26. Jul 2021

Informationssicherheit in der Energiewirtschaft

Dem Blackout entgehen

Egal, ob Strom, Wasser oder Unternehmensdaten und Informationen: es kann gravierende Folgen haben, wenn es bei Unternehmen zu einem Stillstand kommt. Besonders die Versorger innerhalb des Energiesektors und die Anbieter im Bereich Informations- und Kommunikationstechnologie (IKT) sehen sich mit großen Herausforderungen hinsichtlich ihrer Informationssicherheit konfrontiert.

Auch im Bereich kritischer (strategischer) Infrastrukturen, wie etwa Energieversorgungsnetzen, kommen mittlerweile die klassischen Technologien und Komponenten aus der IT zum Einsatz. Unterschiedlichste Systeme arbeiten vernetzt, wodurch wechselseitige Abhängigkeiten steigen und diese Bereiche ebenso zunehmend in den Fokus sicherheitsrelevanter Aspekte rücken. Informationssicherheit ist somit auch in diesem Bereich ein wichtiges Thema und speziell als systemrelevant klassifizierte Unternehmen müssen ganz besonderes Augenmerk auf ihre Cyber Security und Unangreifbarkeit legen.

  • Welche Bedrohungspotenziale bzw. Herausforderungen gibt es?
  • Wie können heute Vorkehrungen für morgen getroffen werden?
  • Welche Rolle spielen die ISO 27001, ISO 27019, NIS-Gesetz und Informationssicherheitsmanagementsysteme?

Diesen und mehr Fragen widmen wir uns in diesem Artikel und möchten Ihnen einen kompakten Überblick geben!

Bedrohungen – was auf uns zukommen kann

Zu kritischen Infrastrukturen gehören u. a. jene Organisationen, die eine wesentliche Bedeutung für die Aufrechterhaltung wichtiger, gesellschaftlicher Funktionen haben und deren Störung schwerwiegende Auswirkungen auf Gesundheit, Sicherheit oder das allgemeine Wohl haben könnte, wie beispielsweise Energiewirtschaft, Stromversorgung oder Trinkwasserversorgung, um nur einige zu nennen. Ein möglicher Angriff könnte hier eine Kettenreaktion auslösen – denn beispielsweise ohne funktionierende Stromversorgung wird auch eine Kommunikation von Notdiensten, wie etwa Rettung oder Feuerwehr, kaum aufrecht zu erhalten sein.

Aufgrund des hohen Stellenwerts in der Gesellschaft müssen Betreiber solcher wesentlichen Dienste ein Mindestmaß an IT-Sicherheitsanforderungen erfüllen. Sogenannte Unternehmensblackouts, also plötzliche, länger andauernde Strom- bzw. Infrastrukturausfälle, sind aktuell in aller Munde und Szenarien, die sich weder Unternehmen noch Privatpersonen wünschen. Kommt es jedoch zu einem Produktionsstillstand bei etwa Energieerzeugern Energielieferanten, kann eine stabile Energieversorgung nicht mehr gewährleistet werden. Selbstverständlich sind nicht nur Unternehmen der Energiewirtschaft im Fokus bezüglich Blackouts anfällig für Blackouts – sondern sämtliche kritische Infrastrukturen eines Wirtschaftsraums.

Während Störungen, die umweltbedingt oder technischer Natur sind, oft bereits mittels Notfallplänen, Krisenteams und Übungsszenarien im Sinne eines Business Continuity Managementsystems (BCM) nach der ISO 22301 abgedeckt sind, ist das Ausmaß von Blackouts durch Cyberattacken schwer greifbar. Die zunehmende Digitalisierung schafft somit neue potenzielle Einfallstore – eine Sensibilisierung aller Mitarbeitenden ist notwendig.

Die Rolle von Normen und Standards

Wie für sämtliche Unternehmen und Organisationen ist die ISO 27001 auch im Falle der Energiewirtschaft der internationale Standard für Informationssicherheit.

Speziell für den Energiesektor ist aber die Subnorm ISO 27019 das Add-On zur ISO 27001. Inhaltlich adressiert sie Sicherheitsmaßnahmen für die Steuerungs- und Überwachungssysteme in den Bereichen Erzeugung, Übertragung und Verteilung von Elektrizität, Gas und Wärme ebenso wie auch unterstützende Prozesse und Technologien der IT-Sicherheit. Eine Zertifizierung gibt die Sicherheit, dass entsprechende Maßnahmen für eine sichere Energieversorgung getroffen werden.

Zum Schutz kritischer Infrastrukturen bzw. wesentlicher Dienste in Bereichen wie Energie, Verkehr oder Finanzen trat in Österreich 2019 zudem das NIS-Gesetz (NISG) und die NIS-Verordnung für Netz- und Informationssystemsicherheit (NISV) als nationale Umsetzung der EU-NIS-Richtlinie (aus dem Jahr 2016) in Kraft. Das NISG bzw. die NISV fordert Sicherheitsmaßnahmen, die aufgrund von Risikoanalysen einzuführen und mittels kontinuierlichen Verbesserungsprozessen auf dem neuesten Stand der Technik zu halten sind. Prinzipiell sind die Forderungen auch durch die ISO 27001 abgedeckt – dennoch sind die NIS-Sicherheitsmaßnahmen zum Teil noch detaillierter dargelegt. Dementsprechend ist eine Überprüfung nach NISG für bereits nach ISO 27001 zertifizierte Unternehmen deutlich müheloser zu bewerkstelligen. Die CIS ist qualifizierte Stelle (QaSte) für Überprüfungen nach dem NISG §17.

