Artikel

IT-Security: Regulatorische Anforderungen meistern

13.12.2016

Regulatorische Anforderungen erfordern kurzfristiges Handeln

Das Bundeskabinett hat mit seinem Beschluss vom 17.12.2014, ein IT-Sicherheitsgesetz auf den Weg zu bringen, die Grundlage für eine nachhaltige, kontinuierliche Verbesserung der IT-Sicherheit geschaffen. Es entsteht Erfüllungsaufwand für alle KRITIS-Betreiber für

  • die Einhaltung eines Mindestniveaus an IT-Sicherheit,
  • den Nachweis der Erfüllung durch Sicherheitsaudits,
  • die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher IT-Sicherheitsvorfälle an das BSI sowie
  • das Betreiben einer Kontaktstelle.

Betreibern von Energieversorgungsnetzen und Energieanlagen, die als Kritische Infrastruktur im Sinne des BSI-Gesetzes eingestuft wurden, entsteht außerdem Erfüllungsaufwand für die Einrichtung von Verfahren für die Meldung von IT-Sicherheitsvorfällen an das BSI. Der Rahmen für spezifische organisatorische und technische Maßnahmen, die für einen bestimmten Wirtschaftssektor gelten (z.B. für die Prozessleittechnik in den Sektoren Energie, Wasser und Transport und Verkehr), wird ebenfalls sukzessive innerhalb der Normenfamilie ISO/IEC 270xx (hier mit der Norm ISO/IEC TR 27019:2013-07) gesetzt.

Die BSI-Standards 100-1 – 100-4 auf Basis IT-Grundschutz sowie das Umsetzungsrahmenwerk zum Notfallmanagement (nach BSI-Standard 100-4) stellen den Prozess zum Aufbau eines ISMS branchenunabhängig dar. Der BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise verfolgt wie die ISO/IEC 27002:2013 das Ziel, die relevanten organisatorischen und technischen Maßnahmen zur beschreiben, mit denen ein ISMS in der Praxis aufgebaut und betrieben werden kann. Die Umsetzung der Anforderungen an das ISMS geschieht (in der ISO/IEC 27002:2013) anhand von 114 Controls (z.B. Organisation, Zugriffskontrolle, Betriebssicherheit, Sicherheit in der Kommunikation etc.).
Es ist damit zu rechnen, dass der Gesetzgeber auch für KRITIS-Betreiber aus den anderen Wirtschaftssektoren Ähnliches vorsehen wird. Bisher ist der Aufbau eines Informationssicherheits-Managementsystems (ISMS) explizit im IT-Sicherheitskatalog der Bundesnetzagentur (siehe auch die Novellierung des EnWG § 11 Abs. a) – c)) vorgesehen. 

IT-Sicherheitsrisiko steigt

Die Bedrohung der IT-Sicherheit in den Unternehmen durch gezielte Cyber-Attacken, z.B. mittels Malware, hat in den letzten fünf Jahren weltweit massiv zugenommen. In den Medien, den Jahresberichten des BSI und in internationalen Studien wurde darüber berichtet. Einige Attacken (z.B. „Flame“, „Stuxnet“) haben zu großen Schäden bei den angegriffenen Unternehmen geführt, Es wurden Informationen verändert, ihr Austausch verhindert oder umgeleitet, ganze Geschäftsprozesse kamen zum Erliegen. Betreffen gezielte Attacken die Betreiber von kritischen Infrastrukturen (z.B. Stromnetzbetreiber, international tätige Großbanken, große Transport- und Logistikunternehmen), können sich mögliche Schäden schnell auf nationaler und internationaler Ebene auswirken und Kettenreaktionen verursachen.

Alle Betreiber von kritischen Infrastrukturen in der Energiewirtschaft (Energieversorger, Netzbetreiber) setzen komplexe Prozessleittechnik ein und sind aufgrund der Erweiterung des EnWG § 11 a) – c) verpflichtet, sich das geplante / vorhandene ISMS von einer akkreditierten Zertifizierungsstelle zertifizieren zu lassen.
Stadtwerken, die neben einer Energieversorgung (Gas, Strom, Fernwärme) der Verbraucher auch die Infrastruktur (inkl. Prozessleittechnik) eines ÖPNV bereitstellen und den Betrieb durchführen, wird empfohlen, auch hierzu ein individuelles ISMS zu planen und aufzubauen, obwohl momentan eine Zertifizierung noch nicht nachgewiesen werden muss.

Die Erst-Zertifizierung des ISMS ist innerhalb einer Frist von 2 Jahren nach Inkrafttreten des IT-Sicherheitsgesetzes (spätestens in 2017) durchzuführen. Weitere Re-Zertifizierungen haben alle 5 Jahre zu erfolgen.

plenum - der Partner für Ihr Unternehmen

plenum ist seit 20 Jahren einer der renommiertesten Berater zu Fragen der strategischen und organisatorischen IT in der Energiewirtschaft. Das Thema IT-Sicherheit bzw. die Verankerung des ISMS bedarf der Einordnung in die bestehenden IT-Steuerungsmechanismen sowie der vorhandenen IT-Strukturen. Die initialen Eckpunkte eines ISMS-Einführungsprojektes sind daher die Formulierung einer Sicherheitsstrategie sowie die Durchführung einer organisatorischen und technischen GAP-Analyse. Erst danach lassen sich alle konkreten organisatorischen und technischen Maßnahmen zur Umsetzung des ISMS definieren.

Ziel aller Maßnahmen ist die Stärkung des Sicherheitsbewusstseins, die kontinuierliche Verbesserung der Sicherheitsorganisation und der Sicherheitstechnik im Unternehmen und die im Energiesektor vom Gesetzgeber geforderte ISMS-Zertifizierung.

plenum bietet Ihnen hierzu ein umfassendes Beratungsangebot an. Wir verstehen uns als Partner für alle sicherheitsrelevanten Fragestellungen.

Nutzen eines zertifizierten ISMS für Ihr Unternehmen:

  • Verabschiedung einer IT-Sicherheitsstrategie
  • Einbettung der IT-Sicherheit in die Organisation
  • Erhöhtes Sicherheitsbewusstsein im gesamten Unternehmen
  • Kenntnis und Kontrolle der IT-Risiken / -Restrisiken
  • Sicherheit als integraler Bestandteil aller Geschäftsprozesse
  • Sicherheitsnachweis gegenüber Dritten (Gesetzgeber, Mitarbeitern, Lieferanten, Kunden und Partnern)
  • International anerkannte Zertifizierung
  • Reduktion des Haftungsrisikos der verantwortlichen Führungskräfte
  • Unternehmensinterne Kompetenz, mit IT-Risiken angemessen umgehen zu können
  • Energie
  • Digitalisierung

Ihr Ansprechpartner

Volker Elders, Vorstand

Volker Elders
Vorstand

+49 (0)69 6435524-32
Volker.Elders@plenum.de

Achim Zeiner, Senior Manager

Achim Zeiner
Senior Manager

+49 (0)170 8785015
Achim.Zeiner@plenum.de