skip to Main Content

Cybersecurity für Energieversorger: Diese Maßnahmen sind jetzt wichtig

Cybersecurity Für Energieversorger: Diese Maßnahmen Sind Jetzt Wichtig

Ein Hackerangriff oder eine Sicherheitslücke im System: Für viele Energieunternehmen ist dies ein Horrorszenario und auch als Verbraucher stellt man sich die Frage, wie sicher kritische Anlagen wirklich geschützt sind. Patrick Porsch hat uns heute im Interview verraten, wie man sich bei RheinEnergie AG vor solchen Vorfällen zu schützen versucht und welche Maßnahmen Sie jetzt ergreifen sollten.

Patrick Porsch ist der Informationssicherheitsbeauftragte der RheinEnergie AG. In dieser Funktion verantwortet er die Informationssicherheit unternehmensweit. Der Schwerpunkt liegt dabei auf den kritischen Infrastrukturen und der Office-IT. Zusätzlich ist er mit der Ausgestaltung des IT-Notfallmanagements beschäftigt, um die Fortführung der IT-Services bei Unterbrechungen des IT-Betriebs gewährleisten zu können.

Als Energieversorger hat die IT-Sicherheit einen sehr hohen Stellenwert. Wie sehr haben Sie in den letzten Jahren aufgerüstet, um ideal vorbereitet zu sein?

DatenschutzOberste Priorität hatte für uns die Einführung eines Informationssicherheits-Managementsystems (ISMS) und der damit verbundenen Prozesse. Anstatt ausschließlich die technische IT-Sicherheit zu verbessern, haben wir dem ISMS entsprechend unsere Risiken analysiert sowie Audits und Penetrationstests durchgeführt. Dabei haben wir vor allem organisatorische Verbesserungspotentiale festgestellt, beispielsweise bei der Berechtigungsvergabe oder der Pflege von Betriebshandbüchern. Aufgrund des kontinuierlichen Verbesserungsprozesses innerhalb des ISMS haben wir diese Verbesserungspotentiale bereits umgesetzt, werden aber weiterhin regelmäßig die Informationssicherheit überprüfen.

Standardisierte Prozesse sind unerlässlich

Haben Sie einen Notfallplan? Wie gehen Sie mit Vorfällen um?

Für den Umgang mit Informationssicherheitsvorfällen haben wir unternehmensweit einen einheitlichen Prozess definiert. Wenn Mitarbeiter einen Informationssicherheitsvorfall feststellen, können sie sich etwa an den IT-Service Desk oder nachts an die Querverbundleitstelle wenden. Dieses Vorgehen hat den Vorteil, dass sich die Mitarbeiter keine zusätzliche Telefonnummer merken müssen, da sie bei normalen Störungen ebenfalls den IT-Service Desk kontaktieren. Darüber hinaus haben sie mit der Querverbundleitstelle eine Anlaufstelle, die rund um die Uhr besetzt ist.

Wurde ein Sicherheitsvorfall gemeldet, verschafft sich der First-Level-Support einen ersten Überblick über die Situation und leitet den Fall dann an die jeweiligen Spezialisten weiter. Falls ein Vorfall größeren Schaden verursachen könnte, klassifizieren wir ihn als Notfall. Dann greifen vorbereitete Notfallpläne, die von der Notfallorganisation verwendet werden.

Austausch und Kommunikation sind die Basis

Analysieren Sie stetig, welche Cyberangriffe es schon gab, um sich vorzubereiten?

DatensucheWir stehen im engen Austausch mit den Behörden, IT-Sicherheitsexperten sowie anderen Energieversorgern. Zusätzlich erhalten wir als Kritische Infrastruktur auch Warnmeldungen vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Aus all diesen Punkten leiten wir entsprechende Maßnahmen ab.

Die vier kritischen Infrastrukturen für Energieversorger

Welche Auswirkungen hat das IT-Sicherheitsgesetz für Sie in der Praxis?

Nach der BSI-Kritis-Verordnung verfügen wir über vier kritische Infrastrukturen:

  • Das Strom- und Gasnetz
  • die Wasserversorgung
  • die Kraftwerke sowie
  • das virtuelle Kraftwerk, mit dem wir elektrische Leistung steuern und bündeln.

Infolgedessen ist das IT‑Sicherheitsgesetz für uns von großer Bedeutung. Es sorgt dafür, dass wir die Informationssicherheit in alle bereits etablierten Prozesse integrieren und damit ein wesentlicher Bestandteil unserer täglichen Arbeit wird. Ob ich nun ein neues Produkt einkaufe, einen neuen Mitarbeiter einstelle oder ein neues System aufsetze, immer sind dabei die ISMS-Vorgaben einzuhalten und Risiken abzuwägen. Der mit dem IT-Sicherheitsgesetz einhergehende kontinuierliche Verbesserungsprozess und das Bereitstellen entsprechender Ressourcen sind die Grundbausteine, um die Informationssicherheit erfolgreich in unsere täglichen Abläufe zu integrieren.

Informationssicherheits-Managementsysteme einführen

Welche Maßnahmen empfehlen Sie Energieversorgern als erste konkrete Schritte?

Bild: Mann mit Sonnenbrille in der sich Daten spiegeln.Aus meiner Sicht hat es oberste Priorität, den Vorstand frühzeitig einzubinden. Denn dieser trägt letztendlich die Verantwortung für die Informationssicherheit im Unternehmen und muss entsprechende Ressourcen zur Verfügung stellen. Ein ISMS lässt sich einfacher Top-Down als Bottom-Up implementieren. Ist die Ressourcenfrage geklärt, geht es darum, den Geltungsbereich zu bestimmen.

  • Welche Prozesse, Assets und Standorte sollen im ISMS betrachtet werden?
  • Was ist besonders kritisch für das eigene Unternehmen?

Zur Beantwortung dieser Fragen kann es sinnvoll sein, einen kompetenten Berater einzubinden, insbesondere dann, wenn im eigenen Unternehmen noch nicht ausreichend Expertise vorhanden ist. Ansonsten gibt die ISO-Norm 27001 vor, was bei einem ISMS zu berücksichtigen ist. Falls trotz aller Vorteile eines ISMS keine ausreichenden Ressourcen zur Verfügung stehen, empfehle ich, einen Penetrationstest durchzuführen. Dieser zeigt die technischen Schwachstellen und Einfallstore auf und sorgt für eine angemessene Sensibilisierung bei den eingebundenen Mitarbeitern und Führungskräften.

Behalten Sie die kritische Infrastruktur im Blick!

Erfahren Sie bei unserem Seminar Cybersecurity für Energie und Telekommunikation, wie kritische Infrastruktur nach der Kritis-Verordnung definiert wird und welche rechtlichen Anforderungen an Unternehmen aus diesem Bereich gestellt werden. Lassen Sie sich von unseren Experten der Vodafone GmbH, HiSolutions AG und RheinEnergie AG in die Haftungsfragen einweisen und bereiten Sie sich auf den Ernstfall eines Hackerangriffs vor.
Energiewirtschaft 2020: Digitale Energieunternehmen

Energiewirtschaft 2020: Digitale Energieunternehmen

Wie stellen Sie Ihr Energieunternehmen für die Digitalisierung auf? In unserem Whitepaper bekommen Sie einen Überblick über die wichtigsten Handlungsfelder.
Jetzt herunterladen!

Claudia Blum

Bei Management Circle bin ich für die Personal-, Produktions- und Soft Skills-Themen zuständig. Ich betreue außerdem den Blog zu den Iran-Veranstaltungen. In diesen Portalen informiere ich Sie stets über alle Trends und Entwicklungen. Ich freue mich auf Ihre Anregungen und einen guten Wissensaustausch.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Back To Top

Welche neuen Geschäftsmodelle bieten sich durch die Digitalisierung?

Informieren Sie sich jetzt, welche Strategien die größten wirtschaftlichen Chancen ermöglichen und wie Sie ihre Produkte und Prozesse verbessern können.

Jetzt herunterladen!