26. Jul 2021

Informationssicherheit in der Energiewirtschaft

Dem Blackout entgehen

Egal, ob Strom, Wasser oder Unternehmensdaten und Informationen: es kann gravierende Folgen haben, wenn es bei Unternehmen zu einem Stillstand kommt. Besonders die Versorger innerhalb des Energiesektors und die Anbieter im Bereich Informations- und Kommunikationstechnologie (IKT) sehen sich mit großen Herausforderungen hinsichtlich ihrer Informationssicherheit konfrontiert.

Auch im Bereich kritischer (strategischer) Infrastrukturen, wie etwa Energieversorgungsnetzen, kommen mittlerweile die klassischen Technologien und Komponenten aus der IT zum Einsatz. Unterschiedlichste Systeme arbeiten vernetzt, wodurch wechselseitige Abhängigkeiten steigen und diese Bereiche ebenso zunehmend in den Fokus sicherheitsrelevanter Aspekte rücken. Informationssicherheit ist somit auch in diesem Bereich ein wichtiges Thema und speziell als systemrelevant klassifizierte Unternehmen müssen ganz besonderes Augenmerk auf ihre Cyber Security und Unangreifbarkeit legen.

  • Welche Bedrohungspotenziale bzw. Herausforderungen gibt es?
  • Wie können heute Vorkehrungen für morgen getroffen werden?
  • Welche Rolle spielen die ISO 27001, ISO 27019, NIS-Gesetz und Informationssicherheitsmanagementsysteme?

Diesen und mehr Fragen widmen wir uns in diesem Artikel und möchten Ihnen einen kompakten Überblick geben!

Bedrohungen – was auf uns zukommen kann

Zu kritischen Infrastrukturen gehören u. a. jene Organisationen, die eine wesentliche Bedeutung für die Aufrechterhaltung wichtiger, gesellschaftlicher Funktionen haben und deren Störung schwerwiegende Auswirkungen auf Gesundheit, Sicherheit oder das allgemeine Wohl haben könnte, wie beispielsweise Energiewirtschaft, Stromversorgung oder Trinkwasserversorgung, um nur einige zu nennen. Ein möglicher Angriff könnte hier eine Kettenreaktion auslösen – denn beispielsweise ohne funktionierende Stromversorgung wird auch eine Kommunikation von Notdiensten, wie etwa Rettung oder Feuerwehr, kaum aufrecht zu erhalten sein.

Aufgrund des hohen Stellenwerts in der Gesellschaft müssen Betreiber solcher wesentlichen Dienste ein Mindestmaß an IT-Sicherheitsanforderungen erfüllen. Sogenannte Unternehmensblackouts, also plötzliche, länger andauernde Strom- bzw. Infrastrukturausfälle, sind aktuell in aller Munde und Szenarien, die sich weder Unternehmen noch Privatpersonen wünschen. Kommt es jedoch zu einem Produktionsstillstand bei etwa Energieerzeugern Energielieferanten, kann eine stabile Energieversorgung nicht mehr gewährleistet werden. Selbstverständlich sind nicht nur Unternehmen der Energiewirtschaft im Fokus bezüglich Blackouts anfällig für Blackouts – sondern sämtliche kritische Infrastrukturen eines Wirtschaftsraums.

Während Störungen, die umweltbedingt oder technischer Natur sind, oft bereits mittels Notfallplänen, Krisenteams und Übungsszenarien im Sinne eines Business Continuity Managementsystems (BCM) nach der ISO 22301 abgedeckt sind, ist das Ausmaß von Blackouts durch Cyberattacken schwer greifbar. Die zunehmende Digitalisierung schafft somit neue potenzielle Einfallstore – eine Sensibilisierung aller Mitarbeitenden ist notwendig.

Die Rolle von Normen und Standards

Wie für sämtliche Unternehmen und Organisationen ist die ISO 27001 auch im Falle der Energiewirtschaft der internationale Standard für Informationssicherheit.

Speziell für den Energiesektor ist aber die Subnorm ISO 27019 das Add-On zur ISO 27001. Inhaltlich adressiert sie Sicherheitsmaßnahmen für die Steuerungs- und Überwachungssysteme in den Bereichen Erzeugung, Übertragung und Verteilung von Elektrizität, Gas und Wärme ebenso wie auch unterstützende Prozesse und Technologien der IT-Sicherheit. Eine Zertifizierung gibt die Sicherheit, dass entsprechende Maßnahmen für eine sichere Energieversorgung getroffen werden.

Zum Schutz kritischer Infrastrukturen bzw. wesentlicher Dienste in Bereichen wie Energie, Verkehr oder Finanzen trat in Österreich 2019 zudem das NIS-Gesetz (NISG) und die NIS-Verordnung für Netz- und Informationssystemsicherheit (NISV) als nationale Umsetzung der EU-NIS-Richtlinie (aus dem Jahr 2016) in Kraft. Das NISG bzw. die NISV fordert Sicherheitsmaßnahmen, die aufgrund von Risikoanalysen einzuführen und mittels kontinuierlichen Verbesserungsprozessen auf dem neuesten Stand der Technik zu halten sind. Prinzipiell sind die Forderungen auch durch die ISO 27001 abgedeckt – dennoch sind die NIS-Sicherheitsmaßnahmen zum Teil noch detaillierter dargelegt. Dementsprechend ist eine Überprüfung nach NISG für bereits nach ISO 27001 zertifizierte Unternehmen deutlich müheloser zu bewerkstelligen. Die CIS ist qualifizierte Stelle (QaSte) für Überprüfungen nach dem NISG §17.

