Energieversorger als KRITIS-Betreiber sind gesetzlich dazu verpflichtet, ein Informationssicherheitsmanagementsystem, kurz ISMS, einzuführen und zu pflegen. Was ist ein ISMS und wie können Energieversorger es erfolgreich implementieren?
ISMS: umfassender Rahmen für die IT-Sicherheit von Energieversorgern
IT-Sicherheit wird für KRITIS-Betreiber immer wichtiger. Dies spiegelt sich auch in den neu hinzugekommenen gesetzlichen Anforderungen der letzten Jahre. Für Energieversorger sind als rechtliche Grundlagen dabei vor allem die Regelungen in § 8a BSIG und § 11 EnWG relevant, die Sie hier im Blog ebenfalls aufbereitet finden.
Die beiden Branchenspezifischen Sicherheitsstandards (B3S) für Energieversorger im Geltungsbereich des BSIG und die Umsetzungskataloge im Geltungsbereich des EnWG basieren dabei zu großen Teilen auf der wichtigsten internationalen Norm im Bereich ISMS: der ISO/IEC 27001. In dieser Norm sowie den zugehörigen Normen ISO/IEC 27002 bis 27005 wird detailliert beschrieben, wie ein funktionales ISMS aufgebaut ist und wie es in einer Organisation eingeführt werden kann.
ISMS-Leitlinien speziell für Energieversorger: ISO/IEC 27019
Und speziell für Energieversorger gibt es innerhalb der 27000er-Normenreihe noch die ISO/IEC 27019: Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmaßnahmen für die Energieversorgung. In ihr werden ISMS-Leitlinien für Prozessleitsysteme und Automatisierungstechnik in der Energieversorgungsindustrie beschrieben – also im Detail für Systeme und Netzwerke zur Steuerung, Regelung und Überwachung der Energieversorgung in den Bereichen Elektrizität, Gas, Öl und Wärme. Sie ist eine branchenspezifische Weiterentwicklung der ISO/IEC 27002 (Leitfaden zum Informationssicherheitsmanagement).
Da Energieversorger häufig unter die KRITIS-Kriterien fallen, werden in der ISO/IEC 27019 die Schutzziele der IT-Sicherheit entsprechend angepasst bewertet: Verfügbarkeit und Integrität haben oberste Priorität. Außerdem werden ausdrücklich neue Konzepte und Technologien in der Energieversorgung berücksichtigt, wie etwa Telemetrie, Smart-Grid-Systeme, Advanced-Metering-Infrastrukturen und andere.
Compliance- und Risikomanagement auf Grundlage eines ISMS
Die erfolgreiche Einführung eines ISMS wird mit einer Zertifizierung und die ordnungsgemäße Pflege und Weiterentwicklung mit regelmäßigen Re-Zertifizierungen bestätigt. Diese sind ein wesentlicher Baustein des Compliance-Managements für Energieversorger: Die gesetzlichen Anforderungen sind mittlerweile so hoch und auch die Nachweis- und Auskunftspflichten (etwa gegenüber Verbrauchern gemäß Art. 13 und 14 DSGVO) so vielfältig, dass ohne ein ISMS ihre Erfüllung praktisch nicht mehr gewährleistet werden könnte – selbst wenn nicht die Einführung eines ISMS an sich schon gesetzliche Vorschrift wäre.
Auch für das Risikomanagement stellt ein ISMS eine unverzichtbare Grundlage dar. Die ISO/IEC 27001 fordert, dass die IT-Absicherung auf den tatsächlichen Risiken basieren soll, denen ein Unternehmen ausgesetzt ist. Fundiertes Risikomanagement im IT-Sicherheitsbereich ist in einer eigenen Norm der 27000-Reihe dargelegt, der ISO/IEC 27005.
Ein ISMS nach ISO/IEC 27001 fordert, dass Risiken der IT-Sicherheit im Unternehmen, also Bedrohungen der Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit sowie von deren Unterzielen, systematisch erhoben, analysiert und behandelt werden. Im Sinne eines Plan-Do-Check-Act-Zyklus wird dieser Prozess immer wieder von Neuem durchlaufen, da sich sowohl die Gefährdungslage als auch die Zusammensetzung der IT-Infrastruktur des Energieversorgers stetig wandeln kann.
Eine ISMS-Zertifizierung erfüllt im Übrigen nicht nur gesetzliche Anforderungen. Indem sie Compliance und Risikomanagement eines Unternehmens nach außen hin sichtbar macht, stärkt sie auch das Kundenvertrauen und kann sich positiv auf Versicherungsverhältnisse auswirken.
Wie können Energieversorger ein ISMS nach ISO/IEC 27001 und ISO/IEC 27019 implementieren?
Im Projektplan zur Einführung eines ISMS werden zunächst alle erforderlichen Schritte mit dem voraussichtlichen Zeitaufwand festgehalten. Abhängig von der Größe des Energieversorgers und schon vorhandenen Strukturen und Prozessen sollte von einer Projektdauer von mindestens einem Jahr ausgegangen werden.
Der Projektplan kann sich an der Struktur der ISO/IEC 27001 orientieren. In der ISO/IEC 27001 werden in den ersten drei Kapiteln zunächst die ISMS-Grundlagen erklärt, in den Kapiteln 4 bis 10 werden dann die verpflichtenden Bestandteile des ISMS-Aufbaus erläutert. Diese sind konkret:
- Kapitel 4 - Kontext – Definition, für welche Bereiche das ISMS gelten soll, wer seine Stakeholder sind und welche gesetzlichen Anforderungen damit erfüllt werden müssen.
- Kapitel 5 - Führung – Verpflichtet die Unternehmensleitung strategische Entscheidungen zu treffen, etwa über die Bereitstellung von Ressourcen sowie Rollen und Verantwortlichkeiten im Rahmen des ISMS.
- Kapitel 6 - Planung –Die Ziele des ISMS werden definiert und wie diese erreicht werden sollen. Es wird das Risikomanagement geplant und in einer sogenannten Anwendbarkeitserklärung ausgewählt, welche konkreten Maßnahmen der IT-Sicherheit (Anhang A der ISO/IEC 27001) umgesetzt werden sollen.
- Kapitel 7 - Unterstützung – Addressiert die erforderlichen, unterstützenden Prozesse des ISMS, wie etwa Ressourcen-Verfügbarkeit, Sensibilisierung der Mitarbeiter und Bereitstellung erforderlicher Kompetenzen bei den Mitarbeitern sowie die begleitende Dokumentation.
- Kapitel 8 - Betrieb – Beschreibt den Prozess zur fortlaufenden Sicherstellung der IT-Sicherheit, unter anderem durch immer wiederkehrende Risikobeurteilungen und Risikobehandlungen.
- Kapitel 9 - Bewertung der Leistung – Festlegung, wie die Qualität des ISMS fortlaufend geprüft wird, etwa durch interne Audits und Managementbewertungen.
- Kapitel 10 - Verbesserung – Regelt die Umsetzung eines kontinuierlichen Verbesserungsprozesses des ISMS und stellt sicher, dass Abweichungen sowie unerwünschte Ereignisse zu Anpassungen des ISMS führen.
Konkrete IT-Sicherheitsmaßnahmen
Der zum Punkt Planung (Kapitel 6) erwähnte Anhang A der ISO/IEC 27001 ist ein Katalog von spezifischen Maßnahmen (Controls) der IT-Sicherheit – von Verschlüsselung über physische Zugangskontrollen bis hin zur Behandlung von Zwischenfällen und Sicherstellung der Business Continuity. Wenn einige davon für das Unternehmen nicht sinnvoll anwendbar sind, kann auf sie mit einer Begründung innerhalb der sogenannten Anwendbarkeitserklärung verzichtet werden.
Die ISO/IEC 27002 bietet, für die im Anhang A aufgeführten Controls, zusätzliche Details sowie Hinweise zur Umsetzung. Da die ISO/IEC 27002 branchenneutral ist, müssen Energieversorger also hier zusätzlich noch die branchenspezifische ISO/IEC 27019 ergänzend zur ISO/IEC 27002 umsetzen. In dieser Norm werden für die Energieversorgung wichtige Maßnahmen zur Umsetzung des ISMS beschrieben, wie beispielsweise:
- Sicherheit in Räumlichkeiten Dritter (etwa beim Kunden vor Ort)
- Least Functionality (Anwender sollten nicht Zugriff auf mehr Funktionen als notwendig haben, da jede Funktion mit eigenen Sicherheitslücken behaftet sein kann)
- Sicherung von Leitstellen, Technikräumen und Außenstandorten
- und weitere
ISMS nach ISO/IEC 27001 und ISO/IEC 27019 mit EWERK
Die Implementierung eines ISMS ist ohne Zweifel aufwendig, aber – auch unabhängig von den gesetzlichen Vorgaben – für Unternehmen lohnenswert. Nichts sichert ein Unternehmen so gut gegen die immer weiter anwachsenden Risiken einer digitalen Welt ab wie ein lebendiges und gut gepflegtes ISMS mit Zertifizierung.
EWERK hilft Energieversorgern bei allen Schritten der ISMS-Einführung: mit Seminaren zum Thema ISMS, mit einem gemeinsamen Risiko-Assessment und zugehöriger Dokumentation, mit der Erstellung eines Verfahrensmodells für die Risikoanalyse, mit der Durchführung und Auswertung der Risikoanalyse und weiteren Leistungen. EWERK ist selbst nach ISO/IEC 27001 und weiteren Normen zertifiziert und somit ebenfalls unabhängig auditierbar.
