Österreich
Secure Your Business
 

TIWAG: Datenschutz ist wichtiges Kriterium
bei Stromanbietern


Tiroler Wasserkraft AG erreichte ISO-27001-Zertifizierung –
Synergien mit Cobit und bei Wirtschaftsprüfungen
(NL - Dez 2011)
 

Die TIWAG – Tiroler Wasserkraft AG erreichte die Zertifizierung nach dem internationalen Standard für Informationssicherheit ISO/IEC 27001. Damit gehört die TIWAG zu den fünf 27001-Vorreitern im österreichischen Energiesektor (Austria Power Grid, Linz Strom, E-Werk Wels / it & tel, Energie AG OÖ). Grund dafür sind unter anderem die gestiegen Anforderungen im Datenschd04_kw_imst_webutz sowie die Vorbereitungen auf die Umsetzung der EU-Unbundling-Richtlinie in nationales Recht bis 03.03.2012.
Sensible Strom-Messwerte
Im Wettbewerb um große Industriekunden zählen nicht mehr nur Preis und Versorgungssicherheit zu den schlagenden Auswahlkriterien bei Ausschreibungen, sondern zunehmend auch die Datensicherheit. Neben Kundenstamm- und Detaildaten wie Bankverbindungen sind auch die sensiblen Strommesswerte schützenswert. „Der Stromverbrauch von Großkunden lässt indirekte Rückschlüsse auf die Auftragslage und Auslastung zu. Daher sind Strommesswerte als streng vertrauliche Daten einzustufen“, betont Harald Oleschko, IT-Security-Manager der TIWAG Tiroler Wasserkraft AG.
Datensicherheit mit System
Ausgehend von dem Grundgedanken der Risikominimierung in der Stromverteilung sud04_Fraidl_tiwag_Interview_mit randchte die TIWAG nach einer praxistauglichen Norm für die IT- und Datensicherheit. Zwei Zielvorgaben sollten erfüllt werden, wie TIWAG-Vorstand Alfred Fraidl erklärt: „Höchste Maßstäbe in IT-Sicherheit und Datenschutz mit deutlicher Außenwirkung an Kunden und Partner.“ Vor diesem Hintergrund hat die TIWAG schon vor einem Jahr Kurs in Richtung ISO 27001 genommen und ein standardisiertes Informationssicherheits-Managementsystem eingeführt. Denn ISO 27001 ist weltweit der einzige Standard für IT- und Informationssicherheit, dessen erfolgreiche Umsetzung mittels staatlich anerkanntem Zertifikat nachweisbar ist.
Synergien mit Cobit
Das Unternehmen arbeitet bereits seit vielen Jahren prozessorientiert, so dass der Prozessansatz der ISO-Norm kein Neuland war. Im Bereich IT-Governance kommt seit dem Jahr 2007 das Framework Cobit zum Einsatz, wodurch sich inhaltlich deutliche Synergien bei der Umsetzung der ISO 27001 ergaben. Einige IT-sicherheitsbezogene Prozesse waren bereits nach Cobit realisiert. „Wir haben uns zusätzlich für die Einführung der ISO 27001 entschieden, weil Cobit für unsere Anforderungen an die Informationssicherheit zu flexibel und von der Beurteilung her zu dehnbar erschien. Wir wollten einen Standard, der sich direkt auf die IT- und Datensicherheit sowie die Verfügbarkeit fokussiert“, erklärt Sebastian Michaelis, CIO der TIWAG - Tiroler Wasserkraft AG.
Scoping: nicht nur die IT
In das Scoping des zu zertifizierenden Bereichs wurden nicht nur die zwei Rechenzentren am Standort Innsbruck, sondern auch die rund 600 Mitarbeiter der Verwaltungszentrale mit einbezogen. Zum einen deshalb, weil die Mitarbeiter mit den sensiblen Kundendaten tagtäglich arbeiten. Zum anderen, weil auch Abteilungen der Hauptverwaltung wie Sicherheit und Umweltschutz, Personalmanagement oder Gebäudemanagement wesentlich in die Umsetzung von Informationssicherheitsmaßnahmen einbezogen werden. Stichwort: Mitarbeiter-Awareness oder Zutrittskontrollen. So wurden mit dem Fokus der ISO 27001 auf Sicherheit und Verfügbarkeit von Informationen wichtige Kontrollziele wie die sichere IT-Betriebsführung mit Back-Up- und Recovery-Konzepten, Business Continuity und Notfallmanagement umgesetzt.
Vorteil bei Wirtschaftsprüfungen
Einen zusätzlichen Benefit verzeichnet die TIWAG, indem das ISO-27001-Zertifikat Aufwand bei Wirtschaftsprüfungen erspart. Harald Oleschko: „Mit ISO 27001 decken wir automatisch wichtige Inhalte der jährlichen Wirtschaftsprüfung ab. Statt aufwendiger Einzelnachweise genügt für den IT-Teil der Prüfung die Vorlage unseres Zertifikats. So ersparen wir uns zusätzlichen Arbeitsaufwand bei der Prüfung.“ 
 

 

CIS - Certification & Information
Security Services GmbH
Salztorgasse 2/6/14
A-1010 Wien
Tel: +43 (0)1 532 98 90
Email: office@cis-cert.com
Web: www.cis-cert.com

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB