Hilfe zur Selbsthilfe: IT-Sicherheit für Stadtwerke im Kooperationsmodell

(c) BBH
(c) BBH

IT-Sicherheit ist in der deutschen Energiewirtschaft derzeit ein enorm wichtiges Thema. Verteilnetzbetreiber müssen ein Informationssicherheits-Managementsystem (ISMS) einführen und dabei den Vorgaben der ISO 27001 sowie des IT-Sicherheitskatalogs der Bundesnetzagentur (BNetzA) genügen. Im Markt hört man oft den Wunsch, dafür möglichst wenig Geld ausgeben zu müssen, ohne auf die unbestreitbaren Vorteile eines ISMS verzichten zu müssen. Um diesen Anforderungen gerecht zu werden, hat die Becker Büttner Held Consulting AG (BBHC) die „Stadtwerkekooperationen IT-Sicherheit“ ins Leben gerufen.

Dabei handelt es sich um regionale Kooperationen von bis zu fünf Stadtwerken, die das Projekt „Einführung eines ISMS“ gemeinsam angehen, aber individuell zertifizieren lassen. Die einzelnen Stadtwerke sparen sich Aufwand, da sie von Synergieeffekten profitieren sowie auf Musterdokumente und Vorlagen zurückgreifen können.

Stadtwerke sind sehr unterschiedlich, sowohl in ihren oft historisch gewachsenen Organisations- und IT-Strukturen und Sicherheitsstandards als auch in ihren Erfahrungen mit Managementsystemen. Einige Stadtwerke verfügen bereits über ein Technisches Sicherheitsmanagement (TSM) oder sind mit ihrem Qualitätsmanagement nach ISO 9001 zertifiziert, während andere auf keine Erfahrungen zurückblicken können. Bei den Stadtwerkekooperationen IT-Sicherheit spielt daher der Austausch zwischen den einzelnen Teilnehmern eine große Rolle. Vorteilhaft ist dabei auch der Erfahrungsaustausch zwischen verschiedenen regionalen Kooperationsgruppen in Deutschland, bei dem beispielsweise die Risikoeinschätzungen einzelner energiewirtschaftlicher Systeme in anonymisierter Form geteilt werden.

Erste Schritte der Umsetzung

Die Kooperation beginnt mit einer Vorbereitungsphase, die einen Reifegrad-Check der IT-Sicherheit sowie ein „Vor-Audit“ beinhaltet; damit wird die individuelle Ausgangslage der einzelnen Teilnehmer bestimmt. Für den Reifegrad-Check werden einzelne wichtige Forderungen der ISO 27001, ISO 27019 sowie der IT-sicherheitstechnische Zustand im Unternehmen ausgewertet. Beim Vor-Audit erheben Experten vor Ort etwa die standortbezogene Sicherheit.

Im zweiten Schritt der Vorbereitungsphase wird der Anwendungsbereich des ISMS juristisch und IT-technisch definiert. Ein Teil davon wird durch gesetzliche und regulierungsbehördliche Vorgaben bestimmt, vor allem die durch den IT-Sicherheitskatalog verpflichtende Sicherung der netzsteuerungsdienlichen Informations- und Kommunikationssysteme. Bisherige Erfahrungen haben gezeigt, dass es unverhältnismäßig teuer werden kann, den Geltungsbereich konzernweit umfassend zu definieren. Daher wird bei jedem Kooperationsteilnehmer der Geltungsbereich individuell festgelegt, der zum einen die gesetzlichen (§ 11 Abs. 1a EnWG) und regulierungsbehördlichen (IT-Sicherheitskatalog) Anforderungen sowie die unternehmenseigenen Ansprüche an die Informationssicherheit berücksichtigt.

Auch hier ist die Kommunikation zwischen den Stadtwerken von großem Vorteil, vor allem bei der Frage, welche „Um-Systeme“ rund um die Netzsteuerung in den Geltungsbereich fallen und welche aus welchen Gründen nicht. Dabei müssen grundsätzlich sämtliche Systeme im Geltungsbereich, Infrastrukturen sowie gegebenenfalls Prozesse (in der ISO 27001 „Werte“ genannt) in einem Inventar verzeichnet und einer Risikobewertung unterzogen werden.

Best Practice Ansatz bei der Risikobewertung

Die eigentliche Risikobewertung und Maßnahmen für die zu schützenden Werte sind das Kernstück des ISMS. Hierfür wird eine individuelle Bedrohungs-, Schwachstellen- und Risikoanalyse durchgeführt, aus der sich ableitet, was unternehmensspezifisch zu tun ist und wie der Risiko-Behandlungsplan aussieht. Dabei wird auf eine Gefährdungs- und Maßnahmendatenbank für netzdienliche Komponenten und Werte zurückgegriffen. Diese stetig wachsende Datenbank enthält die anonymisierten Gefährdungen, Risikobewertungen und die abgeleiteten Maßnahmen von allen Teilnehmern der IT-Sicherheitskooperationen. Diese Schritte sollten generell möglichst früh geschehen, da sich später zumeist herausstellt, dass noch mehr als genug zu tun ist.

Maßnahmen müssen nicht nur technischer Natur sein, wie beispielsweise die Installation einer weiteren Firewall, sondern können auch die Organisation betreffen. Damit sich kein Unbefugter Zugang zu Systemen der Netzleitung verschafft, muss beispielsweise eine Richtlinie eingeführt sein, die regelt, wer genau auf welche Systeme zugreifen und welche Räumlichkeiten betreten darf.

Unterstützung bei der Dokumentation

Wie jedes Managementsystem, das extern auditiert werden muss, verlangt auch die Einführung eines ISMS umfangreiche Dokumentationen. Wer hier schlampt, riskiert die Zertifizierung. Diese Dokumentationen sind aufwändig, vor allem, wenn keinerlei Vorlagen oder Rahmendokumente vorhanden sind. Auch hier kann aber bei Bedarf auf Musterdokumente zurückgegriffen werden. Grundsätzlich können externe Kosten anerkannt und in den Erlösobergrenzen berücksichtigt werden.

Aus der Stadtwerkekooperation IT-Sicherheit ergeben sich nicht zu unterschätzende Vorteile, denn mit der Zertifizierung des ISMS ist es nicht getan. Vielmehr müssen jährliche interne sowie externe Audits durchgeführt werden. Zudem muss das ISMS alle drei Jahre re-zertifiziert werden.

Ansprechpartner: Dr. Andreas Lied/Stefan Brühl

Share
Weiterlesen

22 Juli

Der BBH-Blog verabschiedet sich in die Sommerpause

Den Beginn der parlamentarischen Sommerpause nehmen wir bekanntlich gerne als Anlass, den aktuellen „Wasserstand“ abzulesen sowie einen kurzen Blick in die Zukunft, sprich die zweite Hälfte des Jahres zu werfen – also auf das, was auf die politischen Entscheider*innen und...

21 Juli

„Klimaneutralität“ und Kompensationszahlungen: Anforderungen der europäischen Anti-„Greenwashing“-Richtlinie

Die Anforderungen an Werbung mit umweltbezogenen Aussagen steigen. Erst am 27.6.2024 hatte der Bundesgerichtshof im „Katjes“-Urteil (Az.: I ZR 98/23) strenge Maßstäbe für die Werbung mit dem Begriff „klimaneutral“ formuliert. Die europäische Anti-„Greenwashing“-Richtlinie könnte die Regeln für das Werben mit...