Darüber hinaus existiert speziell für die Energiewirtschaft Deutschlands das Energiewirtschaftsgesetz (EnWG) mit dem dazugehörigen IT-Sicherheitskatalog gemäß EnWG §11, welches zusätzliche Anforderungen für Energieanlagen und –netze definiert.

CIS bietet auch Zertifizierungen nach dem deutschen Energiewirtschaftsgesetz EnWG §11.

Informationssicherheitmanagementsysteme helfen, Risiken frühzeitig zu erkennen und gleichzeitig Gegenmaßnahmen zu implementieren. Außerdem wird Kunden und weiteren Stakeholdern ein Nachweis darüber gegeben, dass wichtige Anforderungen an die Informationssicherheit erfüllt werden.

Der Trend geht nicht nur hin zu mehr Vernetzung von Technologien und Prozessen – auch integrierte Managementsysteme, die Informationssicherheit, IT-Service-Management oder Qualität vereinen, spielen eine immer wichtigere Rolle. Viele Normen und Standards lassen sich „aus einer Hand“ kombinieren und Synergien durch die Systemintegration nutzen.

Was es noch zu tun gibt

Wir verlassen uns tagtäglich darauf, Strom aus Steckdosen, Wasser aus dem Wasserhahn oder Bargeld aus Banken bzw. Geldautomaten zu bekommen – Was uns allen höchst selbstverständlich erscheint, ist dennoch keine Selbstverständlichkeit. Mit dem zunehmenden Einzug der IT in sämtliche Geschäftsprozesse werden diese nicht nur schneller und wichtiger für das Funktionieren unserer Gesellschaft, sondern auch verwundbarer.

Das Risiko eines Unternehmensblackouts ist nicht unwahrscheinlich. Auch wenn es nicht zum Worst-Case kommt, Betriebsunterbrechungen oder Produktionsausfälle können immer Folgen, in Form von höheren Kosten haben – sei es für Imageverlust, durch verlorenen Umsatz, Ersatzansprüche von Geschäftspartnern oder die Wiedergutmachung eben dieser Ausfälle. Kein Grund jedoch, in Angst und Schrecken zu verfallen: auch mit systemischem Ansatz und gutem Plan können Ausfälle nicht gänzlich ausgeschlossen werden, es kann jedoch zumindest sichergestellt werden, die real gewordene Krisen rasch beseitigen zu können.

Die Zukunft der Energieversorgung – und vieler anderer Bereiche – ist somit von einer funktionierenden Informations- und Kommunikationstechnologie abhängig. Wenngleich die Unterstützung durch Technologie viele Vorteile bringt, gilt es sich auch für den Ernstfall zu wappnen und Prozesse, die für einen stabilen, laufenden Netzbetrieb notwendig sind, zu etablieren. Denn: Die Kontinuität von Geschäftsprozessen hat höchste Priorität.

Für Betreiber und Unternehmen ist es nicht immer einfach, sich im Dickicht verschiedener Normen und Standards zurechtzufinden. Gleichzeitig bieten die existierenden Normen sehr gute Implementierungshilfen auf dem Weg als Unternehmen sicherer und besser zu werden. Die CIS als langjähriger Zertifizierungspartner greift auf umfassendes Know-How zurück und bietet Systemzertifizierungen im Rahmen der ISO 27000-Serie (ISO 27019 – speziell für Energieversorger) sowie Überprüfungen nach dem deutschen Energiewirtschaftsgesetz und NIS Gesetz.

Bei Anfragen kontaktieren Sie unsere Experten gerne jederzeit hier – wir freuen uns von Ihnen hören zu dürfen!

Weitere News & Events

Immer topaktuell informiert

23. Mai 2022

ISO 27701: Frequently asked questions

Ihre Fragen – unsere Antworten rund um Datenschutz & Informationssicherheit

Mehr erfahren
02. Mai 2022

Vermehrte Ransomware-Attacken in der Automotive-Branche

CIS bietet TISAX-Level-2-Assessments an

Mehr erfahren
08. Mrz 2022

Risiko-Minimierung für Cloud Services

ISO 27017 minimiert Risiken für Cloud Services

Mehr erfahren
07. Mrz 2022

Der Mehrwert eines Datenschutz­managementsystems

Gastkommentar von Bernhard Bachofner, Chief Technology Officer (CTO) der Fiegl & Spielberger Gruppe zur DSGVO, Datenschutz und dem Nutzen von Zertifizierungen

Mehr erfahren
17. Feb 2022

ISO 27002:2022 – was Sie jetzt wissen müssen!

Startschuss für die neue Norm

Mehr erfahren
08. Feb 2022

Ausblick und Status Quo in puncto „Safer Internet“

Roundtable anlässlich des Safer Internet Day

Mehr erfahren
01. Feb 2022

Österreichs beste Chief Information Security Officer gesucht

„CISO of the Year“: Bewerbungen bis 18. März 2022 möglich

Mehr erfahren
27. Jan 2022

Österreichische Datenschutzbehörde bestätigt Schrems II – Nutzung von Google Analytics illegal?

Europäischer Datenschutztag

Mehr erfahren
11. Jan 2022

NIS-Gesetz: Systemrelevanten Unternehmen drohen Strafen bei nicht zeitgerechter Umsetzung

Experte Klaus Veselko warnt

Mehr erfahren
20. Sep 2022

Event: CIS Compliance Summit 2022

Security | Privacy | Continuity

Mehr erfahren
30. Nov 2021

Wir machen Sie fit für die Zukunft der Digitalisierung!

Warum wir gerade jetzt Information Security Manager benötigen

Mehr erfahren
25. Nov 2021

Mit einer ISO 27001-Zertifizierung den nächsten Gipfel stürmen

Nutzen Sie Managementsysteme für Ihre Ziele!

Mehr erfahren
+43 732 34 23 22