News

Informationssicherheit nicht gewährleistet: Energieversorger drohen ISMS-Einführung zu verpassen

 

Um die Funktionsfähigkeit der Energieversorgung uneingeschränkt sicherzustellen, müssen Betreiber von Energieversorgungsnetzen bis zum 31. Januar 2018 ein zertifiziertes Informationssicherheits-Managementsystem (ISMS) einführen. Ob dies der Mehrheit der Unternehmen bis zu diesem gesetzlich vorgeschriebenen Zeitpunkt gelingen wird, ist jedoch fraglich. Darauf weisen die Ergebnisse der Studie „Informationssicherheit: Sind die Energieversorger schon ISMS ready?“ der Unternehmensberatung AXXCON hin. „Viele der betroffenen Unternehmen werden den Termin nicht einhalten können“, mahnt Dirk Stieler, Partner bei AXXCON.

 

Aus den Angaben der 106 befragten Entscheider geht hervor, dass die Unternehmen für das ISMS im Schnitt mit einer Umsetzungszeit von 15,8 Monaten rechnen. Die ihnen noch verbleibende Zeit bis zum geplanten Einführungszeitpunkt beträgt durchschnittlich 13,7 Monate. Der daraus errechnete ISMS-Readiness-Index ergibt: Im ersten Quartal 2016 haben die Unternehmen durchschnittlich 13,4 Prozent ihrer ISMS-Readiness erreicht. Damit sind die meisten EVUs laut Dirk Stieler bislang nicht über die Planungsphase hinausgekommen. Seine Einschätzung: „Die Mehrzahl der Unternehmen verschiebt die Einführung nach hinten.“

 

Darauf weisen auch die Angaben der betroffenen Unternehmen hin: Bis zum zweiten Quartal 2017 wollen lediglich 43 Prozent der Unternehmen die Einführung des ISMS abgeschlossen haben. Bis zum vierten Quartal 2017 wollen 89 Prozent fertig sein, im ersten Quartal 2018 schließlich alle. Laut Stieler hat diese knappe Planung einen entscheidenden Haken. „Das ISMS muss mindestens sechs Monate im Einsatz sein, bevor es zertifiziert werden kann“, erklärt er. Denn erst nach diesen sechs Monaten lassen sich messbare Ergebnisse bezüglich der Effektivität der umgesetzten Maßnahmen herleiten. Das werde ein Großteil der Unternehmen entsprechend der eigenen Angaben nicht schaffen. Hinzu komme: Wollen alle Unternehmen ihr System auf den letzten Drücker abnehmen lassen, werde es einen Engpass bei den Zertifizierern geben.

 

Auf dem Weg zur Zertifizierung haben die Energieversorger eine Reihe von Anforderungen zu erfüllen. Unter anderem ist es notwendig, alle sicherheitsrelevanten Netze und Geräte zu erfassen. Eine solche Inventarisierung erfolgte bereits vollständig bei 43 Prozent der befragten Versorgungsunternehmen. Mehr als 50 Prozent jedoch haben ihre IT-Infrastruktur nur zum Teil oder noch gar nicht inventarisiert. Darüber hinaus müssen alle Bedrohungen und Risiken bezüglich der Informationssicherheit vollständig erfasst und bewertet werden und alle potenziellen Sicherheitsvorfälle klar definiert sein. Auch hier zeigt die Studie: Erst zwölf Prozent der Unternehmen haben alle Bedrohungen und Risiken erfasst. Eine vollständige Definition der möglichen Sicherheitsvorfälle haben 30 Prozent vorgenommen. Stieler: „In den meisten Fällen können die Unternehmen also auch noch gar nicht abschließend einschätzen, was mit der Einführung des ISMS auf sie zukommt.“ Sollten die Unternehmen die Einführung nicht rechtzeitig schaffen, würden ihnen Geldstrafen drohen. Insbesondere für kleinere Unternehmen werde es aller Wahrscheinlichkeit nach auch Übergangsfristen geben müssen.

 

Auch laut der Studie haben kleinere Unternehmen bis 200 Mitarbeiter den größten Nachholbedarf und müssen sich sogar erst noch über die Mindestanforderungen für ein zertifiziertes ISMS informieren. 71 Prozent von ihnen sind nach eigenen Angaben nur teilweise, sechs Prozent noch gar nicht mit den Mindestanforderungen vertraut. Ebenfalls brisant: Bei mehr als jedem zweiten Unternehmen fehlt es an Mitarbeitern für die Umsetzung, Implementierung, Instandhaltung und Gewährleistung des ISMS.
Schließlich scheinen die Unternehmen auch in Budgetfragen eher unbedarft zu sein: Knapp zwei Drittel von ihnen haben laut der Studie für die Einführung des ISMS nicht mehr als 100.000 Euro eingeplant. Eine Summe, die laut AXXCON-Partner Torsten Beyer keinesfalls ausreichen wird. „Die Firmen unterschätzen die Aufwendungen – auch wenn man von der von ihnen genannten Laufzeit und dem personellen Einsatz ausgeht.“ Knapp die Hälfte der Unternehmen will ein bis drei interne Mitarbeiter einsetzen, die anderen 50 Prozent planen mit vier bis acht Mitarbeitern. Den Bedarf an externer Unterstützung gibt die Mehrheit der Unternehmen mit ein bis drei Mitarbeiter an.

 

Für die Studie „Informationssicherheit: Sind die Energieversorger schon ISMS-ready?“ der Unternehmensberatung AXXCON wurden 106 Entscheider aus Energieversorgungsunternehmen befragt, darunter Geschäftsführer, IT-Leiter und IT Sicherheitsbeauftragte. Die meisten der befragten EVUs sind in den Bereichen Strom, Gas, Wasser und Fernwärme tätig.





Zurück