MEET SWISS INFOSEC! 27.01.2016 BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s! Reinhard Obermüller, lic. iur., emba, Managing Consultant
Strom die Primärenergie http://www.patriotnetdaily.com/wp-content/uploads/2014/10/2003-northeast-blackout1.jpg 27.01.2016 www.infosec.ch/msi 5
Strom die Primärenergie "Ohne Strom kommt das moderne Leben zum Erliegen." Der Bund, 14.12.2015 27.01.2016 www.infosec.ch/msi 6
Mit welchen Risiken befasst sich Business Continuity Management? Business Continuity Management reaktive Massnahmen Risikomanagement präventive Massnahmen 27.01.2016 www.infosec.ch/msi 7
Strom die Primärenergie ICT Continuity Management (ICT-CM): Gewährleistung der ständigen Disponibilität der Informatikund der Kommunikationstechnologie zwecks Sicherstellung der Versorgung 27.01.2016 www.infosec.ch/msi 8
ICT-CM - Branchenempfehlung Strommarkt Schweiz Elemente des ICT-CM ICT Continuity Strategie Business Impact-Analyse (BIA) und Risikoanalyse ICT Continuity-Pläne ICT Continuity Reviews ICT Continuity-Tests kontinuierliche Verbesserung 27.01.2016 www.infosec.ch/msi 9
ICT-CM - Branchenempfehlung Strommarkt Schweiz Ziele des ICT-CM "Die kritischen ICT-Infrastrukturen der Elektrizitätsunternehmen sollen so ausgelegt werden, dass pro Ereignisfall möglichst nie eine Energiemenge von 50 MWh oder mehr nicht zeitgerecht geliefert wird." "Für das Verteilnetz... wird für städtische Netze (über 10 000 Anschlüsse) der Zielwert von maximal 4 Stunden Versorgungsunterbruch pro Ereignis bei einem Endverbraucher festgehalten. Solche Versorgungsunterbrüche sollen nur sehr selten vorkommen.... Ein solcher Ausfall von über 10 000 Anschlüssen während über 4 Stunden wird deshalb als Krise bezeichnet." 27.01.2016 www.infosec.ch/msi 10
ICT-CM - Branchenempfehlung Strommarkt Schweiz Risikoanalyse "In der Risikoanalyse wurden folgende kritische Risiken identifiziert... : Ausfall zentrales Netzleitsystem / Netzleittechnik (SCADA), Ausfall kritischer Applikation der Netzführung, Ausfall Rechenzentrum, Ausfall Telekommunikation (Technik und Infrastruktur), Ausfall Stationsleittechnik (Unterwerke und Kraftwerke)." 27.01.2016 www.infosec.ch/msi 11
ICT-CM - Branchenempfehlung Strommarkt Schweiz Sicherheitsmassnahmen "Die zwingend notwendige hohe Sicherheit moderner Energieleitsysteme wird erreicht durch: ein integriertes und ganzheitliches Sicherheitskonzept, klar definierte und getrennte Sicherheitsdomänen (Security Domain Model), eine Strategie der mehrstufigen Verteidigung (verhindern, entdecken, verteidigen und wiederherstellen), Standardisierung (nur umfassend geprüfte und für die Stromversorgung geeignete Technologien verwenden), durch die Etablierung einer glaubwürdig durch das Management gelebten Sicherheitskultur und Schulung." 27.01.2016 www.infosec.ch/msi 12
ICT-CM - Branchenempfehlung Strommarkt Schweiz Business Impact-Analyse "In der Business Impact-Analyse werden für die geschäftskritischen Prozesse die jeweiligen Auswirkungen beim Eintritt dieser Szenarien beurteilt. Diese Beurteilung schliesst auch gegenseitige Abhängigkeiten zwischen den Geschäftsbereichen (vor-/nachgelagerte Prozesse) und Abhängigkeiten von externen Anbietern (Outsourcing) mit ein. Die Business Impact-Analyse beinhaltet mindestens folgende Ergebnisse: Identifikation der Prozesse und Hilfsprozesse, welche eine Schlüsselrolle in der Erbringung der Dienstleistung des Unternehmens haben, die maximal tolerierbare Zeitspanne bis zur Wiederherstellung der geschäftskritischen Prozesse, den Mindestumfang der (Ersatz-)Ressourcen (Gebäude, Mitarbeitende, IT/Daten, externe Anbieter), die im Krisenfall verfügbar sein müssen, um den gewünschten Wiederherstellungsgrad zu erreichen." 27.01.2016 www.infosec.ch/msi 13
