Viele der Energieversorger, die verpflichtet sind, ein ISMS umzusetzen, werden den gesetzlich festgelegten Termin nicht einhalten. Das ergibt eine Studie von AXXCON. Demnach schätzen zwei Drittel der EVU das Budget und den Aufwand dafür als deutlich zu niedrig ein.
Die meisten Energieversorger hinken bei der Einführung eines zertifizierten Informationssicherheits-Managementsystems (ISMS) bis zum 31. Januar 2018 hinterher. In der Studie “Informationssicherheit: Sind die Energieversorger schon ISMS-ready?” wurden 106 Geschäftsführer, IT-Leiter und IT-Sicherheitsbeauftragte aus EVU dazu befragt, inwieweit die Einführung eines Informationssicherheits-Managementsystem in ihrem Unternehmen vorangeschritten ist.
Was ist ein ISMS und bis wann müssen EVUs das ISMS eingeführt haben?
Für alle Energieversorger (EVU) gilt, bis zum 31. Januar 2018 ein Informationssicherheits-Managementsystem oder kurz gesagt ISMS einzuführen.
Ein ISMS ist ein zertifiziertes System zur Definition der Informationssicherheit im Unternehmen. Mit dem von der Bundesnetzagentur verabschiedeten IT-Sicherheitsgesetz soll ein Mindeststandard an Sicherheitsvorkehrungen getroffen und eingehalten werden. Risiken sollen verringert und die Verfügbarkeit von notwendigen Infrastrukturen gewährleistet werden.
ISMS kann erst nach 6 Monaten im Einsatz zertifiziert werden
Demnach planen die Energieversorgungsunternehmen zu knapp: Bis zum zweiten Quartal 2017 möchten 43 Prozent die ISMS-Einführung abgeschlossen haben. Bis zum vierten Quartal 2017 wollen 89 Prozent fertig sein, im ersten Quartal 2018 schließlich alle. Dabei wurde offenbar nicht bedacht, dass ein ISMS mindestens sechs Monate im Einsatz sein muss, bevor seine Funktionsfähigkeit und Effektivität nachgewiesen und das System zertifiziert werden kann.
Richtig vorgehen: Zuerst Netzstrukturplan erstellen
Außerdem können viele der betroffenen Unternehmen noch nicht vollständig abschätzen, was mit dem ISMS auf sie zukommt. Erst 43 Prozent von ihnen haben, der Studie zufolge, alle sicherheitsrelevanten Netze und Geräte komplett erfasst. Lediglich zwölf Prozent haben abschließend potenzielle Bedrohungen und Risiken identifiziert. Das weist zum einen auf unbekannte Gefahren hin und zeigt zum anderen: In vielen Fällen wurde eine falsche Reihenfolge gewählt. Es ist zu empfehlen, zuerst einen Netzstrukturplan zu erstellen, aus dem auch die Schnittstellen und Verantwortlichkeiten hervorgehen und der als Grundlage für alle weiteren Schritte dient. Anschließend wird definiert, welche Bereiche wirklich von Bedeutung für den wirtschaftlichen Erfolg bzw. die Handlungsfähigkeit des Unternehmens sind. Im nächsten Schritt müssen die relevanten (Informations-)Werte festgelegt und Risiken analysiert werden. Erst jetzt können die Maßnahmen fixiert und umgesetzt werden. Schließlich folgt die Review-Phase mit Korrekturmaßnahmen, kontinuierlichen Verbesserungsprozessen sowie internen Audits.
Budget richtig kalkulieren
Wie auch die Beratungspraxis zeigt, gibt es diese systematische Vorgehensweise bei EVU häufig nicht. Oftmals liegt dies am Know-how-Mangel, der laut Studie am stärksten in kleinen Unternehmen, mit bis zu 200 Mitarbeitern, ist. Diese müssen sich sogar erst noch über die Mindestanforderungen für ein zertifiziertes ISMS informieren: 71 Prozent von ihnen sind nach eigenen Angaben nur teilweise, sechs Prozent noch gar nicht mit den Mindestanforderungen vertraut. Ebenfalls brisant: Bei mehr als jedem zweiten Energierversorgungsunternehmen fehlt es an Mitarbeitern zur Umsetzung, Implementierung und Betrieb des ISMS. Auch die wenigen Unternehmen, die das ISMS bereits eingeführt haben, haben mit Kapazitätsproblemen zu kämpfen. Weitere Knackpunkte sind die Auswahl des richtigen Systems und Anbieters sowie die Umsetzung der Systemeinführung.
Selbst in Budgetfragen scheint die Mehrheit eher unbedarft zu sein: Knapp zwei Drittel planen zur ISMS-Einführung nicht mehr als 100.000 Euro ein. Auch wird der Aufwand unterschätzt: Knapp die Hälfte will ein bis drei interne Mitarbeiter einsetzen, die anderen 50 Prozent planen mit vier bis acht Personen. Für externe Unterstützung rechnet die Mehrheit mit ein bis drei Mitarbeitern. Realistisch betrachtet kostet die Einführung im Schnitt 500.000 Euro, selbst bei kleineren EVU wird die Summe deutlich über 100.000 Euro liegen.
Nicht vergessen: ISMS Einführung ist auch eine organisatorische Herausforderung
Die meisten sehen die Einführung des ISMS zurecht nicht als reines IT-Thema, sondern auch als organisatorische Herausforderung. Darüber hinaus ist IT-Sicherheit jedoch auch eine Frage der Unternehmenskultur bzw. der Einstellung der Mitarbeiter zum Thema. Die meisten Sicherheitsvorfälle wie Datencrash oder Datenverlust werden durch unachtsames Verhalten von Mitarbeitern verursacht. Wichtig sind daher nicht nur Schulungen für die IT-Experten, sondern alle Mitarbeiter müssen für Sicherheitsfragen sensibilisiert werden.
Dirk Stieler und Torsten Beyer sind Partner und ISMS-Experten bei AXXCON. Erfahren Sie mehr zur IT-Transformation.
Quelle: Dieser Artikel ist in der ZFK, Zeitung für kommunale Wirtschaft, (Ausgabe April 2016) erschienen.
