Einführung eines Informationssicherheits- Management-Systems (ISMS) bei Energieversorgern Wie ein effizientes Projektmanagement den Kosten- und Ressourcenaufwand gering halten kann.
Executive Summary Das IT-Sicherheitsgesetz und die in diesem Zusammenhang entstehenden Sicherheitskataloge der Bundesnetzagentur stellen an die deutschen Energieversorgungsunternehmen eine Vielzahl an Anforderungen. Die Unternehmen müssen Melde- und Kontrollpflichten einhalten, umfassend ihren Schutzbedarf ermitteln, einen Sicherheitsbeauftragten benennen und vor allem ein Informationssicherheits-Management-System (ISMS) einführen. Allein die einmaligen Projektkosten für die Implementierung eines ISMS belaufen sich auf geschätzt mindestens 500.000 Euro. Daraus ergeben sich für den Energiesektor Gesamtkosten, die wahrscheinlich im dreistelligen Millionenbereich liegen. Die entstehenden laufenden Kosten z.b. durch die erweiterten Meldepflichten und den Betrieb des ISMS sind dabei noch nicht berücksichtigt. Für die Branche bedeutet dies einen weiteren wesentlichen Kostenblock neben den Herausforderungen der Energiewende. Umso entscheidender ist es für Energieversorger, die ISMS Einführung effizient zu gestalten. Aus der Erfahrung der Bundesdruckerei Consulting empfehlen wir, sich an diese fünf Grundsätze in der Durchführung eines entsprechenden Projekts zu halten: 1. Definieren Sie Ihre Erwartungen klar 2. Beschränken Sie den Geltungsbereich sinnvoll 3. Bündeln Sie ähnliche Strukturen 4. Nutzen Sie bereits umgesetzte IT-Sicherheitselemente 5. Starten Sie sofort Es lohnt sich, die Expertise von Dritten einzubeziehen. Auch wenn ein Unternehmen die Einführung eines ISMS zum Großteil intern stemmen kann (und muss), stellen die umfangreichen Dokumentationspflichten eines ISMS jeden Neueinsteiger vor viele Fragen. Bewusst eingesetzt, können Partner mit Erfahrung helfen, Umwege zu vermeiden.
IT-Sicherheitsgesetz und erster IT-Sicherheitskatalog für Sommer 2015 erwartet. Das Bundesministerium des Inneren erwartet, dass das IT Sicherheitsgesetz bereits im Sommer 2015 nach der Zustimmung durch Bundestag und Bundesrat in Kraft tritt. Dann müssen alle Betreiber kritischer Infrastrukturen gewisse Informationssicherheitsstandards erfüllen. Dazu zählen auch Energieversorgungsunternehmen. Flankierend zum IT-Sicherheitsgesetz erstellt die Bundesnetzagentur einvernehmlich mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitskataloge für Energieversorgungsunternehmen. Als erstes wird der bereits im Entwurf vorliegende Sicherheitskatalog für Energienetzbetreiber 1 erwartet. Dieser präzisiert gemäß 11 Abs. 1a EnWG die Sicherheitsanforderungen an netzsteuerdienliche Informations- und Telekommunikationstechnologien und wird kurz nach Inkrafttreten des IT-Sicherheitsgesetzes veröffentlicht werden. Weitere Sicherheitsvorgaben, wie beispielsweise ein im neu gefassten 11 Abs. 1b EnWG referenzierter IT-Sicherheitskatalog für Energieanlagenbetreiber, werden folgen. Gesetzgeber und Behörden erlassen Mindeststandards an Informationssicherheit für Energieversorger. Leitgedanke der anstehenden Regulierungen ist es, Unternehmen im Bereich kritische Infrastrukturen auf Mindeststandards zur Informationssicherheit zu verpflichten. Die Energiebranche orientiert sich in der Ausgestaltung dieser Mindeststandards an der international anerkannten ISO 27 000er Reihe. So verlangt der IT-Sicherheitskatalog für Energienetzbetreiber im Kern, dass betroffene Unternehmen ein Informationssicherheits-Management-System (ISMS) nach ISO 27 001 unter Berücksichtigung der branchenspezifischen Ergänzung durch die ISO 27 019 einführen. Eine entsprechende Zertifizierung muss innerhalb einer Frist von 2 Jahren erfolgen. Analoge Vorgaben werden sich auch im IT-Sicherheitskatalog für Energieanlagenbetreiber finden. 1 Siehe: http://www.bundesnetzagentur.de/de/sachgebiete/elektrizitaetundgas/unternehmen_institutionen/ Versorgungssicherheit/IT_Sicherheit/IT_Sicherheit.html
