Zertifizierte IT-Sicherheit mit System

Einführung eines Informationssicherheits-Management-Systems (ISMS) zum Nachweis des sicheren Netzbetriebs bei der Stadtwerke Achim AG.

Unser modernes Leben ist abhängig von der Versorgung mit Strom und Gas. Diese wird in hohem Maße durch den Einsatz von Informations- und Kommunikationstechnologie sichergestellt. Dadurch steigt gleichzeitig die Abhängigkeit vom Funktionieren dieser Technologie, was wiederum deren   Schutz gegen Bedrohungen erfordert. Das Energiewirtschaftsgesetz (EnWG) schreibt hierzu allen Betreibern von Strom- und Gasnetzen vor, die Sicherheit des Betriebs durch Einhaltung einschlägiger Sicherheitsanforderungen zu gewährleisten. Die Anforderungen sind im sogenannten IT-Sicherheitskatalog definiert. Das Befolgen dieser Sicherheitsanforderungen ist verpflichtend und durch Vorlage eines Zertifikats bis zum 31.01.2018 zu belegen.

Frühzeitiger Projekteinstieg

IT-Sicherheit ist Chefsache! Im Fall der Stadtwerke Achim AG sind es Aufgabe und Verantwortung des Vorstands, sich – zusammen mit dem zuständigen Bereichsleiter – dieser Aufgabe anzunehmen. Schließlich haften Vorstand bzw. die Geschäftsführung für die Folgen, welche sich aus einem nicht gesetzeskonformen Betrieb ergeben. Daher sah sich Sven Feht, Vorstandssprecher der Stadtwerke Achim AG, bereits Mitte 2015 nach einem kompetenten Beratungspartner für diese komplexe Anforderung um. Denn es war klar, dass der tägliche Betrieb mit seinen immer wieder neuen   Aufgaben keine kurzfristige Umsetzung des IT-Sicherheitskataloges allein durch eigene Mitarbeiter ermöglicht. Aufgrund der nachgewiesenen Expertise und der jahrelangen Kooperation fiel die Wahl des Partners auf die Schleupen AG. Bereits im September 2015 konnten in einem Kick-Off die Meilensteine für die Umsetzung festgelegt werden, um termingerecht die Erlangung des Zertifikats sicherzustellen.

Komplexe Anforderungen

Zunächst galt es, die genauen Anforderungen des EnWG sowie des IT-Sicherheitskataloges zu erkennen sowie die Relevanz für die Stadtwerke Achim AG zu klaren. Der erste Schritt dazu ist es, den sogenannten „Scope“ zu definieren. Dieser stellt im Sinne der anzuwendenden Normenreihe ISO/IEC 27001 die Grenze dar, innerhalb derer sich alle zu betrachtenden „Assets“ befinden. Für diesen Scope war ein „Informationssicherheits-Managementsystem“ (ISMS) aufzubauen. Hier zeigten sich schnell die Tucken und Feinheiten der Normen, denn diese geben keineswegs klare Handlungsanweisungen, sondern lassen einen Deutungsspielraum. Hier konnte die Schleupen AG mit bereits ausgearbeiteten Vorlagen für Dokumente und erprobten Methoden das Vorgehen deutlich beschleunigen und effizienter gestalten.

Begleitete Projektdurchführung

Nachdem im Kick-Off des Projektes die Aufgaben definiert und die Verantwortlichkeiten geklärt waren, konnte Uwe Ellermann, Bereichsleiter Technischer Netzservice und Informationssicherheitsbeauftragter der Stadtwerke Achim AG, mit dem Aufbau des ISMS starten. Dank der Musterdokumente und begleitenden Hinweise nahmen die ohnehin vorhandenen Sicherheitsmaßnahmen schnell die Form an, welche vom EnWG beziehungsweise der Norm verlangt wird. Das Wissen über die eigenen Systeme und die Erfahrungen aus dem täglichen Betrieb wurden so zu Netzstrukturplan, Assetliste und Prozessbeschreibungen. Ein Kernelement des ISMS, das Risikomanagement, konnte basierend auf einem vorgeschlagenen Ansatz in kurzer Zeit realisiert werden. Die eigentliche Bewertung und Behandlung der erkannten Risiken führte Bereichsleiter Uwe Ellermann selbst durch.

Effizient zum Erfolg

Durch die Kombination aus Beratungsleistungen der Schleupen AG sowie der intensiven Projektarbeit auf Kundenseite entstand in vergleichsweise kurzer Zeit ein vollständiges, normgerechtes ISMS. Durch den frühzeitigen Einstieg blieben genug zeitliche Ressourcen, um auch noch die eine oder andere technische Losung anzupassen oder neu einzuführen. So konnte etwa die Schließanlage im Gebäude vereinheitlicht werden, um bei gleichem Komfort einen weiteren Sicherheitsgewinn beim Schutz der Leitwarte zu erreichen. Durch eine neue Firewall konnte eine noch stärkere Trennung des Leitwarten-Systems vom Rest des Netzwerkes erreicht werden.

Im November 2017 war es dann soweit: Die Auditoren zur Überprüfung des ISMS waren bei der Stadtwerke Achim AG. Parallel zur gründlichen Überprüfung der vorgeschriebenen Leit- und Richtlinien, Dokumentationen und des „SOA“ (Statement of Applicability) fand auch eine ausgiebige Begehung der Raume statt. Leitwarte, Serverraume und auch einige technische Gebäude des Strom- und Gasnetzes wurden einer Prüfung unterzogen. Als Ergebnis des mehrtägigen Audits gab es vom Auditor schließlich eine positive Ruckmeldung, ebenso wie von der Prüfungsgesellschaft.

 

Über die Stadtwerke Achim AG

Die Stadtwerke Achim AG ist ein moderner kommunaler Energieversorger, der seine Kunden in Achim, Oyten, Ottersberg und Langwedel mit Strom, Gas und Warme beliefert – sicher und zuverlässig. Gegründet 1910 mit dem Ziel, eine verlässliche Gasversorgung in Achim sicherzustellen, sind die Stadtwerke heute ein Unternehmen, das seine Kunden genau mit dem beliefert, worauf es ankommt: Energie zu einem optimalen Preis-Leistungs-Verhältnis. Dafür betreibt die Stadtwerke Achim AG ein 690 Kilometer langes Stromnetz, weitere 600 Kilometer lange Gasleitungen und ein Wärmenetz rund um ein eigenes Blockheizkraftwerk. Zusätzlich besitzen und betreiben die Stadtwerke Achim das Straßenbeleuchtungsnetz in Achim, bestehend aus rund 4.400 Leuchten. Über alle Produkte, Dienstleistungen und Services hinweg tun die rund 85 Mitarbeiter alles für zufriedene Kunden und eine sichere Energieversorgung – heute und morgen.