BF/​M‑Bayreuth SEVEN PRINCI­PLES AG: Stu­die Infor­ma­ti­ons­si­cher­heits-Manage­ment-Syste­me (ISMS) bei Ener­gie­ver­sor­gern 2018

Umset­zung und Her­aus­for­de­run­gen im Infor­ma­ti­ons­si­cher­heits-Manage­ment: Sta­tus-Quo zur Imple­men­tie­rung der ISO 27001 Norm in der Ener­gie­ver­sor­gung

Das The­ma Infor­ma­ti­ons­si­cher­heit wird für Unter­neh­men nicht nur tech­nisch, son­dern auch betriebs­wirt­schaft­lich und orga­ni­sa­to­risch rele­van­ter. Einen struk­tu­rier­ten Ansatz zur orga­ni­sa­tio­na­len Abbil­dung des The­mas Infor­ma­ti­ons­si­cher­heit stellt die Norm ISO 27001 und ein dar­auf basie­ren­des Infor­ma­ti­ons­si­cher­heits-Manage­ment-System dar. Im Bereich Kri­ti­scher Infra­struk­tu­ren die­ses bereits gesetz­lich vor­ge­schrie­ben. Wie die nun ver­öf­fent­lich­te Stu­die des BF/​M‑Bayreuth e.V. und der SEVEN PRINCI­PLES AG zeigt, ist bei 88 % der Ener­gie­ver­sor­ger ein ISMS erfolg­reich ein­ge­führt wor­den. Ande­re Berei­che befin­den sich der­zeit in der Ein­füh­rung. Die Ergeb­nis­se der im Som­mer 2018 durch­ge­führ­ten Befra­gung zei­gen, dass Her­aus­for­de­run­gen bei der Ein­bin­dung in das All­tags­ge­schäft bestehen. Der Nut­zen des ISMS zur Iden­ti­fi­ka­ti­on und Behand­lung von Sicher­heits­ri­si­ken sowie der posi­ti­ve Effekt zur Sen­si­bi­li­sie­rung der Mit­ar­bei­ter stel­len den deut­li­chen Mehr­wert des ISMS dar.

Das Betriebs­wirt­schaft­li­che For­schungs­zen­trum für Fra­gen der mit­tel­stän­di­schen Wirt­schaft an der Uni­ver­si­tät Bay­reuth und sein Mit­glieds­un­ter­neh­men SEVEN PRINCI­PLES AG ver­öf­fent­lich­ten im Sep­tem­ber 2018 die gemein­sam getra­ge­ne Stu­die zur Bestands­auf­nah­me von „Infor­ma­ti­ons­si­cher­heits-Manage­ment-Syste­men in der Ener­gie­ver­sor­gung 2018“. Die Stu­die the­ma­ti­siert aktu­el­le Her­aus­for­de­run­gen in der Infor­ma­ti­ons­si­cher­heit (IS) zur Ver­trau­lich­keit, Ver­füg­bar­keit und Inte­gri­tät von Infor­ma­ti­ons­sy­ste­men in der Ener­gie­ver­sor­gung. Sie zeigt die empi­risch ermit­tel­ten Details zur Imple­men­tie­rung und zum Betrieb eines ISMS auf, gibt Ein­blicke zu aus­ge­wähl­ten Her­aus­for­de­run­gen, betrach­tet ins­be­son­de­re die Audi­tie­rung und Zer­ti­fi­zie­rung eines ISMS aus der Per­spek­ti­ve eines Audi­tors und zeigt Hand­lungs­emp­feh­lun­gen für den prak­ti­schen Ein­satz auf. Eine geson­der­te Betrach­tung betrifft den Öffent­li­chen Per­so­nen­nah­ver­kehr, wel­cher neben ande­ren Sek­to­ren nun mit dem 2. Korb der Kri­tis­ver­ord­nung des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) das The­ma ISMS auf­grei­fen muss.

