Bundesamt it Sicherheit

BAFU it-Sicherheit

begleitend Nach dem BStatG sind das Statistische Bundesamt und das Statistische Landesamt für die Erhebung, Verarbeitung und Veröffentlichung von Informationen zuständig. Die Übermittlung personenbezogener Informationen für die Statistik des Staates ist nur in begründeten Fällen erlaubt. Zur Erfüllung unseres Auftrags auch im Hinblick auf Datensicherheit und IT-Sicherheit werden alle notwendigen organisatorischen, personalwirtschaftlichen und fachlichen Massnahmen in einem ständigen Optimierungsprozess nach den Vorgaben des Bundesamts für Sicherheit in der Informationstechnologie (BSI) ergreift.

Unsere Massnahmen umfassen unter anderem modernste Verschlüsselungstechniken, die eine revisionssichere Authentifizierung und Übermittlung Ihrer Angaben online bei der Einhaltung Ihrer Berichtspflichten sowie bei freiwilligen statistischen Meldungen gewährleiste. Ein ganzes Paket von Massnahmen ist auch erforderlich, um die Geheimhaltung bei der Verarbeitung und für die Aufbewahrung von sensiblen Informationen zu garantieren.

Auch hier kommen vom BSI getestete und freigegebene Security-Produkte zum Einsatz.

aabbr title= "Informationstechnologie">ITSicherheitskatalog für Strom- und Erdgasnetze

Kernanforderung des IT-Sicherheitskatalogs ist die Pflicht der Netzbetreiber der betroffenen Energiesysteme, ein Informationssicherheitsmanagementsystem zu errichten. Sicherung der Zugänglichkeit der zu sichernden Anlagen und der zu sichernden Dateien unter Wahrung der Geheimhaltung der zu verarbeitenden Informatika. Mit dem IT-Sicherheitskatalog verpflichten sich die Strom- und Erdgasnetzbetreiber zur Einführung von IT-Mindeststandards. Kernvoraussetzung ist der Aufbau eines Informationssicherheitsmanagementsystems (ISMS) nach DIN ISO/IEC 27001 und dessen Zertifizierungen bis zum Stichtag 30. Juni 2018 Das Konformitätsbewertungsverfahren zur Zulassung von Zertifizierern für den IT-Sicherheitskatalog nach 11 Abs. 1a EnWG wurde an drei Punkten umgestaltet: Das System wurde umgestellt: Das Programm zur Konformitätsbewertung für die Zulassung von Zertifizierern gemäß 11 Abs. 1a EnWG wurde umgestellt: das System für die Bereiche IT-Sicherheit und IT-Sicherheit:

Als Anhang zum Programm zur Konformitätsbewertung wurde ein Beispiel mit den inhaltlichen und formalen Vorgaben für das auszustellende Zertifizierungsdokument eingefügt. Die akkreditierten Zertifizierer für die Durchführung des IT-Sicherheitskatalogs nach 11 Abs. 1a EnWG sind in der Datenbasis der DAkkS zu finden: Tragen Sie das Schlagwort "IT-Sicherheitskatalog" in das Eingabefeld ein.

Von wem wird der IT-Sicherheitskatalog umgesetzt? Dabei ist es unerheblich, ob ein Strom- oder Gasnetzbetreiber als Betreiber oder im Zuge eines Mietmodells ein Strom- oder Gasnetzwerk unterhält. Was, wenn ich die vom IT-Sicherheitskatalog erfassten Anlagen nicht selbst betreue, sondern von Dritten betrieben werde (Outsourcing, Management durch Dienstleister)? Wenn ein Netzwerkbetreiber nicht die Applikationen, Anlagen und Bestandteile bedient, auf die sich die Sicherheitserfordernisse des IT-Sicherheitskatalogs berufen, sondern durch einen fremden Dienstanbieter, so befreit ihn dies nicht von seiner eigenen Verantwortlichkeit für die Implementierung des IT-Sicherheitskatalogs.

In diesem Fall hat er durch geeignete Vertragsvereinbarungen sicherzustellen, dass der Auftragnehmer die Sicherheitsbestimmungen erfüllt (zur Fragestellung, welche Folgen dies für die geforderte Zulassung hat, siehe unten). Welche Bedeutung hat die Feststellung "Die Bestimmungen des SÜG und der SÜFV sind bei der Ermittlung des Ansprechpartner zu beachten"?

Auf dem Gebiet des präventiven Personen-Sabotageschutzes für Mitarbeiter an einer sicherheitssensiblen Position innerhalb einer vitalen Anlage sorgt das SÜG für eine Sicherheitskontrolle nach § 1 Abs. 1 und 4. Daher müssen sich nur diejenigen, die in einem sicherheitsrelevanten Gremium von Elektrizitätsübertragungsnetzbetreibern arbeiten, einer Sicherheitsprüfung stellen. Gemäß 12 SSÜFV ist das Bundesministerium für Verkehr, Bau und Stadtentwicklung (BMWi) für die Sicherheit sbetrachtung verantwortlich.

Sind getrennte Zertifizierungen für die Bereiche Elektrizität und Erdgas nötig? Werden die Aktivitäten der Stromübertragung, -verteilung, -übertragung oder -verteilung von einer Mehrspartengesellschaft durchgeführt, ist für die Bereiche Elektrizität und Erdgas keine getrennte Bescheinigung vonnöten. In jedem Falle muss jedoch sichergestellt sein, dass alle für den gesicherten Betrieb des Elektrizitäts- und Gasnetzes erforderlichen Telekommunikations- und EDV-Systeme in den Geltungsbereich des Zertifikates fallen.

Anlagen, die ausschliesslich für den Einsatz in anderen Bereichen eines Versorgungsunternehmens erforderlich sind (z.B. Fernwärme) und nicht für den gefahrlosen Einsatz im Strom- oder Gasnetz relevant sind, fallen nicht unter den Geltungsbereich des IT-Sicherheitskatalogs. Die Zertifizierung basiert im Kern auf dem bestehenden ISO/IEC 27001-Zertifikat bzw. Zertifizierungssystem und ergänzt dieses um die Zusatzanforderungen des IT-Sicherheitskatalogs.

Darüber hinaus ist der Geltungsbereich (Scope) so festzulegen, dass mindestens die für den gesicherten Netzwerkbetrieb erforderlichen Telekommunikations- und EDV-Systeme durch die Zulassung abgedeckt sind. Vorhandene Zertifikate nach ISO/IEC 27001, BSI Grundchutz etc. reichen daher nicht aus, um die Einhaltung der Vorgaben des IT-Sicherheitskatalogs zu belegen. Brauche ich noch eine Zulassung?

Wenn ein Strom- oder Erdgasnetzbetreiber in seinem Netzwerk keine vom IT-Sicherheitskatalog abgedeckten Anlagen unterhält und diese nicht von einem fremden Dienstanbieter betrieben lassen oder wenn es sich nur um Anlagen ohne Risikopotenzial handeln sollte, entfällt auch die Verpflichtung, die entsprechenden sicherheitstechnischen Anforderungen des IT-Sicherheitskatalogs umzusetzen. Eine Zertifikation ist nicht erforderlich. Bei einem Netzbetreiber müssen die für den gesicherten Betrieb notwendigen Telekommunikations- und EDV-Systeme im Zuge der erforderlichen Risikobewertung ermittelt werden.

Der im IT-Sicherheitskatalog enthaltene Telekommunikations- und IT-Systeme, die für den gesicherten Netzwerkbetrieb erforderlich sind, werden über einen Managementvertrag von einem Dritten betrieben. Muß sich der Netzwerkbetreiber noch selber ausweisen? Weil der Netzwerkbetreiber selbst auch Anlagen im Rahmen des IT-Sicherheitskatalogs unterhält, muss er eine entsprechende Zulassung zum Nachweisen der Implementierung des IT-Sicherheitskatalogs durchführen lassen.

Dabei sind sowohl die vom Service Provider betreibenden als auch die vom Service Provider verwalteten Anlagen zu berücksicht. Der Netzbetreiber hat in diesem Falle für die Implementierung und Konformität des IT-Sicherheitskatalogs durch den Diensteanbieter zu sorgen. Um dies nachzuweisen, muss im Zuge der Zulassung ein Doppel des an den für die operative Führung zuständigen Leistungserbringer ausgestellten Zertifikats eingereicht werden.

Hierfür ist keine weitere Zulassung des Netzwerkbetreibers vonnöten. Der Betrieb wird in der Regel von einem Service-Provider geführt, der selbst Netzwerkbetreiber ist und daher zur Beachtung des IT-Sicherheitskatalogs und zur Erlangung der Zertifizierungen angehalten ist. Zudem muss der Beweis erbracht werden, dass der Netzwerkbetreiber selbst keine anderen im IT-Sicherheitskatalog erfassten Anlagen unterhält.