Hilfe zur Selbsthilfe



Ähnliche Dokumente
Informationssicherheit ist Chefsache

Strombilanzierungsqualität gut und schlecht ist relativ

Fürniß: Contractoren müssen Geschäftsmodelle flexibilisieren

Die Last mit dem Lastmanagement

Damit nicht nur Strom und Gas sicher fließen

GPP Projekte gemeinsam zum Erfolg führen

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Informationssicherheitsmanagement

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

ÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER

Informationssicherheit als Outsourcing Kandidat

Den Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert

Dieter Brunner ISO in der betrieblichen Praxis

Herzlich Willkommen beim Webinar: Was verkaufen wir eigentlich?

Mobile Intranet in Unternehmen

Anwendungsbeispiele. Neuerungen in den s. Webling ist ein Produkt der Firma:

Datenschutzbeauftragte

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen.

Content Management System mit INTREXX 2002.

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

bestens ENDLICH: DIE PRAXISSOFTWARE, DIE BESTENS FUNKTIONIERT klar aktuell mobil einfach alles alles WIE SIE ES SICH WÜNSCHEN!

DIGITALKONSULAT DK. Unsere Leistungen

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Die Post hat eine Umfrage gemacht

Die Lernumgebung des Projekts Informationskompetenz

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

PIERAU PLANUNG GESELLSCHAFT FÜR UNTERNEHMENSBERATUNG

DER SELBST-CHECK FÜR IHR PROJEKT

Grüner Strom für Gelbes Viertel

Die Unternehmensstrategie Die Ziele der nächsten Jahre

Prozessoptimierung. und. Prozessmanagement

Mit dem richtigen Impuls kommen Sie weiter.

40-Tage-Wunder- Kurs. Umarme, was Du nicht ändern kannst.

DIE SICHERE ENTSCHEIDUNG!

aktuell einfa Das kann easymedx: WIE SIE ES SICH WÜNSCHEN! alles alles

Lassen Sie sich entdecken!

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

360 - Der Weg zum gläsernen Unternehmen mit QlikView am Beispiel Einkauf

Cloud Security geht das?

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Moderne Behandlung des Grauen Stars

FRONT CRAFT.

Urlaubsregel in David

E-Commerce & Logistik. Seit September 2011 FSC-zertifiziert!

Arbeitshilfen Messecontrolling Wie geht denn das?

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

Rohde & Schwarz Service mit Mehrwert

Qualitätsmanagement in kleinen und mittleren Unternehmen

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Effizientes Risikomanagement für den Mittelstand

Die Online-Meetings bei den Anonymen Alkoholikern. zum Thema. Online - Meetings. Eine neue Form der Selbsthilfe?

Einleitung: Frontend Backend

Palme & Eckert Web-Marketing

Sitzungsleitung. Dr. Urs-Peter Oberlin 1/5

Microsoft SharePoint 2013 Designer

1 Was ist Personal Online-Coaching?

Anleitung Thunderbird Verschlu sselung

Ihre Fragen unsere Antworten rund um die Fusion der Sparkassen Wesel und Dinslaken-Voerde-Hünxe. Mehrwert der Fusion. Das Wichtigste vorab:

Nicht kopieren. Der neue Report von: Stefan Ploberger. 1. Ausgabe 2003

Leichte-Sprache-Bilder

Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen. Wir bringen Qualität. Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen

Proof Points Setzen wir um Setzen wir nicht um. a. Trainee-Programme sind als Bestandteil unserer HR-Strategie im Unternehmen fest etabliert.

statuscheck im Unternehmen

Best Practice für Schulträger, Schulorganisationen und Schulzentren

Sächsischer Baustammtisch

räber Neue Kunden gewinnen Mit Online-Marketing zum Ziel Content- und Online-Marketing für KMU

«PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.»

Der perfekte Anzug für ihren erfolgreichen Auftritt

Beschreibung Regeln z.b. Abwesenheitsmeldung und Weiterleitung

infach Geld FBV Ihr Weg zum finanzellen Erfolg Florian Mock

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Mit der Maus im Menü links auf den Menüpunkt 'Seiten' gehen und auf 'Erstellen klicken.

SCHRITT FÜR SCHRITT ZU IHRER VERSCHLÜSSELTEN

EÜR contra Bilanzierung

Inside. IT-Informatik. Die besseren IT-Lösungen.

AMAN. Vergleich der verschiendenen RedSYS- Instanzeninstallationsmöglichkeiten

Mehr Effizienz und Wertschöpfung durch Ihre IT. Mit unseren Dienstleistungen werden Ihre Geschäftsprozesse erfolgreicher.

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Gambio GX2 FAQ. Inhaltsverzeichnis

Es gilt das gesprochene Wort. Anrede

Nutzung dieser Internetseite

Die Gesellschaftsformen

Urheberrecht in der Schule Was Lehrer, Eltern, Schüler, Medienzentren und Schulbehörden vom Urheberrecht wissen sollten

Was ist Sozial-Raum-Orientierung?

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Was meinen die Leute eigentlich mit: Grexit?

Lizenzierung von SharePoint Server 2013

Die integrierte Zeiterfassung. Das innovative Softwarekonzept

Frau sein in jedem Alter

Die Zeit ist reif. Für eine intelligente Agentursoftware.

Das große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Traditionelle Suchmaschinenoptimierung (SEO)

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Was ist pcon.update? Girsberger Manual Registrierung pcon.update Service - Marketing Edition Sep Seite 1

Transkript:

Bild: Fotolia.com, Dreaming Andy Hilfe zur Selbsthilfe Wie Stadtwerke mit einer Kooperation beim Thema IT-Sicherheit voneinander profitieren können, zeigen Andreas Lied, Stefan Brühl und Johannes Breit*. IT. Kein anderes Thema treibt die deutsche Energiewirtschaft derzeit so um wie die verpflichtende Einführung eines Informationssicherheitsmanagementsystems (ISMS) bei Verteilnetzbetreibern nach den Vorgaben der ISO 27001 sowie des IT- Sicherheitskatalogs der BNetzA. Oft gehörter Wunsch im Markt ist es, die Einführung eines ISMS so kostengünstig wie möglich zu gestalten, dabei jedoch auf wesentliche Sicherheitsaspekte und Vorteile, die ein ISMS unzweifelhaft mit sich bringt, nicht zu verzichten. Um diesen Anforderungen gerecht zu werden, rief die Becker Büttner Held Consulting AG (BBHC) die Stadtwerkekooperation IT-Sicherheit ins Leben. Bei dieser handelt es sich um regionale Kooperationen von bis zu fünf Stadtwerken, die das Projekt Einführung eines ISMS gemeinsam angehen, aber individuell zertifizieren lassen. Der Aufwand, den jedes einzelne Stadtwerk betreiben muss, wird durch Synergieeffekte und durch die Bereitstellung von Musterdokumenten und Vorlagen durch BBHC verringert. Das Zusammenwirken aus energiewirtschaftlichem Know-How von BBHC und unserer Praxiserfahrung sorgt bei diesen neuen Themen für große Sicherheit, freut sich Erik Hugel, stellvertretender Geschäftsführer bei EGT Energie GmbH, Triberg, und Teilnehmer einer Kooperationsgruppe in Baden-Württemberg. Kooperation bei unterschiedlicher Ausgangslage Vor allem kleinere und mittelgroße Stadtwerke haben oft historisch gewachsene Organisations- sowie IT-Strukturen und damit auch unterschiedlich ausgeprägte Sicherheitsstandards. Gleiches gilt für Erfahrungen mit anderen Managementsystemen: Einige Stadtwerke haben hier einen großen Erfahrungsschatz; sie sind beispielsweise mit ihrem Technischen Sicherheitsmangement (TSM) oder mit ihrem Qualitätsmanagement nach ISO 9001 zertifiziert, während andere auf keine Erfahrungen zurückblicken können. Um diesen unterschiedlichen Ausgangslagen gerecht zu werden, setzten wir bei der Ausgestaltung der Stadtwerkekooperation IT-Sicherheit auf ein ausgewogenes Verhältnis zwischen Kooperationsleistungen, die gemeinsam abgearbeitet werden können, und individuellen Elementen. Grundsätzlich steht jedoch der konsequente Austausch zwischen den einzelnen Teilnehmern im Vordergrund. Hierin liegt ein großer Vorteil der kooperativen Vorgehensweise, beschreibt Jürgen Fritz, Leiter IT beim Albwerk in Geislingen. Die Diskussionen mit Gleichgesinnten in der Stadtwerkekooperation erzeugen sehr gute Ideen und Lösungen. Wir profitieren gegenseitig von unseren Erfahrungen. Vorteilhaft ist für alle auch der Austausch zwischen verschiedenen regionalen Kooperationsgruppen in Deutschland, bei dem