Die Stu­die resul­tiert aus der gesetz­li­chen Vor­ga­be zur Ein­füh­rung und Zer­ti­fi­zie­rung eines ISMS bei Netz­be­trei­bern bis zum 31.01.2018. Sie ergänzt die bereits im Jahr 2015 durch die Uni­ver­si­tät Bay­reuth durch­ge­führ­te empi­ri­sche Ana­ly­se zur Erwar­tungs­hal­tung an ein ISMS im Bereich der Ener­gie­ver­sor­gung. „Es ist nun genau drei Jah­re her, als im Som­mer 2015 der Deut­sche Bun­des­tag das IT-Sicher­heits­ge­setz ver­ab­schie­de­te. Die Not­wen­dig­keit einer ein­heit­li­chen bun­des­ge­setz­li­chen Rege­lung im Bereich der Cyber­si­cher­heit steht heu­te außer Fra­ge. Zum einen ist der Schutz der IT-Steue­rung gegen system­im­ma­nen­te, also durch Feh­ler und Män­gel der ver­wen­de­ten Syste­me ver­ur­sach­ten Aus­fäl­le, ein Ziel. Zum ande­ren – und die­ses Geset­zes­ziel ist genau­so wich­tig – ist der Schutz gegen die geziel­te Her­bei­füh­rung von Fehl­funk­tio­nen mit Aus­wir­kun­gen auf die IT-Pro­zes­se ein Ziel. Wie gefähr­lich pri­va­te oder gar staat­li­che Angrei­fer sein kön­nen, wie tief die­se uner­wünsch­ten Gäste in die Syste­me ein­drin­gen kön­nen, und wie groß der Scha­den sein kann, wur­de uns in den letz­ten Mona­ten anhand diver­ser Attacken mehr als deut­lich.“ kom­men­tiert MdB Mari­an Wendt (CDU) das Ergeb­nis der vor­lie­gen­den Stu­die. Die Ergeb­nis­se zei­gen, dass sich die Situa­ti­on zur Umset­zung des ISMS in den Unter­neh­men der Ener­gie­ver­sor­gung im Ver­gleich zur ersten Bestands­auf­nah­me im Jahr 2015 ver­bes­sert hat. Bereits 88 % der Stu­di­en­teil­neh­mer haben ein ISMS imple­men­tiert und wei­te­re 10 % befin­den sich der­zeit in der Pha­se der Ein­füh­rung. Haupt­grün­de waren zu 95 % die gesetz­li­che Ver­pflich­tung sowie zu 52 % die geziel­te Stei­ge­rung der Infor­ma­ti­ons­si­cher­heit im Unter­neh­men.

„Der ange­streb­te Kul­tur­wan­del gelingt: die Erkennt­nis, dass der Auf­bau effi­zi­en­ter effek­ti­ver Manage­ment-Syste­me für die Infor­ma­ti­ons­si­cher­heit eine lebens­not­wen­di­ge Inve­sti­ti­on in die Zukunft ist, setzt sich immer stär­ker durch. Die vor­lie­gen­de Stu­die bestä­tigt, dass das neue IT-Sicher­heits­recht gut ange­nom­men wird.“ äußert sich MdB Mari­an Wendt wei­ter.

Dabei zeig­te sich, dass bei 62 % der Unter­neh­men bereits vor der Imple­men­tie­rung das The­ma Infor­ma­ti­ons­si­cher­heit einen hohen Stel­len­wert ein­nahm. Das größ­te Poten­zi­al zur Wir­kung des ISMS besteht augen­schein­lich bei den 38 % der Unter­neh­men, die dem The­ma Infor­ma­ti­ons­si­cher­heit bis­her ledig­lich einen bei­läu­fi­gen oder gar kei­nen Stel­len­wert ein­räum­ten. Trei­ber zur Imple­men­tie­rung waren größ­ten­teils die Fach­be­auf­trag­ten mit 83 %.

Die Ergeb­nis­se zei­gen wei­ter, dass der Daten­schutz als medi­al prä­sen­tes The­ma einen Trei­ber für Infor­ma­ti­ons­si­cher­heit dar­stellt und die Unter­neh­men dar­auf auf­merk­sam mach­te. „Die ISO 27001 regelt Refe­renz­maß­nah­men­zie­le und Refe­renz­maß­nah­men zur Infor­ma­ti­ons­si­cher­heit. Die DS-GVO ver­folgt in Art. 32 DS-GVO die Sicher­heit der Ver­ar­bei­tung und ver­langt tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein ange­mes­se­nes Schutz­ni­veau bei der Ver­ar­bei­tung von Daten sicher­zu­stel­len. Um Daten­schutz­kon­for­mi­tät her­zu­stel­len, ist hier die inner­be­trieb­li­che Orga­ni­sa­ti­on so zu gestal­ten, dass sie den beson­de­ren Anfor­de­run­gen des Daten­schut­zes gerecht wird. [..] Abschlie­ßend bleibt fest­zu­hal­ten: Gleich, ob es sich um die Imple­men­tie­rung eines ISMS, eines Daten­schutz­kon­zep­tes oder eines Com­pli­an­ce-Manage­ment-Systems han­delt, Nutz­nie­ßer der Umset­zung wer­den bei kon­se­quen­ter Durch­füh­rung immer das Unter­neh­men, deren Mit­ar­bei­ter und Kun­den sein. Auch der Geschäfts­füh­rer, des­sen straf- und zivil­recht­li­che Haf­tung bei Unter­las­sen von erfor­der­li­chen Schutz­maß­nah­men schnell spruch­reif wer­den wird, pro­fi­tiert von der ernst­haf­ten Iden­ti­fi­zie­rung mit dem The­ma der Infor­ma­ti­ons­si­cher­heit. Dass dies in den Köp­fen der Ver­ant­wort­li­chen ange­kom­men ist, macht die Stu­die an meh­re­ren Stel­len deut­lich.“ kom­men­tiert Rechts­an­wäl­tin Annett Albrecht die Ergeb­nis­se der Stu­die.

Die Imple­men­tie­run­gen decken im Bereich der Ener­gie­ver­sor­gung mehr­heit­lich die Leit­stel­le und die Netz­füh­rung ab. Es zeigt sich, dass durch die Ein­füh­rung eines ISMS ins­be­son­de­re die Sen­si­bi­li­sie­rung der Mit­ar­bei­ter sowie die Redu­zie­rung von Schwach­stel­len in der Infor­ma­ti­ons­si­cher­heit erreicht wer­den konn­te. Zur Sen­si­bi­li­sie­rung set­zen 92 % der befrag­ten Unter­neh­men auf regel­mä­ßi­ge Schu­lungs­maß­nah­men. Immer­hin noch die Hälf­te der befrag­ten Unter­neh­men berück­sich­ti­gen das The­ma Infor­ma­ti­ons­si­cher­heit eben­falls im Unter­neh­mens­news­let­ter. Die Redu­zie­rung von Schwach­stel­len wird u.a. durch die Vor­ga­be von Pass­wort­richt­li­ni­en in Ver­bin­dung mit ent­spre­chen­der Sen­si­bi­li­sie­rung (Awa­reness) und durch die Umset­zung einer geleb­ten Rege­lung zur Daten­si­che­rung adres­siert. 94,9 % der Unter­neh­men geben an, dass das ISMS einen Mehr­wert für das Unter­neh­men gelei­stet hat.

Die befrag­ten Unter­neh­men nutz­ten zu 76% die Unter­stüt­zung von Bera­tungs­un­ter­neh­men zur Ist-Auf­nah­me der Infor­ma­ti­ons­si­cher­heit im Unter­neh­men, zur Imple­men­tie­rung und zur Durch­füh­rung von inter­nen Audits. Die kon­ti­nu­ier­li­che Ver­bes­se­rung des Systems mit­tels Plan-Do-Check-Act-Zyklus wird mit inter­nen Kom­pe­ten­zen umge­setzt und nur in 39% durch exter­ne Bera­ter unter­stützt.

Die Audi­tie­rung des ISMS und die damit ver­bun­de­ne Zer­ti­fi­zie­rung ist eine der zen­tra­len For­de­run­gen der Gesetz­ge­bung. Wie die Stu­die zeigt, sind die Zer­ti­fi­zie­rungs­au­dits nicht frei von Her­aus­for­de­run­gen. Kom­mu­ni­ka­ti­ons­hin­der­nis­se, feh­len­de zeit­li­che Res­sour­cen und vord­ing­lich theo­re­tisch geführ­te Audits wur­den stell­ver­tre­tend genannt und stel­len die gesetz­li­che For­de­rung zur Umset­zung auf die Pro­be. In Sum­me ler­nen die Unter­neh­men aus den Audits und grei­fen die Hin­wei­se und Emp­feh­lun­gen zu Neben- und Haupt­ab­wei­chun­gen zur Wah­rung der Infor­ma­ti­ons­si­cher­heit auf.

Die Stu­die steht auf der Web­sei­te des BF/​M‑Bayreuth zum Down­load zur Ver­fü­gung. Das BF/​M‑Bayreuth stellt Ihnen die Stu­die „Infor­ma­ti­ons­si­cher­heits-Manage­ment-Syste­me (ISMS) bei Ener­gie­ver­sor­gern 2018“ gern auf Anfra­ge auch in Druck­ver­si­on zur Ver­fü­gung. Anfra­gen bit­te an info@​bfm-​bayreuth.​de

Wei­ter­füh­ren­de Links:

Down­load der Stu­die als PDF
(URL: https://www.bfm-bayreuth.de/studie_isms_2018-09–30_bfm-7p_v10/)

Kom­pe­ten­zen in der Infor­ma­ti­ons­si­cher­heit iden­ti­fi­zie­ren, bewer­ten und den Fach­kräf­te­trans­fer sichern – TeBeI­Si neu­es Pro­jekt am BF/​M‑Bayreuth
(URL: https://​www​.bfm​-bay​reuth​.de/​t​e​b​e​i​s​i​-​n​e​u​e​s​-​p​r​o​j​e​k​t​-​a​m​-​b​f​-​m​-​b​a​y​r​e​u​th/)