Conergos-ISMS-Template für die Thüga-Gruppe

Der IT-Sicherheitskatalog verpflichtet Strom- und Gasnetzbetreiber zur Umsetzung von Mindeststandards der IT-Sicherheit im Netzbetrieb. Kann man das alleine schaffen? Muss man nicht: Conergos ist Dienstleister.

Ihr Ansprechpartner:

Robert Hanschmann

Bereichsleiter Anwendungsbetreuung Conergos

robert.hanschmann@conergos.de

Tel: 089 / 381 97 – 5110

Kernforderung ist die Etablierung eines Informationssicherheits-Management­systems (ISMS) gemäß DIN ISO/IEC 27001 sowie dessen Zertifizierung bis zum 31. Januar 2018. Thüga hat im vergangenen Jahr gemeinsam mit vier Projekt-Partnern (Conergos, Stadtwerke Pirmasens, Thüga Energienetze und WEMAG) ein Template entwickelt, „das die Einführung und die Zertifizierung gemäß den Anforderungen des IT-Sicherheitskatalogs erleichtern soll“. Das hatte Robert Dietrich, Leiter des ISMS-Projekts, vor einem Jahr erklärt. Die gute Nachricht ist: Das Projekt ist abgeschlossen, das Template steht den Thüga-Partnerunternehmen zur Verfügung. „Aktuell arbeiten elf Beteiligungen damit“, freut sich Dietrich, „wir hoffen natürlich, dass weitere Kunden dazukommen, die sich dann auch bestmöglich austauschen und ergänzen können.“

ISMS-Template: äußerst zufrieden

Er ist mit dem Endprodukt, dem ISMS-Template, äußerst zufrieden: „Die Unternehmen werden bei der Implementierung Schritt für Schritt an die Hand genommen, erhalten alle notwendigen Dokumente, Richtlinien, Prozessdarstellungen und eine spezielle Software zur Verwaltung des ISMS.“ Bereits während der Entwicklung des Templates schaute der TÜV Nord dem Projekt-Team über die Schulter. Dietrich: „Die Experten waren begeistert über die umfängliche Ausprägung.“ Einen Wermutstropfen gibt es allerdings: „Bislang kann das ISMS noch nicht zertifiziert werden, weil es das entsprechende Zertifikat noch nicht gibt, die Deutsche Akkreditierungsstelle arbeitet noch dran. Der Thüga-Experte: „Die Zeit drängt, denn die Unternehmen müssen ja laut Bundesnetzagentur bis zum 31.1.2018 zertifiziert sein.“ Sich sputen sollten auch die Unternehmen, die sich bislang kaum mit der Umsetzung des ISMS beschäftigt haben. Dietrich: „Die BNetzA hat offiziell keine Übergangsfrist vorgesehen.“ Zudem binde die Einführung des ISMS Zeit und Man­power. Dietrich: „Alle Mitarbeiter müssen eingewiesen und geschult werden.“ Doch trotz des zeitlichen und finanziellen Aufwands sei der Mehrwert vor allem aus Sicherheitsaspekten gewaltig: Man könne nur dann ein Unternehmen schützen, wenn man es kenne. Das Managementsystem zwinge die Verantwortlichen gerade dazu, alle sicherheitsrelevanten Systeme aufzulisten und deren Gefährdung einzuschätzen. Dietrich: „Langfristig gesehen können sogar die Kosten sinken, weil die Prozesse effizienter werden. Nach einer Zertifizierung steht das Unternehmen auf der sicheren Seite.“ Das von Thüga und ihren Projektpartnern entwickelte ISMS-Template wird von der THEN und Conergos als Dienstleister angeboten. Dietrich: „THEN offeriert das Template als Bundle für kleine regionale, betrieblich geführte Unternehmen, Conergos für die Thüga-Partner.“

Conergos: Ansprechpartner Nr. 1

Conergos ist also der erste Ansprechpartner, wenn eine Beteiligung mit dem ISMS-Template arbeiten will. Die IT-Experten aus München haben bei der Implementierung immer wieder erlebt, dass Unternehmen die Einführung des ISMS anders ein- oder unterschätzen. Robert Hanschmann, Bereichsleiter Anwendung bei Conergos: „Bei Gesprächen mit Kunden haben sich einige Annahmen herauskristallisiert, die ich hier gerne klarstellen will:“

Annahme 1: Ein Netzbetreiber verfügt nur über eine geringe Anzahl an Zählern oder die Netzleitstelle ist nicht mit dem Internet verbunden. Daher ist eine Einführung eines ISMS bzw. eine Zertifizierung nicht erforderlich.

„IT-Sicherheit fängt nicht erst am Internet-Anschluss an. Im Unternehmen muss das Bewusstsein für IT-Sicherheit bei allen Mitarbeitern geschaffen werden – Stichworte sind Clean-Desktop, Passwort-Policy oder Zugangsschutz. Im Prinzip ist schon ein einziger Zähler, ein PC, ein Mitarbeiter, ein IT-Risiko.“

Annahme 2: Die Einführung eines ISMS ist ein Informationssicherheits-Risiko-Projekt, daher kümmert sich nur die IT darum.

„Welche Organisationseinheit im Unternehmen das Einführungsprojekt für ein ISMS leitet, ist grundsätzlich egal. Denn ein ISMS ist ein Managementsystem und kein IT-System! Es geht hier um die Einführung von Prozessen, um den Netzbetrieb vor unerwünschten Zugriffen Dritter zu sichern.“

Annahme 3: Ein ISMS-Einführungsprojekt läuft nebenher.

„Für die Einführung eines ISMS müssen Unternehmen rund eineinhalb bis zwei Personenjahre kalkulieren. Für den dauerhaften Betrieb eines ISMS sind grob geschätzt ein bis eineinhalb Vollzeitkräfte in den nächsten Jahren erforderlich. Das ist kein Job, der sich nebenher machen lässt!“

Annahme 4: Die Einführung eines ISMS dauert lange. Das schaffen wir nicht!

„Eine Einführung eines ISMS ist in drei Monaten möglich, wenn das Bewusstsein für die Informationssicherheit aktiv in das Unternehmen getragen wird, die entsprechenden organisatorischen und technischen Maßnahmen getroffen werden und die richtige Beratung zur Seite steht.“ Der Conergos-Experte: „Unternehmen tun gut daran, sich genau zu informieren. Wenn Sie in einer praxisorientierten, breit aufgestellten Anwendergemeinschaft ein ISMS mit viel Erfahrung und Kompetenz einführen wollen: Wir unterstützen Sie gerne!“