Sonntag, 24. November 2024

ISMSEinführung nicht verschlafen

[15.08.2016] Die Einführung eines Informations-Sicherheits-Management-Systems (ISMS) sollte kein Hexenwerk sein. Dennoch tun sich viele Stadtwerke schwer. Das liegt an aktuellen Fehleinschätzungen ebenso wie an alten Versäumnissen, zeigt eine Umfrage der Unternehmensberatung Axxcon.

Bei der Einführung eines zertifizierten Informations-Sicherheits-Management-Systems (ISMS) bis zum 31. Januar 2018 tun sich Stadtwerke und andere Energieversorger schwer. Das zeigt die Studie „Informationssicherheit: Sind die Energieversorger schon ISMS-ready?“ der Unternehmensberatung Axxcon, für die 106 Geschäftsführer, IT-Leiter und IT-Sicherheitsbeauftragte befragt wurden. Demzufolge werden viele der Unternehmen den gesetzlich vorgeschriebenen Termin nicht einhalten können.
Das liegt unter anderem an einer zu knappen Planung der ISMS-Einführung: So wollen 43 Prozent der Unternehmen den Prozess bis zum zweiten Quartal 2017 abschließen. Bis zum vierten Quartal 2017 wollen 89 Prozent fertig sein, im ersten Quartal 2018 schließlich alle. Dabei wurde offenbar nicht bedacht, dass ein ISMS mindestens sechs Monate im Einsatz sein muss, bevor seine Funktionsfähigkeit und Effektivität nachgewiesen sind und das System zertifiziert werden kann. Das wird einem Großteil der Unternehmen alleine aus Zeitgründen nicht gelingen. Hinzu kommt: Bauen alle Unternehmen auf eine Abnahme kurz vor Ablauf der Frist, wird es zu einem Engpass bei den Zertifizierern kommen. Bei einem Verzug drohen den Stadtwerken jedoch empfindliche Geldstrafen.
Ohnehin dürfte die Einführung des ISMS für die Energieversorger deutlich teurer werden als geplant: So haben knapp zwei Drittel der Unternehmen laut der Studie nicht mehr als 100.000 Euro veranschlagt. Diese Summe wird jedoch nicht ausreichen: Realistisch betrachtet, kostet die Einführung im Durchschnitt 500.000 Euro. Und auch bei einem kleineren Stadtwerk wird die benötigte Summe deutlich über 100.000 Euro liegen.

Aufwand wird unterschätzt

Dass den Stadtwerken bei der ISMS-Einführung solch gravierende Fehleinschätzungen unterlaufen, kann sich schmerzlich bemerkbar machen. Darüber hinaus zeigt es Versäumnisse bei ihrer technischen IT auf – welche gern von der kommerziellen oder kaufmännischen IT, wie zum Beispiel SAP-Anwendungen, abgegrenzt wird. Schließlich sind die vom Gesetzgeber aufgestellten Anforderungen an das Informations-Sicherheits-Management-System keineswegs neu. So sind die entsprechenden Prüfmodelle und Prozesse für die Informationssicherheit in anderen IT-Bereichen längst Standard. Auch die ISO 27001, nach der die Zertifizierung des ISMS erfolgen soll, ist bereits etabliert, ebenso wie die vollständige Inventarisierung der IT, welche die Grundlage für ein ISMS darstellt.
Anders sieht es offenbar im Bereich der technischen Infrastruktur aus, die in den Stadtwerken oftmals historisch gewachsen ist. So haben laut der Studie bislang erst 43 Prozent der befragten Energieversorgungsunternehmen alle sicherheitsrelevanten Netze und Geräte vollständig erfasst. Lediglich zwölf Prozent der Unternehmen haben die potenziellen Bedrohungen und Risiken abschließend identifiziert. Hier macht sich die ungünstige Ausgangslage bemerkbar. Denn: Muss ein Unternehmen bei der Inventarisierung bei anfangen, dauert allein die Aufstellung eines Netzstrukturplans je nach Größe eines Stadtwerks mehrere Wochen bis hin zu einigen Monaten.
Nicht zuletzt weist das Fehlen vollständiger Netzstrukturpläne auf eine falsch gewählte Reihenfolge bei der ISMS-Einführung hin. Schließlich ist zu empfehlen, zuerst einen Netzstrukturplan zu erstellen, aus dem auch Schnittstellen und Verantwortlichkeiten hervorgehen und der als Grundlage für alle weiteren Schritte dient. Anschließend wird definiert, welche Bereiche relevant für den wirtschaftlichen Erfolg und die Handlungsfähigkeit des Unternehmens sind. Im nächsten Schritt müssen die relevanten (Informations-)Werte definiert und die Risiken analysiert werden. Erst jetzt können die Maßnahmen festgelegt und umgesetzt werden. Schließlich folgt die Review-Phase mit Korrekturmaßnahmen, der Einführung eines kontinuierlichen Verbesserungsprozesses und der Durchführung von internen Audits zur Erreichung der Zertifizierungsreife.