Viele Energieversorger werden ein Informationssicherheitsmanagementsystem (ISMS) neu einführen müssen. Von den Sicherheitsvorgaben sind alle Energienetzbetreiber betroffen. Für Energie- anlagenbetreiber wird es zwar größenabhängige Ausnahmen geben, jedoch wird auch hier der Großteil der Unternehmen erfasst sein. Lediglich Anlagenbetreiber mit weniger als zehn Mitarbeitern und weniger als zwei Millionen Euro Jahresumsatz können hoffen, nicht als kritische Infrastruktur gewertet zu werden. Letztlich könnten bis zu 15.000 Energieversorger unter die Sicherheitsregulierungen fallen 2. Von diesen verfügen nur wenige über ein zertifiziertes ISMS. Laut einer ISO-Umfrage von 2013 3 gibt es in Deutschland über alle Branchen hinweg lediglich 581 Zertifikate des Standards 27 001. Auch wenn sich die Zahl der Zertifikate seit 2013 erhöht haben dürfte, bleiben tausende Energieversorger, die in den nächsten zwei Jahren ein ISMS einführen müssen. Selbst Unternehmen, die schon über ein Zertifikat verfügen, müssen mit zusätzlichem Aufwand rechnen: 2013 wurde die bisherige Version ISO 27001:2005 durch den Standard ISO 27001:2013 ersetzt. Aufgrund erweiterter Anforderungen, zum Beispiel im Bereich der kennzahlenbasierten Effizienzmessung, ist eine im Vergleich zur regulären Re-Zertifizierung umfangreichere Prüfung notwendig. Pro ISMS-Einführung entsteht regelmäßig ein Projektaufwand von mindestens 500.000 Euro. Wie lange es dauert, ein ISMS nach ISO 27 001 einzuführen, hängt vom Status der Informationssicherheit im Unternehmen ab. In der Regel dauert es vom Start des Projekts bis zur Zertifizierung mindestens 15 Monate. Das liegt zum einen an der Komplexität einer ISMS-Einführung, zum anderen an den Besonderheiten der Energieversorger: Diese müssen infrastrukturelle Sicherheit dezentraler Komponenten mit der IT-Sicherheit verschiedener Netze kombinieren. Gleichzeitig gehen die Anforderungen aus dem bisher vorliegenden IT-Sicherheitskatalog über den Umfang einer reinen ISMS-Einführung hinaus und erfordern zusätzliche Zeit und Ressourcen. 2 Untere Grenze basierend auf der Aussage aus dem Entwurf des IT-Sicherheitsgesetzes, wonach Zahl der meldepflichtigen Betreiber Kritischer Infrastrukturen bei maximal 2.000 Betreibern liegen wird kombiniert mit der Abschätzung, dass etwa 50% davon aus dem Energiesektor stammen werden. Obere Grenze basierend auf der KPMG-Studie IT-Sicherheit in Deutschland im Auftrag des Bundesverbandes der Deutschen Industrie (BDI) und Bitkom aus 2014 5 Basierend auf 100.000 Euro Vollkosten pro Ressource 3 Siehe: http://www.iso.org/iso/home/standards/certification/iso-survey.htm
Außerdem muss ein Unternehmen das konzeptionierte ISMS aus Erfahrung mindestens 6 Monate betrieben haben, um für eine mögliche Zertifizierungsprüfung ausreichende Nachweise der Effektivität und Wirksamkeit erbringen zu können. Grundsätzlich sollte deshalb mit mindestens anderthalb Jahren für die Einführung eines ISMS gerechnet werden. Eine Abschätzung des Ressourcenbedarfs für Projektleitung, Risikoanalysen, Begleitung der Umsetzung organisatorischer und technischer Maßnahmen sowie zusätzlichen Managementkapazitäten über diesen Zeitraum ergibt leicht einen Projektaufwand von rund 500.000 Euro 4. Darin sind noch nicht die Kosten durch die technischen Maßnahmen an sich berücksichtigt. Auch kommen noch laufende Kosten dazu, die beispielsweise durch die Verpflichtung zur Meldung von Störfällen anfallen und pro Vorgang geschätzte Kosten von 660 Euro verursachen 5. Insgesamt wird deutlich: Die Einführung eines ISMS ist für die allermeisten Energieversorger eine erhebliche Investition 6. Aus Erfahrung: Regionale Energieversorger benötigen zunächst Transparenz. Um die Kosten im Rahmen zu halten, sollte daher die Umsetzung so effizient wie möglich durchgeführt werden. Die Bundesdruckerei Consulting wird von regionalen Energieunternehmen mit Fragen wie diesen konfrontiert: Welche Lücke gibt es noch zwischen dem, was ich bereits umgesetzt habe, und dem, was ich nach ISO brauche? Welche Maßnahmen muss ich unbedingt jetzt umsetzen welche kann ich verschieben? Was kann ich alleine stemmen und wofür setze ich besser auf externe Dienstleister? 4 Basierend auf 100.000 Euro Vollkosten pro Ressource 5 Siehe Abschätzung des Erfüllungsaufwands im Entwurf zum IT-Sicherheitsgesetz 6 Vergleiche auch: http://www.vdi-nachrichten.com/technik-wirtschaft/energienetzbetreiber-erhalten-gnadenfrist-fuer-sicherheitszertifizierung
Solche Fragen spiegeln eine weit verbreitete Unsicherheit wider, was genau die Einführung eines ISMS mit sich bringt. Deshalb empfiehlt sich am Anfang eine sorgsame Analyse des Status Quo der Informationssicherheit. Dies hat mehrere Vorteile. Mit den Ergebnissen lässt sich die Konzeptionierung des ISMS besser planen und der nötige Aufwand fundiert einschätzen. Erst dadurch kann auch die Diskussion mit einem externen Dienstleister auf Augenhöhe erfolgen. Außerdem können die Unternehmen die nötigen Maßnahmen auf Grundlage dieser Analyse priorisieren. Insgesamt liefert eine initiale Analyse genau jene Leitplanken, die Energieversorger oft suchen. Der Aufwand dafür ist aus Erfahrung der Bundesdruckerei Consulting gering. In einem konkreten Fall führte die Bundesdruckerei Consulting an fünf Projekttagen etwa 15 Interviews bei einem Energieversorger, sichtete vorhandene Dokumente und besuchte einige ausgewählte Standorte. Als Resultat entstand eine mehr als 100 Seiten umfassende Dokumentation mit etwa 30 priorisierten Empfehlungen für die nächsten Schritte. Das ISMS-Einführungsprojekt sollte sich an fünf Grundsätzen orientieren. Nachdem der Status Quo ermittelt wurde, sollte die eigentliche ISMS-Einführung in einem speziell zu diesem Zweck aufgesetzten Projekt erfolgen. Hierbei ist ein strukturiertes Vorgehen wichtig, um die vielen Anforderungen zu bewältigen. Es sollte sich an den folgenden fünf Grundsätzen orientieren. Sie helfen Unternehmen dabei, die gesetzlichen Vorgaben parallel zum Tagesgeschäft umzusetzen und zudem die Herausforderungen der Energiewende zu stemmen. 1. Definieren Sie Ihre Erwartungen klar Wie bei jedem Projekt ist es entscheidend, klare Ziele und Erwartungen zu definieren. Hierbei sollten explizit auch die Erwartungen der Stakeholder und anderer interessierter Parteien einbezogen werden. Auch wenn die Ziele im gegebenen Kontext im Wesentlichen eindeutig sind, können in der spezifischen Ausgestaltung des Projekts die Dauer und die Kosten auf die individuellen Möglichkeiten des Energieversorgungsunternehmens angepasst werden. Was dies praktisch bedeutet verdeutlichen die folgenden Beispiele: Der IT-Sicherheitskatalog für Netzbetreiber fordert einen Netzstrukturplan. Dieser kann bereits vorher oder erst im Rahmen des Projekts erstellt werden. Wird das Projekt durch einen externen Dienstleister unterstützt, ist zu entscheiden, ob dieser bereits bei der Erstellung des Netzstrukturplans involviert sein soll. Des Weiteren fordert der IT-Sicherheitskatalog einen IT-Sicherheitsbeauftragten. Ähnlich dem Datenschutzbeauftragten kann dieser durch einen externen Dienstleister gestellt werden. Ist dies gewünscht, sollte der externe Dienstleister bereits am Aufbau beteiligt werden, um Kosten für ein nachträgliches Einbinden zu sparen. Übernimmt ein eigener Mitarbeiter diese Rolle, sollte dieser von Anfang an in das Projekt voll eingebunden sein, um auch hier einen maximalen Trainingseffekt zu erreichen und Schulungskosten zu minimieren.
Der IT-Sicherheitskatalog fordert ebenfalls eine Schutzbedarfsermittlung. Dabei wird der Standard BSI 100.2 nahegelegt, dieser ist jedoch nicht verpflichtend. Es kann grundsätzlich ein auf das Unternehmen optimiertes Vorgehen eingeschlagen werden, das gegebenenfalls Zeit und Kosten spart. 2. Beschränken Sie den Geltungsbereich sinnvoll Bei der Einführung eines ISMS ist der Geltungsbereich zu definieren. Die meisten Energieversorger bestehen aus verschiedenen Gesellschaften, die unterschiedlichen Regularien unterliegen. Welcher Teil der Konzernstruktur durch ein ISMS abgedeckt werden soll, ist somit eine wesentliche Frage. Um den Aufwand für Konzept, Betrieb und Zertifizierung des ISMS minimal zu halten, sollten grundsätzlich nur die notwendigen Bereiche einbezogen werden. Zwei Aspekte sind dabei zu beachten: Erstens kann die Verflechtung der einzelnen Gesellschaften dazu führen, dass ein größerer Teil des Unternehmens in den Geltungsbereich des ISMS aufzunehmen ist. Ein konkretes Beispiel: In einer Unternehmensgruppe mit einer Holding und einer Tochter für den Netzbetrieb ist zur Erfüllung der Forderungen aus dem Sicherheitskatalog für Netzbetreiber zunächst nur die Tochter zu betrachten. Erbringt die Holding jedoch IT- Dienstleistungen für die Tochter, so sollte sie in den Geltungsbereich einbezogen werden. Zweitens kann es vorausschauend sein, einen größeren Geltungsbereich zu wählen: Existiert in der als Beispiel aufgeführten Unternehmensgruppe eine weitere Tochter für die Energieerzeugung, so sollte diese ebenfalls einbezogen werden. Auch wenn noch kein IT-Sicherheitskatalog für Energieanlagen vorliegt, so wird er bald mit einer entsprechenden Vorgabe erscheinen. Durch Einbeziehen lassen sich spätere Aufwände verringern. 3. Bündeln Sie ähnliche Strukturen Bei der Ermittlung des Schutzbedarfs stehen Energieversorgungsunternehmen schnell vor großen Aufgaben, wenn sie ihre Systeme nicht sinnvoll bündeln: wer will schon für jede Transformatorenstation einzeln Sicherheitsanforderungen festlegen, um Unbefugten den Zutritt zu verwehren und ihn zugleich externen Technikern jederzeit zu ermöglichen. Der Grundsatz, ähnliche Strukturen zu bündeln, beschränkt sich jedoch nicht nur auf Schutzbedarfsermittlung und Risikoanalyse. Er gilt zum Beispiel auch für das Erstellen von Dokumenten und Aufsetzen von Prozessen. Nicht jedes in der Norm genannte Dokument muss für sich alleine stehen, nicht jeder Prozess ist nur für Informationssicherheit relevant. Eine sinnvolle Zusammenführung schafft Übersichtlichkeit und Verständlichkeit. Dies gilt insbesondere, wenn in die Konsolidierung auch Dokumente und Prozesse aus anderen Normvorgaben wie dem Qualitätsmanagement oder Umweltschutz einbezogen werden. Sind entsprechende Normen bereits etabliert können so Synergien geschaffen werden.
4. Nutzen Sie bereits umgesetzte IT-Sicherheitselemente Energieversorgungsunternehmen haben in der Vergangenheit bereits aus eigenem Antrieb und aufgrund gesetzlicher Anforderungen Elemente einer Sicherheits- organisation wie Zutrittskontrollanlagen oder Virenscanner etabliert. Die Aufgabe bei der Einführung eines übergreifenden ISMS besteht folglich darin, die vorhandenen Elemente bestmöglich aufzugreifen, zu ergänzen und in ein umfassendes Konzept zu integrieren. Diese Einbindung bestehender Strukturen senkt nicht nur die Kosten der ISMS-Einführung. Sie erhöht auch die Akzeptanz im Unternehmen. Dies ist wichtig, weil die Einführung eines ISMS oft einen grundlegenden Wandel im Unternehmen erfordert. Neue Prozesse müssen gelebt und neue Regeln eingehalten werden. Das Einbinden bestehender Elemente erleichtert diesen Wandel und unterstützt ein Veränderungs- management, das auch die aktive Kommunikation mit den Mitarbeitern umfasst. 5. Starten Sie sofort Einige Energieversorgungsunternehmen zögern, ISMS-Projekte aufzusetzen. Dabei ist das Projektrisiko faktisch gleich Null: Noch dieses Jahr werden die IT-Sicherheitskataloge veröffentlicht und die Zeit für die Umsetzung beginnt zu laufen. Bedenkt man die Vorlaufzeit zum Aufsetzen und Organisieren eines ISMS, ergibt sich ein unmittelbarer Handlungsbedarf. Es empfiehlt sich aus mindestens zwei Gründen, das Projekt jetzt anzugehen: Das Zeitfenster verlängert sich bis zum Ablauf der Frist je früher das Projekt gestartet wird. Bei insgesamt gleichem Projektaufwand bedeutet dies, dass die Auslastung der Schlüsselressourcen sinkt und damit ein größerer Anteil intern erledigt werden kann. Dies senkt die Kosten, steigert die Identifikation mit dem Projekt im Unternehmen und sichert den langfristigen Erfolg.
Experten gehen davon aus,, dass mit der Verabschiedung des IT-Sicherheitsgesetzes viele Unternehmen gleichzeitig die Einführung eines ISMS anstoßen und dazu auf die gleichen externen Ressourcen zurückgreifen. Da das Potenzial an erfahrenen Beratern für eine ISO- 27 001-Zertifizierung begrenzt ist, kann es hier zu Engpässen kommen. Selbst wenn zunächst noch der Status Quo analysiert werden muss, kann ein Projekt bereits starten: Gewisse Elemente wie eine Informationssicherheitsleitlinie oder ein Dokumentenänderungswesen sind in jedem Fall Pflicht und können ohne Verzögerung angegangen werden, falls sie noch nicht existieren. Werden diese fünf Grundsätze eingehalten, ist der Grundstein für eine erfolgreiche ISMS Einführung gelegt.
Ihre Experten zum Thema sind Manuel Rothe Senior Consultant Telefon: +49 (30) 2598 2509 E-Mail: manuel.rothe@bdr.de Timo Neumann Abteilungsleiter Consulting Telefon: +49 (30) 2598 2521 E-Mail: timo.neumann@bdr.de www.bundesdruckerei.de/consulting Impressum Bundesdruckerei GmbH Kommandantenstr. 18 10969 Berlin Tel.: +49 (0) 30-2598 0 Fax: +49 (0) 30-2598 22 05 E-Mail:info@bdr.de www.bundesdruckerei.de