BDEW

Sonntag, 5. Juli 2020

ISMS:
Einführung nicht verschlafen


[15.8.2016] Die Einführung eines Informations-Sicherheits-Management-Systems (ISMS) sollte kein Hexenwerk sein. Dennoch tun sich viele Stadtwerke schwer. Das liegt an aktuellen Fehleinschätzungen ebenso wie an alten Versäumnissen, zeigt eine Umfrage der Unternehmensberatung Axxcon.

Bei der Einführung eines zertifizierten Informations-Sicherheits-Management-Systems (ISMS) bis zum 31. Januar 2018 tun sich Stadtwerke und andere Energieversorger schwer. Das zeigt die Studie „Informationssicherheit: Sind die Energieversorger schon ISMS-ready?“ der Unternehmensberatung Axxcon, für die 106 Geschäftsführer, IT-Leiter und IT-Sicherheitsbeauftragte befragt wurden. Demzufolge werden viele der Unternehmen den gesetzlich vorgeschriebenen Termin nicht einhalten können.
Das liegt unter anderem an einer zu knappen Planung der ISMS-Einführung: So wollen 43 Prozent der Unternehmen den Prozess bis zum zweiten Quartal 2017 abschließen. Bis zum vierten Quartal 2017 wollen 89 Prozent fertig sein, im ersten Quartal 2018 schließlich alle. Dabei wurde offenbar nicht bedacht, dass ein ISMS mindestens sechs Monate im Einsatz sein muss, bevor seine Funktionsfähigkeit und Effektivität nachgewiesen sind und das System zertifiziert werden kann. Das wird einem Großteil der Unternehmen alleine aus Zeitgründen nicht gelingen. Hinzu kommt: Bauen alle Unternehmen auf eine Abnahme kurz vor Ablauf der Frist, wird es zu einem Engpass bei den Zertifizierern kommen. Bei einem Verzug drohen den Stadtwerken jedoch empfindliche Geldstrafen.
Ohnehin dürfte die Einführung des ISMS für die Energieversorger deutlich teurer werden als geplant: So haben knapp zwei Drittel der Unternehmen laut der Studie nicht mehr als 100.000 Euro veranschlagt. Diese Summe wird jedoch nicht ausreichen: Realistisch betrachtet, kostet die Einführung im Durchschnitt 500.000 Euro. Und auch bei einem kleineren Stadtwerk wird die benötigte Summe deutlich über 100.000 Euro liegen.

Aufwand wird unterschätzt

Dass den Stadtwerken bei der ISMS-Einführung solch gravierende Fehleinschätzungen unterlaufen, kann sich schmerzlich bemerkbar machen. Darüber hinaus zeigt es Versäumnisse bei ihrer technischen IT auf – welche gern von der kommerziellen oder kaufmännischen IT, wie zum Beispiel SAP-Anwendungen, abgegrenzt wird. Schließlich sind die vom Gesetzgeber aufgestellten Anforderungen an das Informations-Sicherheits-Management-System keineswegs neu. So sind die entsprechenden Prüfmodelle und Prozesse für die Informationssicherheit in anderen IT-Bereichen längst Standard. Auch die ISO 27001, nach der die Zertifizierung des ISMS erfolgen soll, ist bereits etabliert, ebenso wie die vollständige Inventarisierung der IT, welche die Grundlage für ein ISMS darstellt.
Anders sieht es offenbar im Bereich der technischen Infrastruktur aus, die in den Stadtwerken oftmals historisch gewachsen ist. So haben laut der Studie bislang erst 43 Prozent der befragten Energieversorgungsunternehmen alle sicherheitsrelevanten Netze und Geräte vollständig erfasst. Lediglich zwölf Prozent der Unternehmen haben die potenziellen Bedrohungen und Risiken abschließend identifiziert. Hier macht sich die ungünstige Ausgangslage bemerkbar. Denn: Muss ein Unternehmen bei der Inventarisierung bei Null anfangen, dauert allein die Aufstellung eines Netzstrukturplans je nach Größe eines Stadtwerks mehrere Wochen bis hin zu einigen Monaten.
Nicht zuletzt weist das Fehlen vollständiger Netzstrukturpläne auf eine falsch gewählte Reihenfolge bei der ISMS-Einführung hin. Schließlich ist zu empfehlen, zuerst einen Netzstrukturplan zu erstellen, aus dem auch Schnittstellen und Verantwortlichkeiten hervorgehen und der als Grundlage für alle weiteren Schritte dient. Anschließend wird definiert, welche Bereiche relevant für den wirtschaftlichen Erfolg und die Handlungsfähigkeit des Unternehmens sind. Im nächsten Schritt müssen die relevanten (Informations-)Werte definiert und die Risiken analysiert werden. Erst jetzt können die Maßnahmen festgelegt und umgesetzt werden. Schließlich folgt die Review-Phase mit Korrekturmaßnahmen, der Einführung eines kontinuierlichen Verbesserungsprozesses und der Durchführung von internen Audits zur Erreichung der Zertifizierungsreife.

Mangel an Know-how

Wie auch die Beratungspraxis zeigt, ist eine solch systematische Vorgehensweise in den Unternehmen häufig nicht gegeben. Oft liegt dies an einem Mangel an Know-how, der laut der Studie in kleinen Unternehmen mit bis zu 200 Mitarbeitern am stärksten ausgeprägt ist. 71 Prozent von ihnen sind nach eigenen Angaben nur teilweise, sechs Prozent noch gar nicht mit den Mindestanforderungen für ein zertifiziertes ISMS vertraut. Ebenfalls brisant: Bei mehr als jedem zweiten Unternehmen fehlt es an Mitarbeitern für die Umsetzung, Implementierung und den Betrieb des ISMS.
Häufig verfügen gerade mittelgroße und kleine Stadtwerke aufgrund ihrer Personalstruktur nicht über die richtigen Mitarbeiter, um ein ISMS zügig umzusetzen. Darüber hinaus fehlt oft auch die Bereitschaft, sich mit dem Thema Sicherheit auseinanderzusetzen – nicht zuletzt, weil den Mitarbeitern dessen Ernsthaftigkeit nicht bewusst ist. Ein Grund dafür könnte sein, dass Hacker-Angriffe bislang noch keinen großen Einfluss auf das Tagesgeschäft der EVUs hatten. Es ist jedoch davon auszugehen, dass gezielte Angriffe auf die Infrastruktur zunehmen werden. Und auch der Stromausfall in einem kleineren Stadtwerk kann Industriekunden schädigen und erhebliches Gefahrenpotenzial bergen. Wichtig sind daher nicht nur Informationsveranstaltungen und Schulungen für die IT-Experten, die direkt an der Einführung des ISMS beteiligt sind. Auch alle anderen Mitarbeiter des Unternehmens müssen für Sicherheitsfragen sensibilisiert werden.
Insgesamt ist die Informationssicherheit im Unternehmen eine Sache der Unternehmenskultur und muss dringend zur Chefsache erklärt werden. Dies gilt umso mehr, da die IT-Sicherheit ein wichtiges Zukunftsthema ist. Denn die Einführung von Smart Meter und Smart Grid wird die Anforderungen an die Sicherheitssysteme in Zukunft drastisch erhöhen.


Dirk Stieler und Torsten Beyer sind Partner und ISMS-Experten bei der Unternehmensberatung Axxcon.

http://www.axxcon.com
Hier kann die Studie zur Informationssicherheit bei Energieversorgern bestellt werden. (Deep Link)
Dieser Beitrag ist im stadt+werk-Sonderheft „IKT-Lösungen für Stadtwerke und kommunale Betriebe“ erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren. (Deep Link)

Stichwörter: Informationstechnik, IT-Sicherheit, Informations-Sicherheits-Management-System



Druckversion    PDF     Link mailen


Weitere Meldungen und Beiträge aus dem Bereich Informationstechnik

VertiGIS Utilities: Testeinsatz beim Kunden
[3.7.2020] Auf der Basis von Esri-Lösungen wird derzeit das neue Produkt VertiGIS Utilities entwickelt. Eine erste Testversion ist nun beim belgischen Energieversorger Fluvius im Einsatz. mehr...
tktVivax / e.pilot: Neues Tool für Digitalversorger
[1.7.2020] tktVivax und e.pilot stellen eine erste End-to-End-Digitalisierung für Internet Service Provider im kommunalen und Versorger-Umfeld bereit. Damit kann von der Online-Anfrage bis zum aktiven Breitband-Tarif alles abgewickelt werden. mehr...
Interview: Digitaler Einkauf nimmt Fahrt auf Interview
[26.6.2020] Die vergangenen Monate haben klar gezeigt, welche Vorteile die Digitalisierung bietet, sagt Gundolf Schweppe. stadt+werk sprach mit dem Chef von Uniper Energy Sales über Online-Plattformen für den Energie-Einkauf. mehr...
Gundolf Schweppe ist Vorsitzender der Geschäftsführung der Uniper Energy Sales GmbH.
Mainova: Frankfurt wird Smart City
[25.6.2020] Frankfurt am Main ist auf dem Weg zur Smart City. Zentraler Bestandteil ist ein stadtweites Funk-Datennetz auf LoRaWAN-Basis. Am 23. Juni 2020 wurde es in Betrieb genommen. mehr...
Oberbürgermeister Peter Feldmann und Mainova-Vorstandsmitglied Diana Rauhut präsentieren ein LoRaWAN-Gateway sowie einen smarten Wärmemengenzähler.
GVS: Neues Tool für Energieversorger
[25.6.2020] Das Tool Taktik(X) des Erdgasversorgers GVS soll die eigene Beschaffungsstrategie eines Energieversorgers automatisiert überwachen. mehr...

Suchen...

Aktuelle Information des Verlags


In Zeiten der Corona-Pandemie werden wir aktuelle Ausgaben von stadt+werk allen Interessierten bis auf weiteres kostenfrei digital zur Verfügung stellen. Weisen Sie bitte auch Ihre Kolleginnen und Kollegen im Homeoffice auf diese Möglichkeit hin.

Wenn Sie stadt+werk auch künftig regelmäßig als Print- und Digitalausgabe erhalten möchten, freuen wir uns über ein Abonnement.

stadt+werk, Ausgabe 3/4 2020
stadt+werk, Ausgabe 5/6 2020
stadt+werk, Sonderheft Juni 2020

Ausgewählte Anbieter aus dem Bereich Informationstechnik:
rku.it GmbH
44629 Herne
rku.it GmbH
Arvato Systems
33333 Gütersloh
Arvato Systems
Redtree GmbH
44575 Castrop-Rauxel
Redtree GmbH
A/V/E GmbH
06112 Halle (Saale)
A/V/E GmbH
IDS GmbH
76275 Ettlingen
IDS GmbH

Aktuelle Meldungen