ENDSPURT! FÜR STADTWERKE & CO. GILT: ISMS-EINFÜHRUNG FÜR ENERGIEVERSORGER IST PFLICHT

Für viele kleine und mittlere Stadtwerke erweist sich die Einführung des gesetzlich geforderten Informationssicherheitsmanagementsystems als große Herausforderung – weil es ihnen an Projekterfahrung, Know-how und qualifizierten Mitarbeitern fehlt. Dennoch müssen sie die Aufgaben Schritt für Schritt abarbeiten. Lesen Sie hier woran kleine Unternehmen scheitern und welche Punkte Sie unbedingt in Ihr IT-Sicherheitskonzept einfließen lassen müssen.

ISMS-Einführung für IT-Sicherheit: Darum scheitern viele Unternehmen

Der Termin steht fest und rückt immer näher: Bis zum 31. Januar 2018 müssen Stadtwerke und andere Energieversorger ein zertifiziertes Informationssicherheitsmanagementsystem (ISMS) eingeführt haben. Dabei zeigen viele Gespräche aus der Beratungspraxis: Es gibt große Unternehmen, bei denen die Einführung planmäßig läuft und rechtzeitig abgeschlossen sein wird. Es gibt aber auch eine beachtliche Zahl, vor allem an kleinen und mittleren Energieversorgern, die die gesetzliche Zeitvorgabe aller Wahrscheinlichkeit nach nicht einhalten können. Zum Teil, weil sie erst in diesem Jahr mit der ISMS-Einführung beginnen wollen oder weil sie zwar bereits gestartet sind, das Projekt aber nicht konsequent weitergeführt haben. Dies ist häufig passiert, weil anderen Themen eine höhere Priorität eingeräumt wurde – allen voran den Themen Industrie 4.0 und Digitalisierung.

DEFINITION:

Die Aufgabe eines ISMS ist die Sicherheit im Internet zu gewährleisten. Für mehr Datensicherheit sind Unternehmen aufgefordert ein Informationssicherheitsmanagementsystem einzuführen.
Mehr zum Thema: IT-Sicherheit/ISMS

Deutlich wurde bei der AXXCON-Studie zur IT-Sicherheit „Sind die Energieversorger schon ISMS-ready?“, die im Frühjahr 2016 106 Geschäftsführer, IT-Leiter und IT-Sicherheitsbeauftragte zu dem Thema befragte, dass der Aufwand unterschätzt wird. Viele Unternehmen wissen gar nicht genau, was mit einem ISMS auf sie zukommt. So hatten laut der Studie erst 43 Prozent der befragten Energieversorgungsunternehmen alle sicherheitsrelevanten Netze und Geräte vollständig erfasst. Lediglich zwölf Prozent der Unternehmen hatten die potenziellen Bedrohungen und Risiken abschließend identifiziert. Und auch derzeit bemerken Stadtwerke häufig erst während des laufenden Prozesses, welcher Aufwand sie erwartet. So kommt es vor, dass ein frisch geschulter Informationssicherheitsbeauftragter dem Geschäftsführer erklären muss, dass noch ziemlich viel Arbeit nötig ist, bevor er seinen Job machen kann.

Gerade einmal die Hälfte der Befragten, die bereits in der Umsetzungsphase eines ISMS ist,
ist mit den Mindestanforderungen voll und ganz vertraut.

Ist Ihre IT für ein IT-Sicherheitskonzept vorbereitet?

Dass Stadtwerken und anderen EVUs bei der ISMS-Einführung gravierende Versäumnisse unterlaufen, kann sich aktuell schmerzlich bemerkbar machen. Darüber hinaus zeigt es gefährliche Mängel bei ihrer technischen IT – abgegrenzt von der kommerziellen oder kaufmännischen IT wie zum Beispiel SAP-Anwendungen. Schließlich sind die vom Gesetzgeber aufgestellten Anforderungen an ein ISMS keineswegs neu oder überraschend. So sind die entsprechenden Prüfmodelle und Prozesse für die Informationssicherheit in anderen IT-Bereichen längst Standard. Auch die ISO 27001, nach der die Zertifizierung des ISMS erfolgen soll, ist bereits etabliert. Ebenso wie die vollständige Inventarisierung der IT, die die Grundlage für ein ISMS darstellt. Anders jedoch sieht es offenbar im Bereich der technischen IT-Infrastruktur aus, die in den Stadtwerken oftmals historisch gewachsen ist.

Warum ist ein Informationssicherheitsmanagementsystem so wichtig?

Führen Unternehmen das ISMS nicht rechtzeitig ein, drohen unter anderem empfindliche Geldstrafen. Neben dem Sicherheitsaspekt, ist die Informationssicherheit aber auch eine grundlegende Voraussetzung für die Digitalisierung. Die Einführung von Smart Metering und Smart Grid wird die Anforderungen an die Sicherheitssysteme der Energieversorger drastisch erhöhen. Unternehmen, die bereits mit den gesetzlichen Mindestanforderungen für das ISMS kämpfen, werden sich im Zuge der Digitalisierung erst recht schwer tun. Das wiederum gefährdet nicht zuletzt ihre Wettbewerbsfähigkeit.

Insgesamt ist die Informationssicherheit im Unternehmen nichts weniger als eine Sache der Unternehmenskultur und muss dringend zur Chefsache erklärt werden. Ein möglicher Grund dafür, dass dies bislang noch nicht geschehen ist: Hacker-Angriffe hatten bislang keinen großen Einfluss auf das Tagesgeschäft der EVUs. Nur jedes zehnte Unternehmen hat laut der ISMS-Studie einen solchen bereits erlebt. Zudem denken viele kleinere Energieversorger, bevor sie selbst zum Ziel werden, trifft es eher Regierungsorganisationen oder große internationale Konzerne. Dennoch ist auch der Angriff auf ein kleines Stadtwerk möglich und kann erheblichen Schaden anrichten.

Hackerangriffe ereignen sich zwar noch selten,
sind aber trotzdem nicht zu unterschätzen.

Interessant:
So einfach geht es. Zwei Studenten decken Sicherheitsprobleme im Internet auf. Lesen Sie auf Spiegel online: Sicherheitslücke – Deutsche Wasserwerke ungeschützt im Internet.

Soviel Zeit benötigen Sie für die Implementierung und Zertifizierung eines ISMS:

Ein zentrales Ergebnis unserer Studie, war vor allem, dass viele EVUs die rechtzeitige Einführung eines ISMS kaum bewältigen können. Anfang 2016 schätzten die Befragten, dass sie durchschnittlich etwa 16 Monate für die Einführung brauchen werden. Das heißt, wer jetzt im März 2017 – also zehn Monate vor Ablauf der Frist – beginnt, muss sich mächtig sputen. Hinzu kommt, dass die meisten Unternehmen offenbar nicht bedacht haben – und noch immer nicht bedenken, dass ein ISMS vor der Zertifizierung mindestens sechs Monate im Einsatz sein muss, um seine Funktionsfähigkeit und Effektivität nachzuweisen. Und: Baut ein Großteil der Unternehmen auf eine Abnahme kurz vor Ablauf der Frist, wird es obendrein zu einem Engpass bei den Zertifizierern kommen.

Maßnahmen zur Datensicherheit: Diese Aufgaben zur Einführung eines ISMS kommen auf Sie zu
Der erste wichtige Schritt, um ein ISMS einzuführen, besteht im Anlegen eines Netzstrukturplans, um alle, besonders aber die schutzbedürftige Systeme des IT- und Versorgungsnetzes zu dokumentieren. Muss ein Unternehmen hier bei der Inventarisierung von Null anfangen, dauert allein die Aufstellung des Netzstrukturplanes je nach Betriebsgröße mehrere Wochen bis hin zu einigen Monaten. Im nächsten Schritt müssen die relevanten (Informations)Werte definiert und die Risiken analysiert werden. Erst jetzt können die Maßnahmen festgelegt und umgesetzt werden. Schließlich folgt die Review-Phase mit Korrekturmaßnahmen, der Einführung eines kontinuierlichen Verbesserungsprozesses und der Durchführung von internen Audits zur Erreichung der Zertifizierungsreife.

Das sollten Sie bei der ISMS-Planung nicht vergessen:

Als Beratung für Informationssicherheitsprojekte wissen wir aus der Praxis, dass eine solch systematische Vorgehensweise in den Unternehmen häufig nicht gegeben ist. Oftmals liegt dies in einem Mangel an Know-how, der laut der Studie in kleinen Unternehmen mit bis zu 200 Mitarbeitern am stärksten ausgeprägt ist. Diese mussten sich sogar erst noch über die Mindestanforderungen für ein zertifiziertes ISMS informieren. 71 Prozent von ihnen waren nach eigenen Angaben nur teilweise, sechs Prozent noch gar nicht mit den Mindestanforderungen vertraut. Ebenfalls brisant: Bei mehr als jedem zweiten Unternehmen fehlte es an Mitarbeitern für die Umsetzung, Implementierung und den Betrieb eines ISMS.

Mehr als die Hälfte der kleineren Unternehmen plant
nicht mehr als drei Personen für ein ISMS-Projekt ein.

Wichtig ist an diesem Punkt: Es reicht nicht aus, isoliert Leute auszubilden oder Fachleute einzustellen, die das ISMS einführen. Die Gesamtheit der Mitarbeiter muss den höheren Sicherheitsanspruch mittragen. Schließlich geht es bei der Informationssicherheit längst nicht nur um komplizierte Verschlüsselungstechniken, die zum Einsatz kommen, wenn sich jemand zum Beispiel mit seinem Laptop im Firmennetzwerk anmeldet. Es geht auch um ganz einfache Dinge wie Passwörter, die unter die Tastatur geklebt werden, damit der Kollege sich anmelden kann, wenn man im Urlaub ist. Es geht um offen stehende Türen, nicht getragene Mitarbeiterausweise und eine laxe Kontrolle am Empfang – sprich: um unachtsames Verhalten der Mitarbeiter. Das wiederum heißt: Alle Mitarbeiter des Unternehmens müssen für Sicherheitsfragen sensibilisiert und entsprechend geschult werden.

Mit diesen Kosten müssen Sie für die Einführung eines ISMS rechnen

Nicht zuletzt dürfte die Einführung des ISMS für die EVUs deutlich teurer werden als geplant: So haben knapp zwei Drittel der Unternehmen laut der Studie nicht mehr als 100.000 Euro veranschlagt. Diese Summe wird jedoch nicht ausreichen. Die Firmen unterschätzen die Aufwendungen – auch wenn man von der von ihnen genannten Laufzeit und dem personellen Einsatz ausgeht. Realistisch betrachtet kostet die Einführung im Durchschnitt 500.000 Euro. Und auch bei einem kleineren Stadtwerk wird die benötigte Summe deutlich über 100.000 Euro liegen.

Als Beratung für IT-Sicherheit empfehlen wir Unternehmen, die bei der ISMS-Einführung auf Schwierigkeiten stoßen oder bereits im Verzug sind, raten wir: Mit Disziplin und Fleiß am Ball bleiben, Schritt für Schritt vorangehen und auf keinen Fall kapitulieren. In einer Kooperation mit einem anderen Stadtwerk Erleichterung bei der Einführung des ISMS zu suchen, ist aus Beratersicht hingegen nur begrenzt hilfreich. Zwar kann dies einen sinnvollen Know-how-Transfer bringen, erhebliche Synergieeffekte bei der Umsetzung werden erfahrungsgemäß jedoch ausbleiben – dazu sind die Herausforderungen in den einzelnen Stadtwerken zu individuell. Ebenso gilt: Mit einem Standardkatalog decken Stadtwerke ungefähr 80 Prozent aller Risiken ab, aber eben nicht alle. Das heißt, das Abarbeiten der darin aufgeführten Kriterien kann ein Anfang sein, ausreichen wird es jedoch nicht.

Der Artikel ist unter dem Titel „ISMS-Einführung: mühselig, aber alternativlos“ in der EW (Magazin für die Energiewirtschaft) Ausgabe 3/2017 auf S. 64-66 erschienen.