Österreich

Ent-Spannung im Energiesektor: mit ISO 27001


Informationssicherheit als Trend im Energiesektor – fünf heimische Stromanbieter
sind bereits nach dem Security-Standard zertifiziert.
(NL - Dez 2011)
 

Mit Hochspannung blicken die heimischen Stromversorger auf das Jahr 2012. Denn bis 03.03. des kommenden Jahres muss die EU-Unbundling-Richtlinie in nationales Recht umgesetzt werden. Das bedeutet eine Neuorganisation vieler Geschäftsbereiche, denn die EU-Richtlinie fordert eine strikte Trennung von Stromproduktion, -übertragung und -handel. Im Zuge dieser Neustrukturierung werden auch neue, eigenständige Rechenzentren gebaut, die hohe Anforderungen an IT- und Informationssicherheit stellen.
Drei Security-Säulen
Manuell bedienbare Leitstände gehören de facto der Vd03_APG_Power Grid Control raum_webergangenheit an, moderner Strom wird über Computergesteuerte Verteilzentren ausgeliefert. So stellt das Thema Informations- und IT-Sicherheit den Energiesektor vor echte Herausforderungen. Auf den Punkt gebracht: „Wenn bei einer IP-gestützten Verteilung ein Virus die Systeme blockiert, kann im Worst Case eine ganze Stadt im Dunkeln sitzen.“ Damit werden die drei Säulen der Informationssicherheit „Verfügbarkeit – Vertraulichkeit – Integrität“ zu zentralen Business Enablern.
Stromausfälle vermeiden
Bereits fünf österreichische Stromversorger sind nach dem internationalen Security-Standard ISO/IEC 27001 zertifiziert: Austrian Power Grid AG, Energie AG OÖ Data GmbH, Linz Strom GmbH, Elektrizitätswerk Wels AG / it & tel sowie die TIWAG – Tiroler Wasserkraft AG. Weitere Anbieter befinden sich in der Vorbereitungsphase zur Zertifizierung. Die Motive sind vielfältig: IP-gestützte Stromversorgung gewährleisten, Stromverträge im Sinne der legal Compliance gesetzeskonform gestalten oder streng vertrauliche Preis- und Markt-Informationen top secret halten. Mit dem Regelwerk der ISO 27001 können aber auch Zutrittskontrollen zu „tödlichen“ Hochspannungsbereichen sicher gestaltet oder die Gefahr von Stromausfall durch Naturkatastrophen minimiert werden.
IT-Services anbieten d03_it&tel_housing_web
Dazu kommt, dass viele Rechenzentren im Energiesektor vermehrt externe Kunden ansprechen und IT-Services nachhaltig absichern und dadurch hochwertig vermarkten wollen. So erstreckt sich zum Beispiel der Leistungsumfang der it & tel von Standortvernetzungen über Internet, Email-Dienste, Security, Telefonkonzepte und Serverhousing bis hin zur Gestaltung von Homepages. Seit Ende 2009 ist die it & tel nach ISO 27001 zertifiziert: „Für uns stellt diese Zertifizierung ein aussagekräftiges Qualitätskriterium dar. Bisher gibt es nur wenige IT-Dienstleister, die das bieten können“, betont Bernhard Peham, Geschäftsführer it & tel.
Ent-spannt: mit ISO 27001
Ähnlich argumentiert TIWAG-Vorstandsdirektor Alfred Fraidl: „Wir senden ein starkes Signal an unsere Kunden, Partner und Mitarbeiter aus, indem wir mit ISO 27001 höchste Maßstäbe an die Informationssicherheit anlegen.“ Unterschiedlichste branchenspezifische Risiken und Gefahrenpotenziale können deshalb mit ISO 27001 adressiert werden, weil der Standard eine individuelle Risikoanalyse als Basis für den Aufbau eines maßgeschneiderten Informationssicherheits-Managementsystems vorsieht. „Aufgrund seines Risikoansatzes ist der Security-Standard branchen- und technologieunabhängig anwendbar“, erklärt CIS-Geschäftsführer Erich Scheiber. „Im Vordergrund steht das Ziel, relevante Risiken mit wirtschaftlich rentablen Sicherheitsmaßnahmen zu minimieren.“ Sprich: Wie redundant muss ein System sein, um möglichst gut abzusichern ohne das die Kosten explodieren.
No Risk, no Pain
Ein Risiko im Energiesektor wäre etwa Lieferunfähigkeit. Österreich kann aufgrund seiner Speicherkraftwerke Spitzenstrom ins Ausland verkaufen. Bei der Einhaltung solcher Verträge geht es um enorme Geldsummen. Im Rahmen einer Risikoanalyse nach ISO 27001 wird die interne Vertragsprüfung daher nach den Anforderungen der Norm systematisch durchgeführt und so Fehler vermieden. Mit frei wählbaren Auswertungsmethoden werden zentrale Fragen bearbeitet wie: „Sind wir technologisch in der Lage, alle Verträge zu erfüllen?“, „Welche Risiken können eine Vertragserfüllung verhindern und mit welchen Folgen?“. Schließlich gewährleistet der Prozessansatz mit seiner kontinuierlichen Verbesserung, dass das Sicherheitssystem ständig an geänderte Bedingungen angepasst und optimiert wird.
Synergien bis zu 30%
Bei einigen Stromanbietern wird die Informationssicherheit in bestehende Managementsysteme wie ISO 9001 zur Qualitätssicherung oder ISO 18000 zur Arbeitsplatzsicherheit integriert. Erich Scheiber: „Aufgrund ähnlicher Norm-Strukturen können gemeinsame Reviews und Kombi-Audits durchgeführt werden. Auch die Dokumentation erfolgt einheitlich. Insgesamt spart man dadurch bis zu 30 Prozent Zeitaufwand im Vergleich zu Einzelsystemen.“

_____________


ISO 27001: ganzheitliche Informationssicherheit
Der internationale Standard für Informationssicherheit ISO 27001 umfasst neben IT-sicherheitstechnischen Fragen auch die Security-Organisation. Dazu gehören Mitarbeiter-Awareness oder physische Sicherheit wie Gebäudeschutz. Die erforderlichen Sicherheitsmaßnahmen werden mittels Risikoanalyse eruiert. Eine gezielte Maßnahmen-Umsetzung führt über Policies, Daten-Klassifizierung und Wirksamkeitskontrollen nach dem Prozessverbesserungsansatz Plan-Do-Check-Act. Damit bietet ISO 27001 ein Framework für den Aufbau eines standardisierten Managementsystems zum Schutz von analogen und digitalen Informationen. Gemäß dem gesetzlich geforderten Sorgfaltsgrundsatz reduziert eine ISO-27001-Zertifizierung auch das Haftungsrisiko. Die staatlich akkreditierte Zertifizierungsorganisation in Österreich ist die CIS.


 

CIS - Certification & Information
Security Services GmbH
Salztorgasse 2/6/14
A-1010 Wien
Tel: +43 (0)1 532 98 90
Email: office@cis-cert.com
Web: www.cis-cert.com

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB