Energieversorger stehen vor großen Herausforderungen. Im Zuge des § 11 Abs. 1a des Energiewirtschaftsgesetzes (EnWG) und des IT-Sicherheitskatalogs der Bundesnetzagentur gewinnt für sie der Schutz ihrer IT-Infrastrukturen deutlich an Brisanz. „Die BNetzA plant die Einführung sowie Zertifizierung eines Informationssicherheits-Managementsystems – kurz ISMS – nach ISO 27001 als verpflichtende Anforderung an die Strom- und Gasnetzbetreiber in Deutschland“, erklärt Christian Bruns. Der Manager Informationssicherheit der BTC Technology Consulting AG spürt eine hohe Unsicherheit in der Branche bezüglich des Aufwandes und der Kosten. „Insbesondere kleinere Energienetzbetreiber und Stadtwerke bewegen sich hier auf einem für sie weithin unbekanntem Terrain“, so Bruns.

Vor dem Hintergrund erfolgreich realisierter ganzheitlicher Security-Konzepte hat die BTC AG einen praxisbewährten Fahrplan zur Umsetzung der neuen Sicherheitsauflagen entwickelt. Das Vorgehensmodell unterteilt sich in drei Phasen und den eigentlichen Zertifizierungsvorgang. Diese umfassen unter anderem den Geltungsbereich des ISMS festzulegen, den angestrebten Sicherheitsgrad sowie den Wert der zu schützenden Dokumente, Systeme und Personen für eine Organisation zu definieren, um im Anschluss Risiken und notwendige Sicherheitsmaßnahmen bestimmen zu können. Als unterstützende Maßnahmen während der gesamten Prozessdurchführung sind die Beauftragung eines fachkundigen Sicherheitsbeauftragten sowie das Coaching eines Mitarbeiters zum ISO-27001-Auditor vorgesehen. Zielsetzung ist die Zertifizierung und die Übergabe der Verantwortung für das ISMS an den Netzbetreiber. Nach der Übergabe wird das ISMS durch das Unternehmen eigenständig betrieben. BTC selbst steht nach der Übergabe im Bedarfsfall bei speziellen Fragestellungen beratend zur Seite. […]

Um ein Gespür für den Aufwand zu entwickeln, empfiehlt BTC deshalb, vor der eigentlichen ISMS-Einführung zunächst ein Kurzaudit vorzunehmen. Die zertifizierten ISO 27001-Auditoren und Cyber-Security-Practitioner von BTC begutachten hierbei das Angriffsrisiko und gleichen es mit dem vorhandenen Sicherheitsniveau ab. Auf diese Weise entsteht ein dokumentiertes Lagebild zum aktuellen Sicherheitsniveau und zum Handlungsbedarf. Basis des Kurzaudits bildet der Cyber-Sicherheits-Check des Bundesamts für Sicherheit in der Informationstechnik (BSI). Diesen hat BTC an die Belange des IT-Sicherheitskatalogs der BNetzA für die Energiewirtschaft, der künftig verbindlich ist, angepasst. [..]