Donnerstag, 13. Mai 2021

ISMS:
Fünf Grundsätze zur Einführung


[7.4.2016] Energieversorger müssen laut Gesetz ein Informations-Sicherheits-Management-System (ISMS) einführen. Ein strukturiertes Vorgehen, das sich an fünf Grundsätzen orientiert, verhilft zum Erfolg.

Fünf Grundsätze verhelfen zur erfolgreichen Einführung eines Informations-Sicherheits-Management-Systems (ISMS). Seit das IT-Sicherheitsgesetz im Juli 2015 in Kraft getreten ist, müssen Betreiber kritischer Infrastrukturen Standards nach aktuellem Stand der Technik erfüllen. Die Bundesnetzagentur (BNetzA) hat diese Anforderungen für Energieversorgungsunternehmen in IT-Sicherheitskatalogen detailliert festgehalten. Der Entwurf des Sicherheitskatalogs für Energienetzbetreiber ist bereits veröffentlicht. Demnach müssen die Betreiber künftig ein Informationssicherheits-Management-System (ISMS), nach ISO 27001 einführen. Dabei sind branchenspezifische Ergänzungen durch die ISO 27019 zu berücksichtigen. Die Zertifizierung muss bis 31. Januar 2018 erfolgen. Vergleichbare Vorgaben werden auch für den IT-Sicherheitskatalog für Energieanlagenbetreiber erwartet. Konkret beschrieben sind die neuen Sicherheitsvorgaben im IT-Sicherheitskatalog, Paragraf 11 Absatz 1a EnWG.

Handlungsdruck ist gegeben

Laut Vorgabe müssen die betroffenen Unternehmen belegen, dass sie die Regeln einhalten. Die etwa 1.000 Energienetzbetreiber in Deutschland können das durch eine Zertifizierung auf der Basis von DIN ISO/IEC 27001 nachweisen, die aktuell von der Bundesnetzagentur gemeinsam mit der Deutschen Akkreditierungsstelle (DAkkS) entwickelt wird. In der Regel dauert es mindestens 15 Monate vom Projektstart bis zur Zertifizierung des ISMS. Wie viel Zeit genau eingeplant werden muss, hängt vom individuellen Status der Informationssicherheit in den jeweiligen Unternehmen ab – und von einer Besonderheit der Energieversorger: Sie müssen die infrastrukturelle Sicherheit dezentraler Komponenten mit der IT-Sicherheit ihrer Netze kombinieren. Um für eine mögliche Zertifizierungsprüfung ausreichende Nachweise der Effektivität und Wirksamkeit erbringen zu können, müssen die Unternehmen das konzeptionierte ISMS erfahrungsgemäß mindestens sechs Monate betrieben haben.
Auch sollten ausreichend Finanzmittel für die Einführung eines ISMS bereitgestellt werden. Der Projektaufwand liegt inklusive Risikoanalysen, Begleitung der Umsetzung organisatorischer und technischer Maßnahmen sowie zusätzlicher Management-Kapazitäten schnell im mittleren sechsstelligen Bereich. Darin sind noch nicht die Kosten der technischen Maßnahmen an sich sowie laufende Kosten berücksichtigt. So findet sich in den Erläuterungen des IT-Sicherheitsgesetzes beispielsweise die Schätzung, dass jede Meldung eines Störfalls mit 660 Euro zu Buche schlägt.

Grundsätze der Einführung

Vor der ISMS-Einführung empfiehlt sich eine sorgsame Analyse des Status quo der Informationssicherheit. Bewährt hat sich auch, ein Projekt zur Einführung aufzusetzen. Denn um die vielen Anforderungen bewältigen zu können, ist ein strukturiertes Vorgehen wichtig. Dieses sollte sich an fünf Grundsätzen orientieren.
Zunächst sind die Erwartungen klar zu definieren. Bei der Definition der Ziele und Erwartungen sollten explizit auch die aller Stakeholder einbezogen werden. Dazu zählen nicht zuletzt externe Dienstleister und die Frage, ab welchem Prozessschritt sie einbezogen werden sollten. Projektdauer und -kosten können auf die individuellen Möglichkeiten des Energieversorgungsunternehmens angepasst werden.
Der zweite Grundsatz ist, den Geltungsbereich sinnvoll zu beschränken. Die Bundesnetzagentur macht in ihrer finalen Version des IT-Sicherheitskatalogs für Energienetzbetreiber technische Vorgaben für den Mindestumfang des ISMS-Geltungsbereichs. Die meisten Energieunternehmen bestehen aus verschiedenen Gesellschaften, die unterschiedlichen Regularien unterliegen. Eine wesentliche Frage ist deshalb, welcher Teil der Konzernstruktur durch ein ISMS abgedeckt werden soll. Um den Aufwand für Konzeption, Betrieb und Zertifizierung des ISMS minimal zu halten, sollten nur die notwendigen Bereiche einbezogen werden. Dabei sind zwei Aspekte zu beachten: Zum einen kann die Verflechtung der einzelnen Gesellschaften dazu führen, dass ein größerer Teil des Unternehmens in den Geltungsbereich des ISMS aufzunehmen ist. Zum anderen kann es unabhängig von den aktuellen Verpflichtungen vorausschauend sein, einen größeren Geltungsbereich zu wählen, um spätere Aufwände zu verringern. Auch strategische Erwägungen, wie der Zukauf und Verkauf von Unternehmensteilen bei gleichzeitigem Erhalt der Zertifizierung, können sich auf den Geltungsbereich auswirken.

