Beitragsserie Sicherheitsanforderungen

Teil 1- BDEW Sicherheitsanforderungen 2018: Was ist neu?

Strommast

Bereits Anfang Mai veröffentlichte der BDEW (Bundesverband der Energie- und Wasserwirtschaft) zusammen mit OE (Oesterreichs Energie) eine von Grund auf überarbeitete Version des Whitepapers zum Thema „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“ und die zugehörigen Ausführungshinweisen.

Das neue Dokument ist ein Zusammenschluss der Sicherheitsanforderungen und ihren Ausführungshinweisen, die erstmalig in getrennten Dokumenten in 2007  und 2011 definiert wurden.

Welche Inhalte des neuen Whitepapers nun wirklich neu sind und welche lediglich umstrukturiert wurden, erfahren Sie als Energieversorger detailiert im Rahmen unserer mehrteiligen Beitragsserie.

In „Teil 1 – BDEW Sicherheitsanforderungen 2018: Was ist neu?“ erhalten Sie einen ersten groben Überblick über strukturelle Veränderungen des BDEW/OE Whitepapers.

Worum geht es in dem BDEW/OE Whitepaper?

Das BDEW/OE Whitepaper definiert Sicherheitsanforderungen für Systeme der Prozesssteuerung aus der Energieversorgung mit dem Ziel die vom Gesetzgeber geforderte Informationssicherheit gewährleisten zu können. Im Mittelpunkt stehen dabei die für die Prozesssteuerung notwendigen Einzelkomponenten und die daraus zusammengesetzten Systeme und Anwendungen.

Darüberhinaus werden Wartungsprozesse, die Projektorganisation und Entwicklungsprozesse informationssicherheitstechnisch behandelt.

Organisatorische Sicherheitsmaßnahmen wie sie für ein Informationssischerheitssystem (ISMS) gemäß ISO/IEC 27001 und ISO/IEC 27019 notwendig sind werden im BDEW/OE Whitepaper nicht behandelt. Dazu gehören beispielsweise die Einführung eines Risikomanagement oder die Sensibilisierung von Mitarbeitern.

An wen richten sich die BDEW/OE Sicherheitsanforderungen?

Die BDEW/OE Sicherheitsanforderungen sind Teil des neuen BDEW/OE Whitepapers. Die Sicherheitsanforderungen richten sich ausschließlich an Energieversorger.

Dabei werden insbesondere Energieversorgungsnetzbetreiber angesprochen, die Systeme zur Steuerung und Kommunikation im Kontext der Prozesssteuerung einsetzen.

Welchen Stellenwert haben die BDEW/OE Sicherheitsanforderungen?

Insbesondere Energieversorgungsnetzbetreiber sind seit Einführung des IT-Sicherheitsgesetzes dazu verpflichtet ein ISMS bis Januar 2018 einzuführen. Maßgeblich für die Umsetzung eines ISMS ist dabei der IT-Sicherheitskatalog sowie die Normen ISO/IEC 27000, 27001, 27002 und 27019.

Der IT-Sicherheitskatalog macht die Anwendung der genannten Normen verbindlich. Da die ISO/IEC 27019 die Sicherheitsmaßnahmen des BDEW/OE als zusätzliche Umsetzungsempfehlungen referenziert, sind sie für die Branche ebenso verbindlich.

Welche strukturellen Änderungen bringt die neue BDEW/OE Whitepaper Version?

In Teil 1 der neuen Beitragsserie „BDEW Sicherheitsanforderungen 2018: Was ist neu?“ werden zunächst die strukturellen Veränderungen des alten und neuen BDEW/OE Whitepapers betrachtet. Die inhaltliche Analyse beginnt ab Teil 2 unserer Beitragsserie.

Wenn Sie keine Zeit finden, um regelmäßig hier im xmera blog vorbei zu schauen, dann melden sie sich für unserem kostenfreien Infoservice an!

Dokumente und Sprachen

Die Vorgängerversion des neuen BDEW/OE Whitpapers besteht aus zwei Dokumenten. Sicherheitsanforderungen sind getrennt von den Ausführungshinweisen veröffentlicht und aktualisiert worden. Das Dokument zu den Sicherheitsanforderungen ist zweisprachig, in Deutsch und Englisch, aufgebaut.

