Auszug | eb - Elektrische Bahnen 6 | 2019

247 Projekte Fachwissen 117 (2019) Heft 6 IT-Sicherheit – Gesetze, Prozesse, Technik Alexander Schomberg, Seligenstadt Das IT-Sicherheitsgesetz erzeugt in der Bahnenergieversorgung Anforderungen, die nur durch orga- nisatorische, vertragliche und technische Maßnahmen erfüllt werden können. Diese müssen zwi- schen Betreibern und Lieferanten abgestimmt sein und werden dann auditiert. IT-Security – laws, processes, technology The IT security law generates requirements in the traction power supply that can only be fulfilled by organizational, contractual and technical measures. These must be coordinated between operators and suppliers and are then audited. Sécurité informatique - lois, processus, technologie La loi sur la sécurité informatique conduit à appliquer des exigences dans le domaine de l’alimentation en énergie de traction. Celles ci ne peuvent être respectées qu’au travers de mesures organisation- nelles, contractuelles ou techniques. Elles doivent être coordonnées entre opérateurs et fournisseurs et être alors auditées. 1 Einführung Das schienengebundene Transportwesen präsentiert fast alle Herausforderungen, die im Zusammenhang mit IT-Sicherheit denkbar sind: Personensicherheit, gesellschaftliche Relevanz, die Größe des techni- schen und kommerziellen Prozesses und eine riesige Ausdehnung des Systems in Bezug auf geografische Verteilung und Produktvielfalt. Der jährliche Lagebericht des Bundesamts für Si- cherheit in der Informationstechnik (BSI) bestätigt aber ganz klar, dass es Einzelpersonen, Gruppen und ganze Organisationen gibt, die es sich zum Ziel set- zen, computergestützte Prozesse, die für Andere sehr wichtig sind, effektiv zu schädigen. Diese Ab- sicht zur Schädigung wird unter vielen Gesichts- punkten öffentlich diskutiert: • Täterprofile und -motive • Angriffsobjekte und -methoden • Produktfunktionen und Sicherungsmaßnahmen • Straftatbestände, Strafverfolgung und Gegenan- griffe Die Berichterstattung zu neuen Angriffen nährt im- mer wieder die öffentliche Diskussion. Das ist dem gesellschaftlichen Bewusstwerden zuträglich, beför- dert allerdings nicht die Entwicklung einer professio- nellen Strategie zur IT-Sicherheit. Diese Strategie muss auf fortwährendem Risikomanagement auf- bauen, welches zu klug gewählten Sicherungsmaß- nahmen führt. Das erfordert aber ein abgestimmtes Zusammenwirken der Betreiber kritischer Infrastruk- turen und ihrer Lieferanten. 2 Gesetze 2.1 Europa Die in der Europäischen Union geltende Richtlinie 2016/1148 zur Sicherheit von Informationssystemen [1] richtet sich an die Regierungen der Mitgliedsstaa- ten der Europäischen Union. Artikel 8 (1) fordert die Benennung einer Behör- de, die im jeweiligen Land die IT-Sicherheit beauf- sichtigt und reguliert. Artikel 5 fordert die Ermittlung der Betreiber we- sentlicher Dienste. Ein wesentlicher Dienst wird hier als „für die Aufrechterhaltung kritischer gesellschaft- licher und/oder wirtschaftlicher Tätigkeiten unerläss- lich“ definiert. Artikel 14 (1) bestimmt, dass die Be- treiber der wesentlichen Dienste ein Risikomanage- ment für die Sicherheit ihrer Netz- und Informations- systeme einzurichten haben. Artikel 14 (3) definiert die Pflicht der Betreiber, bei gravierenden Sicher- heitsvorfällen die zuständige Behörde zu informieren. 2.2 Deutschland Die EU-Richtlinie wird durch die folgenden Gesetze und Verordnungen in deutsches Recht umgesetzt: Das IT-Sicherheitsgesetz [2] ist ein sogenanntes Artikelgesetz. Es ändert unter anderem in Artikel 1 das BSI-Gesetz und in Artikel 3 das Energiewirt- schaftsgesetz. Das BSI-Gesetz [3] definiert in §2 (10), 1. die deutschen Wirtschaftssektoren