Information Security Management System Sicherheit wird für EVU geschäftsentscheidend

GISA GmbH

Thomas Steinbach sieht gerade kleine und mittlere Stadtwerke bedroht: „Angreifer gehen gerne den Weg des geringsten Widerstandes und suchen sich ihre Ziele dort, wo sie mit geringerer Gegenwehr rechnen können“.

Bild: iStock, ayo888
03.04.2017

Stadtwerken und Energiedienstleistern bleibt wenig Zeit. Bis Ende Januar 2018 müssen sie als kritische Infrastrukturen ein zertifiziertes Information Security Management System (ISMS) nachweisen. Viele unterschätzen den Aufwand.

Sponsored Content

Auch wenn das Bewusstsein für notwendige Sicherheitsmaßnahmen in den vergangenen Jahren gestiegen ist: viele Stadtwerke und Energiedienstleister unterschätzen den Aufwand und die Aufgabenlast, die mit der Implementierung eines ISMS und der notwendigen Zertifizierung auf ihr Unternehmen zukommt. Denn in der Form, wie es der Gesetzgeber definiert, ist das ISMS kein einzelner Prozess oder ein Produkt wie ein Virenscanner, sondern ein integrales Konzept. Es beinhaltet alle Verfahren und Regeln, die dazu dienen, das Thema der Informationssicherheit dauerhaft für das gesamte Unternehmen zu definieren, zu steuern und zu kontrollieren. Darüber hinaus muss ein ISMS ständig gepflegt und auf aktuelle Bedürfnisse angepasst werden.

Nach Einschätzung der Unternehmensberatung Axxcon, die für die Studie Informationssicherheit: Sind die Energieversorger schon ISMS-ready? 106 Geschäftsführer, IT-Leiter und IT-Sicherheitsbeauftragte von Energiedienstleistern befragt haben, werden viele Unternehmen den gesetzlich vorgeschriebenen Termin nicht einhalten können. Ein ISMS müsse bis zur Zertifizierungsfähigkeit mindestens sechs Monate im Einsatz sein. Das werde einem Großteil der Unternehmen allein aus Zeitgründen kaum gelingen. Hinzu komme: Bauen alle Unternehmen auf eine Abnahme kurz vor Ablauf der Frist, wird es zu einem Engpass bei den Zertifizierern kommen. „Für Schwarzmalerei besteht aber noch kein Grund“, sagt Thomas Steinbach, ISMS-Experte bei Gisa. „Mit Angst zu argumentieren, ist nicht zielführend.“ Richtig, sei, dass es höchste Zeit ist, das Thema ISMS anzugehen. „Eine Zertifizierung selbst dauert bis zu drei Monate. Die Vorbereitung und der Aufbau dauern in Abhängigkeit vom Kunden mindestens drei Monate, in der Regel ein halbes Jahr, können aber auch längere Zeit in Anspruch nehmen“, so Steinbach. Wichtig sei, dass der Geschäftsführung des Stadtwerkes und dem Sicherheitsverantwortlichen klar ist, dass umfangreiche Mitarbeit auf dem Weg hin zum zertifizierten ISMS notwendig ist.

ISMS konkret

Die Zertifizierung des unternehmenseigenen ISMS kann wesentliche Bereiche des operativen Tagesgeschäfts berühren, umspannt alle sicherheitsrelevanten Aspekte und kann so unterschiedliche Prozesse wie den (Mitarbeiter-) Zugang zum Unternehmen oder die Ausgestaltung der Serverlandschaft beinhalten. Neben der Formulierung der Sicherheitsleitlinie müssen Versorgungsunternehmen viele weitere Bausteine des ISMS berücksichtigen und zertifikatsgerecht abbilden. Dazu gehört beispielsweise die Identifizierung der geschäftsabhängigen Risiken, eine IT-Strukturanalyse, die Abbildung eines Netzstrukturplans, die Schutzbedarfsfeststellung für alle Elemente, die Modellierung passender IT-Sicherheitsbausteine oder die Dokumentation aller Maßnahmen sowie deren Ziele. Abschließend erfolgt die Prüfung der Umsetzung aller Schritte. Mit der Zertifizierung können Unternehmen ihre Sicherheitsstandards nicht nur dem Gesetzgeber sondern auch dem Markt gegenüber belegen. Unabhängig von der gesetzlichen Pflicht wird zertifizierte Sicherheit stärker zum Wettbewerbsvorteil für Energiedienstleister.

Thomas Steinbach sieht gerade kleine und mittlere Stadtwerke bedroht: „Angreifer gehen gerne den Weg des geringsten Widerstandes und suchen sich ihre Ziele dort, wo sie mit geringerer Gegenwehr rechnen können“. Hinzu kommt, dass Sicherheitsstandards wie die ISO27001 gezeigt haben, dass zertifizierte Sicherheit in kurzer Zeit zum Branchenstandard avanciert. „Unternehmen werden in Zukunft nur sehr schwer erklären können, warum sie auf ein zertifiziertes ISMS verzichten, statt auf größtmögliche Sicherheit zu setzen“, erläutert Thomas Steinbach.

Herausforderung Zertifizierung

Der erste Schritt auf dem Weg zur erfolgreichen Zertifizierung ist die Analyse der bestehenden Strukturen. Überprüft werden dabei alle Maßnahmen und Prozesse, die sicherheitsrelevant sind. Thomas Steinbach von Gisa beschreibt, worauf es bei diesem ersten Schritt ankommt: „Bevor irgendwelche Maßnahmen umgesetzt werden können, muss das Unternehmen wissen, wie weit es von der Zertifizierung entfernt ist. Sonst besteht das große Risiko, dass die Unternehmen den Personal- und Zeitbedarf für die Zertifizierung völlig falsch einschätzen.“ Schon ohne Zeitdruck ist diese Aufgabe eine Herausforderung. Mit weniger als einem Jahr verbleibender Frist laufen nun vor allem die Betreiber kritischer Strukturen Gefahr, mit ihrer ISMS-Umsetzung bereits jetzt zu spät dran zu sein.

Standard-Prozess spart Zeit und Nerven

Nur wenige IT-Dienstleister verfügen über das Know-how und die Erfahrung, um Kunden schnell und sicher durch den Prozess führen zu können. Gisa ist einer dieser Dienstleister, der zudem noch Expertenwissen sowohl für die Energiebranche als auch für den Zertifizierungsprozess für ein ISMS mitbringt. Start ist immer der ISMS Quick-Check. Stadtwerke sehen nach diesem halbtätigen Workshop, was ihnen fehlt für ein zertifizierungsfähiges ISMS. Management und Controlling erhalten so transparenten Zugriff auf Soll und Haben der unternehmenseigenen Sicherheitsstrategie. Danach kann das Stadtwerk entscheiden, den Weg alleine weiter zu gehen, oder auf die Unterstützung eines IT-Dienstleisters zu setzen. Ein standardisiertes Vorgehen zu nutzen, kann Zeit und Nerven sparen. Gisa führt für ihre Kunden interne Sicherheitsaudits unter Berücksichtigung der ISO 27001 und der BSI-Grundschutzkataloge durch. Das Unternehmen kann auch Auditoren zur ISO 27001-Zertifizierung zur Verfügung stellen.

ISMS im täglichen Einsatz

Für die Frage der IT-Sicherheit im Sinne des Energiewirtschaftsgesetzes zeichnet grundsätzlich die Geschäftsleitung verantwortlich. Die konkrete Aufgabe der Pflege des ISMS nach der Zertifizierung – inklusive der notwendigen kontinuierlichen Kontrolle – obliegt einem Sicherheitsbeauftragten. Diese Aufgabe kann an einen externen Dienstleister delegiert werden. „Dafür spricht, dass sich so Interessenskonflikte oder arbeitspsychologische Schwierigkeiten vermeiden lassen, wie sie aus hohen Kontrollbefugnissen einzelner Mitarbeiter resultieren können“, erläutert Thomas Steinbach. Für die Geschäftsführung ist das Outsourcing in diesem Fall mit den klassischen Qualitäten der exakten Planbarkeit, der Ressourceneinsparung sowie bestmöglichem Controlling verbunden.

Bildergalerie

  • IT-Sicherheit im Blick: das Gesamtportfolio eines IT-Dienstleisters kann helfen, kritische Anlagen zu schützen.

    IT-Sicherheit im Blick: das Gesamtportfolio eines IT-Dienstleisters kann helfen, kritische Anlagen zu schützen.

    Bild: Gisa

Firmen zu diesem Artikel
Verwandte Artikel