Bereits Anfang Mai veröffentlichte der BDEW (Bundesverband der Energie- und Wasserwirtschaft) zusammen mit OE (Oesterreichs Energie) eine von Grund auf überarbeitete Version des Whitepapers zum Thema „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“ und die zugehörigen Ausführungshinweisen.
Das neue Dokument ist ein Zusammenschluss der Sicherheitsanforderungen und ihren Ausführungshinweisen, die erstmalig in getrennten Dokumenten in 2007 und 2011 definiert wurden.
Welche Inhalte des neuen Whitepapers nun wirklich neu sind und welche lediglich umstrukturiert wurden, erfahren Sie als Energieversorger detailiert im Rahmen unserer mehrteiligen Beitragsserie.
In „Teil 1 – BDEW Sicherheitsanforderungen 2018: Was ist neu?“ erhalten Sie einen ersten groben Überblick über strukturelle Veränderungen des BDEW/OE Whitepapers.
Worum geht es in dem BDEW/OE Whitepaper?
Das BDEW/OE Whitepaper definiert Sicherheitsanforderungen für Systeme der Prozesssteuerung aus der Energieversorgung mit dem Ziel die vom Gesetzgeber geforderte Informationssicherheit gewährleisten zu können. Im Mittelpunkt stehen dabei die für die Prozesssteuerung notwendigen Einzelkomponenten und die daraus zusammengesetzten Systeme und Anwendungen.
Darüberhinaus werden Wartungsprozesse, die Projektorganisation und Entwicklungsprozesse informationssicherheitstechnisch behandelt.
Organisatorische Sicherheitsmaßnahmen wie sie für ein Informationssischerheitssystem (ISMS) gemäß ISO/IEC 27001 und ISO/IEC 27019 notwendig sind werden im BDEW/OE Whitepaper nicht behandelt. Dazu gehören beispielsweise die Einführung eines Risikomanagement oder die Sensibilisierung von Mitarbeitern.
An wen richten sich die BDEW/OE Sicherheitsanforderungen?
Die BDEW/OE Sicherheitsanforderungen sind Teil des neuen BDEW/OE Whitepapers. Die Sicherheitsanforderungen richten sich ausschließlich an Energieversorger.
Dabei werden insbesondere Energieversorgungsnetzbetreiber angesprochen, die Systeme zur Steuerung und Kommunikation im Kontext der Prozesssteuerung einsetzen.
Welchen Stellenwert haben die BDEW/OE Sicherheitsanforderungen?
Insbesondere Energieversorgungsnetzbetreiber sind seit Einführung des IT-Sicherheitsgesetzes dazu verpflichtet ein ISMS bis Januar 2018 einzuführen. Maßgeblich für die Umsetzung eines ISMS ist dabei der IT-Sicherheitskatalog sowie die Normen ISO/IEC 27000, 27001, 27002 und 27019.
Der IT-Sicherheitskatalog macht die Anwendung der genannten Normen verbindlich. Da die ISO/IEC 27019 die Sicherheitsmaßnahmen des BDEW/OE als zusätzliche Umsetzungsempfehlungen referenziert, sind sie für die Branche ebenso verbindlich.
Welche strukturellen Änderungen bringt die neue BDEW/OE Whitepaper Version?
In Teil 1 der neuen Beitragsserie „BDEW Sicherheitsanforderungen 2018: Was ist neu?“ werden zunächst die strukturellen Veränderungen des alten und neuen BDEW/OE Whitepapers betrachtet. Die inhaltliche Analyse beginnt ab Teil 2 unserer Beitragsserie.
Wenn Sie keine Zeit finden, um regelmäßig hier im xmera blog vorbei zu schauen, dann melden sie sich für unserem kostenfreien Infoservice an!
Dokumente und Sprachen
Die Vorgängerversion des neuen BDEW/OE Whitpapers besteht aus zwei Dokumenten. Sicherheitsanforderungen sind getrennt von den Ausführungshinweisen veröffentlicht und aktualisiert worden. Das Dokument zu den Sicherheitsanforderungen ist zweisprachig, in Deutsch und Englisch, aufgebaut.
Die größte strukturelle Neuerung besteht darin, dass es fortan nur noch ein Dokument je Sprache gibt. Grundlage des neuen BDEW/OE Whitepapers sind die alten Ausführungshinweise (Version 1.1 11-2014).
Der Umfang des neuen Whitepapers ist gegnüber den alten Ausführungshinweisen um 16% geschrumpft. Ein Blick auf die Inhaltsstruktur soll Aufschluss geben welche Bereiche weggefallen oder gekürzt wurden.
Inhaltsstruktur
Grundsätzlicher Aufbau
Beide Versionen setzen den Sicherheitsanforderungen den Abschnitt „Anwendungshinweise“ voraus. In den zugehörigen Unterkapiteln unterscheiden sie sich ebenfalls nicht.
