- Werbung -
Start Digitales Sicherheit in Stadtwerken managen

Sicherheit in Stadtwerken managen

Ein Informationssicherheits-Managementsystem einzuführen ist aufwendig und kostet Geld. Für viele Stadtwerke führt daran aber kein Weg vorbei. Die 900 Stromnetzbetreiber in Deutschland müssen schon seit Anfang 2018 ein nach ISO 27001 zertifiziertes ISMS vorweisen können. Für Energieproduzenten, die als Kritische Infrastruktur gemäß IT-Sicherheitsgesetz definiert sind, gilt die Pflicht ab März 2021. Vorteile bietet ein strukturierter Ansatz an die IT-Sicherheit aber allen Stadtwerkebetreibern.

Richtig angegangen sei das Informationssicherheitsmanagement eine lohnende Investition, findet Patrick Sulewski, CISO (Chief Information Security Officer) bei der Duisburger Versorgungs- und Verkehrsgesellschaft mbH (DVV). “Zu Beginn müssen Sie sich fragen, ob Sie damit nur die Regeln erfüllen oder tatsächlich einen Mehrwert generieren wollen.” Ein gutes ISMS würde viele Aufgaben erleichtern, auch über die IT-Sicherheit hinaus. “Durch klar definierte Prozesse und Dokumentation können zum Beispiel neue Mitarbeiter viel besser und strukturiert eingearbeitet werden.” Bei der DVV ist Sulewski als konzernweiter CISO nicht nur für die IT-Sicherheit der Stadtwerke, sondern auch bei der Duisburger Verkehrsgesellschaft, bei den IT-Dienstleistern und weiteren Tochtergesellschaften verantwortlich. Die DVV hat zwei ISMS eingeführt und 2018 zertifizieren lassen. Eines nach IT-Grundschutz gilt für die gesamte Holding und wird in den Töchtern jeweils durch eigene Informationssicherheitsbeauftragte umgesetzt. Ein zweites für die Netze Duisburg GmbH folgt den Vorgaben des BNetzA-Sicherheitskatalogs.

Die ISMS-Einführung startete 2016 mit dem Aufbau eines Projektteams. Neben der Position des CISO wurde noch die des Business Continuity Managers geschaffen. Personal musste für ISMS-Teams in den Gesellschaften eingesetzt und teils Stellen geschaffen werden. “Um die Anforderungen an uns im Detail zu verstehen und den konkreten Handlungsbedarf festzustellen, haben wir auch externe Unterstützung hinzugeholt”, so Sulewski. “Wir haben uns aber entschieden, den Scope nicht vorsätzlich gering zu halten, um das Zertifikat leichter zu erhalten.” Vielmehr müsse man das ISMS auch als Chance begreifen, durch Standards und Qualitätsmanagement Betriebsprozesse zu optimieren.

IT-Sicherheit mit Leben füllen

Die größte Herausforderung sei es, bei alldem die Mitarbeiter mitzunehmen. “Die Informationssicherheit muss am Ende von den Menschen gelebt werden”, betont der DVV-CISO. “Daher legen wir großen Wert auf gezielte und regelmäßige Schulungen und Sensibilisierungsmaßnahmen, die auch Spaß machen müssen.” Zwar könne man viele Risikofaktoren technisch ausschließen, so Sulewski weiter. Letztlich müssten aber alle IT-Anwender Bewusstsein für die Gefahren entwickeln und die Vorgaben aus dem ISMS auch in der täglichen Arbeit umsetzen.

Das spielt auch eine erhebliche Rolle für die ISO-Zertifizierung. Auditoren sichten nicht nur die Dokumentation zum ISMS, sondern begehen die Räumlichkeiten, überprüfen Firewall-Konfigurationen und schauen sich das Passwortmanagement an.  Außerdem werden Mitarbeiter unangekündigt befragt: An welchen Schulungen haben Sie teilgenommen? Wie verhalten Sie sich bei einer sicherheitsrelevanten Störung? Wie funktioniert die Meldekette?

Ist das Audit überstanden, hat sich das Thema Informationssicherheit nicht erledigt, wie Sulewski klarstellt. “Meist erhält man Empfehlungen, an welchen Stellen noch Verbesserungspotenzial ist.” Und: Nach dem Audit ist vor dem Audit. Um das Zertifikat aufrechtzuerhalten, erfolgen jährliche Überwachungsprüfungen. Sulewski: “Wir befinden uns in einem kontinuierlichen Verbesserungsprozess. Die Prozesse werden dauernd überprüft und nachgeregelt, gleichzeitig haben wir permanent Informationen zu neuen Sicherheitslücken und Angriffsmethoden im Blick und prüfen unsere Systeme daraufhin.” Bei Netzbetreibern und Stadtwerken gilt wie überall: Informationssicherheit ist eine Daueraufgabe. Ein Managementsystem hilft bei der strukturierten Umsetzung.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here

- Werbung -
- Werbung -