IT-Sicherheit für die Energie- und Wasserwirtschaft

Transkript

1 IT-Sicherheit für die Energie- und Wasserwirtschaft Als Prozess für Ihr ganzes Unternehmen. Zu Ihrer Sicherheit.

2 Schleupen AG 2 Deshalb sollte sich Ihr Unternehmen mit IT-Sicherheit beschäftigen Das Thema IT-Sicherheit ist aktueller denn je, fast täglich lassen sich den Medien Berichte zum Thema Datenschutz und Datenmissbrauch entnehmen: Millionenfache Diebstähle von -Zugangsdaten, Diebstähle von Kreditkartendaten, illegale Aufzeichnung von Verbindungsdaten und Inhalten, Industriespionage per Internet, gezielte Blockierungsangriffe auf Firmen und Behörden, Spamversand durch Botnetze, ungezielte Massenverbreitung von Schadsoftware, gezielte Angriffe auf definierte Infrastrukturen, usw. Und viele dieser bekannt gemachten Vorfälle werden nur durch Zufall entdeckt wie viele Fälle aber bleiben unentdeckt und ziehen nicht absehbare Folgen nach sich? Das alles betrifft ein Unternehmen aus der Energiewirtschaft nicht? Doch! Gerade diese Unternehmen werden seitens des Gesetzgebers der Gruppe der Betreiber von kritischen Infrastrukturen zugeordnet und somit zur Realisierung hoher Mindeststandards für IT-Sicherheit verpflichtet. Dieses Vorhaben ist Bestandteil des Koalitionsvertrages der Bundesregierung und seit Juli 2015 mit der Veröffentlichung des IT-Sicherheitsgesetzes auch verbindlich. Damit gewinnt auch das Energiewirtschaftsgesetz ( 11) und die darin geforderte Berücksichtigung der BSI-Sicherheitskataloge an Bedeutung. Alle geforderten Maßnahmen zielen primär auf die technische Ausstattung der Leitstellen ab. Sie sollen verhindern, dass Unbefugte Zugriff auf die Steuerung der Energieversorgungstechnik erlangen und damit Schäden ungeahnten Ausmaßes verursachen. Durch die heutzutage ausgeprägte Vernetzung von IT-Systemen ist jedoch nicht nur die Leitstelle, sondern ein gesamtes Unternehmen zu betrachten, um effektive IT-Sicherheitsmaßnahmen etablieren zu können. IT-Sicherheit betrifft immer das Gesamtunternehmen und kann nicht auf die Leitstelle abgegrenzt werden. Daher empfehlen wir eine gesamtheitliche Betrachtung mit einer angemessenen Differenzierung der notwendigen Maßnahmen je Bereich. Welche Erkenntnisse sollte man aus der Fülle der aktuellen Vorfälle ziehen? Produkte für die IT-Sicherheit werden mit unterschiedlichstem Funktionsumfang und für verschiedenste Einsatzgebiete angeboten. Aber wird IT-Sicherheit allein durch den Einsatz solcher Produkte erreicht? Nein, denn erst der koordinierte Einsatz im Rahmen eines umfassenden IT-Sicherheitsmanagements bzw. IT-Sicherheitsprozesses entfalten diese Produkte ihre unterstützende Wirksamkeit. Das Sicherheitsbewusstsein des Personals mit Kontakt zu IT-Technik ist nicht so ausgeprägt, wie es für einen möglichst sicheren Betrieb erforderlich ist. Viele Sicherheitslücken entstehen unbewusst durch fehlendes Wissen oder falsche Handhabung von IT-Geräten. Es gibt im Internet keine übergeordnete Instanz, die wirkungsvoll gesetzeswidrige Machenschaften unterbindet und verfolgt. Internetkriminalität ist ein globales, der Schutz davor aber ein individuelles Thema. IT-Risiken wandeln und entwickeln sich stetig. IT-Sicherheit muss sich daher ebenso verhalten, sie muss sich stetig weiterentwickeln und anpassen, um wirksam zu sein. Daher ist IT-Sicherheit ein zu lebender Prozess und kein einzelnes Produkt.

