BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s!

Transkript

1 MEET SWISS INFOSEC! BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s! Reinhard Obermüller, lic. iur., emba, Managing Consultant

2

3

4

5 Strom die Primärenergie

6 Strom die Primärenergie "Ohne Strom kommt das moderne Leben zum Erliegen." Der Bund,

7 Mit welchen Risiken befasst sich Business Continuity Management? Business Continuity Management reaktive Massnahmen Risikomanagement präventive Massnahmen

8 Strom die Primärenergie ICT Continuity Management (ICT-CM): Gewährleistung der ständigen Disponibilität der Informatikund der Kommunikationstechnologie zwecks Sicherstellung der Versorgung

9 ICT-CM - Branchenempfehlung Strommarkt Schweiz Elemente des ICT-CM ICT Continuity Strategie Business Impact-Analyse (BIA) und Risikoanalyse ICT Continuity-Pläne ICT Continuity Reviews ICT Continuity-Tests kontinuierliche Verbesserung

10 ICT-CM - Branchenempfehlung Strommarkt Schweiz Ziele des ICT-CM "Die kritischen ICT-Infrastrukturen der Elektrizitätsunternehmen sollen so ausgelegt werden, dass pro Ereignisfall möglichst nie eine Energiemenge von 50 MWh oder mehr nicht zeitgerecht geliefert wird." "Für das Verteilnetz... wird für städtische Netze (über Anschlüsse) der Zielwert von maximal 4 Stunden Versorgungsunterbruch pro Ereignis bei einem Endverbraucher festgehalten. Solche Versorgungsunterbrüche sollen nur sehr selten vorkommen.... Ein solcher Ausfall von über Anschlüssen während über 4 Stunden wird deshalb als Krise bezeichnet."

11 ICT-CM - Branchenempfehlung Strommarkt Schweiz Risikoanalyse "In der Risikoanalyse wurden folgende kritische Risiken identifiziert... : Ausfall zentrales Netzleitsystem / Netzleittechnik (SCADA), Ausfall kritischer Applikation der Netzführung, Ausfall Rechenzentrum, Ausfall Telekommunikation (Technik und Infrastruktur), Ausfall Stationsleittechnik (Unterwerke und Kraftwerke)."

12 ICT-CM - Branchenempfehlung Strommarkt Schweiz Sicherheitsmassnahmen "Die zwingend notwendige hohe Sicherheit moderner Energieleitsysteme wird erreicht durch: ein integriertes und ganzheitliches Sicherheitskonzept, klar definierte und getrennte Sicherheitsdomänen (Security Domain Model), eine Strategie der mehrstufigen Verteidigung (verhindern, entdecken, verteidigen und wiederherstellen), Standardisierung (nur umfassend geprüfte und für die Stromversorgung geeignete Technologien verwenden), durch die Etablierung einer glaubwürdig durch das Management gelebten Sicherheitskultur und Schulung."

13 ICT-CM - Branchenempfehlung Strommarkt Schweiz Business Impact-Analyse "In der Business Impact-Analyse werden für die geschäftskritischen Prozesse die jeweiligen Auswirkungen beim Eintritt dieser Szenarien beurteilt. Diese Beurteilung schliesst auch gegenseitige Abhängigkeiten zwischen den Geschäftsbereichen (vor-/nachgelagerte Prozesse) und Abhängigkeiten von externen Anbietern (Outsourcing) mit ein. Die Business Impact-Analyse beinhaltet mindestens folgende Ergebnisse: Identifikation der Prozesse und Hilfsprozesse, welche eine Schlüsselrolle in der Erbringung der Dienstleistung des Unternehmens haben, die maximal tolerierbare Zeitspanne bis zur Wiederherstellung der geschäftskritischen Prozesse, den Mindestumfang der (Ersatz-)Ressourcen (Gebäude, Mitarbeitende, IT/Daten, externe Anbieter), die im Krisenfall verfügbar sein müssen, um den gewünschten Wiederherstellungsgrad zu erreichen."

14 ICT-CM - Branchenempfehlung Strommarkt Schweiz Business Continuity-Pläne "Für die als geschäftskritisch identifizierten ICT-Systeme sind ICT Continuity-Pläne zu erstellen, welche die für die Wiederherstellung notwendigen Vorgehensweisen beschreiben. Entsprechende Pläne enthalten mindestens: Beschreibung des Anwendungsfalls (auslösendes Szenario), Vorgehensweise bzw. Massnahmenkatalog mit Prioritäten, notwendige Ersatzressourcen, Krisenorganisation mit Zuständigkeiten und Kompetenzen." BC-Pläne: Wenn... dann

15 ICT-CM - Branchenempfehlung Strommarkt Schweiz Kontinuierliche Verbesserung "ICT Continuity Management ist ein iterativer Prozess. Resultate von durchgeführten Übungen und Tests, aber auch die Auswertung relevanter Ereignisse sollen zur kontinuierlichen Verbesserung des ICT Continuity Managements genutzt werden."

16 BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s! Konsequenzen für jedes Unternehmen Unternehmen der Energiewirtschaft erstellen für die als geschäftskritisch identifizierten ICT-Systeme Geschäftsfortführungspläne, welche die für die Wiederherstellung notwendigen Vorgehensweisen beschreiben. Das sollte jedes Unternehmen tun. BC-Pläne: der zur Vermeidung voraussehbarer Notlagen

17 BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s! Konsequenzen für jedes Unternehmen Die Energiewirtschaft konzentriert sich auf die Vermeidung von Stromversorgungsunterbrüchen länger als vier Stunden. Wenn für ein Unternehmen bereits ein Stromausfall kürzer als vier Stunden. kritisch ist: Auch dafür BC Pläne bereitstellen! < 4h

18 BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s! Konsequenzen für jedes Unternehmen Die schweizerischen Elektrizitätsunternehmen betreiben Business Continuity Management als systematisches Managementsystem. Dies ist Best Practice auch für andere Branchen. Wirksamkeit Implementierung Dokumentation (Framework) Prinzip Wirksamkeit

19 BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s! Konsequenzen für jedes Unternehmen Die schweizerischen Elektrizitätsunternehmen betreiben Business Continuity Management als systematisches Managementsystem. Dies ist Best Practice auch für andere Branchen. Auswirkungen Abhängigkeiten Business Impact Analyse (BIA) Kontinuierliche Verbesserung (Plan - Do - Check - Act)

20 BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s! Konsequenzen für jedes Unternehmen Business Continuity Management ist kein Luxus, sondern eine Frage der Resilienz und der Risikobereitschaft Existenzbedrohendes Schadensausmass: - Personen - Finanzen - Reputation - Rechte

21 BCM für das ganze Spektrum schädigender Ereignisse HR ICT Informations and Communications Technology Continuity Management (ICT-CM) Logistik Dritte

22 BCM "Es ist ungleich besser, beizeiten Dämme zu bauen, als darauf zu hoffen, dass die Flut Vernunft annimmt. Erich Kästner

23 Vielen Dank für Ihre Aufmerksamkeit! Ihre Lösung beginnt mit einem Kontakt bei uns: ,