Informationssicherheits-managementsysteme bringen Licht ins Dunkel

Wie lange dauert es, bis die Lebensmittel verderben, der Straßenverkehr im Chaos versinkt und Krankenhäuser ihre Patienten nicht mehr richtig versorgen können? Würden die IT-Systeme eines Energieversorgers zum Beispiel von einem Hacker, durch höhere Gewalt oder auch nur durch ein fehlgeschlagenes Software-Update lahmgelegt, wären dies schnell keine fiktiven Szenarien mehr.

Energieversorger tragen eine große Verantwortung für das staatliche Gemeinwesen. Ein Ausfall des Betriebs würde erhebliche Versorgungsengpässe und andere weitreichende Folgen nach sich ziehen. Gemäß der Verordnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zählen sie daher zu den Kritischen Infrastrukturen (KRITIS).

Welche Sektoren zählen zu den KRITIS?

• Energie
• Wasser
• Ernährung
• Staat und Verwaltung
• Gesundheit
• Finanz- und Versicherungswesen
• Transport und Verkehr
• Informationstechnik und Telekommunikation
• Medien und Kultur

Weitreichende Folgen durch mangelnde IT- und Informationssicherheit

Verschiedene Ursachen können demnach die Sicherheit von Informationen in unterschiedlichem Ausmaß bedrohen. Doch welche Bedeutung hätte dies zum Beispiel für Energieversorger?

Sie tragen die Verantwortung gegenüber der Bevölkerung, dauerhaft und zuverlässig Energie zu liefern – und das 24/7 an 365 Tagen im Jahr. Dies stellt sie vor die Herausforderung, ihre Infrastrukturen sauber zu dokumentieren, um im Ernstfall schnell und effektiv handeln zu können.
Denn unabhängig davon, ob es sich um ein kleines Datenleck in der IT oder einen unachtsamen Mitarbeiter handelt, der eine Phishing-Mail öffnet: Bereits solche Details können weitreichende Folgen haben. Eine Sabotage der Systeme kann dazu führen, dass die Versorgung der Bevölkerung lahmgelegt wird. Für das Unternehmen selbst stehen zudem Reputationsverlust und enorme finanzielle Schäden auf der Liste der möglichen Konsequenzen.

Dies stellt Energieversorger vor die Fragen:

• Wie lange können wir ohne unsere Steuerungs- und IT-Systeme auskommen?
• Wann bricht die Energieversorgung zusammen?
• Ist unser Service überhaupt arbeitsfähig, wenn keine Kundendaten mehr abrufbar sind?
• Wie ermöglichen wir den zumindest eingeschränkten weiteren Ablauf wichtiger Prozesse und Services, wenn die gewohnten Arbeitsmittel nicht mehr zur Verfügung stehen?
   

Gesetzliche Sicherheitsanforderungen für Energieversorger

Geht es um das Thema IT- und Informationssicherheit, fehlen vielen Unternehmen – so auch Energieversorgern oder anderen KRITIS-Betrieben – meistens ausreichende Ressourcen in der IT-Abteilung. Somit mangelt es an Erfahrung und am entsprechenden Sicherheits-Know-how, um mögliche Gefahren zu identifizieren und eventuell vorhandene Schwachstellen nachhaltig zu beseitigen. Dennoch sind sie gemäß IT-Sicherheitsgesetz 2.0 dazu verpflichtet, ihre informationstechnischen Systeme, die für den Betrieb maßgeblich sind, „angemessen“ – nach dem aktuellen Stand der Technik – abzusichern. Um dies zu realisieren, müssen neben technischen auch organisatorische Maßnahmen (TOM) ergriffen werden. Diese erforderlichen Mindeststandards sind in dem IT-Sicherheitskatalog der Bundesnetzagentur festgehalten. Dass KRITIS-Betreiber diese Mindeststandards erfüllen, müssen sie alle zwei Jahre bei der Rezertifizierung gegenüber dem BSI nachweisen. Eine der gesetzlichen Anforderungen ist die Einführung eines gelebten und prozessorientierten Informationssicherheitsmanagementsystems (ISMS).

Informationssicherheit als Chance sehen

Doch wie genau kann ein ISMS zu einem höheren Schutzniveau beitragen? Generell dient Informationssicherheit dazu, vor Gefahren oder Bedrohungen zu schützen, wirtschaftliche Schäden zu vermeiden und Risiken zu minimieren.

Aber was bedeutet dies konkret für ein Unternehmen? Wer ist verantwortlich, welche Abteilungen und Prozesse sind betroffen und wie wirkt sich Informationssicherheit auf die Organisationsstrukturen aus? Obwohl die Absicherung der geschäftskritischen Informationen selbstverständlich sein sollte und zum Beispiel das BSI bereits 2018 vor großangelegten Hackerangriffen auf Energieversorger warnte, wird dieses Thema häufig noch stiefmütterlich behandelt. Es mangelt an dem entsprechenden Know-how, den organisatorischen Voraussetzungen und ganz grundsätzlich an einer Strategie.

Die Einführung eines ISMS sollte jedoch weniger als gesetzliches „Muss“, sondern mehr als Chance betrachtet werden. Aber welchen Nutzen bringt ein ISMS für KRITIS-Unternehmen überhaupt?

1. Transparenz über Prozesse, Services und IT-Landschaft

Durch die Verknüpfung der IT-Infrastruktur mit den Unternehmensprozessen werden die Anforderungen des Unternehmens an die IT transparent. Somit wird klar aufgezeigt, welche IT-Systeme bei welchen Unternehmensprozessen eine essentielle Rolle spielen. Dadurch können diese gestrafft und optimiert werden.

2. Identifizierung existierender Risiken und deren Minimierung

Unternehmen, die ein ISMS implementieren und betreiben, müssen ihre Risiken klar identifizieren. Damit sind sie in der Lage, Risiken aktiv entgegenzuwirken und entsprechende Maßnahmen zu treffen.

3. Finanzielle Einsparungen und zielgerichtete Investitionen

Bei der Einführung eines ISMS ist es notwendig, den Soll-Zustand festzulegen und im Verhältnis zu dem Ist-Zustand zu setzen. Aus dem Vergleich lassen sich dann offene Gefährdungen für das Unternehmen identifizieren. Daraus ergibt sich ein Potenzial für finanzielle Einsparungen, da Investitionen zielgerichteter getätigt werden können.

Doch wie bei allen Veränderungen in Unternehmen gilt auch bei einem ISMS: mit einer einmaligen Zertifizierung ist es nicht getan. Maßnahmen, Abläufe und Handlungsverpflichtungen, die das ISMS festlegt, müssen in die Unternehmenskultur integriert und im Alltag gelebt werden.
Natürlich kann es trotz eines etablierten ISMS immer zu einem Notfall kommen. Daher verlangen die Anforderungen eines funktionsfähigen ISMS auch eine realistische IT-Notfallplanung, damit das Unternehmen im Ernstfall umgehend reagieren und seine Systeme schnellstmöglich wieder zum Laufen bringen kann.