Einführung eines ISMS: mühselig, aber alternativlos

Für viele Stadtwerke ist die Einführung eines Informationssicherheits-Managementsystems eine große Herausforderung. Es fehlt ihnen an Projekterfahrung, Know-how und qualifizierten Mitarbeitern. Dennoch müssen sie die Aufgaben Schritt für Schritt abarbeiten.

Der Termin steht fest und rückt immer näher: Bis zum 31. Januar 2018 müssen Stadtwerke und andere Energieversorger ein zertifiziertes Informationssicherheits-Managementsystem (ISMS) eingeführt haben. Dabei zeigen viele Gespräche aus der Beratungspraxis: Es gibt große Unternehmen, bei denen die Einführung planmäßig läuft und rechtzeitig abgeschlossen sein wird. Es gibt aber auch eine beachtliche Zahl vor allem kleiner und mittlerer Energieversorger, die die gesetzliche Zeitvorgabe wahrscheinlich nicht einhalten können. Zum Teil, weil sie erst in diesem Jahr mit der ISMS-Einführung beginnen wollen oder weil sie zwar bereits gestartet sind, das Projekt aber nicht konsequent weitergeführt haben. Dies ist häufig passiert, weil anderen Themen eine höhere Priorität eingeräumt wurde – allen voran den Themen Industrie 4.0 und Digitalisierung.

Ohne Informationssicherheit keine Digitalisierung

Bei dieser Vorgehensweise vergessen die Unternehmen jedoch, dass ihnen nicht nur empfindliche Geldstrafen drohen, wenn sie nicht rechtzeitig fertig werden. Die Informationssicherheit ist auch eine grundlegende Voraussetzung für die Digitalisierung. Die Einführung des Smart Meterings und Smart Grids wird die Anforderungen an die Sicherheitssysteme der Energieversorger drastisch erhöhen. Unternehmen, die bereits mit den gesetzlichen Mindestanforderungen für das ISMS kämpfen, werden sich im Zuge der Digitalisierung erst recht schwer tun. Das wiederum gefährdet nicht zuletzt ihre Wettbewerbsfähigkeit.

Bereits im Frühjahr 2016 hat die Studie »Informationssicherheit: Sind die Energieversorger schon ISMS-ready?« der Unternehmensberatung Axxcon gezeigt, dass viele EVU die rechtzeitige Einführung eines ISMS kaum bewältigen können. Dies ging aus den Antworten der 106 befragten Geschäftsführer, IT-Leiter und IT-Sicherheitsbeauftragten hervor. Zu diesem Zeitpunkt haben die Befragten geschätzt, dass sie durchschnittlich rund 16 Monate für die Einführung brauchen werden. Das heißt, wer jetzt – zehn Monate vor Ablauf der Frist – beginnt, muss sich mächtig sputen. Hinzu kommt, dass die meisten Unternehmen offenbar nicht bedacht haben – und noch immer nicht bedenken –, dass ein ISMS mindestens sechs Monate im Einsatz sein muss, bevor seine Funktionsfähigkeit und Effektivität nachgewiesen und das System zertifiziert werden kann. Baut ein Großteil der Unternehmen auf eine Abnahme kurz vor Ablauf der Frist, wird es obendrein zu einem Engpass bei den Zertifizierern kommen.

Aufwand wird unterschätzt

Deutlich wurde bei der Befragung im vergangenen Jahr auch, dass viele Unternehmen nicht genau wissen, was mit einem ISMS auf sie zukommt. So hatten laut der Studie erst 43 Prozent der befragten Energieversorgungsunternehmen alle sicherheitsrelevanten Netze und Geräte vollständig erfasst. Lediglich 12 Prozent der Unternehmen hatten die potenziellen Bedrohungen und Risiken abschließend identifiziert. Auch derzeit bemerken Stadtwerke häufig erst während des laufenden Prozesses, welcher Aufwand sie erwartet. So kommt es vor, dass ein frisch geschulter Informationssicherheitsbeauftragter dem Geschäftsführer erklären muss, dass noch ziemlich viel Arbeit nötig ist, bevor er seinen Job machen kann.

ISMS, 2017
Vor der Projektplanung gilt es, sich mit den Mindestanforderungen des ISMS vertraut zu machen.

Der erste wichtige Schritt, um ein ISMS einzuführen, besteht im Anlegen eines Netzstrukturplans, um alle, besonders aber die schutzbedürftigen Systeme des IT- und Versorgungsnetzes zu dokumentieren. Muss ein Unternehmen hier bei der Inventarisierung bei Null anfangen, dauert allein die Aufstellung des Netzstrukturplans je nach Betriebsgröße mehrere Wochen bis hin zu einigen Monaten. Im nächsten Schritt müssen die relevanten (Informations-)Werte definiert und die Risiken analysiert werden. Erst jetzt können die Maßnahmen festgelegt und realisiert werden. Schließlich folgt die Review-Phase mit Korrekturmaßnahmen, der Einführung eines kontinuierlichen Verbesserungsprozesses und der Durchführung interner Audits zur Erreichung der Zertifizierungsreife.

Unternehmen fehlt es an Know-how

Wie die Beratungspraxis zeigt, ist so eine systematische Vorgehensweise in den Unternehmen häufig nicht gegeben. Oft liegt dies an einem Mangel an Know-how, der laut der Studie in kleinen Unternehmen mit bis zu 200 Mitarbeitern am stärksten ausgeprägt ist. Diese mussten sich sogar erst noch über die Mindestanforderungen für ein zertifiziertes ISMS informieren. Insgesamt 71 Prozent von ihnen waren nach eigenen Angaben nur teilweise, 6 Prozent noch nicht mit den Mindestanforderungen vertraut. Ebenfalls brisant: Bei mehr als jedem zweiten Unternehmen fehlte es an Mitarbeitern für die Umsetzung, die Implementierung und den Betrieb eines ISMS.

ISMS_43211_2
Große Unternehmen habe tendenziell mehr Mitarbeiter für die ISMS-Einführung eingeplant.
ISMS_43211_3
Kaum ein Unternehmen sieht ISMS als reines IT-Thema.

Wichtig ist an diesem Punkt: Es reicht nicht aus, isoliert Leute auszubilden oder Fachleute einzustellen, die das ISMS einführen. Die Gesamtheit der Mitarbeiter muss den höheren Sicherheitsanspruch mittragen. Schließlich geht es bei der Informationssicherheit längst nicht nur um komplizierte Verschlüsselungstechniken, die zum Einsatz kommen, wenn sich jemand zum Beispiel mit seinem Laptop im Unternehmensnetzwerk anmeldet. Es geht auch um einfache Dinge wie Passwörter, die unter die Tastatur geklebt werden, damit der Kollege sich anmelden kann, wenn man im Urlaub ist. Es geht um offen stehende Türen, nicht getragene Mitarbeiterausweise und eine laxe Kontrolle am Empfang – sprich: um unachtsames Verhalten der Mitarbeiter. Das wiederum heißt, dass alle Mitarbeiter des Unternehmens für Sicherheitsfragen sensibilisiert und entsprechend geschult werden müssen.

Hacker-Angriffe sind möglich

Insgesamt ist die Informationssicherheit im Unternehmen nichts weniger als eine Sache der Unternehmenskultur und muss dringend zur Chefsache erklärt werden. Ein möglicher Grund dafür, dass dies bislang noch nicht geschehen ist: Hacker-Angriffe hatten bislang keinen großen Einfluss auf das Tagesgeschäft der EVU. Nur jedes zehnte Unternehmen hat laut der ISMS-Studie einen solchen bereits erlebt.

Zudem denken viele kleinere Energieversorger, bevor sie selbst zum Ziel werden, trifft es eher Regierungsorganisationen oder große internationale Konzerne. Dennoch ist auch der Angriff auf ein kleines Stadtwerk möglich und kann erheblichen Schaden anrichten.

Nicht zuletzt dürfte die Einführung des ISMS für die EVU viel teurer werden als geplant: So haben knapp zwei Drittel der Unternehmen laut der Studie nicht mehr als 100.000 Euro veranschlagt. Diese Summe wird jedoch nicht ausreichen. Die Unternehmen unterschätzen den Aufwand – auch wenn von der von ihnen genannten Laufzeit und dem personellen Einsatz ausgegangen wird. Realistisch betrachtet kostet die Einführung im Durchschnitt 500.000 Euro. Auch bei einem kleineren Stadtwerk wird die benötigte Summe deutlich über 100.000 Euro liegen.

ISMS_43211_4
Jedes zehnte Unternehmen war schon einmal Opfer von Hacker-Angriffen.

Dass Stadtwerken und anderen EVU bei der ISMS-Einführung gravierende Fehleinschätzungen unterlaufen, kann sich schmerzlich bemerkbar machen. Darüber hinaus zeigt es gefährliche Versäumnisse bei ihrer technischen IT – abgegrenzt von der kommerziellen oder kaufmännischen IT wie SAP-Anwendungen. Schließlich sind die vom Gesetzgeber aufgestellten Anforderungen an ein ISMS keineswegs neu oder überraschend. So sind die entsprechenden Prüfmodelle und Prozesse für die Informationssicherheit in anderen IT-Bereichen längst Standard. Auch die ISO 27001, nach der die Zertifizierung des ISMS stattfinden soll, ist bereits etabliert, ebenso wie die vollständige Inventarisierung der IT, die die Grundlage für ein ISMS ist. Anders jedoch sieht es offenbar im Bereich der technischen IT-Infrastruktur aus, die in den Stadtwerken oft historisch gewachsen ist.

Den Unternehmen, die bei der ISMS-Einführung auf Schwierigkeiten stoßen oder bereits im Verzug sind, kann geraten werden, dass sie mit Disziplin und Fleiß am Ball bleiben, Schritt für Schritt vorangehen und auf keinen Fall kapitulieren. In einer Kooperation mit einem anderen Stadtwerk Erleichterung bei der Einführung des ISMS zu suchen, ist aus Beratersicht hingegen nur begrenzt hilfreich. Zwar kann dies einen sinnvollen Know-how-Transfer bringen, erhebliche Synergieeffekte bei der Umsetzung werden erfahrungsgemäß jedoch ausbleiben – dazu sind die Herausforderungen in den einzelnen Stadtwerken zu individuell. Ebenso gilt: Mit einem Standardkatalog decken Stadtwerke rund 80 Prozent aller Risiken ab, aber eben nicht alle. Das heißt, das Abarbeiten der darin aufgeführten Kriterien kann ein Anfang sein, ausreichen wird es jedoch nicht.

Autoren

Dirk Stieler, Partner und ISMS-Fachmann,
Axxcon GmbH & Co. KG, Schwalbach, E-Mail: dirk.stieler@axxcon.com

Torsten Beyer, Partner und ISMS-Fachmann,
Axxcon GmbH & Co. KG, Schwalbach, E-Mail: tobias.beyer@axxcon.com

LINKAxxcon
TEILEN