KRITIS: Halbzeit für kritische Infrastruktren
Feb 12, 2018 9:05:58 PM Acht Monate nach KRITIS haben Betreiber kritischer Infrastrukturen gelernt, dass es nicht ausreicht, Arbeitsanweisungen zu produzieren: eine erste Bilanz.
Mit einem Lösungspaket gibt die Consulting-Abteilung des Leipziger Digital-Dienstleisters EWERK Energieversorgern ein Werkzeug zur eigenständigen ISO-Zertifizierung an die Hand. Michael Stach, Head of Auditing bei EWERK, erklärt im Gespräch mit Artjom Maksimenko vom Energie-Fachdienst energate Inhalt und Zweck des Lösungspakets.
Dieser Text erschien in ähnlicher Fassung im energate messenger.
energate: Herr Stach, EWERK bietet mit ihrem "IT-Sicherheitskatalog für Stadtwerke" ein Lösungspaket zur ISO-Zertifizierung in Eigenregie. Warum richten Sie das Angebot vor allem an kleine und mittlere Unternehmen?
Michael Stach: Netzbetreiber jeglicher Größe müssen zum 31. Januar 2018 nachweisen, dass sie Ihre IT-Infrastruktur nach IT-Sicherheitskatalog der Bundesnetzagentur zertifiziert haben. So will es das Energiewirtschaftsgesetz. Und es ist richtig und wichtig: Schließlich ist ein Energienetz - ob Strom oder Gas - ein kritischer Baustein unserer Infrastruktur in Deutschland. Große Netzbetreiber haben oft das nötige Personal beziehungsweise die Ressourcen, um solch eine Zertifizierung beinahe eigenständig oder mithilfe externer Expertise zu realisieren. Bei mittleren und kleineren Verteilnetzbetreibern, also etwa manchen regionalen Versorgern und vielen kommunalen Stadtwerken, ist das schon etwas komplizierter. Sie haben nicht nur weniger Personal in der IT und damit häufig auch nicht das Fachwissen für einen Zertifizierungsprozess, aber auch nicht unbedingt die Mittel, um wochenlang einen Berater hinzuzuziehen. Für diese Unternehmen ist unser Lösungspaket gedacht.
energate: Was genau ist in dem Paket drin?
Stach: Das Paket basiert auf der langjährigen praktischen Erfahrung unserer Berater aus verschiedenen Zertifizierungsprozessen in der Energiebranche. Es umfasst eine Übersicht über die erforderliche Dokumentation und die nötigen Prozesse für ein ISMS nach IT-Sicherheitskatalog. Neben dieser Liste beinhaltet das Paket Vorlagen für alle dieser Dokumente und Prozesse. Zu Beginn schulen wir die Mitarbeiter des Unternehmens für etwa drei Tage in den Grundlagen des ISMS und des Lösungspakets. Anschließend passt das Unternehmen die Vorlagen nach den eigenen Bedürfnissen an, das betrifft rund 15 Prozent der Dokumenteninhalte. Dann geht es in die Umsetzung selbst und zwar eigenständig, ohne Berater. Natürlich stehen wir bei Bedarf auf Abruf zur Hilfe bereit.
energate: Viele Netzbetreiber geben diese Aufgaben an externe Dienstleister ab. Ist dies unter dem Strich nicht billiger und unkomplizierter?
Stach: Nicht unbedingt. Einen oder mehrere externe Berater für mehrere Wochen über den gesamten Prozess der Einführung eines ISMS und der Zertifizierung nach DIN/ISO 270001 zu engagieren, ist vergleichsweise kostenintensiv. Und das meine ich nicht negativ, schließlich bieten wir das auch weiterhin an. Im Grunde lassen sich die beiden Herangehensweisen, also Lösungspaket versus Beraterteam, nur teilweise vergleichen. Ein Beraterteam begleitet den Prozess von vorne bis hinten und ermöglicht maximale Individualität bei der Gestaltung der Prozesse. Das ist in mittleren und größeren Unternehmen schlicht notwendig. Das Lösungspaket hingegen setzt mit minimalem Aufwand auf erprobte Standards und Best Practises. Diese Hilfe zur Selbsthilfe ermöglicht besonders kleineren Netzbetreibern, die Anforderungen des IT-Sicherheitskataloges effizient umzusetzen.
Mit freundlicher Zustimmung von energate