BDEW/OE Whitepaper Version 1.1 03/2015
BDEW/OE Sicherheitsanforderungen Version 1.1 05/2015
BDEW/OE Ausführungshinweise Version 1.1 11/2014

Die größte strukturelle Neuerung besteht darin, dass es fortan nur noch ein Dokument je Sprache gibt. Grundlage des neuen BDEW/OE Whitepapers sind die alten Ausführungshinweise (Version 1.1 11-2014).

BDEW/OE Whitepaper Version 2.0 05/2018

Der Umfang des neuen Whitepapers ist gegnüber den alten Ausführungshinweisen um 16% geschrumpft. Ein Blick auf die Inhaltsstruktur soll Aufschluss geben welche Bereiche weggefallen oder gekürzt wurden.

Inhaltsstruktur

Grundsätzlicher Aufbau

Beide Versionen setzen den Sicherheitsanforderungen den Abschnitt „Anwendungshinweise“ voraus. In den zugehörigen Unterkapiteln unterscheiden sie sich ebenfalls nicht.

Die Sicherheitsanforderungen sind in Themenbereiche mit Unterkapiteln unterteilt. Jedes Unterkapitel ist tabellarisch in sich stets wiederholdende Sektionen unterteilt. Beiden Versionen gemeinsam sind die Sektionen „Sicherheitsanforderungen“, „Ergänzungen und Anmerkungen“ sowie Anmerkungen zu den drei Haupttechnologien „Betriebsführungs-/Leitsysteme und Systembetrieb“, „Übertragungstechnik/Sprachkommunikation“ und „Sekundär-, Automatisierungs- und Fernwirktechnik“.

Die alten Ausführungshinweise gaben zusätzliche Informationen dazu welche Betriebsbereiche (Produkt-/Systementwicklung, Systembetrieb, etc.) betroffen waren und machten zudem „Organisatorische Anmerkungen“. Beides entfällt im neuen BDEW/OE Whitepaper.

Der Anhang ist thematisch in beiden Dokumenten identisch.

Strukturelle Veränderungen

Die Inhaltsstruktur des neuen Whitepapers ist etwas grober als die alten Ausführungshinweise, da es mit einer Strukturhierarchie weniger auskommt.

In der neuen Version gibt es acht Themenbereiche. Die Bereiche „Projektorganisation“ und „Wartung“ gab es zwar zuvor namentlich nicht. Doch ihre Unterkapitel sind wohlbekannt.

Das Thema Dokumentation entfällt als eigener Bereich. Es findet sich dafür im Themenbereich „Allgemeine Anforderungen“ wieder. Die meisten der zuvor definierten Sicherheitsanforderungen sind in den Teil „Ergänzungen und Anmerkungen“ verlegt worden.

In den Unterkapiteln hat sich, wenn überhaupt, meistenteils die Bezeichnung etwas verändert.  Neue Unterkapitel dagegen sind „Nutzung von Cloud-Diensten“ und „Virtualisierungstechnologien“.

Wenn Sie sich selbst einen ersten Eindruck von den Unterschieden der Dokumentenstruktur machen möchten, dann lesen Sie den nächsten Abschnitt sorgfältig. Alle anderen Leser können gerne von hier aus direkt zum Abschnitt Zusammenfassung und Ausblick“ springen.

Textvergleich: Inhaltsverzeichnis

Bevor Sie sich den Vergleich des alten und neuen Inhaltsverzeichnis anschauen, empfehle ich zunächst die Funktionsweise des Textvergleiches nachzuvollziehen. Das nachfolgende Beispiel erklärt Ihnen Stärken und Schwächen des Textvergleichs.