beispielsweise die Risikoeinschätzungen einzelner energiewirtschaftlicher Systeme in anonymisierter Form geteilt werden. Erste Schritte der Umsetzung Die Kooperation beginnt mit einer Vorbereitungsphase, die einen Reifegrad-Check der IT-Sicherheit sowie ein Vor-Audit beinhaltet; damit wird die individuelle Ausgangslage der einzelnen Teilnehmer bestimmt. Für den Reifegrad-Check werden einzelne wichtige Forderungen der ISO 27001, der ISO 27019 sowie der IT-sicherheitstechnische Zustand im Unternehmen ausgewertet. Dazu kommt ein Vor-Audit, bei dem etwa die standortbezogene Sicherheit bei einer Vor-Ort-Begehung durch Experten der BBHC erhoben wird. Der zweite Schritt der Vorbereitungsphase besteht aus der juristischen und IT-technischen Definition des Anwendungsbereiches des ISMS. Ein Teil davon wird durch gesetzliche und regulierungsbehördliche Vorgaben bestimmt. Hier ist an erster Stelle die durch den IT-Sicherheitskatalog verpflichtende Sicherung der netzsteuerungsdienlichen Informations- und Kommunikationssysteme zu nennen. Unsere bisherigen Erfahrungen haben gezeigt, dass die Festlegung eines übergreifenden, konzernweit gültigen Geltungsbereichs zu unverhältnismäßig hohem Aufwand führen kann; deshalb ist eine vorherige Analyse zur passgenauen Ausgestaltung empfehlenswert. Daher wird bei jedem Kooperationsteilnehmer ein individueller Umfang des Geltungsbereichs festgelegt, der die gesetzlichen ( 11 Abs. 1a EnWG) und regulierungsbehördlichen (IT-Sicherheitskatalog) Anforderungen (die Pflicht ) sowie die unternehmenseigenen Ansprüche an die Informationssicherheit (die Kür ) berücksichtigt. Auch hier ist die Kommunikation zwischen den Stadtwerken von großem Vorteil. Vor allem bei der Diskussion, welche Um-Systeme rund um die Netzsteuerung in den Geltungsbereich fallen beziehungsweise welche auszuschließen sind und wie dieser Ausschluss begründet werden kann. Grundsätzlich gilt, dass sämtliche Systeme im Geltungsbereich, Infrastrukturen sowie gegebenenfalls Prozesse (in der ISO 27001 Werte genannt) in einem Inventar dieser Werte verzeichnet und einer Risikobewertung unterzogen werden müssen. Best-Practice-Ansatz bei der Risikobewertung Die eigentliche Risikobewertung und Maßnahmen für die zu schützenden Werte sind das Kernstück des ISMS. Hierfür wird eine individuelle Bedrohungs-, Schwachstellen- und Risikoanalyse durchgeführt. Anhand dieser können unternehmensspezifische Schutzmaßnahmen abgeleitet sowie ein Risiko-Behandlungsplan erstellt werden. Dabei greifen wir auf die Gefährdungs- und Maßnahmendatenbank von BBHC für netzdienliche Komponenten und Werte zurück. Diese stetig wachsende Datenbank enthält die anonymisierten Gefährdungen, Risikobewertungen und die abgeleiteten Maßnahmen von allen Teilnehmern der IT-Sicherheitskooperationen. Diese Schritte sollten generell möglichst früh geschehen, da oft noch viele Umsetzungen von Maßnahmen als notwendig erkannt werden. Maßnahmen müssen nicht nur technischer Natur sein, wie beispielsweise die Installation einer weiteren Firewall, sondern können auch organisatorischer Art sein. Um einen unbefugten Zugang zu Systemen der Netzleitung zu verhindern, muss beispielsweise eine Zugangskontrollrichtlinie eingeführt sein, in der geregelt ist, wer auf Systeme und Räumlichkeiten Zugriff beziehungsweise Zutritt hat. Unterstützung bei der Dokumentation Wie jedes Managementsystem, das von extern auditiert werden muss, sind auch bei der Einführung eines ISMS umfangreiche Dokumentationen vorzunehmen. Denn ein Verstoß gegenüber einzelnen Dokumentationspflichten kann eine Nicht-Kon-