ICT-CM - Branchenempfehlung Strommarkt Schweiz Business Continuity-Pläne "Für die als geschäftskritisch identifizierten ICT-Systeme sind ICT Continuity-Pläne zu erstellen, welche die für die Wiederherstellung notwendigen Vorgehensweisen beschreiben. Entsprechende Pläne enthalten mindestens: Beschreibung des Anwendungsfalls (auslösendes Szenario), Vorgehensweise bzw. Massnahmenkatalog mit Prioritäten, notwendige Ersatzressourcen, Krisenorganisation mit Zuständigkeiten und Kompetenzen." BC-Pläne: Wenn... dann... 27.01.2016 www.infosec.ch/msi 14
ICT-CM - Branchenempfehlung Strommarkt Schweiz Kontinuierliche Verbesserung "ICT Continuity Management ist ein iterativer Prozess. Resultate von durchgeführten Übungen und Tests, aber auch die Auswertung relevanter Ereignisse sollen zur kontinuierlichen Verbesserung des ICT Continuity Managements genutzt werden." 27.01.2016 www.infosec.ch/msi 15
BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s! Konsequenzen für jedes Unternehmen Unternehmen der Energiewirtschaft erstellen für die als geschäftskritisch identifizierten ICT-Systeme Geschäftsfortführungspläne, welche die für die Wiederherstellung notwendigen Vorgehensweisen beschreiben. Das sollte jedes Unternehmen tun. BC-Pläne: der zur Vermeidung voraussehbarer Notlagen 27.01.2016 www.infosec.ch/msi 16
BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s! Konsequenzen für jedes Unternehmen Die Energiewirtschaft konzentriert sich auf die Vermeidung von Stromversorgungsunterbrüchen länger als vier Stunden. Wenn für ein Unternehmen bereits ein Stromausfall kürzer als vier Stunden. kritisch ist: Auch dafür BC Pläne bereitstellen! < 4h 27.01.2016 www.infosec.ch/msi 17
BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s! Konsequenzen für jedes Unternehmen Die schweizerischen Elektrizitätsunternehmen betreiben Business Continuity Management als systematisches Managementsystem. Dies ist Best Practice auch für andere Branchen. Wirksamkeit Implementierung Dokumentation (Framework) Prinzip Wirksamkeit 27.01.2016 www.infosec.ch/msi 18
BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s! Konsequenzen für jedes Unternehmen Die schweizerischen Elektrizitätsunternehmen betreiben Business Continuity Management als systematisches Managementsystem. Dies ist Best Practice auch für andere Branchen. Auswirkungen Abhängigkeiten Business Impact Analyse (BIA) Kontinuierliche Verbesserung (Plan - Do - Check - Act) 27.01.2016 www.infosec.ch/msi 19
BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s! Konsequenzen für jedes Unternehmen Business Continuity Management ist kein Luxus, sondern eine Frage der Resilienz und der Risikobereitschaft Existenzbedrohendes Schadensausmass: - Personen - Finanzen - Reputation - Rechte 27.01.2016 www.infosec.ch/msi 20
BCM für das ganze Spektrum schädigender Ereignisse HR ICT Informations and Communications Technology Continuity Management (ICT-CM) Logistik Dritte 27.01.2016 www.infosec.ch/msi 21
BCM "Es ist ungleich besser, beizeiten Dämme zu bauen, als darauf zu hoffen, dass die Flut Vernunft annimmt. Erich Kästner 27.01.2016 www.infosec.ch/msi 22
Vielen Dank für Ihre Aufmerksamkeit! Ihre Lösung beginnt mit einem Kontakt bei uns: +41 41 984 12 12, infosec@infosec.ch reinhard.obermueller@infosec.ch +41 79 128 93 86