Aufrufe
vor 4 Jahren

11 | 2015

IT & Management und wann

IT & Management und wann Ausnahmen zulässig sind. Da sich der Stand der Technik stets weiterentwickelt, ist ferner eine stete Überwachung desselben unbedingt zu empfehlen. Wie können Unternehmen sich vertraglich absichern? Für Unternehmen des Energiesektors ist es wichtig, IT-Zulieferer und IT-Dienstleister vertraglich zu binden, ihnen die im konkreten Einzelfall bestehenden Pflichten aufzuerlegen und Vorkehrungen zu treffen, um eingetretene Nachteile und Schäden ersetzt verlangen zu können. Hierdurch lassen sich Risiken minimieren. Fazit Unternehmen, die kritische Infrastrukturen betreiben oder sonst von den Änderungen des IT-Sicherheitsgesetzes betroffen sind, werden potenziell vor einem großen Investitionsbedarf stehen. Mögen die organisatorischen Anforderungen, die das IT-Sicherheitsgesetz verlangt, noch vergleichsweise einfach umzusetzen sein, so kann die Implementierung moderner IT nach dem Stand der Technik eine Mammutaufgabe darstellen. Hier ist es wichtig zu identifizieren, welche konkreten Anforderungen die anwendbaren Vorschriften an jedes einzelne Unternehmen stellen, denn die technische Umsetzung kann sich auch innerhalb derselben Branche im Einzelfall stark unterscheiden. Wer zudem seine IT-Dienstleister vertraglich bindet und IT-Sicherheit ernst nimmt, geht einen großen Schritt in die richtige Richtung. i Dr. Reemt Matthiesen und Dr. Markus Kaulartz, CMS Hasche Sigle Partnerschaft von Rechtsanwälten und Steuerberatern mbB, München www.cms-hs.com Informationssicherheit für Netzbetreiber Entlastung durch externen Informationssicherheitsbeauftragten GAS- UND STROMNETZE | Strom- und Gasnetzbetreiber müssen bis zum 31. Januar 2018 ein Informationssicherheits-Managementsystem (ISMS) gemäß ISO/IEC-27001-Standard einführen. BWK sprach mit Michael Niehenke und Christopher Helbig von der items GmbH in Münster, was auf die Unternehmen zukommt und welche Lösungsansätze es gibt. Für kleine und mittelgroße Energieversorger empfiehlt es sich, die ISMS-Aufgabe einem Dienstleister anzuvertrauen. Mit der Veröffentlichung des IT-Sicherheitskatalogs der BNetzA für Energieversorgungsnetzbetreiber steht nun fest, dass alle Strom- und Gasnetzbetreiber bis zum 31. Januar 2018 ein ISMS gemäß ISO/IEC-27001-Standard einführen müssen. Was genau verbirgt sich dahinter? Niehenke: Vereinfacht dargestellt kann man sagen, dass ein ISMS aus verbindlichen Anweisungen und Verfahren besteht. Kernelemente eines ISMS sind das Risikomanagement und der kontinuierliche Verbesserungsprozess. Diese sollen sicherstellen, dass Sicherheitsrisiken identifiziert, entsprechende Sicherheitsmaßnahmen etabliert, überwacht und verbessert werden. Damit wird deutlich, dass ein ISMS primär aus organisatorischen Abläufen besteht und nicht, wie oft fälschlicherweise angenommen, aus technischen Lösungen. Aufgabe des ISMS ist es, die technischen Sicherheitsmaßnahmen/ -lösungen auf ihre Eignung zu bewerten und deren Wirksamkeit zu überwachen. „Kontinuierlicher Verbesserungs - prozess ist Kern eines ISMS“ Helbig: Im Umkehrschluss bedeutet dies, dass eine Zertifizierung gemäß dem ISO/IEC-27001-Standard auch möglich ist, wenn identifizierte Sicherheitsrisiken noch nicht ausreichend minimiert worden sind. Wichtig ist, dass die Risiken identifiziert und entsprechende Gegenmaßnahmen konzipiert sowie deren Umsetzung geplant ist. Für die Zertifizierung entscheidend ist also, dass in Folgejahren nachweislich Schritte zur weiteren Optimierung vorgenommen werden – denn genau dieser kontinuierliche Verbesserungsprozess ist Kern eines ISMS. Mit wie viel Aufwand muss ein Stadtwerk für die Einführung eines nach ISO/IEC 27001 zertifizierbaren ISMS rechnen? Niehenke: Beim Aufwand muss man klar differenzieren. Zum einen entsteht Aufwand beim Aufbau der organisatorischen Abläufe, die sicherstellen, dass Sicherheitsrisiken identifiziert, entsprechende Sicherheitsmaßnahmen etabliert, überwacht und verbessert werden. Zum anderen handelt es sich um Aufwand, der notwendig ist, um identifizierte Schwächen in den gelebten IT-Verfahren und Sicherheitsmaßnahmen zu beheben. Heißt, der Aufwand hängt stark von dem Reifegrad der bereits vorhandenen Sicherheitsmaßnahmen ab. Denn insbesondere die Anpassung von gelebten Verfahren und Maßnahmen sind erfahrungsgemäß besonders aufwendig. 34 BWK Bd. 67 (2015) Nr. 11

