IT-Sicherheitsgesetz: So bewältigen Stadtwerke die neue Herausforderung

Die Energieversorgung ist ein zentraler Bereich Kritischer Infrastrukturen (kurz KRITIS). Ausfälle oder Störungen dieser Infrastrukturen haben deutlich spürbare Folgen und wirken sich unmittelbar auch auf die anderen Sektoren und somit auf Staat, Wirtschaft und Gesellschaft aus. Daher gilt es, diese kritischen Infrastrukturen sicher und zuverlässig zu schützen, damit es gar nicht erst zu derartigen Ausfällen kommt. Das neue IT-Sicherheitsgesetz hat hierfür eine gesetzliche Grundlage errichtet. Bundesweit stehen Stadtwerke jetzt vor der Herausforderung, diese Anforderungen zu erfüllen.

Sicherheitsrichtlinien für kritische Infrastrukturen

Aus dem Alltag sind Dinge wie Strom und fließend Wasser kaum noch wegzudenken. Für uns ist es eine Selbstverständlichkeit geworden, dass wir morgens aufstehen und das Licht anknipsen, im Bad den Wasserhahn aufdrehen aus dem sauberes Wasser fließt, dass wir schließlich mit öffentlichen Verkehrsmitteln zur Arbeit fahren, wo wir uns an den Computer setzen, der anspringt, sobald wir den Knopf dafür drücken. Was aber wäre, wenn diese Prozesse gestört würden? Wenn kein Licht angeht, keine Bahn fährt, kein Wasser aus dem Wasserhahn kommt? Ein Stromausfall beispielsweise kann weit reichende Probleme nach sich ziehen. In Krankenhäusern können Daten verloren gehen, wenn die Computer sich unerwartet abschalten, und medizinische Geräte können nicht mehr einwandfrei laufen. Im Kühlhaus können verderbliche Nahrungsmittel nicht mehr gekühlt werden und Privathaushalte frieren im Winter, wenn die Heizung am Stromnetz hängt. Schnell wird deutlich: Je abhängiger wir von funktionierenden IT-Infrastrukturen werden, desto besser müssen sie geschützt werden. Im Mai 2016 trat das neue IT-Sicherheitsgesetz in Kraft, das Sicherheitsrichtlinien für kritische Infrastrukturen in der EU festlegt. Die Energieversorgung ist dabei ein zentraler Bereich.

Handlungsbedarf für Stadtwerke

Viele Stadtwerke stehen gewaltig unter Druck: Die neuen gesetzlichen Anforderungen für die Betreiber kritischer Infrastrukturen betreffen auch die insgesamt rund 800 Stadtwerke in Deutschland. Das Gesetz soll Angriffe von außen verhindern und einen sicheren Netzbetrieb gewährleisten. Für die Stadtwerke bringt das dringenden Handlungsbedarf mit sich. Nach dem neuen Gesetz müssen sie bis Ende Januar 2018 ein Informationssicherheits-Managementsystem (ISMS) etablieren und eine Zertifizierung nach ISO 27001 vorweisen.

Stadtwerk, 300 Mitarbeiter, sucht: Zertifizierung nach ISO27001

Ein Stadtwerk, nennen wir es Neustadt (Name geändert), stellt fest, es ist von dem IT-Sicherheitsgesetz betroffen. Es gehört laut dessen zu den kritischen Infrastrukturen und muss somit bis zum 31. Januar 2018 eine Zertifizierung des Informationssicherheit-Managements (ISMS) nach ISO/IEC 27001 vorweisen. Zur Vorbereitung auf die ISO 27001 Zertifizierung haben sich die Stadtwerke Neustadt einen Überblick gemacht, wie man die kritischen ITK Räumlichkeiten gemäß den ISO 27001 Richtlinien überwachen bzw. die Richtlinien erfüllen kann. Durch Anzeigen in etablierten Fachzeitschriften und schließlich über Suchmaschinen im Internet sind sie auf Kentix aufmerksam geworden. Die All-in-One Lösung für Umgebungsmonitoring und Zutrittskontrolle schien vielversprechend, also hat sich der Verantwortliche zunächst telefonisch informiert. Schnell wurde klar, dass das Kentix-System den Anforderungen der Stadtwerke entspricht und damit eine Zertifzierung nach ISO27001 möglich sein wird. Schon wenige Tage später fuhr ein Kentix-Mitarbeiter mit dem Show-Truck vor, um die Lösung anschaulich live und vor Ort zu demonstrieren. Außerdem wurde bei dem Termin auch ein komplettes Aufmaß der ITK-Räumlichkeiten sowie eine Bedarfsanalyse durchgeführt. Zuletzt wurde das Projekt noch in einzelne Teilphasen untergliedert: Bis wann soll die Monitoringlösung für welche IT-Räume umgesetzt werden? Hierfür wurde jeweils die Dringlichkeit bestimmt und schließlich Installation, Implementierung und Zusammenführung der einzelnen Teilphasen abgeklärt.

