Energieversorger stehen vor großen Herausforderungen. Im Zuge des § 11 Abs. 1a des Energiewirtschaftsgesetzes (EnWG) und des IT-Sicherheitskatalogs der Bundesnetzagentur gewinnt für sie der Schutz ihrer IT-Infrastrukturen deutlich an Brisanz. »Die BNetzA plant die Einführung sowie Zertifizierung eines Informationssicherheits-Managementsystems – kurz ISMS – nach ISO 27001 als verpflichtende Anforderung an die Strom- und Gasnetzbetreiber in Deutschland«, erklärt Christian Bruns. Der Manager Informationssicherheit der BTC Technology Consulting AG spürt eine hohe Unsicherheit in der Branche bezüglich des Aufwandes und der Kosten. »Insbesondere kleinere Energienetzbetreiber und Stadtwerke bewegen sich hier auf einem für sie weithin unbekanntem Terrain«, so Bruns.
Fahrplan in drei Phasen
Vor dem Hintergrund erfolgreich realisierter ganzheitlicher Security-Konzepte wurde ein praxisbewährter Fahrplan zur Umsetzung der neuen Sicherheitsauflagen entwickelt. Das Vorgehensmodell unterteilt sich in drei Phasen und den eigentlichen Zertifizierungsvorgang. Diese umfassen unter anderem den Geltungsbereich des ISMS festzulegen, den angestrebten Sicherheitsgrad sowie den Wert der zu schützenden Dokumente, Systeme und Personen für eine Organisation zu definieren, um im Anschluss Risiken und notwendige Sicherheitsmaßnahmen bestimmen zu können. Als unterstützende Maßnahmen während der gesamten Prozessdurchführung sind die Beauftragung eines fachkundigen Sicherheitsbeauftragten sowie das Coaching eines Mitarbeiters zum ISO-27001-Auditor vorgesehen. Zielsetzung ist die Zertifizierung und die Übergabe der Verantwortung für das ISMS an den Netzbetreiber. Nach der Übergabe wird das ISMS durch das Unternehmen eigenständig betrieben. BTC selbst steht nach der Übergabe im Bedarfsfall bei speziellen Fragestellungen beratend zur Seite.
Eine ISMS-Einführung heißt immer auch, Ziele und Maßnahmen der Informationssicherheit auf allen Ebenen und in allen Prozessen einer Organisation zu verankern. »Informationssicherheit ist in erster Linie eine Managementaufgabe und unternehmerische Herausforderung. Sie darf nicht auf technische Prozeduren beschränkt werden«, betont Sicherheitsexperte Bruns. Selbst bei einem stringenten schlanken Vorgehensmodell ist die Einführung daher stets ein größeres Projektvorhaben. Spontane Einschätzungen zu Aufwand und Dauer sind hier kaum möglich, da für jedes Unternehmen individuelle Anforderungen gelten.
Kurzaudit als verlässliche Planungsgrundlage
Um ein Gespür für den Aufwand zu entwickeln, empfiehlt BTC deshalb vor der eigentlichen ISMS-Einführung zunächst ein Kurzaudit vorzunehmen. Die zertifizierten ISO 27001-Auditoren und Cyber-Security-Practitioner von BTC begutachten hierbei das Angriffsrisiko und gleichen es mit dem vorhandenen Sicherheitsniveau ab. Auf diese Weise entsteht ein dokumentiertes Lagebild zum aktuellen Sicherheitsniveau und zum Handlungsbedarf. Basis des Kurzaudits bildet der Cyber-Sicherheits-Check des Bundesamts für Sicherheit in der Informationstechnik (BSI). Diesen hat BTC an die Belange des IT-Sicherheitskatalogs der BNetzA für die Energiewirtschaft, der künftig verbindlich ist, angepasst.
»Netzbetreiber erhalten mit dem Audit eine verlässliche Planungsgrundlage«, erläutert Bruns. »Sie können damit Kosten und Nutzen ihres ISMS-Vorhabens sicher einschätzen und die notwendigen Schritte planen«. Der Sicherheitsexperte empfiehlt Unternehmen noch in diesem Jahr ein solches Kurzaudit vorzunehmen, um sich rechtzeitig auf die künftigen Sicherheitsauflagen vorzubereiten. Wer zu lange wartet, dem droht die Gefahr, den Startpunkt für eine fristgerechte Umsetzung zu verpassen. Denn es ist nur noch einen Frage weniger Monate, bis die Einführungspflicht eines Informationssicherheits-Managementsystems für Energienetzbetreiber die letzten Genehmigungshürden genommen haben wird.