26. Jul 2021

Informationssicherheit in der Energiewirtschaft

Dem Blackout entgehen

Egal, ob Strom, Wasser oder Unternehmensdaten und Informationen: es kann gravierende Folgen haben, wenn es bei Unternehmen zu einem Stillstand kommt. Besonders die Versorger innerhalb des Energiesektors und die Anbieter im Bereich Informations- und Kommunikationstechnologie (IKT) sehen sich mit großen Herausforderungen hinsichtlich ihrer Informationssicherheit konfrontiert.

Auch im Bereich kritischer (strategischer) Infrastrukturen, wie etwa Energieversorgungsnetzen, kommen mittlerweile die klassischen Technologien und Komponenten aus der IT zum Einsatz. Unterschiedlichste Systeme arbeiten vernetzt, wodurch wechselseitige Abhängigkeiten steigen und diese Bereiche ebenso zunehmend in den Fokus sicherheitsrelevanter Aspekte rücken. Informationssicherheit ist somit auch in diesem Bereich ein wichtiges Thema und speziell als systemrelevant klassifizierte Unternehmen müssen ganz besonderes Augenmerk auf ihre Cyber Security und Unangreifbarkeit legen.

  • Welche Bedrohungspotenziale bzw. Herausforderungen gibt es?
  • Wie können heute Vorkehrungen für morgen getroffen werden?
  • Welche Rolle spielen die ISO 27001, ISO 27019, NIS-Gesetz und Informationssicherheitsmanagementsysteme?

Diesen und mehr Fragen widmen wir uns in diesem Artikel und möchten Ihnen einen kompakten Überblick geben!

Bedrohungen – was auf uns zukommen kann

Zu kritischen Infrastrukturen gehören u. a. jene Organisationen, die eine wesentliche Bedeutung für die Aufrechterhaltung wichtiger, gesellschaftlicher Funktionen haben und deren Störung schwerwiegende Auswirkungen auf Gesundheit, Sicherheit oder das allgemeine Wohl haben könnte, wie beispielsweise Energiewirtschaft, Stromversorgung oder Trinkwasserversorgung, um nur einige zu nennen. Ein möglicher Angriff könnte hier eine Kettenreaktion auslösen – denn beispielsweise ohne funktionierende Stromversorgung wird auch eine Kommunikation von Notdiensten, wie etwa Rettung oder Feuerwehr, kaum aufrecht zu erhalten sein.

Aufgrund des hohen Stellenwerts in der Gesellschaft müssen Betreiber solcher wesentlichen Dienste ein Mindestmaß an IT-Sicherheitsanforderungen erfüllen. Sogenannte Unternehmensblackouts, also plötzliche, länger andauernde Strom- bzw. Infrastrukturausfälle, sind aktuell in aller Munde und Szenarien, die sich weder Unternehmen noch Privatpersonen wünschen. Kommt es jedoch zu einem Produktionsstillstand bei etwa Energieerzeugern Energielieferanten, kann eine stabile Energieversorgung nicht mehr gewährleistet werden. Selbstverständlich sind nicht nur Unternehmen der Energiewirtschaft im Fokus bezüglich Blackouts anfällig für Blackouts – sondern sämtliche kritische Infrastrukturen eines Wirtschaftsraums.

Während Störungen, die umweltbedingt oder technischer Natur sind, oft bereits mittels Notfallplänen, Krisenteams und Übungsszenarien im Sinne eines Business Continuity Managementsystems (BCM) nach der ISO 22301 abgedeckt sind, ist das Ausmaß von Blackouts durch Cyberattacken schwer greifbar. Die zunehmende Digitalisierung schafft somit neue potenzielle Einfallstore – eine Sensibilisierung aller Mitarbeitenden ist notwendig.

Die Rolle von Normen und Standards

Wie für sämtliche Unternehmen und Organisationen ist die ISO 27001 auch im Falle der Energiewirtschaft der internationale Standard für Informationssicherheit.

Speziell für den Energiesektor ist aber die Subnorm ISO 27019 das Add-On zur ISO 27001. Inhaltlich adressiert sie Sicherheitsmaßnahmen für die Steuerungs- und Überwachungssysteme in den Bereichen Erzeugung, Übertragung und Verteilung von Elektrizität, Gas und Wärme ebenso wie auch unterstützende Prozesse und Technologien der IT-Sicherheit. Eine Zertifizierung gibt die Sicherheit, dass entsprechende Maßnahmen für eine sichere Energieversorgung getroffen werden.

Zum Schutz kritischer Infrastrukturen bzw. wesentlicher Dienste in Bereichen wie Energie, Verkehr oder Finanzen trat in Österreich 2019 zudem das NIS-Gesetz (NISG) und die NIS-Verordnung für Netz- und Informationssystemsicherheit (NISV) als nationale Umsetzung der EU-NIS-Richtlinie (aus dem Jahr 2016) in Kraft. Das NISG bzw. die NISV fordert Sicherheitsmaßnahmen, die aufgrund von Risikoanalysen einzuführen und mittels kontinuierlichen Verbesserungsprozessen auf dem neuesten Stand der Technik zu halten sind. Prinzipiell sind die Forderungen auch durch die ISO 27001 abgedeckt – dennoch sind die NIS-Sicherheitsmaßnahmen zum Teil noch detaillierter dargelegt. Dementsprechend ist eine Überprüfung nach NISG für bereits nach ISO 27001 zertifizierte Unternehmen deutlich müheloser zu bewerkstelligen. Die CIS ist qualifizierte Stelle (QaSte) für Überprüfungen nach dem NISG §17.