Mangel an Know-how

Wie auch die Beratungspraxis zeigt, ist eine solch systematische Vorgehensweise in den Unternehmen häufig nicht gegeben. Oft liegt dies an einem Mangel an Know-how, der laut der Studie in kleinen Unternehmen mit bis zu 200 Mitarbeitern am stärksten ausgeprägt ist. 71 Prozent von ihnen sind nach eigenen Angaben nur teilweise, sechs Prozent noch gar nicht mit den Mindestanforderungen für ein zertifiziertes ISMS vertraut. Ebenfalls brisant: Bei mehr als jedem zweiten Unternehmen fehlt es an Mitarbeitern für die Umsetzung, Implementierung und den Betrieb des ISMS.
Häufig verfügen gerade mittelgroße und kleine Stadtwerke aufgrund ihrer Personalstruktur nicht über die richtigen Mitarbeiter, um ein ISMS zügig umzusetzen. Darüber hinaus fehlt oft auch die Bereitschaft, sich mit dem Thema Sicherheit auseinanderzusetzen – nicht zuletzt, weil den Mitarbeitern dessen Ernsthaftigkeit nicht bewusst ist. Ein Grund dafür könnte sein, dass Hacker-Angriffe bislang noch keinen großen Einfluss auf das Tagesgeschäft der EVUs hatten. Es ist jedoch davon auszugehen, dass gezielte Angriffe auf die Infrastruktur zunehmen werden. Und auch der Stromausfall in einem kleineren Stadtwerk kann Industriekunden schädigen und erhebliches Gefahrenpotenzial bergen. Wichtig sind daher nicht nur Informationsveranstaltungen und Schulungen für die IT-Experten, die direkt an der Einführung des ISMS beteiligt sind. Auch alle anderen Mitarbeiter des Unternehmens müssen für Sicherheitsfragen sensibilisiert werden.
Insgesamt ist die Informationssicherheit im Unternehmen eine Sache der Unternehmenskultur und muss dringend zur Chefsache erklärt werden. Dies gilt umso mehr, da die IT-Sicherheit ein wichtiges Zukunftsthema ist. Denn die Einführung von Smart Meter und Smart Grid wird die Anforderungen an die Sicherheitssysteme in Zukunft drastisch erhöhen.

Dirk Stieler und Torsten Beyer sind Partner und ISMS-Experten bei der Unternehmensberatung Axxcon.




Anzeige

Weitere Meldungen und Beiträge aus dem Bereich: Informationstechnik
Metering as a Service bietet Wasserversorgern eine Komplettlösung zur digitalen Messwerterfassung. Foto: iStock

Zenner / EMT: Praxisnähe auf Metering Days

[13.11.2024] Die Unternehmen Zenner International und aktiver EMT werden auch in diesem Jahr an den Metering Days in Fulda teilnehmen. mehr...

Der IT-Anbieter KISTERS belegt Effizienz seiner Maßnahmen für IT-Security mit Zertifizierung nach SOC 2 Typ II und BSI C5 Typ II. Bild: KISTERS

Kisters: IT-Security zertifiziert

[12.11.2024] Kisters belegt Effizienz der Maßnahmen für IT-Security mit Zertifizierung nach SOC 2 Typ 2 und BSI C5 Typ 2. mehr...

Das Bild zeigt das Titelblatt des Leitfadens Künstliche Intelligenz (KI) in Fernwärme.

dena: KI in Fernwärmenetzen

[11.11.2024] Konkrete Handlungsempfehlungen und Praxisbeispiele für eine effizientere und klimafreundlichere Fernwärmeversorgung mithilfe von Künstlicher Intelligenz (KI) hat die dena veröffentlicht. mehr...

Das Bild zeigt ein blau hinterleuchtetes SAP-Logo in einer schwarzen Wabe.
bericht

cortility: IT-Ausblick für 2025

[04.11.2024] Ab 2025 müssen sich die Energieversorger der Herausforderung des Lieferantenwechsels innerhalb von 24 Stunden stellen. Zudem werden dynamische Tarife und zeitvariable Netzentgelte eingeführt – und die Migration auf SAP S/4 HANA steht an. Was bedeutet das für die Prozesse im Stadtwerk? Ein Ausblick des IT-Dienstleisters cortility. mehr...

