PKF FASSELT CONSULTING
Öffentliche Verwaltung

ISMS gemäß ISO 27001

Zertifizierung eines ISMS gemäß ISO 27001 für Energienetzbetreiber - unternehmensweite Kraftanstrengung oder Last-Minute-Projekt?

Neu sind die grundlegenden Regelungen nicht - aber der verbindliche Termin zur Umsetzung der Anforderungen rückt unaufhaltsam näher: am 25.07.2015 ist das IT-Sicherheitsgesetz (IT-SiG) in Kraft getreten, am 12.08.2015 wurde der IT-Sicherheitskatalog der Bundes­netz­agentur veröffentlicht. Zusammen definieren beide Regelungen die behördlichen und gesetzlichen Anforderungen an Energie­netz­betreiber im Bereich Informations­sicherheit.

Eine zentrale Erkenntnis daraus ist sicherlich, dass die Betreiber von Energienetzen - unabhängig davon, ob sie zu dem Bereich der kritischen Infrastruktur (KRITIS) zählen - den Vorgaben des §11 EnWG unterliegen. Über die dort enthaltene Verpflichtung, den IT-Sicherheitskatalog der Bundesnetzagentur einzuhalten und dies zu dokumentieren, ergibt sich für Energienetzbetreiber die Vorgabe, spätestens bis zum 31.01.2018 ein Informations­sicherheits-Management­system (ISMS) nach DIN ISO/IEC 27001 aufzubauen und zertifizieren zu lassen.

Vorgehensweise zur Einführung eines ISMS

Die Zeitspanne zwischen dem Inkrafttreten der Regelungen und dem Umsetzungstermin scheint auf den ersten Blick ausreichend, wenn nicht sogar großzügig bemessen - aber was genau bedeutet eigentlich die Einführung und Zertifizierung eines ISMS?

Zunächst einmal konzentriert sich die anzuwendende Norm (ISO 27001) nicht nur auf die IT, sondern auch auf andere wichtige Informationswerte (Assets) und auf alle Prozesse eines Unternehmens. Grundsätzlich sind demnach zahlreiche Bereiche des Unternehmens betroffen, es geht nicht um ein gekapseltes IT-Projekt.

Der erste Schritt ist - wie so oft - die Ist-Aufnahme. Wichtigster Punkt in diesem Schritt ist die Bestandsaufnahme der Netzinfrastruktur.

Es folgt die Definition des Anwendungsbereichs, in dem unter anderem die relevanten Assets identifiziert und die Anforderungen an ein ISMS definiert werden. Daraus folgt der Geltungsbereich des zu implementierenden ISMS - und damit auch die Festlegung, welche Unternehmensbereiche von den folgenden Schritten betroffen sind.

Die Definition der Sicherheitsziele und der Sicherheitspolitik liefern den Rahmen für alle weiteren Überlegungen. Neben der Betrachtung von Verantwortlichkeiten und Organisationsstrukturen geht es hier auch um die Definition von Messmethoden und Kommunikationsstrukturen.

In der folgenden Risikoidentifizierung ist neben der Analyse von Risiken im Geltungsbereich des ISMS auch die Festlegung eines übergreifenden Risikomanagement­prozesses notwendig. Dieser Schritt beinhaltet in der Regel auch eine Delta-Analyse im Vergleich zu einem gegebenenfalls bereits bestehenden ISMS.

Aus der Analyse der Risiken sind entsprechende Maßnahmen abzuleiten, mit denen die Risiken gemäß den Sicherheitszielen und der Sicherheitspolitik zu behandeln sind. Die definierten Maßnahmen können in einem großen Komplexitäts- und Aufwands-Bereich liegen, es ist also eine entsprechende Priorisierung und Umsetzungsplanung vorzunehmen.

Schließlich müssen die definierten Maßnahmen umgesetzt werden - inkl. der notwendigen Dokumentationen und Schulungen.

Den Abschluss des gesamten Vorgehens bildet die Zertifizierung des ISMS - und damit die Erfüllung der eingangs beschriebenen Anforderungen.

Worauf kommt es jetzt an?

Die meisten Energienetzbetreiber werden im beschriebenen Vorgehen zu Implementierung und Zertifizierung eines ISMS schon mehr oder weniger weit vorangeschritten sein. Jetzt kommt es darauf an, die Zielgerade mit Blick auf die Zertifizierung bis zum 31.01.2018 zu meistern.

