Informationssicherheit in der Energiewirtschaft
Dem Blackout entgehen
Egal, ob Strom, Wasser oder Unternehmensdaten und Informationen: es kann gravierende Folgen haben, wenn es bei Unternehmen zu einem Stillstand kommt. Besonders die Versorger innerhalb des Energiesektors und die Anbieter im Bereich Informations- und Kommunikationstechnologie (IKT) sehen sich mit großen Herausforderungen hinsichtlich ihrer Informationssicherheit konfrontiert.
Auch im Bereich kritischer (strategischer) Infrastrukturen, wie etwa Energieversorgungsnetzen, kommen mittlerweile die klassischen Technologien und Komponenten aus der IT zum Einsatz. Unterschiedlichste Systeme arbeiten vernetzt, wodurch wechselseitige Abhängigkeiten steigen und diese Bereiche ebenso zunehmend in den Fokus sicherheitsrelevanter Aspekte rücken. Informationssicherheit ist somit auch in diesem Bereich ein wichtiges Thema und speziell als systemrelevant klassifizierte Unternehmen müssen ganz besonderes Augenmerk auf ihre Cyber Security und Unangreifbarkeit legen.
- Welche Bedrohungspotenziale bzw. Herausforderungen gibt es?
- Wie können heute Vorkehrungen für morgen getroffen werden?
- Welche Rolle spielen die ISO 27001, ISO 27019, NIS-Gesetz und Informationssicherheitsmanagementsysteme?
Diesen und mehr Fragen widmen wir uns in diesem Artikel und möchten Ihnen einen kompakten Überblick geben!
Bedrohungen – was auf uns zukommen kann
Zu kritischen Infrastrukturen gehören u. a. jene Organisationen, die eine wesentliche Bedeutung für die Aufrechterhaltung wichtiger, gesellschaftlicher Funktionen haben und deren Störung schwerwiegende Auswirkungen auf Gesundheit, Sicherheit oder das allgemeine Wohl haben könnte, wie beispielsweise Energiewirtschaft, Stromversorgung oder Trinkwasserversorgung, um nur einige zu nennen. Ein möglicher Angriff könnte hier eine Kettenreaktion auslösen – denn beispielsweise ohne funktionierende Stromversorgung wird auch eine Kommunikation von Notdiensten, wie etwa Rettung oder Feuerwehr, kaum aufrecht zu erhalten sein.
Aufgrund des hohen Stellenwerts in der Gesellschaft müssen Betreiber solcher wesentlichen Dienste ein Mindestmaß an IT-Sicherheitsanforderungen erfüllen. Sogenannte Unternehmensblackouts, also plötzliche, länger andauernde Strom- bzw. Infrastrukturausfälle, sind aktuell in aller Munde und Szenarien, die sich weder Unternehmen noch Privatpersonen wünschen. Kommt es jedoch zu einem Produktionsstillstand bei etwa Energieerzeugern Energielieferanten, kann eine stabile Energieversorgung nicht mehr gewährleistet werden. Selbstverständlich sind nicht nur Unternehmen der Energiewirtschaft im Fokus bezüglich Blackouts anfällig für Blackouts – sondern sämtliche kritische Infrastrukturen eines Wirtschaftsraums.
Während Störungen, die umweltbedingt oder technischer Natur sind, oft bereits mittels Notfallplänen, Krisenteams und Übungsszenarien im Sinne eines Business Continuity Managementsystems (BCM) nach der ISO 22301 abgedeckt sind, ist das Ausmaß von Blackouts durch Cyberattacken schwer greifbar. Die zunehmende Digitalisierung schafft somit neue potenzielle Einfallstore – eine Sensibilisierung aller Mitarbeitenden ist notwendig.
Die Rolle von Normen und Standards
Wie für sämtliche Unternehmen und Organisationen ist die ISO 27001 auch im Falle der Energiewirtschaft der internationale Standard für Informationssicherheit.
Speziell für den Energiesektor ist aber die Subnorm ISO 27019 das Add-On zur ISO 27001. Inhaltlich adressiert sie Sicherheitsmaßnahmen für die Steuerungs- und Überwachungssysteme in den Bereichen Erzeugung, Übertragung und Verteilung von Elektrizität, Gas und Wärme ebenso wie auch unterstützende Prozesse und Technologien der IT-Sicherheit. Eine Zertifizierung gibt die Sicherheit, dass entsprechende Maßnahmen für eine sichere Energieversorgung getroffen werden.
