Schließen

    Wünschen Sie nähere Informationen?

    Digitalhappen

    So implementieren Energieversorger ein zertifiziertes ISMS nach ISO/IEC 27001

    Home Blog Energie

    Energieversorger als KRITIS-Betreiber sind gesetzlich dazu verpflichtet, ein Informationssicherheitsmanagementsystem, kurz ISMS, einzuführen und zu pflegen. Was ist ein ISMS und wie können Energieversorger es erfolgreich implementieren?

    ISMS: umfassender Rahmen für die IT-Sicherheit von Energieversorgern

    IT-Sicherheit wird für KRITIS-Betreiber immer wichtiger. Dies spiegelt sich auch in den neu hinzugekommenen gesetzlichen Anforderungen der letzten Jahre. Für Energieversorger sind als rechtliche Grundlagen dabei vor allem die Regelungen in § 8a BSIG und § 11 EnWG relevant, die Sie hier im Blog ebenfalls aufbereitet finden.

    Die beiden Branchenspezifischen Sicherheitsstandards (B3S) für Energieversorger im Geltungsbereich des BSIG und die Umsetzungskataloge im Geltungsbereich des EnWG basieren dabei zu großen Teilen auf der wichtigsten internationalen Norm im Bereich ISMS: der ISO/IEC 27001. In dieser Norm sowie den zugehörigen Normen ISO/IEC 27002 bis 27005 wird detailliert beschrieben, wie ein funktionales ISMS aufgebaut ist und wie es in einer Organisation eingeführt werden kann.

     

    ISMS-Leitlinien speziell für Energieversorger: ISO/IEC 27019

    Und speziell für Energieversorger gibt es innerhalb der 27000er-Normenreihe noch die ISO/IEC 27019: Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmaßnahmen für die Energieversorgung. In ihr werden ISMS-Leitlinien für Prozessleitsysteme und Automatisierungstechnik in der Energieversorgungsindustrie beschrieben – also im Detail für Systeme und Netzwerke zur Steuerung, Regelung und Überwachung der Energieversorgung in den Bereichen Elektrizität, Gas, Öl und Wärme. Sie ist eine branchenspezifische Weiterentwicklung der ISO/IEC 27002 (Leitfaden zum Informationssicherheitsmanagement).

    Da Energieversorger häufig unter die KRITIS-Kriterien fallen, werden in der ISO/IEC 27019 die Schutzziele der IT-Sicherheit entsprechend angepasst bewertet: Verfügbarkeit und Integrität haben oberste Priorität. Außerdem werden ausdrücklich neue Konzepte und Technologien in der Energieversorgung berücksichtigt, wie etwa Telemetrie, Smart-Grid-Systeme, Advanced-Metering-Infrastrukturen und andere.

     

    Compliance- und Risikomanagement auf Grundlage eines ISMS

    Die erfolgreiche Einführung eines ISMS wird mit einer Zertifizierung und die ordnungsgemäße Pflege und Weiterentwicklung mit regelmäßigen Re-Zertifizierungen bestätigt. Diese sind ein wesentlicher Baustein des Compliance-Managements für Energieversorger: Die gesetzlichen Anforderungen sind mittlerweile so hoch und auch die Nachweis- und Auskunftspflichten (etwa gegenüber Verbrauchern gemäß Art. 13 und 14 DSGVO) so vielfältig, dass ohne ein ISMS ihre Erfüllung praktisch nicht mehr gewährleistet werden könnte – selbst wenn nicht die Einführung eines ISMS an sich schon gesetzliche Vorschrift wäre.

    Auch für das Risikomanagement stellt ein ISMS eine unverzichtbare Grundlage dar. Die ISO/IEC 27001 fordert, dass die IT-Absicherung auf den tatsächlichen Risiken basieren soll, denen ein Unternehmen ausgesetzt ist. Fundiertes Risikomanagement im IT-Sicherheitsbereich ist in einer eigenen Norm der 27000-Reihe dargelegt, der ISO/IEC 27005.

    Ein ISMS nach ISO/IEC 27001 fordert, dass Risiken der IT-Sicherheit im Unternehmen, also Bedrohungen der Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit sowie von deren Unterzielen, systematisch erhoben, analysiert und behandelt werden. Im Sinne eines Plan-Do-Check-Act-Zyklus wird dieser Prozess immer wieder von Neuem durchlaufen, da sich sowohl die Gefährdungslage als auch die Zusammensetzung der IT-Infrastruktur des Energieversorgers stetig wandeln kann.

    Eine ISMS-Zertifizierung erfüllt im Übrigen nicht nur gesetzliche Anforderungen. Indem sie Compliance und Risikomanagement eines Unternehmens nach außen hin sichtbar macht, stärkt sie auch das Kundenvertrauen und kann sich positiv auf Versicherungsverhältnisse auswirken.

     

    Wie können Energieversorger ein ISMS nach ISO/IEC 27001 und ISO/IEC 27019 implementieren?

    Im Projektplan zur Einführung eines ISMS werden zunächst alle erforderlichen Schritte mit dem voraussichtlichen Zeitaufwand festgehalten. Abhängig von der Größe des Energieversorgers und schon vorhandenen Strukturen und Prozessen sollte von einer Projektdauer von mindestens einem Jahr ausgegangen werden.

    Der Projektplan kann sich an der Struktur der ISO/IEC 27001 orientieren. In der ISO/IEC 27001 werden in den ersten drei Kapiteln zunächst die ISMS-Grundlagen erklärt, in den Kapiteln 4 bis 10 werden dann die verpflichtenden Bestandteile des ISMS-Aufbaus erläutert. Diese sind konkret:

    • Kapitel 4 - Kontext – Definition, für welche Bereiche das ISMS gelten soll, wer seine Stakeholder sind und welche gesetzlichen Anforderungen damit erfüllt werden müssen.
    • Kapitel 5 - Führung – Verpflichtet die Unternehmensleitung strategische Entscheidungen zu treffen, etwa über die Bereitstellung von Ressourcen sowie Rollen und Verantwortlichkeiten im Rahmen des ISMS.
    • Kapitel 6 - Planung –Die Ziele des ISMS werden definiert und wie diese erreicht werden sollen. Es wird das Risikomanagement geplant und in einer sogenannten Anwendbarkeitserklärung ausgewählt, welche konkreten Maßnahmen der IT-Sicherheit (Anhang A der ISO/IEC 27001) umgesetzt werden sollen.
    • Kapitel 7 - Unterstützung – Addressiert die erforderlichen, unterstützenden Prozesse des ISMS, wie etwa Ressourcen-Verfügbarkeit, Sensibilisierung der Mitarbeiter und Bereitstellung erforderlicher Kompetenzen bei den Mitarbeitern sowie die begleitende Dokumentation.
    • Kapitel 8 - Betrieb – Beschreibt den Prozess zur fortlaufenden Sicherstellung der IT-Sicherheit, unter anderem durch immer wiederkehrende Risikobeurteilungen und Risikobehandlungen.
    • Kapitel 9 - Bewertung der Leistung – Festlegung, wie die Qualität des ISMS fortlaufend geprüft wird, etwa durch interne Audits und Managementbewertungen.
    • Kapitel 10 - Verbesserung – Regelt die Umsetzung eines kontinuierlichen Verbesserungsprozesses des ISMS und stellt sicher, dass Abweichungen sowie unerwünschte Ereignisse zu Anpassungen des ISMS führen.

    Konkrete IT-Sicherheitsmaßnahmen

    Der zum Punkt Planung (Kapitel 6) erwähnte Anhang A der ISO/IEC 27001 ist ein Katalog von spezifischen Maßnahmen (Controls) der IT-Sicherheit – von Verschlüsselung über physische Zugangskontrollen bis hin zur Behandlung von Zwischenfällen und Sicherstellung der Business Continuity. Wenn einige davon für das Unternehmen nicht sinnvoll anwendbar sind, kann auf sie mit einer Begründung innerhalb der sogenannten Anwendbarkeitserklärung verzichtet werden.

    Die ISO/IEC 27002 bietet, für die im Anhang A aufgeführten Controls, zusätzliche Details sowie Hinweise zur Umsetzung. Da die ISO/IEC 27002 branchenneutral ist, müssen Energieversorger also hier zusätzlich noch die branchenspezifische ISO/IEC 27019 ergänzend zur ISO/IEC 27002 umsetzen. In dieser Norm werden für die Energieversorgung wichtige Maßnahmen zur Umsetzung des ISMS beschrieben, wie beispielsweise:

    • Sicherheit in Räumlichkeiten Dritter (etwa beim Kunden vor Ort)
    • Least Functionality (Anwender sollten nicht Zugriff auf mehr Funktionen als notwendig haben, da jede Funktion mit eigenen Sicherheitslücken behaftet sein kann)
    • Sicherung von Leitstellen, Technikräumen und Außenstandorten
    • und weitere

     

    ISMS nach ISO/IEC 27001 und ISO/IEC 27019 mit EWERK

    Die Implementierung eines ISMS ist ohne Zweifel aufwendig, aber – auch unabhängig von den gesetzlichen Vorgaben – für Unternehmen lohnenswert. Nichts sichert ein Unternehmen so gut gegen die immer weiter anwachsenden Risiken einer digitalen Welt ab wie ein lebendiges und gut gepflegtes ISMS mit Zertifizierung.

    EWERK hilft Energieversorgern bei allen Schritten der ISMS-Einführung: mit Seminaren zum Thema ISMS, mit einem gemeinsamen Risiko-Assessment und zugehöriger Dokumentation, mit der Erstellung eines Verfahrensmodells für die Risikoanalyse, mit der Durchführung und Auswertung der Risikoanalyse und weiteren Leistungen. EWERK ist selbst nach ISO/IEC 27001 und weiteren Normen zertifiziert und somit ebenfalls unabhängig auditierbar.

     

     

     

    Whitepaper: ISMS in 6 Schritten einführen

    Wie Sie ISMS nach ISO 27001 einführen und zertifizieren lassen, erfahren Sie im ausführlichen, kostenlosen Whitepaper.

    EU-Datenschutz-Grundverordnung: Deutlich mehr Aufwand für Unternehmen

    Dec 7, 2017 2:47:28 PM Ab 25. Mai 2018 greift die neue Datenschutz-Grundverordnung (EU-DSGVO) der Europäischen Union. Sie hilft Menschen, ihre persönlichen Daten besser zu schützen. Unternehmen müssen sich jetzt auf ...

    Holacracy: „Eine Inspirationsquelle, jedoch kein Heilsbringer“

    Aug 7, 2018 9:07:41 AM Holacracy – ein Betriebssystem für Unternehmen zur Organisation von Arbeit und Führung – wird entweder verteufelt oder in den Himmel gelobt. Bisher fehlt eine differenzierte Bewertung. Sabri Eryiǧit, ...

    Große IT-Projekte zum Erfolg führen – Teil 2

    Feb 6, 2020 12:36:52 PM Wann sind IT-Großprojekte wirklich erfolgreich? Was ist nötig für den Erfolg? Wir beschreiben Erfolgsfaktoren, die sich in unserer Arbeit für Unternehmen bewährt haben und geben Einblicke in das ...

    IT-Outsourcing: Wenn’s persönlich wird

    Feb 8, 2019 10:30:34 AM Wer seine IT an einen Dienstleister auslagert, denkt erst mal an Kosten und Technik. Doch entscheidend ist der menschliche Faktor, vor allem beim Wissenstransfer. Mit KAIWA gibt es eine Methode, die ...

    Am Puls des deutschen Stroms – Transparenzplattform macht Energiemarkt verständlich

    Dec 16, 2016 1:56:00 PM Energiedaten-Plattform für jedermann startet im Sommer 2017

    Dezentrale Energieerzeugung: die Energiewirtschaft 4.0 technologisch meistern und Mehrwerte generieren

    Apr 1, 2021 1:04:32 PM Dezentrale Energieerzeugung: Wie Sie die Dezentralisierung von Erzeugeranlagen nicht nur technologisch meistern, sondern sogar Mehrwerte generieren.

    Cyberbedrohungen für Energieversorger: Wie steht es um die OT- & IT-Sicherheit deutscher EVUs?

    Dec 14, 2021 4:10:37 PM Die spektakulären Cyberangriffe auf das ukrainische Stromnetz in 2015 und 2016 schockierten viele hiesige Betreiber. Dass Hacker die speziell gesicherten Steuerungssysteme von EVUs kapern und ganzen ...

    EnWG 2021 – Alle Änderungen und Neuerungen im Überblick

    Jan 25, 2022 2:30:59 PM Das Energiewirtschaftsgesetz (EnWG) soll eine sichere, preisgünstige, verbraucher- und umweltfreundliche Versorgung mit Strom, Gas und neuerdings auch Wasserstoff ermöglichen. Um aktuellen ...

    Datenschutz für Energieversorger

    Feb 25, 2022 10:25:00 AM Datenschutz ist in Deutschland für Gesetzgeber, Unternehmen und Bürgerinnen und Bürger ein hohes Gut. Was müssen Energieversorger beachten, um sich rechtskonform zu verhalten?

    Innovationen katapultieren Unternehmen und Branchen in neue Dimensionen. Wir wissen, wie.

    Zur Sache: Rein formell ist ein Projekt mit der Abnahme und Entlastung beendet. Das dachten auch die Verantwortlichen des