Ähnliche Prozesse schaffen Synergien

Der dritte Grundsatz besagt, dass die Energienetzbetreiber ähnliche Strukturen bündeln. Das gilt auch, wenn zentrale Dokumente erstellt und Prozesse aufgesetzt werden. Dadurch werden Risikoeinschätzung und Maßnahmenentwicklung erheblich vereinfacht. Eine sinnvolle Zusammenführung schafft Übersichtlichkeit und Verständlichkeit. Das gilt insbesondere, wenn in die Konsolidierung auch Dokumente und Prozesse aus anderen Normvorgaben wie dem Qualitätsmanagement (ISO 9000) oder Umweltschutz einbezogen werden. Sind entsprechende Normen bereits etabliert, können Synergien geschaffen werden.
Laut dem vierten Grundsatz sollten vorhandene Sicherheitselemente, etwa eine Zutrittskontrolle oder Virenscanner, bei der Einführung des ISMS aufgegriffen, ergänzt und in ein umfassendes Konzept integriert werden. Das senkt Kosten und erhöht die Akzeptanz des Projekts im Unternehmen. Denn immerhin bedeutet die Einführung eines ISMS dort oft einen grundlegenden Wandel. Neue Prozesse müssen gelebt und neue Regeln eingehalten werden.
Sofort zu starten, ist der fünfte Grundsatz. Falls es im Unternehmen noch Klärungsbedarf über notwendige Schritte zur ISMS-Einführung gibt, kann zunächst eine Analyse des Status quo in Form einer Reifegradanalyse vorgeschaltet werden. Ansonsten gilt: sofort loslegen, um den Zeitrahmen nicht zu überschreiten.
Neben diesen fünf Grundsätzen kann es sich außerdem lohnen, bei der ISMS-Einführung die Expertise eines erfahrenen Partners einzubeziehen. Denn Einsteiger werden allein durch die umfangreichen Dokumentationspflichten vor viele Fragen gestellt.

Jochen Felsner

Felsner, Jochen
Jochen Felsner ist in der Bundesdruckerei GmbH als Bereichsleiter für Consulting und Projekt-Management tätig. Seit dem Jahr 2004 war er als Management-Berater in mehreren Unternehmensberatungen aktiv, zuletzt bei The Boston Consulting Group (BCG) insbesondere für Themen rund um IT-Systeme und Prozesse für europäische Unternehmen.

http://www.bundesdruckerei.de
Dieser Beitrag ist in der März/April-Ausgabe von stadt+werk erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren. (Deep Link)

Stichwörter: Informationstechnik, ISMS

Bildquelle: creativ collection Verlag/Gina Sanders/Fotolia.com/PEAK Agentur für Kommunikation

Druckversion    PDF     Link mailen


Weitere Meldungen und Beiträge aus dem Bereich Informationstechnik

Stadtwerke Garbsen: Digitalisierung mit diginauten
[11.5.2021] Die Stadtwerke Garbsen wollen die Digitalisierung vorantreiben und haben zu diesem Zweck den Verein diginauten gegründet. mehr...
Die Gründungsversammlung der diginauten im Rathaus von Garbsen.
telent / Rhebo: Partner für KRITIS und Industrie 4.0
[11.5.2021] telent und Rhebo haben eine Zusammenarbeit im Bereich der Cybersicherheit vereinbart. Die Partnerschaft zielt auf die sichere Umsetzung von Digitalisierungsprojekten bei Energieversorgern, Netzbetreibern, Transport- und Industrieunternehmen. mehr...
COPA-DATA: Plattform für Fusion von OT und IT
[5.5.2021] Software-Spezialist COPA-DATA veröffentlicht mit zenon 10 eine integrierte Gesamtlösung seiner Software-Plattform für die Energiewirtschaft. mehr...
zenon 10 bietet eine integrierte Gesamtlösung für die Energiewirtschaft.
GISA / Robotron: Plattform für IoT-Anwendungen
[20.4.2021] GISA und Robotron vermarkten gemeinsam einen IoTHub4Utilities. Die Plattform dient der Umsetzung von Internet-of-Things-Anwendungen. mehr...
projektdp: Neues Add-on „personal“ eingeführt
[20.4.2021] Fallen Mitarbeiter aus, müssen Führungskräfte schnell reagieren: Aufgaben sind umzuverteilen und Fristen im Blick zu behalten. Das gelingt umso besser, je genauer die Aufgaben und Arbeitsweisen des Mitarbeiters bekannt sind. Ein Tool der Projekt:Unternehmensberatung (projektdp) liefert diese Informationen per Knopfdruck. mehr...
Das Personalcockpit unterstützt bei der Planung.

Suchen...

 Anzeige

Aktuelle Information des Verlags


In Zeiten der Corona-Pandemie werden wir aktuelle Ausgaben von stadt+werk allen Interessierten bis auf weiteres kostenfrei digital zur Verfügung stellen. Weisen Sie bitte auch Ihre Kolleginnen und Kollegen im Homeoffice auf diese Möglichkeit hin.

Wenn Sie stadt+werk auch künftig regelmäßig als Print- und Digitalausgabe erhalten möchten, freuen wir uns über ein Abonnement.

stadt+werk, Ausgabe 3/4 2021
stadt+werk, Ausgabe 1/2 2021
stadt+werk, Ausgabe 11/12 2020
stadt+werk, Ausgabe 9/10 2020

Ausgewählte Anbieter aus dem Bereich Informationstechnik:
VOLTARIS GmbH
67133 Maxdorf
VOLTARIS GmbH
items GmbH
48155 Münster
items GmbH
GIS Consult GmbH
45721 Haltern am See
GIS Consult GmbH
GISA GmbH
06112 Halle (Saale)
GISA GmbH
A/V/E GmbH
06112 Halle (Saale)
A/V/E GmbH

Aktuelle Meldungen