Einige Punkte sind dabei zu beachten, die am Ende eine erfolgreiche und zeitgerechte Zertifizierung noch verhindern können:

  • Die Dokumentation der Prozesse und Maßnahmen im Rahmen des ISMS muss vollständig und zielgruppengerecht erstellt sein. Es empfiehlt sich hier ein Rollen-basierter Ansatz mit einer geeigneten System-Unterstützung. Dadurch erhält jeder Mitarbeiter genau die notwendigen Unterlagen und Informationen, ohne dass er sich einem Über-Angebot gegenübersieht.
  • Die Mitarbeiter in den Prozessen des Geltungsbereichs des ISMS müssen entsprechend der festgelegten Prozesse und Maßnahmen geschult werden. Eine frühzeitige Einplanung der Schulungen hilft, zeitliche Engpässe am Ende des Projekts zu vermeiden - zu frühe Schulungen jedoch bergen die Gefahr, dass das notwendige neue Wissen zum Zeitpunkt der Implementierung und Zertifizierung bereits wieder verloren ist.
  • Neben der Realisierung und Sicherstellung einzelner inhaltlicher Projektaktivitäten ist eine grundsätzliche Überprüfung der noch notwendigen Schritte bis zur Zertifizierung geboten. Hier kann ein Review durch einen bisher unbeteiligten Dritten helfen, noch unberücksichtigte Punkte in der Planung aufzudecken und rechtzeitig anzugehen. Auch der Probelauf eines Audits vor der eigentlichen Zertifizierung kann Überraschungen vermeiden helfen.
  • Und nicht zuletzt die Auswahl der Zertifizierers und die Terminabstimmung sollte frühzeitig angegangen werden. Dies ermöglicht einerseits Abstimmungen im Vorfeld über den geplanten Ablauf der Zertifizierung, andererseits ist bei der abzusehenden Anzahl der anstehenden Zertifizierungen zum Stichtag von einer Knappheit an möglichen Terminen auszugehen.


Was kommt nach der Zertifizierung?

Auch wenn der Fokus im Augenblick auf dem erfolgreichen Abschluss der Zertifizierung liegt lohnt es sich doch, einen Blick auf die Zeit danach zu werfen. Und mit der Planung entsprechender Maßnahmen den Grundstein für die Weiterentwicklung des implementierten ISMS zu legen.

Der Grundgedanke ist dabei, dass Informationssicherheit ein kontinuierlicher Prozess und kein einzelnes Projekt ist. Das heißt man kann das Thema nicht mit der Zertifizierung abhaken und dann zur Tagesordnung übergehen, sondern man muss die Prozesse und Leitlinien dauerhaft im Unternehmen verankern, leben und an Veränderungen anpassen.

Damit die Informationssicherheit nicht in einem unüberblickbaren Aufwand endet, sollten zumindest die folgenden Aktionsfelder für die Zeit nach der ersten Zertifizierung im Auge behalten werden:

  • Das ISMS sollte nicht als isolierter Block innerhalb des Unternehmens gesehen und betrieben werden. Wenn dieser Schritt nicht schon im Rahmen der Einführung angegangen wurde, so ist die Verzahnung mit anderen im Unternehmen vorhandenen Management-Systemen nach der Zertifizierung anzugehen, um Synergien aus einer gemeinsamen Betrachtung zu heben.
  • Die mit dem ISMS eingeführten Prozesse sind erfahrungsgemäß noch nicht ausgereift und erfordern anfangs einen verhältnismäßig hohen Aufwand bei der Durchführung. Hier ist mit hoher Priorität ein kontinuierlicher Verbesserungsprozess zu etablieren, der die Effizienz der Abwicklung erhöht. Parallel dazu sollte der Einsatz geeigneter (Software-)Werkzeuge vorangetrieben werden, die die Sicherheit erhöhen und den Aufwand bedeutend verringern (z. B. durch die Automatisierung von Reporting-Aufgaben).
  • Parallel zur Etablierung und Effizienzsteigerung der Prozesse ist eine dauerhafte Überprüfung der Risikoanalyse vorzusehen. Nur ein regelmäßiger Review kann sicherstellen, dass Maßnahmen für nicht mehr existente Risiken entfallen - und neu auftretende Risiken identifiziert werden.
  • Abschließend darf nicht vergessen werden, dass auch die Zertifizierung in regelmäßigen Abständen wiederholt werden muss. Und auch die anstehenden Rezertifizierungen sind angemessen zu planen und vorzubereiten.

 

Ansprechpartner