IT-Sicherheitsgesetz 2.0: Was KRITIS-Institutionen jetzt wissen müssen
Apr 15, 2021 12:04:28 PM IT-Sicherheitsgesetz 2.0: Das müssen Unternehmen & Institutionen jetzt wissen
Stadtwerke betreiben häufig eigene Verteilnetze für Strom und Gas. Weil diese als kritische Infrastruktur gelten, müssen ihre IT-Systeme gegen Angriffe geschützt sein – so will es auch der IT-Sicherheitskatalog der Bundesnetzagentur. Bis Anfang 2018 ist noch Zeit – doch sie rinnt davon.
Dieser Beitrag ist in ähnlicher Fassung erschienen im energate messenger
Stadtwerke haben keine Wahl: Ihre Verteilnetze für Gas und Strom sind kritische Infrastrukturen. Und durch das Energiewirtschaftsgesetz und den IT-Sicherheitskatalog der Bundesnetzagentur sehen sie sich verschärften Auflagen in Sachen Informationssicherheit und organisatorischer Sicherheit gegenüber. So fordert der IT-Sicherheitskatalog beispielweise die Implementierung von sogenannten Informationssicherheits-Managementsystemen (ISMS). Zentrale Aufgabe eines solchen ISMS ist die Planung, Implementierung, Überprüfung und stetige Verbesserung der Informationssicherheit – kurz: durch ISMS verhindert man Angriffe auf die eigene Infrastruktur und garantiert einen stabilen Betrieb.
Das ISMS setzte klare Ziele für die Informationssicherheit des Unternehmens. Die Normen verpflichten Gas- und Stromnetzbetreiber zu einer umfangreichen Betrachtung ihrer Informationen hinsichtlich ihres Schutzbedarfs und ihrer Gefährdungslage. Dabei werden insbesondere folgende Systeme und Bereiche adressiert: Leit- und Steuerungssysteme, organisatorische Sicherheit (administrative Aspekte, Verantwortlichkeiten, Leitlinien), Informations- und Kommunikationstechnik, physische Sicherheit (Umgang mit Datenträgern, Sicherheitsbereiche, Umwelteinflüsse), Lieferantenbeziehungen und Personal (interne Audits, Training und Sicherheitsbewusstsein, Sicherheitsvorfall-Management).
Die Implementierung dieser Sicherheitsnormen müssen die Netzbetreiber der Bundesnetzagentur bis zum 31. Januar 2018 über ein Zertifikat nachweisen. Daher wird nun die Zeit für viele Stadtwerke knapp, denn die Einführung eines ISMS kann bis zu zwölf Monate in Anpruch nehmen. Zudem sollten Mitarbeiter die Sicherheitsnormen bis zur Zertifizierung verinnerlicht haben und nach den neuen Regeln handeln.
Die Implementierung eines ISMS stellt gerade für kleine und mittlere Netzbetreiber eine Herausforderung dar. Insbesondere die Risikobewertung und Prozesseinführung ist zeitintensiv und aufwändig. Vor allem, wenn Mitarbeiter gänzlich neue Normen erlernen müssen, geraten Netzbetreiber schnell an ihre Grenzen. Der interne Arbeitsaufwand lässt sich insgesamt mit 120 bis 150 Tage beziffern.
Um die Sicherheitsstandards fristgerecht zu implementieren und den Aufwand einzudämmen, können sich Stadtwerke die Expertise von außen zuholen. Beratungsunternehmen wie etwa die Consulting-Abteilung von des IT-Dienstleisters EWERK unterstützen mittlere und große Netzbetreiber bei der Einführung eines maßgeschneiderten Informationssicherheits-Managementsystems. Für kleinere Netzbetreiber, die auf größtenteils standardisierte Vorlagen setzen können, bietet sich hingegen das ISO-Lösungspaket an – nach drei Tagen Seminar können sich kleine Teams damit eigenständig anhand von Vorlagen und Checklisten fit für die Zertifizierung machen.
Egal, ob individuell maßgeschneidert Hand in Hand mit einem Beraterteam oder im Schnellverfahren eigenständig und anhand gängiger Standards: Die ISO-Zertifizierung für Stadtwerke wird Pflicht. Und die Zeit drängt.
Foto: Ausgrid/Flickr/cc-by-2.0
