.

Legt man die in Tabelle 1 aufgeführten Wichtungskriterien an, würde sich ein Verhältnis von 70:30 für den Einsatz der passiven Anomalieerkennung ergeben.

Hinweis: Der Einsatz einer Anomalieerkennung / Deep-Packet-Inspection muss sich in ein umfassendes Loggingkonzept eingliedern. Ein Betrieb ohne zielgerichtete und kontinuierliche Auswertung bzw. Anpassung der Detektion ist sinnlos.

Fazit

Die individuelle Definition des „Stands der Technik“ bei Maßnahmen zur Erreichung der ISMS-Schutzziele obliegt den Netz- / KRITIS-Betreibern bzw. den Sicherheitsverantwortlichen in Zusammenarbeit mit den technischen und kaufmännischen Abteilungen des Netzbetreibers. Es existiert kein Dokument, welches einen „Stand der Technik“ für jeden Technologiebereich, jeden Wirtschaftszweig oder jede Branche aktuell vorgibt. Die hier vorgeschlagene Vorgehensweise gibt Betreibern ein Werkzeug an die Hand, mit dessen Hilfe im Rahmen des ISMS der „Stand der Technik“ ermittelt werden kann. Die vom Unternehmen gewählte Methodik („Checkliste“) kann der ISMS-Dokumentation hinzugefügt werden.

Die Methode ist insbesondere geeignet, verschiedene Maßnahmenoptionen systematisch gegen den „SdT“ zu bewerten. Damit verbunden ist ein nicht unerheblicher Zusatzaufwand, da jede Maßnahmenoption individuell bewertet werden muss.

Ausdrücklich soll darauf hingewiesen werden, dass der „Stand der Technik“ keine statische Definition ist, sondern Schritt halten muss mit technologischen Veränderungen, Änderungen der Bedrohungslage oder gesetzlichen Rahmenbedingungen. Ergriffene organisatorische Maßnahmen, installierte IT-Securitykomponenten oder vorgenommene Konfigurationen sind einem Monitoring zu unterziehen, um ggf. Unterbrechungen oder Einschränkungen der Geschäftsprozesse durch Fehlkonfigurationen oder ungewünschte Seiteneffekte von IT-Securitymaßnahmen auf Produktivprozesse zu erkennen.

Autor: Rocco Gundlach, GAI NetConsult GmbH 

Quellen:

[1] D. Weidenhammer, Wer kennt den „Stand der Technik“? GAI NetConsult GmbH, Security Journal #92

[2] Definition "Stand der Technik" aus "Handbuch der Rechtsförmlichkeit", Bundesministerium der Justiz und für Verbraucherschutz,Opens external link in new window http://hdr.bmj.de/page_b.4.html#an_256

[3] Dr. M. Seibel, Abgrenzung der „allgemein anerkannten Regeln der Technik“ vom „Stand der Technik“, Neue Juristische Wochenschrift 41/2013

[4] Karsten U. Bartels, Der Stand der Technik in der IT-Sicherheit … komplexe technische und rechtliche Anforderungen, iX 7/2017

[5] BDEW Bundesverband der Energie- und Wasserwirtschaft e.V., Der aktive Verteilnetzbetreiber in einer dezentralen Energiewelt, Berlin, 30. November 2016

[6] Bundesamt für Sicherheit in der Informationstechnik, TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen, https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html  

 

Diesen Artikel empfehlen