3 3 4 Schleupen AG Für IT-Sicherheit muss ein Betreiber von IT-Systemen selbst sorgen Etablierung der IT-Sicherheit als Unternehmensprozess Wir unterstützen Sie gerne dabei. Um einen belastbaren Status des jeweiligen IT-Sicherheitsniveaus in einem Unternehmen erreichen zu können, gibt es klare Empfehlungen und Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Diese sind in dem Dokument IT-Grundschutz Vorgehensweise beschrieben. Nach den BSI-Empfehlungen wird IT-Sicherheit ausschließlich über die Etablierung eines kontinuierlichen Prozesses erreicht. Kernelement eines solchen Prozesses ist die Einführung und der Betrieb eines Informationssicherheits-Managementsystems (ISMS). Die Einführung kann in mehreren Teilschritten erfolgen. Bei jedem Teilschritt sollte jedoch darauf geachtet werden, dass sich die Maßnahmen und Ergebnisse an den Die Entwicklung der IT-Sicherheit in Unternehmen der Energie- und Wasserwirtschaft erfolgt nach dem Schleupen-Konzept in diesen Schritten: Vorgaben der Norm ISO orientieren. Diese Vorgehensweise ist bei Bedarf auch einer zukünftig geplanten Zertifizierung zweckdienlich. Unser Ziel liegt darin, zusammen mit unseren Kunden angemessene und praxisrelevante Maßnahmen auf deren Bedürfnisse abzustimmen und diese kompetent umzusetzen. Wir begleiten unsere Kunden bei diesem Reifeprozess vom ersten Kick-off-Meeting bis zur Umsetzung des IT-Sicherheitskonzeptes. Dabei profitieren Sie von unserem ausgeprägten Branchen-Know-How, unserer langjährigen Kompetenz im Bereich der IT-Sicherheit sowie unserer Bewertung der aktuellen und künftigen rechtlichen Vorgaben. Aufgrund der rechtlichen Standards muss davon ausgegangen werden, dass zukünftig für IT-Sicherheit ein definierter Kostenblock in der Finanzplanung von Unternehmen vorzusehen ist. Die zuständigen Verbände und die BNetzA verhandeln momentan zwar noch, ob die Berücksichtigung der Kosten für IT-Sicherheit als verbindlich oder wohlwollend eingestuft werden, für das Fotojahr Gas bzw. das 2016 anstehende Fotojahr Strom sollten entsprechende Investitionen jedoch bereits jetzt eingeplant werden. Entsprechend den Anforderungen des IT-Sicherheitsgesetzes orientiert sich unser Konzept an den Vorgaben und Anforderungen der ISO Serie. Hierdurch kann den Empfehlungen zur Umsetzung von technischen und organisatorischen Maßnahmen zur IT-Sicherheit entsprochen und eine erforderliche Zertifizierung vorbereitet werden. Das Konzept besteht aus mehreren aufeinander aufbauenden Modulen, deren Inhalte individuell an die Kundenanforderungen angepasst werden können. Es startet mit einem Workshop zur Ermittlung der individuellen Ansprüche und der Bewertung bereits vorhandener Maßnahmen und endet mit der Etablierung des Sicherheits-Management-Prozesses. Nach dem Durchlaufen dieser Schritte ist die IT-Sicherheit als Prozess im Unternehmen eingeführt. Die ersten drei Module des Schleupen IT-Sicherheitskonzeptes behandeln den Einstieg in die Thematik, die Festlegung des Umfanges und der Verantwortlichen sowie die Planung der folgenden Maßnahmen. Die Inhalte der Module 4 und 5 basieren auf den erarbeiteten Ergebnissen der Module 1-3 und können nach Absprache mit dem Kunden zudem individuell erweitert werden. Je nach Bedarf kann der Umfang der Leistungen im Modul Abstimmung eines Sicherheitskonzeptes speziell bestimmt werden. Abhängig von bereits etablierten Sicherheitsmaßnahmen können nach Rücksprache auch einzelne Module beauftragt werden. Grundsätzlich empfehlen wir den Prozess IT-Sicherheit in den aufgezeigten Schritten einzuführen, welche sich an den Vorgaben der ISO-Norm orientieren. Wir begleiten Sie Step by Step bei der Umsetzung der gesetzlich vorgegebenen Maßnahmen bis hin zu einer entsprechenden Zertifizierung. Wir empfehlen die Durchführung aller genannten Schritte innerhalb eines Zeitraumes von 12 Monaten, damit die in den einzelnen Modulen erarbeiteten Ergebnisse für die weitere Verwendung in den jeweiligen Folgemodulen noch aktuell und relevant sind. Beginnen Sie rechtzeitig mit der Einführung eines Sicherheitsprozesses und erhöhen Sie dadurch Ihren Reifegrad. Diese Maßnahme ist unumgänglich und reduziert bereits deutlich eventuelle Haftungsrisiken. Ihre Vorteile bei einer Umsetzung mit Schleupen Wir kennen die Anforderungen über die Gesetzesund Verordnungslage des Marktes genau. Wir beraten und begleiten die notwendigen Prozessschritte über alle Geschäftsbereiche bis zur Leitstelle. Wir erarbeiten mit Ihnen eine individuelle und bedarfsgerechte Lösung, die mit Ihrem Unternehmen lebt und wachsen kann. Wir unterstützen Sie auch bei den notwendigen Geschäftsprozessen und leisten dadurch mehr als nur die reine IT-Sicherheit.

4 5 Schleupen AG Angemessener Aufwand nachweisbare Ergebnisse Sicherstellung eines abgesicherten IT-Betriebs gemäß rechtlicher Vorgaben. Rechtzeitige Vorbereitung auf die kommende Rechtslage. Bewusste Investition in dieses Thema unter Berücksichtigung der Fotojahre Gas 2015 bzw. Strom Langfristiger Schutz vor den Auswirkungen von IT-Bedrohungen. Minimierung vorhandener Haftungsrisiken für die Geschäftsführung und den Vorstand. Der Umfang des Schleupen IT-Sicherheitschecks wurde auf Praxisrelevanz und Kosteneffektivität ausgelegt. Mit der Einführung des ISMS sind Sie perfekt auf eine mögliche Sicherheitszertifizierung nach ISO vorbereitet. Sie bekommen eine dokumentierte, individuelle Verfahrensbeschreibung für den Umgang mit IT-Risiken in Ihrem Unternehmen (Organisationshandbuch IT- Sicherheit). Konkrete und detaillierte Entscheidungsgrundlage für Investitionen IT-Sicherheit wird kalkulierbar.

5 Wenn Sie mehr über die Schleupen AG, unsere Erfahrungen oder unser Lösungsangebot wissen möchten, sprechen Sie uns an: SCHLEUPEN AG Albert-Einstein-Straße Wunstorf Telefon +49 (0) 50 31_ Telefax +49 (0) 50 31_ info@schleupen.de