Die Sicherheitsanforderungen sind in Themenbereiche mit Unterkapiteln unterteilt. Jedes Unterkapitel ist tabellarisch in sich stets wiederholdende Sektionen unterteilt. Beiden Versionen gemeinsam sind die Sektionen „Sicherheitsanforderungen“, „Ergänzungen und Anmerkungen“ sowie Anmerkungen zu den drei Haupttechnologien „Betriebsführungs-/Leitsysteme und Systembetrieb“, „Übertragungstechnik/Sprachkommunikation“ und „Sekundär-, Automatisierungs- und Fernwirktechnik“.
Die alten Ausführungshinweise gaben zusätzliche Informationen dazu welche Betriebsbereiche (Produkt-/Systementwicklung, Systembetrieb, etc.) betroffen waren und machten zudem „Organisatorische Anmerkungen“. Beides entfällt im neuen BDEW/OE Whitepaper.
Der Anhang ist thematisch in beiden Dokumenten identisch.
Strukturelle Veränderungen
Die Inhaltsstruktur des neuen Whitepapers ist etwas grober als die alten Ausführungshinweise, da es mit einer Strukturhierarchie weniger auskommt.
In der neuen Version gibt es acht Themenbereiche. Die Bereiche „Projektorganisation“ und „Wartung“ gab es zwar zuvor namentlich nicht. Doch ihre Unterkapitel sind wohlbekannt.
Das Thema Dokumentation entfällt als eigener Bereich. Es findet sich dafür im Themenbereich „Allgemeine Anforderungen“ wieder. Die meisten der zuvor definierten Sicherheitsanforderungen sind in den Teil „Ergänzungen und Anmerkungen“ verlegt worden.
In den Unterkapiteln hat sich, wenn überhaupt, meistenteils die Bezeichnung etwas verändert. Neue Unterkapitel dagegen sind „Nutzung von Cloud-Diensten“ und „Virtualisierungstechnologien“.
Wenn Sie sich selbst einen ersten Eindruck von den Unterschieden der Dokumentenstruktur machen möchten, dann lesen Sie den nächsten Abschnitt sorgfältig. Alle anderen Leser können gerne von hier aus direkt zum Abschnitt Zusammenfassung und Ausblick“ springen.
Textvergleich: Inhaltsverzeichnis
Bevor Sie sich den Vergleich des alten und neuen Inhaltsverzeichnis anschauen, empfehle ich zunächst die Funktionsweise des Textvergleiches nachzuvollziehen. Das nachfolgende Beispiel erklärt Ihnen Stärken und Schwächen des Textvergleichs.
| Alte Textversion | Neue Textversion |
|---|---|
| Unverändert: Unveränderter Text: | Unverändert: Unveränderter Text: |
| Unverändert: Textabschnitte, die in beiden Textversionen übereinstimmen werden nicht markiert. | Unverändert: Textabschnitte, die in beiden Textversionen übereinstimmen werden nicht markiert. |
| Unverändert: Gering veränderter Text: | Unverändert: Gering veränderter Text: |
| Gelöscht: Textabschnitte mit geringen Unterschieden erhalten | Hinzugefügt: Textabschnitte mit geringen Unterschieden erhalten bis zu zwei Makierungen. Zum einen wird der Hintergrund des Abschnittes in der alten Textversion hell-rot gefärbt; in der neuen Textversion ist die Hintergrundfarbe hell-grün. Bei geringen Textveränderungen werden in der alten Version Wörter, die in der neuen Version nicht mehr existieren, gestrichen und mit einem kräftigen Rot markiert. Gibt es in der neuen Version neue Wörter, werden diese Wörter mit einem kräftigen Grün gekennzeichnet. |
| Unverändert: Grund verschiedene Textabschnitte: | Unverändert: Grund verschiedene Textabschnitte: |
| Gelöscht: Sind zwei zu vergleichende Textabschnitte zu unterschiedlich, dann wird lediglich der Hintergrund, wie oben erläutert, eingefärbt. | Hinzugefügt: Werden Passagen eines Textes in einer neueren Version vollständig überarbeitet, so dass der grobe Inhalt zwar noch bestehen bleibt, aber die Wortwahl und der Satzbau sich grundlegend ändern, dann werden in den Spalten der alten und neuen Textversion lediglich die Hintergründe farblich hervorgehoben. Dabei erscheint der alte Text vor einem hell-roten Hintergrund, der neue Text vor einem hell-grünen. Da der Algorithmus den Inhalt eines Textes nicht versteht, stehen neben den veränderten Texten unter Umständen leere Spalten. Die zu vergleichenden Textabschnitte erscheinen daher versetzt. |
| Unverändert: Strukturveränderungen von Texten: | Unverändert: Strukturveränderungen von Texten: |
| Gelöscht: Dieser Textteil soll lediglich die Struktur des Textes beeinflussen. | |
| Gelöscht: Wenn Textpassagen sich nur gering oder gar nicht verändert haben, aber an einer anderen Stelle im Dokument stehen, dann kann der Textvergleich schon mal unübersichtlich werden, da sich die Abschnitte nicht gegenüber stehen können. | Hinzugefügt: Dieser Textabschnitt soll die Struktur des neuen Textes verändern, so dass ein gering veränderter Text an einer späteren Stelle erscheint. |
| Unverändert: Dieser Textteil soll genuso wie weiter oben auch nur die Struktur des Textes beeinflussen. | Unverändert: Dieser Textteil soll genuso wie weiter oben auch nur die Struktur des Textes beeinflussen. |
| Gelöscht: Auch dieser Abschnitt dient der strukurellen Textveränderung. | Hinzugefügt: Wenn Textpassagen sich nur gering oder gar nicht verändert haben, aber an einer anderen Stelle im Dokument stehen, dann kann der Textvergleich schon mal unübersichtlich werden, da sich die Abschnitte nicht gegenüber stehen können. |
| BDEW Version 1.1 11/2014 | BDEW Version 2.0 05/2018 |
|---|---|
| Gelöscht: 2 Umsetzungshinweise zu den BDEW-Sicherheitsanforderungen | |
| Gelöscht: 2.1 Allgemeines/Organisation | |
| Gelöscht: 2.1.1 Allgemeines | |
| Hinzugefügt: 4 Sicherheitsanforderungen | |
| Hinzugefügt: 4.1 Allgemeine Anforderungen | |
| Gelöscht: | Hinzugefügt: 4.1.1 Sichere Systemarchitektur |
| Hinzugefügt: 4.1.2 Patchfähigkeit und Patch-Management | |
| Hinzugefügt: 4.1.3 Bereitstellung von Sicherheits-Patches für alle Systemkomponenten | |
| Hinzugefügt: 4.1.4 Support für eingesetzte Systemkomponenten | |
| Hinzugefügt: 4.1.5 Verschlüsselung vertraulicher Daten | |
| Hinzugefügt: 4.1.6 Kryptographische Verfahren | |
| Hinzugefügt: 4.1.7 Sichere Standard-Konfiguration | |
| Hinzugefügt: 4.1.8 Integritäts-Prüfung | |
| Hinzugefügt: 4.1.9 Nutzung von Cloud-Diensten | |
| Hinzugefügt: 4.1.10 Anforderungen an die Dokumentation | |
| Hinzugefügt: 4.2 Projektorganisation | |
| Gelöscht: | Hinzugefügt: 4.2.1 Ansprechpartner |
| Gelöscht: 2.1.1.3 Patchfähigkeit, Patchmanagement | |
| Gelöscht: | |
| Gelöscht: | |
| Gelöscht: 2.1.1.6 Verschlüsselung sensibler Daten bei Speicherung und Übertragung | |
| Gelöscht: 2.1.1.7 Verschlüsselungsstandards | |
| Gelöscht: 2.1.1.8 Interne/externe Sicherheits- und Anforderungstests und zugehörige Dokumentation | |
| Gelöscht: 2.1.1.9 Sichere Standard-Konfiguration und Erstinstallation bzw. (Wieder-)Inbetriebnahme | |
| Gelöscht: | |
| Gelöscht: 2.1.2 Dokumentation | |
| Gelöscht: 2.1.2.1 Design-Dokumentation, Beschreibung Sicherheitsrelevanter Systemkomponenten und Implementations-Spezifikationen | |
| Gelöscht: 2.1.2.2 Administrator- und Benutzer- Dokumentation | |
| Gelöscht: 2.1.2.3 Dokumentation sicherheitsrelevanter Einstellungen und Systemmeldungen | |
| Gelöscht: 2.1.2.4 Dokumentation der Voraussetzungen und Umgebungs-Anforderungen für den sicheren System-Betrieb | |
| Hinzugefügt: 4.2.2 Sicherheits- und Abnahmetests | |
| Hinzugefügt: 4.2.3 Sichere Datenspeicherung und Übertragung | |
| Hinzugefügt: 4.2.4 Übergabe projektspezifischer Anpassungen | |
| Gelöscht: | Hinzugefügt: 4.3 Basissystem |
| Gelöscht: | Hinzugefügt: 4.3.1 Grundsicherung und Systemhärtung |
| Gelöscht: 2.2.2 Antiviren-Software | |
| Hinzugefügt: 4.3.2 Schadsoftware-Schutz | |
| Gelöscht: | Hinzugefügt: 4.3.3 Autonome Benutzerauthentifizierung |
| Hinzugefügt: 4.3.4 Virtualisierungstechnologien | |
| Gelöscht: 2.3 Bereich Netze / Kommunikation | Hinzugefügt: 4.4 Netzwerk und Kommunikation |
| Gelöscht: 2.3.1 Sichere Netzwerkkonzeption und Kommunikationsverfahren | |
| Gelöscht: | Hinzugefügt: 4.4.1 Eingesetzte Protokolle und Technologien |
| Gelöscht: | Hinzugefügt: 4.4.2 Sichere Netzwerkstruktur |
| Gelöscht: | Hinzugefügt: 4.4.3 Dokumentation der Netzwerkstruktur und -konfiguration |
| Gelöscht: 2.3.2 Sichere Wartungsprozesse und RAS-Zugänge | |
| Gelöscht: | Hinzugefügt: 4.4.4 Sichere Fern-Zugänge |
| Hinzugefügt: 4.4.5 Funktechnologien | |
| Hinzugefügt: 4.5 Anwendung | |
| Hinzugefügt: 4.5.1 Rollenkonzepte | |
| Hinzugefügt: 4.5.2 Benutzer-Authentifizierung und Anmeldung | |
| Hinzugefügt: 4.5.3 Autorisierung von Aktionen auf Benutzer- und Systemebene | |
| Hinzugefügt: 4.5.4 Web-Applikationen und Web-Services | |
| Hinzugefügt: 4.5.5 Integritätsprüfung | |
| Hinzugefügt: 4.5.6 Logging | |
| Hinzugefügt: 4.6 Entwicklung | |
| Hinzugefügt: 4.6.1 Sichere Entwicklungsstandards, Qualitätsmanagement und Freigabeprozesse | |
| Hinzugefügt: 4.6.2 Sichere Entwicklungs- und Test-Systeme, Integritäts-Prüfung | |
| Hinzugefügt: 4.7 Wartung | |
| Gelöscht: | Hinzugefügt: 4.7.1 Anforderung an die Wartungsprozesse |
| Gelöscht: 2.3.3 Funktechnologien: Bedarf und Sicherheitsanforderungen | |
| Gelöscht: | |
| Gelöscht: 2.4.1 Benutzerverwaltung | |
| Gelöscht: | |
| Gelöscht: | |
| Gelöscht: | |
| Gelöscht: 2.4.3 Anwendungsprotokolle | |
| Gelöscht: 2.4.4 Web-Applikationen | |
| Gelöscht: 2.4.5 Integritätsprüfung relevanter Daten | |
| Gelöscht: 2.4.6 Protokollierung, Audit-Trails, Timestamps, Alarmkonzepte | |
| Gelöscht: 2.4.7 Self-Test und System-Verhalten | |
| Gelöscht: | |
| Gelöscht: | |
| Gelöscht: | |
| Gelöscht: | |
| Gelöscht: 2.5.4 Sichere Update- und Wartungsprozesse | Hinzugefügt: 4.7.2 Sichere Updateprozesse |
| Gelöscht: | Hinzugefügt: 4.7.3 Konfigurations- und Change-Management, Rollbackmöglichkeiten |
| Gelöscht: | Hinzugefügt: 4.7.4 Behandlung von Sicherheitslücken |
| Gelöscht: 2.5.7 Sourcecode-Hinterlegung | |
| Gelöscht: | Hinzugefügt: 4.8 Datensicherung und Notfallplanung |
| Gelöscht: | Hinzugefügt: 4.8.1 Backup: Konzept, Verfahren, Dokumentation, Tests |
| Gelöscht: | Hinzugefügt: 4.8.2 Notfallkonzeption und Wiederanlaufplanung |
Zusammenfassung und Ausblick
Das neue BDEW/OE Whitepaper zum Thema „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“ ist deutlich übersichtlicher geworden.
Aus zwei Dokumenten wurde eines gemacht. Der Inhalt ist etwas grober strukturiert und damit vor allem im Inhaltsverzeichnis lesbarer geworden. Die Ausführungshinweise fallen im Allgemeinen schlanker aus, weil die „Organisatorischen Anmerkungen“ entfallen sind.
Wichtige Themen unserer Zeit wie die „Nutzung von Cloud-Diensten“ und „Virtualisierungstechnologien“ sind neu aufgenommen worden.
Anpassungen an gesetzliche Anforderungen wie die EU-Datenschutzgrundverordnung, das IT-Sicherheitsgesetz oder die EU-Cybersicherheitsrichtlinie (NIS-Richtlinie) werden ab Teil 2 unserer Beitragsserie „BDEW Sicherheitsanforderungen 2018: Was ist neu?“ deutlich werden.
Bekommen Sie schon unseren xmera blogletter? Nein? Dann melden sie sich für unserem kostenfreien Infoservice an!
xmera nimmt dann für Sie die Sicherheitsanforderungen im Einzelnen unter die Lupe und zeigt Ihnen dabei auf, was sich für Ihr ISMS ändert.
