In der Energiewirtschaft können und sollen die Betreiber kritischer Infrastrukturen auf bereits bestehende Sicherheitsmechanismen aufsetzen (Bild: Pixabay)
Zu den Maßnahmen zählen die regelmäßige Überprüfung und der Nachweis der IT-Sicherheit, die Einrichtung einer Kontaktstelle für das BSI zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung sowie die Einführung eines Informations-Managementsystems (ISMS). Für die Energiewirtschaft gelten ergänzend Regelungen im Energiewirtschaftsgesetz (EnWG). Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) lässt den Betreibern bewusst viel Spielraum, wie die Umsetzung des geforderten »Stands der Technik« realisiert und eine Prüfung vorgenommen werden kann. Dabei können und sollen die Betreiber kritischer Infrastrukturen auf bereits bestehende Sicherheitsmechanismen aufsetzen. Wer allerdings eine auf BSI-IT-Grundschutz basierende oder native ISO-27001-Zertifizierung vorlegen und gleichzeitig auch nachweisen kann, dass sowohl der Regelungsbereich als auch Maßnahmen geeignet sind, um die kritischen Dienstleistungen ausreichend zu schützen, der hat die Voraussetzungen zur Erfüllung der Anforderungen gemäß BSIG geschaffen.
Einstieg in ein Sicherheitsmanagement
Die im Oktober 2017 veröffentlichten neuen BSI-Standards 200-1 bis 200-3 machen einen abgestuften Einstieg in ein Sicherheitsmanagement möglich und bieten Hilfestellung bei der Einführung und Aufrechterhaltung eines ISMS. Die Standards der 200er-Reihe lösen dabei die alten Standards 100-1 bis 100-3 ab. Während der BSI-Standard 200-1 allgemeine Anforderungen an ein ISMS definiert, hat der BSI-Standard 200-2 die IT-Grundschutz-Methodik zum Thema. Die Risikoanalyse auf der Basis von IT-Grundschutz wird durch den BSI-Standard 200-3 abgedeckt. Ergänzt werden diese drei Standards durch IT-Grundschutz-Bausteine, die im IT-Grundschutz-Kompendium zusammengefasst sind.
Abhängig davon, welche Ansätze zur Informationssicherheit bereits innerhalb des Unternehmens verfolgt werden, kann es zweckmäßig sein, zunächst von einer »vollständigen« IT-Grundschutz-Vorgehensweise (Standard-Absicherung) abzusehen. Beispielsweise kann sich ein Unternehmen zum Ziel setzen, zunächst möglichst flächendeckend alle Basis-Anforderungen umzusetzen (Basis-Absicherung), um schnellstmöglich die größten Risiken zu senken, bevor die tatschlichen Sicherheitsanforderungen im Detail analysiert werden. Ein weiterer möglicher Ansatz besteht darin, sich zunächst auf den Schutz der wesentlichen Werte des Unternehmens zu konzentrieren (Kern-Absicherung).
Der BSI-Standard 200-3 beschreibt, wie für bestimmte Zielobjekte festgestellt werden kann, ob und in welcher Hinsicht über den IT-Grundschutz hinaus Handlungsbedarf besteht, um Informationssicherheitsrisiken zu reduzieren. Dabei kann die im IT-Grundschutz-Kompendium enthaltene Liste von elementaren Gefährdungen als Hilfsmittel verwendet werden.
Sicherheitsprozess ins Leben rufen
Die Leitung des Unternehmens muss den Sicherheitsprozess anstoßen, steuern und kontrollieren. Hierfür sind sowohl strategische Leitaussagen zur Informationssicherheit als auch organisatorische Rahmenbedingungen erforderlich:
- Übernahme der Verantwortung durch die Unternehmensleitung,
- Bereitstellung von finanziellen und personellen Ressourcen,
- Konzeption und Planung des Sicherheitsprozesses sowie
- Festlegung für eine Vorgehensweise.
- Leitlinie für Informationssicherheit
Die Leitlinie zur Informationssicherheit beschreibt, welche Sicherheitsziele und welches Sicherheitsniveau das jeweilige Unternehmen anstrebt, was die Motivation hierfür ist und mit welchen Maßnahmen und mit welchen Strukturen dies erreicht werden soll. Jeder Mitarbeiter des Unternehmens sollte die Inhalte der Sicherheitsleitlinie kennen und nachvollziehen können.
Organisation des Sicherheitsprozesses
Für das Informationssicherheitsmanagement muss eine für Größe und Art der Institution geeignete Organisationsstruktur aufgebaut werden.