EnBW Information-Security-Management Security bydesign 4. Tag der IT-Sicherheit" 12.07.2012 IHK Karlsruhe Wolfgang Reibenspies CISO Security by Design Energie braucht Impulse
Unsere Mission: Wir stehen für Fortschritt und Wettbewerb im Energiemarkt zum Wohl unserer Kunden. Unsere Vision: Ausgehend von unseren starken Wurzeln in Baden-Württemberg gehören wir durch hervorragende Leistungen mit einem ausgewogenen Geschäftsportfolio zur Spitzengruppe der europäischen Energieunternehmen. 2
Leitgedanke: Security followsbusiness! Alle Sicherheitsmassnahmen müssen sich an den Unternehmenszielen ausrichten und wirtschaftlichen Mehrwert erbringen. Das Sicherheitsmanagement richtet sich nach dem Geschäftsmodell aus und es geht nicht darum, wie sich das Geschäftsmodell an den Sicherheitserfordernissen (Schutzbedarfen) auszurichten hat. Es geht um das I in IT und nicht um das T. EKSIT@ EnBW Konzerngrundsätze zur Sicherheit in der Informations- und KommunikationsTechnologie 3
EnBW Konzerngrundsätze zur Sicherheit in der Informations- und KommunikationsTechnologie (EKSIT@) 4 EnBW Regelwerke zur Information-Security-Compliance Information-Security-Management Gesetzliche Rahmenbedingungen BDSG, BetrVG, GoB, TKG usw. Konzernrichtlinie KRL025 Informationssicherheit Act Plan EKSIT@ VO Beschluss Beschlusslage Corporate IT-Security-Policy Policies und Guidelines nach EKSIT@ Check Innerbetriebliche Rahmenbedingungen Warum? Was? Orientierung an BS7799/ISO27000 Konzernrichtlinien, Corporate IT-Security- Policy, Rahmenbetriebsvereinbarung, Verhaltenskodex usw. Do Wer & Wie? Informationssicherheit und Informationsschutz Management-Commitment; Richtungsvorgabe der Unternehmensleitung Informationssicherheitspolitik; Richtlinie; technologieneutral, organisationsunabhängig, gilt unternehmensweit Richtlinien, Verfahren, Prozeduren (z.b. SBA), Handlungsweisungen; technologie- und/oder organisationsspezifisch Energie braucht Impulse
5
Security-Management-Team (SMT) Commitment "Wir leben SMT!" Wir richten uns aus: am Leitbild der EnBW, an Mission und Vision der EnBW, an den Führungsgrundsätzen der EnBW. Wir haben ein gemeinsames Verständnis zur Informationssicherheit und stellen damit die einheitliche Kommunikation in den Konzern sicher. Wir sind Vorbild in TUN und HANDELN. Wir stellen die Vertrauenskommunikation sicher. Wir nehmen unsere Konzernrolle wahr und konzentrieren uns auf Lösungen. 6
7
Motivation Energie braucht Impulse 8 Wolfgang Reibenspies Konzernexperte IuK-Security Security by Design
9
10
Di eent s c hei dendefr agel aut et Security Stern Wo findet die Verarbeitung der EnBW Kundendaten statt. Also jene Daten, die wir treuhänderisch im Auftrag unserer Kunden verarbeiten. Durch wen und mit welchen Qualitäten findet diese Verarbeitung statt? Effektivität 11 Effizienz OUUPPS Daten verloren?
Was tut die EnBW? Sie schliesst mit allen Unternehmen, die für uns Daten verarbeiten, Leistungsverträge ab. Darin sind die Einhaltung der gesetzlichen Regelungen (z.b. Auftrags-DV) vertraglich vereinbart. Auch die technischen Standards entsprechen den hohen Anforderungen der EnBW (siehe Geschäftsbericht). Darüber hinaus schliessen wir einen Kooperationsvertrag explizit zur IT-Sicherheit mit jedem Unternehmen ab, in dem die Qualitäten vorgegeben sind. Diese entsprechen den Anforderungen, wie wir sie EnBW i nt er n l eben. Die Kooperationsvereinbarung ist eine vertraglich vereinbarte Selbstverpflichtung der Partner, die wir regelmässig mit Stichproben auf die Einhaltung überprüfen. 12
Sicherheit für unsere Kunden Wir haben eine langfristige Sicherheits-Strategie für unsere Kunden im Internet. Die Menschen wollen wir in der Lage versetzen, Techniken ei genv er ant wor t l i c h ei nz us et z en,um s i c hv or nehml i c hs el bs t zu schützen. Informierte Kunden werden zu einem Teil des Gesamtsystems Sicherheit. Sie erkennen den persönlichen Nutzen, Sie wirken aktiv mit. Es ist unsere Aufgabe, den Menschen die Lösungen auf interessante und nachvollziehbare Art und Weise zu vermitteln. Unser Selbstverständnis im Security-Management: Wir haben Verständnis für jeden einzelnen unserer Kunden! 13
Vertrauen Vertrauen in Informations- und Kommunikationstechnologien bedeutet, dass durchgeführte oder geplante Vorgehensweisen und Entwicklungen einen positiven und erwarteten Verlauf nehmen. Vertrauen ist die Erwartung unserer Kunden an Bezugspersonen und Organisationen, dass sich deren künftige Handlungen im Rahmen von gemeinsamen Werten und moralischen Vorstellungen bewegen. Nur ein Kunde, der sich sicher fühlt, nimmt unsere Produkte positiv wahr und damit auch an. Er schenkt Vertrauen. Vertrauen wird begründet durch Glaubwürdigkeit, Verlässlichkeit, Authentizität. Es ist besser das Thema Sicherheit positiv, proaktiv und präventiv aus eigenem Antrieb zu kommunizieren. Unsere Kunden fühlen sich dadurch informiert, eingebunden, abgeholt und wertgeschätzt. Da sich Sicherheit täglich ändert, und da unsere Kunden ggf. täglich Informationen und Unterstützung dazu einfordern, ist die Sicherheit das ideale Trägermedium für digitale Kundenbeziehungen, auf der Basis von Vertrauen. 14
EnBW Geschäftsbericht 2011 15
KB-Faktor - ei nkl ei neraus f l ug Smart-Grid/Smart-Met er oder Cyber.. Es geht um das I in IT und nicht um das T. Man sollte auf Regierungs- undbehör dens ei t eer kannthaben,dass peror der demuf t i ni c ht smehrdur c hs et z bari s t. Die intensive Diskussion zum Meldegesetz zeigt das sehr deutlich. Der bessere Weg: die Menschen einbeziehen! Priorität haben die Prozesse zur Information-Security. Bewusstsein schärfen, dass die Daten wertvoll sind. IT-Security unterstützt, aber führt nicht. Wer Technik diskutiert, tut dies oft nur, um damit von nicht vorhandenen Prozessen abz ul enken. Im Zentrum steht der Kunde, seine Daten! und nicht die Technik! Wir, die EnBW, wir wollen unsere Kunden ertüchtigen! Sinnfrei si nddabei Begr i f f ewi e Cyberwar oder Cy ber kr i eg. Und die geplante Communication Data Bill (massive Vorratsdatenspeicherung) versucht auch nur technische Fähigkeiten zu erhalten. 16
17
18