Der Neue Wiesentbote

Umsetzung und Herausforderungen im Informationssicherheits-Management: Status-Quo zur Implementierung der ISO 27001 Norm in der Energieversorgung

Das Thema Informationssicherheit wird für Unternehmen nicht nur technisch, sondern auch betriebswirtschaftlich und organisatorisch relevanter. Einen strukturierten Ansatz zur organisationalen Abbildung des Themas Informationssicherheit stellt die Norm ISO 27001 und ein darauf basierendes Informationssicherheits-Management-System dar. Im Bereich Kritischer Infrastrukturen dieses bereits gesetzlich vorgeschrieben. Wie die nun veröffentlichte Studie des BF/M-Bayreuth e.V. und der SEVEN PRINCIPLES AG zeigt, ist bei 88 % der Energieversorger ein ISMS erfolgreich eingeführt worden. Andere Bereiche befinden sich derzeit in der Einführung. Die Ergebnisse der im Sommer 2018 durchgeführten Befragung zeigen, dass Herausforderungen bei der Einbindung in das Alltagsgeschäft bestehen. Der Nutzen des ISMS zur Identifikation und Behandlung von Sicherheitsrisiken sowie der positive Effekt zur Sensibilisierung der Mitarbeiter stellen den deutlichen Mehrwert des ISMS dar.

Das Betriebswirtschaftliche Forschungszentrum für Fragen der mittelständischen Wirtschaft an der Universität Bayreuth und sein Mitgliedsunternehmen SEVEN PRINCIPLES AG veröffentlichten im September 2018 die gemeinsam getragene Studie zur Bestandsaufnahme von „Informationssicherheits-Management-Systemen in der Energieversorgung 2018“. Die Studie thematisiert aktuelle Herausforderungen in der Informationssicherheit (IS) zur Vertraulichkeit, Verfügbarkeit und Integrität von Informationssystemen in der Energieversorgung. Sie zeigt die empirisch ermittelten Details zur Implementierung und zum Betrieb eines ISMS auf, gibt Einblicke zu ausgewählten Herausforderungen, betrachtet insbesondere die Auditierung und Zertifizierung eines ISMS aus der Perspektive eines Auditors und zeigt Handlungsempfehlungen für den praktischen Einsatz auf. Eine gesonderte Betrachtung betrifft den Öffentlichen Personennahverkehr, welcher neben anderen Sektoren nun mit dem 2. Korb der Kritisverordnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) das Thema ISMS aufgreifen muss.

Die Studie resultiert aus der gesetzlichen Vorgabe zur Einführung und Zertifizierung eines ISMS bei Netzbetreibern bis zum 31.01.2018. Sie ergänzt die bereits im Jahr 2015 durch die Universität Bayreuth durchgeführte empirische Analyse zur Erwartungshaltung an ein ISMS im Bereich der Energieversorgung. „Es ist nun genau drei Jahre her, als im Sommer 2015 der Deutsche Bundestag das IT-Sicherheitsgesetz verabschiedete. Die Notwendigkeit einer einheitlichen bundesgesetzlichen Regelung im Bereich der Cybersicherheit steht heute außer Frage. Zum einen ist der Schutz der IT-Steuerung gegen systemimmanente, also durch Fehler und Mängel der verwendeten Systeme verursachten Ausfälle, ein Ziel. Zum anderen – und dieses Gesetzesziel ist genauso wichtig – ist der Schutz gegen die gezielte Herbeiführung von Fehlfunktionen mit Auswirkungen auf die IT-Prozesse ein Ziel. Wie gefährlich private oder gar staatliche Angreifer sein können, wie tief diese unerwünschten Gäste in die Systeme eindringen können, und wie groß der Schaden sein kann, wurde uns in den letzten Monaten anhand diverser Attacken mehr als deutlich.“ kommentiert MdB Marian Wendt (CDU) das Ergebnis der vorliegenden Studie. Die Ergebnisse zeigen, dass sich die Situation zur Umsetzung des ISMS in den Unternehmen der Energieversorgung im Vergleich zur ersten Bestandsaufnahme im Jahr 2015 verbessert hat. Bereits 88 % der Studienteilnehmer haben ein ISMS implementiert und weitere 10 % befinden sich derzeit in der Phase der Einführung. Hauptgründe waren zu 95 % die gesetzliche Verpflichtung sowie zu 52 % die gezielte Steigerung der Informationssicherheit im Unternehmen.

„Der angestrebte Kulturwandel gelingt: die Erkenntnis, dass der Aufbau effizienter effektiver Management-Systeme für die Informationssicherheit eine lebensnotwendige Investition in die Zukunft ist, setzt sich immer stärker durch. Die vorliegende Studie bestätigt, dass das neue IT-Sicherheitsrecht gut angenommen wird.“ äußert sich MdB Marian Wendt weiter.

Dabei zeigte sich, dass bei 62 % der Unternehmen bereits vor der Implementierung das Thema Informationssicherheit einen hohen Stellenwert einnahm. Das größte Potenzial zur Wirkung des ISMS besteht augenscheinlich bei den 38 % der Unternehmen, die dem Thema Informationssicherheit bisher lediglich einen beiläufigen oder gar keinen Stellenwert einräumten. Treiber zur Implementierung waren größtenteils die Fachbeauftragten mit 83 %.

Die Ergebnisse zeigen weiter, dass der Datenschutz als medial präsentes Thema einen Treiber für Informationssicherheit darstellt und die Unternehmen darauf aufmerksam machte. „Die ISO 27001 regelt Referenzmaßnahmenziele und Referenzmaßnahmen zur Informationssicherheit. Die DS-GVO verfolgt in Art. 32 DS-GVO die Sicherheit der Verarbeitung und verlangt technische und organisatorische Maßnahmen, um ein angemessenes Schutzniveau bei der Verarbeitung von Daten sicherzustellen. Um Datenschutzkonformität herzustellen, ist hier die innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. [..] Abschließend bleibt festzuhalten: Gleich, ob es sich um die Implementierung eines ISMS, eines Datenschutzkonzeptes oder eines Compliance-Management-Systems handelt, Nutznießer der Umsetzung werden bei konsequenter Durchführung immer das Unternehmen, deren Mitarbeiter und Kunden sein. Auch der Geschäftsführer, dessen straf- und zivilrechtliche Haftung bei Unterlassen von erforderlichen Schutzmaßnahmen schnell spruchreif werden wird, profitiert von der ernsthaften Identifizierung mit dem Thema der Informationssicherheit. Dass dies in den Köpfen der Verantwortlichen angekommen ist, macht die Studie an mehreren Stellen deutlich.“ kommentiert Rechtsanwältin Annett Albrecht die Ergebnisse der Studie.

Die Implementierungen decken im Bereich der Energieversorgung mehrheitlich die Leitstelle und die Netzführung ab. Es zeigt sich, dass durch die Einführung eines ISMS insbesondere die Sensibilisierung der Mitarbeiter sowie die Reduzierung von Schwachstellen in der Informationssicherheit erreicht werden konnte. Zur Sensibilisierung setzen 92 % der befragten Unternehmen auf regelmäßige Schulungsmaßnahmen. Immerhin noch die Hälfte der befragten Unternehmen berücksichtigen das Thema Informationssicherheit ebenfalls im Unternehmensnewsletter. Die Reduzierung von Schwachstellen wird u.a. durch die Vorgabe von Passwortrichtlinien in Verbindung mit entsprechender Sensibilisierung (Awareness) und durch die Umsetzung einer gelebten Regelung zur Datensicherung adressiert. 94,9 % der Unternehmen geben an, dass das ISMS einen Mehrwert für das Unternehmen geleistet hat.

Die befragten Unternehmen nutzten zu 76% die Unterstützung von Beratungsunternehmen zur Ist-Aufnahme der Informationssicherheit im Unternehmen, zur Implementierung und zur Durchführung von internen Audits. Die kontinuierliche Verbesserung des Systems mittels Plan-Do-Check-Act-Zyklus wird mit internen Kompetenzen umgesetzt und nur in 39% durch externe Berater unterstützt.

Die Auditierung des ISMS und die damit verbundene Zertifizierung ist eine der zentralen Forderungen der Gesetzgebung. Wie die Studie zeigt, sind die Zertifizierungsaudits nicht frei von Herausforderungen. Kommunikationshindernisse, fehlende zeitliche Ressourcen und vordinglich theoretisch geführte Audits wurden stellvertretend genannt und stellen die gesetzliche Forderung zur Umsetzung auf die Probe. In Summe lernen die Unternehmen aus den Audits und greifen die Hinweise und Empfehlungen zu Neben- und Hauptabweichungen zur Wahrung der Informationssicherheit auf.

Die Studie steht auf der Webseite des BF/M-Bayreuth zum Download zur Verfügung. Das BF/M-Bayreuth stellt Ihnen die Studie „Informationssicherheits-Management-Systeme (ISMS) bei Energieversorgern 2018“ gern auf Anfrage auch in Druckversion zur Verfügung. Anfragen bitte an info@bfm-bayreuth.de

Weiterführende Links:

Download der Studie als PDF
(URL: https://www.bfm-bayreuth.de/studie_isms_2018-09-30_bfm-7p_v10/)

Kompetenzen in der Informationssicherheit identifizieren, bewerten und den Fachkräftetransfer sichern – TeBeISi neues Projekt am BF/M-Bayreuth
(URL: https://www.bfm-bayreuth.de/tebeisi-neues-projekt-am-bf-m-bayreuth/)