WAGO: Lösungen für Cybersecurity

[29.10.2024] Unter dem Motto „OPEN. For Smart Industry Solutions“ präsentiert WAGO auf der SPS – Smart Production Solutions in Nürnberg seine neuesten Entwicklungen aus den Bereichen OT-Security und Energiemanagement. mehr...

Somentec: Start einer AS4-Komplettlösung für den Gasmarkt

[28.10.2024] Somentec bringt gemeinsam mit SHERPA-X eine AS4-Komplettlösung für den Gasmarkt auf den Weg. Die praxiserprobte Plattform, die für den sicheren Austausch von B2B-Nachrichten entwickelt wurde, steht Gasversorgern ab sofort zur Verfügung und wird ab dem 1. April 2025 für alle Marktteilnehmer verbindlich. mehr...

Die Aufgabe von SAP Basis ist es

Support: Externe Unterstützung

[14.10.2024] Das IT-Haus cortility bietet Unternehmen der Energiewirtschaft das Dienstleistungspaket SAP Basis Support an. Das Spektrum reicht dabei von der temporären Unterstützung des Kundenteams bis zur Übernahme der Gesamtverantwortung. mehr...

SHERPA-X: AS4-Lösung für den Gasmarkt

[02.10.2024] Im deutschen Gasmarkt startet die Kommunikation über den AS4-Standard. SHERPA-X bietet den Marktteilnehmern mit einer End-to-End-Lösung umfassende Unterstützung, um die Umstellung schnell und effizient zu gestalten. mehr...

SachsenEnergie: GISA unterstützt bei SAP-Systemen

[01.10.2024] Der IT-Dienstleister GISA unterstützt SachsenEnergie bei der Betreuung ihrer SAP IS-U Systeme. Ziel ist es, den Fachbereich von Transformationsprojekten zu entlasten und Prozesse wie Kundenservice, Abrechnung und Marktkommunikation zu optimieren. mehr...

Mit der neue Aus- und Weiterbildungsplattform von Wilken können sich Mitarbeiterinnen und Mitarbeiter von Stadtwerken und Energieversorgern weiterbilden.

Wilken Software Group: Online-Plattform zur Weiterbildung

[01.10.2024] Die Wilken Software Group hat eine neue Aus- und Weiterbildungsplattform für Fachkräfte und Anwender in der Versorgungswirtschaft gestartet. Das Angebot soll Unternehmen dabei unterstützen, sich angesichts steigender Marktanforderungen und des Fachkräftemangels auf regulatorische Veränderungen vorzubereiten. mehr...

SAP will digitale Souveränität stärken und investiert in sichere Cloudlösungen für den öffentlichen Sektor.

SAP: Milliarden für sichere Cloudlösungen

[20.09.2024] In den kommenden zehn Jahren will SAP mehr als zwei Milliarden Euro in die Entwicklung hochsicherer Cloudlösungen für den öffentlichen Sektor und stark regulierte Branchen investieren. mehr...

GISA: BI-Angebot erweitert

[09.09.2024] Der IT-Dienstleister GISA verstärkt sein Angebot im Bereich Business Intelligence (BI). Neben SAP-Lösungen bietet das Unternehmen nun auch BI-Beratung und -Implementierung für Microsoft Power BI, MicroStrategy und Open Source-Technologien an. mehr...

Griechenlands größter Stromversorger PPC setzt auf Kisters-Lösung für Prognose und Beschaffungsvorbereitung.

Kisters: Lösung für griechischen Versorger

[30.08.2024] Die Public Power Corporation (PPC), der größte Energieversorger Griechenlands, hat IT-Lösungen von Kisters implementiert, um seine Handels- und Beschaffungsstrategien auf den Strommärkten zu optimieren. mehr...

Vertragsunterzeichnung: Drei Stadtwerke wollen eine gemeinsame ERP-Plattform einführen.

Saarland: Drei Stadtwerke, eine Plattform

[28.08.2024] Die Stadtwerke Saarlouis, Völklingen und Neunkirchen haben einen Kooperationsvertrag zur Einführung einer gemeinsamen ERP-Plattform unterzeichnet. Ziel ist es, Geschäftsprozesse zu optimieren und flexibler auf Kundenwünsche reagieren zu können. mehr...

Vorstellung der neuen Glasfaser-Ausbaugebiete in Osnabrück.

Osnabrück: Halbzeit beim Glasfaserausbau

[23.08.2024] Für den Glasfaserausbau in Osnabrück ist Halbzeit. Zeit, die Ausbaugebiete für 2025 vorzustellen. mehr...