Darüber hinaus existiert speziell für die Energiewirtschaft Deutschlands das Energiewirtschaftsgesetz (EnWG) mit dem dazugehörigen IT-Sicherheitskatalog gemäß EnWG §11, welches zusätzliche Anforderungen für Energieanlagen und –netze definiert.

CIS bietet auch Zertifizierungen nach dem deutschen Energiewirtschaftsgesetz EnWG §11.

Informationssicherheitmanagementsysteme helfen, Risiken frühzeitig zu erkennen und gleichzeitig Gegenmaßnahmen zu implementieren. Außerdem wird Kunden und weiteren Stakeholdern ein Nachweis darüber gegeben, dass wichtige Anforderungen an die Informationssicherheit erfüllt werden.

Der Trend geht nicht nur hin zu mehr Vernetzung von Technologien und Prozessen – auch integrierte Managementsysteme, die Informationssicherheit, IT-Service-Management oder Qualität vereinen, spielen eine immer wichtigere Rolle. Viele Normen und Standards lassen sich „aus einer Hand“ kombinieren und Synergien durch die Systemintegration nutzen.

Was es noch zu tun gibt

Wir verlassen uns tagtäglich darauf, Strom aus Steckdosen, Wasser aus dem Wasserhahn oder Bargeld aus Banken bzw. Geldautomaten zu bekommen – Was uns allen höchst selbstverständlich erscheint, ist dennoch keine Selbstverständlichkeit. Mit dem zunehmenden Einzug der IT in sämtliche Geschäftsprozesse werden diese nicht nur schneller und wichtiger für das Funktionieren unserer Gesellschaft, sondern auch verwundbarer.

Das Risiko eines Unternehmensblackouts ist nicht unwahrscheinlich. Auch wenn es nicht zum Worst-Case kommt, Betriebsunterbrechungen oder Produktionsausfälle können immer Folgen, in Form von höheren Kosten haben – sei es für Imageverlust, durch verlorenen Umsatz, Ersatzansprüche von Geschäftspartnern oder die Wiedergutmachung eben dieser Ausfälle. Kein Grund jedoch, in Angst und Schrecken zu verfallen: auch mit systemischem Ansatz und gutem Plan können Ausfälle nicht gänzlich ausgeschlossen werden, es kann jedoch zumindest sichergestellt werden, die real gewordene Krisen rasch beseitigen zu können.

Die Zukunft der Energieversorgung – und vieler anderer Bereiche – ist somit von einer funktionierenden Informations- und Kommunikationstechnologie abhängig. Wenngleich die Unterstützung durch Technologie viele Vorteile bringt, gilt es sich auch für den Ernstfall zu wappnen und Prozesse, die für einen stabilen, laufenden Netzbetrieb notwendig sind, zu etablieren. Denn: Die Kontinuität von Geschäftsprozessen hat höchste Priorität.

Für Betreiber und Unternehmen ist es nicht immer einfach, sich im Dickicht verschiedener Normen und Standards zurechtzufinden. Gleichzeitig bieten die existierenden Normen sehr gute Implementierungshilfen auf dem Weg als Unternehmen sicherer und besser zu werden. Die CIS als langjähriger Zertifizierungspartner greift auf umfassendes Know-How zurück und bietet Systemzertifizierungen im Rahmen der ISO 27000-Serie (ISO 27019 – speziell für Energieversorger) sowie Überprüfungen nach dem deutschen Energiewirtschaftsgesetz und NIS Gesetz.

Bei Anfragen kontaktieren Sie unsere Experten gerne jederzeit hier – wir freuen uns von Ihnen hören zu dürfen!

Weitere News & Events

Immer topaktuell informiert

13. Nov 2023

TISAX: Neuer ISA-Katalog vom VDA veröffentlicht

Wesentliche Neuerungen für Automobil-Industrie

Mehr erfahren
07. Nov 2023

Breaking News zur EN 50600 – Design für Rechenzentren

Vervollständigter Ausgabebestand 2

Mehr erfahren
06. Nov 2023

Neuerungen in puncto ISO 27001

Was kommt, was geht, was gilt?

Mehr erfahren
06. Nov 2023

EN 50600 – das 1×1 der Norm

Ihre Fragen – unsere Antworten

Mehr erfahren
10. Okt 2024

Event: CIS Compliance Summit 2024

Security | Privacy | Continuity

Mehr erfahren
25. Sep 2023

Auszeichnung „CISO of the Year“ zum zweiten Mal verliehen

Die besten Chief Information Security Officer

Mehr erfahren
22. Sep 2023

Neuer Trainingsfolder der CIS veröffentlicht

Zahlreiche Neuerungen am Puls der Zeit

Mehr erfahren
20. Sep 2023

New Work: Durch neue Arbeitsweisen und Technologien bleibt der Mensch Risikofaktor Nummer 1

Das war der CIS Compliance Summit 2023

Mehr erfahren
12. Sep 2023

Business Continuity rückt in den Fokus

Ein Schnittstellenthema mit Boost durch NIS und DORA

Mehr erfahren
01. Sep 2023

NIS 2: Was muss Ihr Unternehmen wann umsetzen?

07. Aug 2023

Im Gespräch mit Harald Erkinger und Christoph Mondl über New Work, Chancen und Risiken

Die aktuellen Themen der Cyber Security

Mehr erfahren
03. Aug 2023

Auf welches Know-how wir uns beim CIS Compliance Summit 2023 freuen dürfen

Die Vorfreude auf hochkarätige Vortragende steigt!

Mehr erfahren
+43 1 532 98 90