- Werbung -
Start Digitales Pflichten und Kür beim Sicherheits-Management

Pflichten und Kür beim Sicherheits-Management

Immer mehr Stadtwerke führen ein Informationssicherheits-Managementsystem (ISMS) ein. Bis März 2021 müssen Energieproduzenten, die gemäß IT-Sicherheitsgesetz als Kritische Infrastruktur definiert sind, eine Zertifizierung nach ISO-Standard 27001 vorweisen können. Für die gut 900 Stromnetzbetreiber in Deutschland gilt diese Pflicht schon seit Anfang 2018. Noch sind aber nicht alle so weit. Die ISMS-Einführung ist schließlich aufwendig und nicht ganz billig. Wenn sie mit der richtigen Zielvorstellung angegangen wird, lohnt sie sich jedoch, wie diejenigen wissen, die frühzeitig gestartet sind.


Als erster Verteilnetzbetreiber hatte sich 2017 die Stromnetz Hamburg GmbH zertifizieren lassen. Die Vorarbeiten begannen jedoch schon 2015, noch bevor die Bundesnetzagentur (BNetzA) die konkreten Anforderungen im IT-Sicherheitskatalog für Netzbetreiber festgeschrieben hatte. “Die Branche wusste, dass die Zertifizierungspflicht kommen wird”, erinnert sich Gero Boomgaarden, Geschäftsbereichsleiter Netzbetrieb bei der Stromnetz Hamburg GmbH. “Während andere erst mal abwarten wollten, was kommt, hatten wir schon begonnen, unsere Prozesse in einem Handbuch abzubilden. Damit besaßen wir schon zu einem frühen Zeitpunkt ein wichtiges Element, auf das wir bei der ISMS-Einführung zurückgreifen konnten.” Das Hamburger Stromnetz war 2014 rekommunalisiert worden. Der damit einhergehende Investitionsschub mag eine pro-aktive Herangehensweise an die Informationssicherheit erleichtert haben.


Um sich bereit fürs ISMS-Audit zu machen, haben die Verantwortlichen viel zu tun. Allein die Dokumentation der Unternehmensstrukturen und Abläufe sei sehr aufwendig, erzählt Boomgaarden. “Es ist nicht gerade wenig, was uns der Anforderungskatalog ins Stammbuch schreibt. Neben der ISO 27001 und der konkretisierenden ISO 27002 müssen wir auch die ISO TR 27019 erfüllen, die die Prozesssteuerung in der Energieversorgung konkretisiert.” Dabei brauche es nicht nur erhebliche projektbezogene Ressourcen für die ISMS-Umsetzung, sondern es müsse auch darüber hinaus Budget kurzfristig einplanbar sein. “Die Verantwortlichen benötigen ein Stück weit freie Hand, um auf unvorsehbare Probleme, wie eine kritische Sicherheitslücke in einer Firewall, reagieren zu können”, so der ISMS-Verantwortliche weiter.

Rüsten für den Ernstfall

Bei Stromnetz Hamburg ist die Trennung der normalen Verwaltungs-IT von der betrieblichen sicherheitsrelevanten IT mit einem Zonenmodell realisiert worden. Daten von unternehmensweiter Relevanz würden ausschließlich über speziell gesicherte Schnittstellen zwischen den abgeschotteten Netzen übertragen, so Boomgaarden. Für die Steuerzentrale des Verteilungsnetzes gibt es ein vollständiges Reservesystem an einem eigenen Standort. Die Ersatzzentrale werde permanent mit allen Informationen versorgt, sodass bei einem Betriebsausfall schnell gewechselt werden könne. Dabei wird nichts dem Zufall überlassen. “Ein Notfallkoffer steht immer bereit”, erzählt Boomgarden. “Er enthält alles, was für den Umzug in die Ersatzzentrale gebraucht wird. Auch Taxigutscheine, damit es im Ernstfall nicht an der liegengelassenen Brieftasche scheitert.” Solche Lektionen habe man bei Übungsdurchgängen gelernt. Regelmäßig getestet wird auch die Funktion der Notstromlösung auf Dieselbasis. Auch der Blackout, ein langanhaltender, überregionaler Stromausfall, wurde schon technisch durchgespielt. Boomgaarden: “Ein ISMS erfordert, dass in allen Bereichen ein ordentliches Risikomanagement etabliert wird. Man muss nachweisen können, wie man zur Bewertung von Risikofaktoren und konkreten Ereignissen kommt und wie man strukturiert mit den Erkenntnissen umgeht.”

Vorheriger ArtikelRüstungsexportstopp
Nächster ArtikelMünchen bietet zentralen Zugang

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here

- Werbung -
- Werbung -