Darüber hinaus existiert speziell für die Energiewirtschaft Deutschlands das Energiewirtschaftsgesetz (EnWG) mit dem dazugehörigen IT-Sicherheitskatalog gemäß EnWG §11, welches zusätzliche Anforderungen für Energieanlagen und –netze definiert.

CIS bietet auch Zertifizierungen nach dem deutschen Energiewirtschaftsgesetz EnWG §11.

Informationssicherheitmanagementsysteme helfen, Risiken frühzeitig zu erkennen und gleichzeitig Gegenmaßnahmen zu implementieren. Außerdem wird Kunden und weiteren Stakeholdern ein Nachweis darüber gegeben, dass wichtige Anforderungen an die Informationssicherheit erfüllt werden.

Der Trend geht nicht nur hin zu mehr Vernetzung von Technologien und Prozessen – auch integrierte Managementsysteme, die Informationssicherheit, IT-Service-Management oder Qualität vereinen, spielen eine immer wichtigere Rolle. Viele Normen und Standards lassen sich „aus einer Hand“ kombinieren und Synergien durch die Systemintegration nutzen.

Was es noch zu tun gibt

Wir verlassen uns tagtäglich darauf, Strom aus Steckdosen, Wasser aus dem Wasserhahn oder Bargeld aus Banken bzw. Geldautomaten zu bekommen – Was uns allen höchst selbstverständlich erscheint, ist dennoch keine Selbstverständlichkeit. Mit dem zunehmenden Einzug der IT in sämtliche Geschäftsprozesse werden diese nicht nur schneller und wichtiger für das Funktionieren unserer Gesellschaft, sondern auch verwundbarer.

Das Risiko eines Unternehmensblackouts ist nicht unwahrscheinlich. Auch wenn es nicht zum Worst-Case kommt, Betriebsunterbrechungen oder Produktionsausfälle können immer Folgen, in Form von höheren Kosten haben – sei es für Imageverlust, durch verlorenen Umsatz, Ersatzansprüche von Geschäftspartnern oder die Wiedergutmachung eben dieser Ausfälle. Kein Grund jedoch, in Angst und Schrecken zu verfallen: auch mit systemischem Ansatz und gutem Plan können Ausfälle nicht gänzlich ausgeschlossen werden, es kann jedoch zumindest sichergestellt werden, die real gewordene Krisen rasch beseitigen zu können.

Die Zukunft der Energieversorgung – und vieler anderer Bereiche – ist somit von einer funktionierenden Informations- und Kommunikationstechnologie abhängig. Wenngleich die Unterstützung durch Technologie viele Vorteile bringt, gilt es sich auch für den Ernstfall zu wappnen und Prozesse, die für einen stabilen, laufenden Netzbetrieb notwendig sind, zu etablieren. Denn: Die Kontinuität von Geschäftsprozessen hat höchste Priorität.

Für Betreiber und Unternehmen ist es nicht immer einfach, sich im Dickicht verschiedener Normen und Standards zurechtzufinden. Gleichzeitig bieten die existierenden Normen sehr gute Implementierungshilfen auf dem Weg als Unternehmen sicherer und besser zu werden. Die CIS als langjähriger Zertifizierungspartner greift auf umfassendes Know-How zurück und bietet Systemzertifizierungen im Rahmen der ISO 27000-Serie (ISO 27019 – speziell für Energieversorger) sowie Überprüfungen nach dem deutschen Energiewirtschaftsgesetz und NIS Gesetz.

Bei Anfragen kontaktieren Sie unsere Experten gerne jederzeit hier – wir freuen uns von Ihnen hören zu dürfen!

Weitere News & Events

Immer topaktuell informiert

27. Jun 2024

DORA in der Praxis: technische Tools und Herausforderungen

Margit Mann im Gespräch mit Thomas Bachner

Mehr erfahren
25. Jun 2024

DORA in der Praxis: IT-Governance und Risikomanagement

Margit Mann im Gespräch mit Thomas Bachner

Mehr erfahren
11. Jun 2024

Aufnahme von Aspekten des Klimawandels in die Normen für Management­systeme

Neuerungen und wie es weiter geht

Mehr erfahren
22. Mai 2024

Wie lernen Sie am Besten?

Welche Ansprüche stellen Sie an eine Weiterbildung?

Mehr erfahren
22. Mai 2024

Der neue Online-Kurs für Information Security Manager*innen ist da!

Flexibel bleiben und online lernen

Mehr erfahren
22. Mai 2024

Neu: Kompaktkurs Datenschutz

Stärken Sie Ihre Position als Expert*in in nur einem Tag!

Mehr erfahren
15. Mai 2024

TISAX® deep dive: die 12 Prüfziele (Labels)

Sicherheit in der Automobilindustrie

Mehr erfahren
13. Mai 2024

TISAX® deep dive: die drei Assessment-Levels

Sicherheit in der Automobilindustrie

Mehr erfahren
30. Apr 2024

TISAX®: Informations­sicherheit in der Automobilbranche

Auf der Überholspur

Mehr erfahren
29. Apr 2024

Erfolgreiche erste Prüfung nach dem Netz- und Informations­systemsicherheits­gesetz (NIS-Gesetz)

Success Story am Beispiel der KAGes.m.b.H.

Mehr erfahren
04. Apr 2024

Exklusives Führungskräfte­training für NIS-2

Machen Sie Ihr Unternehmen fit für die neue Richtlinie

Mehr erfahren
03. Apr 2024

CIS tritt der Austrian Data Center Association (ADCA) bei

Neue Kooperation

Mehr erfahren
+43 1 532 98 90