IT & Management „Schnittmenge bei Qualitäts- und Informationssicherheitsmanagement“ Helbig: Hinzu kommt, dass der ISO/IEC- 27001-Standard fordert, dass alle relevanten Verfahren und Maßnahmen für einen außenstehenden kundigen Dritten nachvollziehbar dokumentiert sind. Erfahrungsgemäß halten die wenigsten Stadtwerke ausreichende Dokumentationen vor. Das heißt, ebenfalls entfällt ein nicht unwesentlicher Anteil für den Aufwand zur Einführung eines zertifizierbaren ISMS auf die Erstellung von notwendigen Dokumentationen. Aufwandsreduzierend kann sich die Nutzung von Synergien mit bereits im Unternehmen implementierten Managementsystemen, wie zum Beispiel ein Qualitätsmanagementsystem (ISO 9001) auswirken. Denn gerade zwischen Qualitätsmanagement und dem Informationssicherheitsmanagement gibt es große Schnittmengen im Bereich der Dokumentenlenkung, die man nutzen sollte, um den Aufwand zu reduzieren. Die Anforderung aus dem IT-Sicherheitskatalog, ein ISMS einzuführen, bezieht sich ausschließlich auf den Strom- und Gasnetzbetrieb. Was bedeutet dies für die Organisation der Informationssicherheit? Helbig: Es ist richtig ist, dass der IT-Sicherheitskatalog als Geltungsbereich nur alle zentralen und dezentralen Anwendungen, Systeme und Komponenten umfasst, die für einen sicheren Netzbetrieb notwendig sind. Welche dies genau sind, wird nicht genauer spezifiziert und ist vom jeweiligen Netzbetreiber selber festzulegen. Bei unseren Kunden haben wir jedoch die Erfahrung gemacht, dass insbesondere die Themen aus der ISO/IEC 27001 wie Personalsicherheit oder Lieferantenmanagement nicht direkt durch den Bereich Netzbetrieb betreut werden. Damit ergeben sich Schnittstellen in andere Unternehmensbereiche. Dies ist bei der Organisation der Informationssicherheit zu berücksichtigen. „Bevorstehende Anforderungen schon mit berücksichtigen“ Niehenke: Bei der Gestaltung der Informationssicherheitsorganisation sollten ebenfalls schon jetzt die Auswirkungen weiterer bevorstehender regulatorischer Anforderungen berücksichtigt werden, etwa aus dem Bereich Smart Metering, dem IT-Sicherheitskatalog der BNetzA für Energieanlagenbetreiber oder auch weitere, die sich aus dem IT-Sicherheitsgesetz ergeben. Unter Berücksichtigung dieser Aspekte ist unsere klare Empfehlung, ein ISMS bereits von Beginn an organisatorisch so zu verankern, dass es sehr einfach auf weitere Unternehmensbereiche erweitert und angewandt werden kann. Demnach sollte die für das ISMS verantwortliche Person, auch Informationssicherheitsbeauftragter genannt, als Stabsstelle direkt der Geschäftsführung zugeordnet sein. Sie sprechen den Informationssicherheitsbeauftragten