360° physische Sicherheit leicht gemacht: Mit Kentix

Monitoringlösung für IT-Räume

Im ersten Schritt stand die physische Sicherheit der IT-Räume im Vordergrund. Für die Absicherung gegen über 35 physische Gefahren wie kritische Klimafaktoren, Brand, Leckage oder Einbruch wurde zunächst ein StarterSet-PRO installiert. Dieses beinhaltet den AlarmManager zur zentralen Steuerung und Verwaltung des Systems sowie einen MultiSensor-RF und einen MultiSensor-DOOR zur physischen Überwachung des Raumes. Die Grundausstattung wurde dann mit einem Leckagesensor zum Schutz vor Wassereinbruch und einem Keypad zur Zutrittsprotokollierung erweitert. Alle Sensoren melden umgehend an den AlarmManager, wenn Gefahr im Verzug ist, und der AlarmManager sendet diese per SMS, E-Mail oder Push-Nachricht weiter an die verantwortlichen Personen. Schließlich wurde noch eine IP-Kamera installiert, die sich nahtlos ins Kentix Portfolio integrieren lässt.

Schutz vor unbefugtem Zugriff für Serverschränke

Im zweiten Schritt wurde mit dem Kentix DoorLock® eine Zutrittslösung für sechs Serverschränke im Technikaum umgesetzt. Hierfür kommt ein AccessPoint zum Einsatz, der das System steuert und über dessen Weboberfläche Berechtigungen vergeben oder entzogen werden können. Die IT-Racks wurden umgerüstet und jeweils mit einem Halbzylinder versehen, auf den der Online Türknauf aufgesteckt wird. So lässt sich die Tür nur mit einem RFID Medium und ausreichender Berechtigung öffnen.

Standortübergreifende Erweiterung des Systems

Im dritten Schritt schließlich wurde die Zutrittslösung sowie die physische Absicherung auf zusätzliche Technikräume, Verteiler und Büros erweitert. Insgesamt sind bei den Stadtwerken Neustadt nun 12 Räume rundum gegen physische Gefahren und unbefugten Zutritt geschützt. An den Bürotüren wurde anstatt dem Online Türknauf jeweils der Online Türdrücker eingebaut. Dieser ermöglicht einen komfortablen Zutritt zu hoch frequentierten Türen. Es lässt sich eine zeitgesteuerte Einkupplung einrichten, sodass nur einmal eine Buchung mit einem RFID Medium ausgeführt werden muss um den Online Türdrücker für einen festgelegten Zeitrahmen dauerhaft freizuschalten. So muss nicht bei jedem einzelnen Zutritt gebucht werden, um die Tür zu öffnen. Am Abend verschließt sich die Tür dann wieder von alleine. Außerdem wurden zusätzliche IP-Kameras installiert, die bei einer Buchung am Türöffner angesteuert werden und eine Bildsequenz aufzeichnen. Fehlbuchungen oder Sabotageversuche werden umgehend mit den Bildern im Anhang per E-Mail an die verantwortlichen Personen gesendet. Weitere MultiSensor-LAN sorgen für physische Sicherheit in den IT-Räumen. Insgesamt wird die Monitoring- und Zutrittslösung kontinuierlich auf insgesamt 380 Verteilerstandorte ausgebaut. Dank der gebäudeübergreifenden Vernetzung der Komponenten untereinander und der zentralen Verwaltung ist dies kein Problem. Das komplette System lässt sich dabei bequem via Webbrowser oder App für Smartphone und Tablet steuern – überall und zu jeder Zeit. So haben die Stadtwerke Neustadt ihre IT-Infrastruktur sowie ihre Räumlichkeiten immer im Blick und können im Ernstfall handeln, bevor es überhaupt erst zu Ausfällen kommt. Damit steht der Zertifizierung gemäß ISO27001 nichts mehr im Wege.

Erfüllung aller Voraussetzungen zur Zertifizierung gemäß ISO27001

Bei der Auslegung des Kentix Systems wurden folgende der im BSI-Grundschutzkatalog beschriebenen Gefährdungslagen berücksichtigt.

• Höhere Gewalt (G 1.4, 1.5, 1.7)
• Organisatorische Mängel (G 2.6)
• Techn. Versagen (G 4.1, 4.2, 4.6)
• Vorsätzliche Handlung (G 5.1, 5.2, 5.3, 5.4, 5.5)
• Gefahrenmeldeanlage (M1.18)  (ISO 27002, 11.1.4)
• Fernanzeigen von Störungen (M 1.31)
• Brandmeldesysteme im Rechenzentrum (M 1.48)
• Brandfrüherkennung / Löschtechnik (M 1.54)
• Zutrittskontrolle (M 2.17)

Auszug aus einem Auditbericht vom TÜV Rheinland:

Bei der Auslegung des Kentix Systems wurden folgende der DIN 27001 beschriebenen Anforderungen erfüllt.

• A.9 Zugriffskontrolle
• A.11 Physische und umgebungsbezogene Sicherheit