<>So funktioniert der Textvergleich
Alte Textversion Neue Textversion
Unverändert: Unveränderter Text: Unverändert: Unveränderter Text:
Unverändert: Textabschnitte, die in beiden Textversionen übereinstimmen werden nicht markiert. Unverändert: Textabschnitte, die in beiden Textversionen übereinstimmen werden nicht markiert.
Unverändert: Gering veränderter Text: Unverändert: Gering veränderter Text:
Gelöscht: Textabschnitte mit geringen Unterschieden erhalten mehrere Makierungen. Zum einen wird der Hintergrund des Abschnittes in der alten Textversion hell-rot gefärbt, in der neuen Textversion hell-grün. Bei geringen Textveränderungen werden in der alten Version Wörter, die in der neuen Version nicht mehr existieren, gestrichen und mit einem kräftigen Rot hinterlegt. Gibt es in der neuen Version neue Wörter, werden diese mit einem kräftigen Grün markiert.  Hinzugefügt: Textabschnitte mit geringen Unterschieden erhalten bis zu zwei Makierungen. Zum einen wird der Hintergrund des Abschnittes in der alten Textversion hell-rot gefärbt; in der neuen Textversion ist die Hintergrundfarbe hell-grün. Bei geringen Textveränderungen werden in der alten Version Wörter, die in der neuen Version nicht mehr existieren, gestrichen und mit einem kräftigen Rot markiert. Gibt es in der neuen Version neue Wörter, werden diese Wörter mit einem kräftigen Grün gekennzeichnet.
Unverändert: Grund verschiedene Textabschnitte: Unverändert: Grund verschiedene Textabschnitte:
Gelöscht: Sind zwei zu vergleichende Textabschnitte zu unterschiedlich, dann wird lediglich der Hintergrund, wie oben erläutert, eingefärbt. Hinzugefügt: Werden Passagen eines Textes in einer neueren Version vollständig überarbeitet, so dass der grobe Inhalt zwar noch bestehen bleibt, aber die Wortwahl und der Satzbau sich grundlegend ändern, dann werden in den Spalten der alten und neuen Textversion lediglich die Hintergründe farblich hervorgehoben. Dabei erscheint der alte Text vor einem hell-roten Hintergrund, der neue Text vor einem hell-grünen. Da der Algorithmus den Inhalt eines Textes nicht versteht, stehen neben den veränderten Texten unter Umständen leere Spalten. Die zu vergleichenden Textabschnitte erscheinen daher versetzt.
Unverändert: Strukturveränderungen von Texten: Unverändert: Strukturveränderungen von Texten:
Gelöscht: Dieser Textteil soll lediglich die Struktur des Textes beeinflussen.  
Gelöscht: Wenn Textpassagen sich nur gering oder gar nicht verändert haben, aber an einer anderen Stelle im Dokument stehen, dann kann der Textvergleich schon mal unübersichtlich werden, da sich die Abschnitte nicht gegenüber stehen können. Hinzugefügt: Dieser Textabschnitt soll die Struktur des neuen Textes verändern, so dass ein gering veränderter Text an einer späteren Stelle erscheint.
Unverändert: Dieser Textteil soll genuso wie weiter oben auch nur die Struktur des Textes beeinflussen. Unverändert: Dieser Textteil soll genuso wie weiter oben auch nur die Struktur des Textes beeinflussen.
Gelöscht: Auch dieser Abschnitt dient der strukurellen Textveränderung. Hinzugefügt: Wenn Textpassagen sich nur gering oder gar nicht verändert haben, aber an einer anderen Stelle im Dokument stehen, dann kann der Textvergleich schon mal unübersichtlich werden, da sich die Abschnitte nicht gegenüber stehen können.
Es folgt die Gegenüberstellung der Inhaltsverzeichnisse der alten und neuen Version der Sicherheitsanforderungen. Die den Sicherheitsanforderungen voran- und nachgestellten Kapitel wurden vom Vergleich ausgeschlossen, da sie thematisch identisch sind.

<>Sicherheitsanforderungen - Inhaltsverzeichnis
BDEW Version 1.1 11/2014 BDEW Version 2.0 05/2018
Gelöscht: 2 Umsetzungshinweise zu den BDEW-Sicherheitsanforderungen  
Gelöscht: 2.1 Allgemeines/Organisation  
Gelöscht: 2.1.1 Allgemeines  
  Hinzugefügt: 4 Sicherheitsanforderungen
  Hinzugefügt: 4.1 Allgemeine Anforderungen
Gelöscht: 2.1.1.1 Sichere Systemarchitektur  Hinzugefügt: 4.1.1 Sichere Systemarchitektur
  Hinzugefügt: 4.1.2 Patchfähigkeit und Patch-Management
  Hinzugefügt: 4.1.3 Bereitstellung von Sicherheits-Patches für alle Systemkomponenten
  Hinzugefügt: 4.1.4 Support für eingesetzte Systemkomponenten
  Hinzugefügt: 4.1.5 Verschlüsselung vertraulicher Daten
  Hinzugefügt: 4.1.6 Kryptographische Verfahren
  Hinzugefügt: 4.1.7 Sichere Standard-Konfiguration
  Hinzugefügt: 4.1.8 Integritäts-Prüfung
  Hinzugefügt: 4.1.9 Nutzung von Cloud-Diensten
  Hinzugefügt: 4.1.10 Anforderungen an die Dokumentation
  Hinzugefügt: 4.2 Projektorganisation
Gelöscht: 2.1.1.2 Ansprechpartner  Hinzugefügt: 4.2.1 Ansprechpartner
Gelöscht: 2.1.1.3 Patchfähigkeit, Patchmanagement  
Gelöscht: 2.1.1.4 Bereitstellung von Sicherheitspatches für alle Systemkomponenten   
Gelöscht: 2.1.1.5 Support für eingesetzte Systemkomponenten   
Gelöscht: 2.1.1.6 Verschlüsselung sensibler Daten bei Speicherung und Übertragung  
Gelöscht: 2.1.1.7 Verschlüsselungsstandards  
Gelöscht: 2.1.1.8 Interne/externe Sicherheits- und Anforderungstests und zugehörige Dokumentation  
Gelöscht: 2.1.1.9 Sichere Standard-Konfiguration und Erstinstallation bzw. (Wieder-)Inbetriebnahme  
Gelöscht: 2.1.1.10 Integritäts-Prüfung   
Gelöscht: 2.1.2 Dokumentation  
Gelöscht: 2.1.2.1 Design-Dokumentation, Beschreibung Sicherheitsrelevanter Systemkomponenten und Implementations-Spezifikationen  
Gelöscht: 2.1.2.2 Administrator- und Benutzer- Dokumentation  
Gelöscht: 2.1.2.3 Dokumentation sicherheitsrelevanter Einstellungen und Systemmeldungen  
Gelöscht: 2.1.2.4 Dokumentation der Voraussetzungen und Umgebungs-Anforderungen für den sicheren System-Betrieb  
  Hinzugefügt: 4.2.2 Sicherheits- und Abnahmetests
  Hinzugefügt: 4.2.3 Sichere Datenspeicherung und Übertragung
  Hinzugefügt: 4.2.4 Übergabe projektspezifischer Anpassungen
Gelöscht: 2.2 Bereich Basissystem  Hinzugefügt: 4.3 Basissystem
Gelöscht: 2.2.1 Grundsicherung und Systemhärtung  Hinzugefügt: 4.3.1 Grundsicherung und Systemhärtung
Gelöscht: 2.2.2 Antiviren-Software  
  Hinzugefügt: 4.3.2 Schadsoftware-Schutz
Gelöscht: 2.2.3 Autonome Benutzerauthentifizierung  Hinzugefügt: 4.3.3 Autonome Benutzerauthentifizierung
  Hinzugefügt: 4.3.4 Virtualisierungstechnologien
Gelöscht: 2.3 Bereich Netze / Kommunikation Hinzugefügt: 4.4 Netzwerk und Kommunikation
Gelöscht: 2.3.1 Sichere Netzwerkkonzeption und Kommunikationsverfahren  
Gelöscht: 2.3.1.1 Eingesetzte Protokolle und Technologien  Hinzugefügt: 4.4.1 Eingesetzte Protokolle und Technologien
Gelöscht: 2.3.1.2 Sichere Netzwerkstruktur  Hinzugefügt: 4.4.2 Sichere Netzwerkstruktur
Gelöscht: 2.3.1.3 Dokumentation der Netzwerkstruktur und -konfiguration  Hinzugefügt: 4.4.3 Dokumentation der Netzwerkstruktur und -konfiguration
Gelöscht: 2.3.2 Sichere Wartungsprozesse und RAS-Zugänge  
Gelöscht: 2.3.2.1 Sichere Fern-Zugänge  Hinzugefügt: 4.4.4 Sichere Fern-Zugänge
  Hinzugefügt: 4.4.5 Funktechnologien
  Hinzugefügt: 4.5 Anwendung
  Hinzugefügt: 4.5.1 Rollenkonzepte
  Hinzugefügt: 4.5.2 Benutzer-Authentifizierung und Anmeldung
  Hinzugefügt: 4.5.3 Autorisierung von Aktionen auf Benutzer- und Systemebene
  Hinzugefügt: 4.5.4 Web-Applikationen und Web-Services
  Hinzugefügt: 4.5.5 Integritätsprüfung
  Hinzugefügt: 4.5.6 Logging
  Hinzugefügt: 4.6 Entwicklung
  Hinzugefügt: 4.6.1 Sichere Entwicklungsstandards, Qualitätsmanagement und Freigabeprozesse
  Hinzugefügt: 4.6.2 Sichere Entwicklungs- und Test-Systeme, Integritäts-Prüfung
  Hinzugefügt: 4.7 Wartung
Gelöscht: 2.3.2.2 Anforderung an die Wartungsprozesse  Hinzugefügt: 4.7.1 Anforderung an die Wartungsprozesse
Gelöscht: 2.3.3 Funktechnologien: Bedarf und Sicherheitsanforderungen  
Gelöscht: 2.4 Bereich Anwendung   
Gelöscht: 2.4.1 Benutzerverwaltung  
Gelöscht: 2.4.1.1 Rollenkonzepte   
Gelöscht: 2.4.1.2 Benutzer-Authentifizierung und Anmeldung   
Gelöscht: 2.4.2 Autorisierung von Aktionen auf Benutzer- und Systemebene   
Gelöscht: 2.4.3 Anwendungsprotokolle  
Gelöscht: 2.4.4 Web-Applikationen  
Gelöscht: 2.4.5 Integritätsprüfung relevanter Daten  
Gelöscht: 2.4.6 Protokollierung, Audit-Trails, Timestamps, Alarmkonzepte  
Gelöscht: 2.4.7 Self-Test und System-Verhalten  
Gelöscht: 2.5 Entwicklung, Test und Rollout   
Gelöscht: 2.5.1 Sichere Entwicklungsstandards, Qualitätsmanagement und Freigabeprozesse   
Gelöscht: 2.5.2 Sichere Datenhaltung und Übertragung   
Gelöscht: 2.5.3 Sichere Entwicklungs-, Test- und Staging-Systeme, Integritäts-Prüfung   
Gelöscht: 2.5.4 Sichere Update- und Wartungsprozesse Hinzugefügt: 4.7.2 Sichere Updateprozesse
Gelöscht: 2.5.5 Konfigurations- und Change-Management, Rollbackmöglichkeiten  Hinzugefügt: 4.7.3 Konfigurations- und Change-Management, Rollbackmöglichkeiten
Gelöscht: 2.5.6 Behandlung von Sicherheitslücken  Hinzugefügt: 4.7.4 Behandlung von Sicherheitslücken
Gelöscht: 2.5.7 Sourcecode-Hinterlegung  
Gelöscht: 2.6 Datensicherung/-wiederherstellung und Notfallplanung  Hinzugefügt: 4.8 Datensicherung und Notfallplanung
Gelöscht: 2.6.1 Backup: Konzept, Verfahren, Dokumentation, Tests  Hinzugefügt: 4.8.1 Backup: Konzept, Verfahren, Dokumentation, Tests
Gelöscht: 2.6.2 Notfallkonzeption und Wiederanlaufplanung  Hinzugefügt: 4.8.2 Notfallkonzeption und Wiederanlaufplanung

Zusammenfassung und Ausblick

Das neue BDEW/OE Whitepaper zum Thema „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“ ist deutlich übersichtlicher geworden.

Aus zwei Dokumenten wurde eines gemacht. Der Inhalt ist etwas grober strukturiert und damit vor allem im Inhaltsverzeichnis lesbarer geworden. Die Ausführungshinweise fallen im Allgemeinen schlanker aus, weil die „Organisatorischen Anmerkungen“ entfallen sind.

Wichtige Themen unserer Zeit wie die „Nutzung von Cloud-Diensten“ und „Virtualisierungstechnologien“ sind neu aufgenommen worden.

Anpassungen an gesetzliche Anforderungen wie die EU-Datenschutzgrundverordnung, das IT-Sicherheitsgesetz oder die EU-Cybersicherheitsrichtlinie (NIS-Richtlinie) werden ab Teil 2 unserer Beitragsserie „BDEW Sicherheitsanforderungen 2018: Was ist neu?“ deutlich werden.

Bekommen Sie schon unseren xmera blogletter? Nein? Dann melden sie sich für unserem kostenfreien Infoservice an!

xmera nimmt dann für Sie die Sicherheitsanforderungen im Einzelnen unter die Lupe und zeigt Ihnen dabei auf, was sich für Ihr ISMS ändert.