an. Heißt das, dass es notwendig ist, entsprechendes qualifiziertes Personal einzustellen? Helbig: Nein, nicht direkt. Beispielsweise bieten wir unseren Kunden in Form eines externen Informationssicherheitsbeauftragten an, diese Aufgaben für sie zu übernehmen. Dies ist insbesondere für kleine und mittelgroße Stadtwerke sinnvoll, da die Aufgaben eines Informationssicherheitsbeauftragten meist keine Vollzeitstelle füllen. Hinzu kommt, dass man zur Einführung eines ISMS tiefgehende Kenntnisse zum ISO/IEC- 27001-Standard und Erfahrung im Betrieb eines ISMS benötigt – denn die notwendigen Qualifikationen sind nicht zu unterschätzen. Neben einem tiefgehenden prozessualen Verständnis sind auch breitgefächerte IT-Kenntnisse notwendig, um überhaupt eine Bewertung der Sicherheitsmaßnahmen auf Eignung und Wirksamkeit vornehmen zu können. Der externe Informationssicherheitsbeauftragte bietet damit klare Vorteile. Er ist bereits umfangreich ausgebildet, besitzt langjährige Praxiserfahrungen, und Leistungen können bedarfsgerecht abgerufen werden. „Fachbereiche sehen Nutzen, Chefs eher die Kosten“ Der IT-Sicherheitskatalog macht die Einführung eines zertifizierten ISMS für Netzbetreiber zur Vorschrift. Erkennen Sie mit Hinblick auf Rückmeldungen Ihrer Kunden, ob auf Seiten der Stadtwerke auch ein Mehrwert gesehen wird oder nur die Erfüllung der regulatorischen Anforderungen im Vordergrund steht? Niehenke: Das ist stark unterschiedlich. Die fachlichen Ansprechpartner bei unseren Kunden sind meistens dem Thema Informationssicherheit gegenüber sehr aufgeschlossen und begrüßen es, sich in diesem Bereich zu verbessern. Auf Geschäftsführungsebene wird das Thema Informationssicherheit oft primär als Kostenfaktor gesehen, der nicht direkt die Wirtschaftlichkeit des Unternehmens erhöht. Aber auch hier gibt es Ausnahmen. Einige Geschäftsführer haben bereits erkannt, dass die Verantwortung zur Informationssicherheit in letzter Konsequenz bei ihnen liegt. Mit der Einführung und dem Betrieb eines ISMS unterstreicht die Geschäftsführung die Erfüllung ihrer Sorgfaltspflichten und re- Michael Niehenke, Informationssicherheits- und Datenschutzbeauftragter bei items: „Erfahrungsgemäß dauert es einige Zeit, bis alle Beteiligten vom Mehrwert eines ISMS überzeugt sind.“ Christopher Helbig, Berater Informationssicherheit bei items: „Der externe Informationssicherheitsbeauftragte bietet klare Vorteile.“ duziert Haftungsrisiken. Erfahrungsgemäß dauert es einige Zeit, bis alle Beteiligten vom Mehrwert eines ISMS überzeugt sind. Herr Helbig, Herr Niehenke, vielen Dank für das Gespräch. i www.itemsnet.de BWK Bd. 67 (2015) Nr. 11 35

Ausgabenübersicht