Zum Schutz kritischer Infrastrukturen bzw. wesentlicher Dienste in Bereichen wie Energie, Verkehr oder Finanzen trat in Österreich 2019 zudem das NIS-Gesetz (NISG) und die NIS-Verordnung für Netz- und Informationssystemsicherheit (NISV) als nationale Umsetzung der EU-NIS-Richtlinie (aus dem Jahr 2016) in Kraft. Das NISG bzw. die NISV fordert Sicherheitsmaßnahmen, die aufgrund von Risikoanalysen einzuführen und mittels kontinuierlichen Verbesserungsprozessen auf dem neuesten Stand der Technik zu halten sind. Prinzipiell sind die Forderungen auch durch die ISO 27001 abgedeckt – dennoch sind die NIS-Sicherheitsmaßnahmen zum Teil noch detaillierter dargelegt. Dementsprechend ist eine Überprüfung nach NISG für bereits nach ISO 27001 zertifizierte Unternehmen deutlich müheloser zu bewerkstelligen. Die CIS ist qualifizierte Stelle (QaSte) für Überprüfungen nach dem NISG §17.
Darüber hinaus existiert speziell für die Energiewirtschaft Deutschlands das Energiewirtschaftsgesetz (EnWG) mit dem dazugehörigen IT-Sicherheitskatalog gemäß EnWG §11, welches zusätzliche Anforderungen für Energieanlagen und –netze definiert.
CIS bietet auch Zertifizierungen nach dem deutschen Energiewirtschaftsgesetz EnWG §11.
Informationssicherheitmanagementsysteme helfen, Risiken frühzeitig zu erkennen und gleichzeitig Gegenmaßnahmen zu implementieren. Außerdem wird Kunden und weiteren Stakeholdern ein Nachweis darüber gegeben, dass wichtige Anforderungen an die Informationssicherheit erfüllt werden.
Der Trend geht nicht nur hin zu mehr Vernetzung von Technologien und Prozessen – auch integrierte Managementsysteme, die Informationssicherheit, IT-Service-Management oder Qualität vereinen, spielen eine immer wichtigere Rolle. Viele Normen und Standards lassen sich „aus einer Hand“ kombinieren und Synergien durch die Systemintegration nutzen.
Was es noch zu tun gibt
Wir verlassen uns tagtäglich darauf, Strom aus Steckdosen, Wasser aus dem Wasserhahn oder Bargeld aus Banken bzw. Geldautomaten zu bekommen – Was uns allen höchst selbstverständlich erscheint, ist dennoch keine Selbstverständlichkeit. Mit dem zunehmenden Einzug der IT in sämtliche Geschäftsprozesse werden diese nicht nur schneller und wichtiger für das Funktionieren unserer Gesellschaft, sondern auch verwundbarer.
Das Risiko eines Unternehmensblackouts ist nicht unwahrscheinlich. Auch wenn es nicht zum Worst-Case kommt, Betriebsunterbrechungen oder Produktionsausfälle können immer Folgen, in Form von höheren Kosten haben – sei es für Imageverlust, durch verlorenen Umsatz, Ersatzansprüche von Geschäftspartnern oder die Wiedergutmachung eben dieser Ausfälle. Kein Grund jedoch, in Angst und Schrecken zu verfallen: auch mit systemischem Ansatz und gutem Plan können Ausfälle nicht gänzlich ausgeschlossen werden, es kann jedoch zumindest sichergestellt werden, die real gewordene Krisen rasch beseitigen zu können.
Die Zukunft der Energieversorgung – und vieler anderer Bereiche – ist somit von einer funktionierenden Informations- und Kommunikationstechnologie abhängig. Wenngleich die Unterstützung durch Technologie viele Vorteile bringt, gilt es sich auch für den Ernstfall zu wappnen und Prozesse, die für einen stabilen, laufenden Netzbetrieb notwendig sind, zu etablieren. Denn: Die Kontinuität von Geschäftsprozessen hat höchste Priorität.
Für Betreiber und Unternehmen ist es nicht immer einfach, sich im Dickicht verschiedener Normen und Standards zurechtzufinden. Gleichzeitig bieten die existierenden Normen sehr gute Implementierungshilfen auf dem Weg als Unternehmen sicherer und besser zu werden. Die CIS als langjähriger Zertifizierungspartner greift auf umfassendes Know-How zurück und bietet Systemzertifizierungen im Rahmen der ISO 27000-Serie (ISO 27019 – speziell für Energieversorger) sowie Überprüfungen nach dem deutschen Energiewirtschaftsgesetz und NIS Gesetz.
Bei Anfragen kontaktieren Sie unsere Experten gerne jederzeit hier – wir freuen uns von Ihnen hören zu dürfen!