formität des ISO-27001-Audits nach sich ziehen und somit eine Zertifizierung verhindern. Diese Dokumentationen sind mit einem großen Aufwand verbunden, vor allem, wenn keinerlei Vorlagen oder Rahmendokumente vorhanden sind. Hier können jedoch die teilnehmenden Stadtwerke bei Bedarf auf unsere Musterdokumente zurückgreifen. Vorgehensweise bei Risikobewertung und Maßnahmenableitung Grafik: BBHC Grundsätzlich können externe Kosten anerkannt werden. Um eine optimale Berücksichtigung der Kosten, die bei einer ISMS-Einführung anfallen, in den Erlösobergrenzen sicherzustellen, werden die Kooperationsteilnehmer hierbei von den Experten der BBHC zur Netzentgeltkalkulation unterstützt. Der Vorteil der Stadtwerkekooperation IT-Sicherheit liegt zum einen in der fachlichen Unterstützung durch die BBHC, und zum anderen in der Bündelung von vorhandenen Praxiserfahrungen in den einzelnen Stadtwerken. Gleichzeitig ist sichergestellt, dass die Verantwortung für das Projekt ISMS-Einführung bei den Stadtwerken selbst liegt. Hieraus ergeben sich nicht zu unterschätzende Vorteile, denn mit der Zertifizierung des ISMS ist es nicht getan. Vielmehr müssen jährliche interne sowie externe Audits durchgeführt werden. Zudem muss das ISMS alle drei Jahre re-zertifiziert werden. Nur wenn es auf einer soliden, im Stadtwerk verankerten Basis steht, können die künftigen Anforderungen effizient und ohne umfangreiche externe Unterstützung bearbeitet werden, sagt Jürgen Fritz. Das Kooperationskonzept zur IT-Sicherheit ist ein bodenständiges Vorgehensmodell ohne zu viel Eigeninteressen. Gemeinsam geht es eben leichter als alleine. * Dr. Andreas Lied, Vorstand, Stefan Brühl, Counsel, Johannes Breit, Consultant, Becker Büttner Held Consulting, München 2015 by Energie & Management Verlagsgesellschaft mbh REDAKTION Dieser Artikel und alle in ihm enthaltenen Abbildungen sind urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechts ist ohne schriftliche Zustimmung des Herausgebers unzulässig und wird strafrechtlich verfolgt. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen und die Weitergabe in elektronischer oder gedruckter Form. Bitte sprechen Sie uns unbedingt an, bevor Sie diesen Artikel weiterleiten oder anderweitig verwenden. Vielen Dank!

