Informationssicherheit ist mehr als IT-Sicherheit

Interview mit Frank Bisanz , Business Consultant bei arvato Systems

50,2: Herr Bisanz, womit müssen sich die betroffenen Netzbetreiber denn nun konkret auseinandersetzen?

Frank Bisanz unterstützt als Business Consultant bei arvato Systems Unternehmen aus der Energiewirtschaft bei der Einführung eines ISMS
Frank Bisanz unterstützt als Business Consultant bei arvato Systems Unternehmen aus der Energiewirtschaft bei der Einführung eines ISMS

Frank Bisanz: Die erste wichtige Einsicht in diesem Zusammenhang betrifft sicherlich den generellen Wirkungsbereich und die Intention des ISMS. Viele meinen, hier ginge es ausschließlich um IT-Themen. Das ist zu kurz gegriffen, denn Informationen sind Assets des Unternehmens, die nur teilweise in IT-Systemen vorliegen. Informationssicherheit ist also wesentlich mehr als IT-Sicherheit. Das ist natürlich auch absolut sinnvoll, denn bedenken Sie, was geschehen könnte, wenn Unbefugte in die Netzleitstelle eindringen oder Zugriff auf vertrauliche Dokumente auf den Schreibtischen der Mitarbeiter bekämen.

Gibt es denn eine genauere Spezifikation der betroffenen informationen?

Der durch die Netzbetreiber umzusetzende Sicherheitskatalog, der maßgeblich von der BNetzA entworfen wurde, umfasst konkrete Vorgaben für die einzubeziehenden Systeme im Abschnitt D. Genannt sind hier:

  1. Alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Netzbetrieb notwendig sind.
  2. Alle TK- und EDV-Systeme des Netzbetreibers, welche direkt Teil der Netzsteuerung sind, also unmittelbar Einfluss nehmen auf die Netzfahrweise.
  3. TK- und EDV-Systeme im Netz, deren Ausfall die Sicherheit des Netzbetriebs gefährden könnte (zum Beispiel Messeinrichtungen an Trafo- oder Netzkoppelstationen).

Das hört sich nach einem extrem hohen Aufwand an?

Mit der Verpflichtung zur Einführung eines Managementsystems nach der konzeptionellen Struktur der ISO 27001, strebt die Bundesregierung an, das Sicherheitsniveau allgemein und das Bewusstsein für Informationssicherheit im Besonderen kontinuierlich zu erhöhen. Das der ISO 27001 zugrunde liegende Konzept sieht einen kontinuierlichen Prozess „Plan-Do-Check-Act“ vor, dessen Reifegrad mit jedem Durchlauf verbessert wird. Unternehmen sollten diesen kontinuierlichen Entwicklungsprozess als Chance begreifen, auch den Reifegrad der Unternehmensorganisation mittels des Managementsystems (für Informationssicherheit) stetig zu erhöhen.

Wie ist denn die Ausgangslage bei den deutschen Netzbetreibern?

In kleineren Unternehmen sind oft schon die Aufgaben- und Verlaufsdokumentation lückenhaft. Je nach Reifegrad – oft in Korrelation zur Unternehmensgröße (bzw. den verfügbaren Ressourcen) – existieren auch Rollenmodelle für einzelne Aufgaben und eine mehr oder minder klare Beschreibung der Geschäftsprozesse. Ein etabliertes Risikomanagement, welches die IT-Sicherheit oder sogar schon die Informationssicherheit berücksichtigt, ist eher die Ausnahme und meist nur bei den Großen der Branche, wie etwa bei EnBW anzutreffen.

In den technischen Bereichen sind teilweise auf Basis des „Technischen Sicherheits-Managements“ (TSM) des Forum Netztechnik/Netzbetrieb im VDE (FNN) bzw. des Deutschen Verein des Gas- und Wasserfaches e.V. (DVGW) bereits Managementstrukturen etabliert, die als Basis dienen können.

Sicherlich fragen sich viele Netzbetreiber, ob sie die Anforderungen bis 2018 überhaupt erfüllen können. Wie kann speziell ein kleines oder mittleres Unternehmen das Projekt angehen? Was sind sinnvolle erste Schritte?

Ein großer Vorteil des Konzeptes der ISO-Norm liegt in dem postulierten Ziel, ein für das betreffende Unternehmen angemessenes Managementsystem zu etablieren. Dies beinhaltet die vernünftige Prämisse, für die Erstzertifizierung einen mittleren Reifegrad anzustreben, der in den Folgejahren weiterentwickelt wird. Die Unternehmen müssen daher im ersten Schritt der Einführung eines ISMS den für sie angemessenen Scope definieren. Ausgangspunkt sind die Vorgaben des Sicherheitskataloges der BNetzA sowie die Empfehlungen aus der für Energieunternehmen spezifizierten Norm ISO 27019. Darüber hinaus beinhaltet die ISO-Norm zahlreiche Vorgaben (114 Controls), die in einem ISMS berücksichtigt werden müssen. Hier besteht ebenfalls die Möglichkeit über den Scope of Applicability (SoA) nicht vorhandene oder nicht relevante Controls auszuschließen.

Welche ziele lassen sich kurz- und mittelfristig erreichen?

Best Practice bei arvato Systems ist es, die Einführung des ISMS in einem mehrstufigen Verfahren zu vollziehen. Nach der ersten Phase der Zieldefinition folgt eine GAP-Analyse der Zielsetzung und der vorhandenen Richtlinien und Prozesse zu den geltenden Vorgaben (ISO-Normen 27001 und 27019, Sicherheitskatalog). Im Ergebnis stehen die erforderlichen Maßnahmen fest, die bis zur vollständigen Einführung des ISMS noch umzusetzen sind. Nach der Umsetzung dieser Maßnahmen erfolgt eine weitere Prüfung in Form eines Internen Audits nach den Vorgaben der Norm. Dieses Audit entspricht dem späteren Zertifizierungsaudit, wie auch den folgend jährlichen Internen Audits. Erst mit dem Auditbericht des bestandenen Internen Audits kann das Unternehmen ein Zertifizierungs-Audit bei einer der durch die DAKKS zugelassenen Zertifizierungsstellen beantragen.

Nun ist ihr Unternehmen ja doch in der it beheimatet. Was empfehlen Sie den Netzbetreibern aus dieser Sicht?

Unabhängig von der Einführung des ISMS sollten die Unternehmen auch im Blick behalten, ihre praktische IT-Sicherheit weiter zu erhöhen. Die Zielstellungen und Maßnahmen des kontinuierlichen Risikomanagements im ISMS müssen an den aktuell ständig wechselnden und wachsenden Bedrohungen ausgerichtet werden. Hier kann eine externe Unterstützung durch einen erfahrenen IT-Solution-Partner von effektivem Nutzen sein. Die arvato Systems unterhält zum Beispiel ein Security Operation Center, das die aktuelle Bedrohungslage systematisch überwacht und geeignete ad-hoc-Maßnahmen kommuniziert.

Sicherheitsanforderungen im IT-Sicherheitskatalog
I. Informationssicherheits-Managementsystem nach DIN ISO 27001
II. Sicherheitskategorien und Maßnahmen
III. Ordnungsgemäßer Betrieb der betroff enen IKT-Systeme
IV. Netzstrukturplan nach Technologiekategorien gegliedert
V. Risikoeinschätzung
VI. Risikobehandlung
VII. Ansprechpartner IT-Sicherheit

Kontakt: arvato Systems perdata GmbH, Frank Bisanz, 04109 Leipzig, Tel. +49 341 35522-473, Frank.Bisanz@bertelsmann.de