Benötigen Sie Content aus der Energiewirtschaft für: Ihre Homepage? Ihren Newsletter? Ihr Firmen-Intranet? Bauen Sie auf individuellen Content für Ihre Online-Kommunikation und sichern Sie sich so einen authentischen und starken Auftritt. Wir bieten dafür die nötigen Content-Lösungen: hochwertige Inhalte und Daten für Ihre Online-Medien - ob für die Website, das Intranet und den Newsletter oder für Ihre Social-Media-Kanäle. content news Sie suchen redaktionelle Inhalte für Ihre Online-Auftritte - zur Information Ihrer Belegschaft oder als Serviceleistung für Ihre Kunden? Seit 20 Jahren steht die E&M-Redaktion für Kompetenz und Qualität, für höchste Ansprüche, wenn es um aktuelle Nachrichten aus der Energiewirtschaft geht: von Reportagen, Markt-berichten und Interviews bis zu Nachrichten über technische Neuheiten content data Ob Echtzeit- oder historische Daten aus dem Energiemarkt: In unseren detaillierten Datenbanken und Informationsportalen (E&M powernews) n Sie das, was Sie für Ihre tägliche Arbeit brauchen. Zum Beispiel Wetter- und Wasserkraftdaten, Preis-Indizes für die Energiebeschaffung sowie Nachrichten zu Ihrem Unternehmen aus unserem Archiv. content services Als Content-Dienstleister bieten wir ganzheitliche Content-Lösungen, die über die passgenaue Auswahl und Bereitstellung von Inhalten und Daten hinausgehen. So reicht unser Leistungsspektrum von der strategischen Planung Ihrer Online-Kommunikation über die Erstellung individueller Formate (Unique Content) bis hin zur Optimierung bestehender Inhalte.

Komfortabel und sofort verfügbar Mehrwert ohne Mehrarbeit! Reduzieren Sie Ihren internen Aufwand durch die externe Content- und Datenlieferung durch E&M. Und zwar in dem von Ihnen bevorzugten technischen Format und optischen Design. Individualisieren Sie Ihr Angebot - schnell und unkompliziert - ohne technisches Know-how und zusätzliche Ressourcen. Qualitativ hochwertig und für alle Plattformen Unsere Inhalte landen dort, wo Sie es wünschen! Ob auf Ihrer Firmen-Website, im Kunden- und Mitgliederportal (Extranet-Lösungen) oder im Intranet. Im Web, via Mobile oder über Terminals am Point of Sale, unsere Inhalte sind plattformübergreifend einsetzbar. Inhalte, die in punkto Aktualität und Qualität täglich neu überzeugen. Individuell und mit Mehrwert Auf Ihre Bedürfnisse zugeschnitten und modular einsetzbar, so sind unsere Inhalte aus dem Energiemarkt. Die Content-Lieferung: immer an Ihren Bedürfnissen und Wünschen ausgerichtet - ob redaktionelle Inhalte oder hochwertige Energie-Daten. Wir sorgen dafür, dass Ihr Content bei Mitarbeitern und Kunden nachhaltig wirkt. Funktionen & Lizenzen Direkter zugang mit individuellen Passwörtern, Sammelzugänge mit allgemeinem Login oder Integration in das eigene CMS (Intranet/Extranet). Intranet & Extranet Lizensierung: Mehrfach-Lizensierung, nutzungsabhängige Abrechnung und individuelle Pauschallösungen. Sie haben Fragen oder möchten eine persönliche Beratung? Sebastian Lichtenberg freut sich unter Tel. 08152 / 93 11-88 oder unter vertrieb@emvg.de über Ihre Anfrage. www.energie-und-management.de - Ihr Informationsdienstleister für die europäische Energiewirtschaft Energie & Management Verlagsgesellschaft mbh Schloß Mühlfeld, D-82211 Herrsching Tel +49 8152 9311-77 / Fax -22 vertrieb@emvg.de http://www.energie-und-management.de Registergericht München HRB 105 345 Geschäftsführer: Gisela Sendner, Timo Sendner

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback