ODR rüstet sich gegen Angriffe von außen
Energieversorger lässt Informationsmanagement zertifizieren – Vorgabe des Gesetzgebers erfüllt
(fg) - Online-Angriffe auf Energieversorger haben in den letzten Jahren dramatisch zugenommen. Versorger und Netzbetreiber müssen deshalb ihre Informationen schützen und die Sicherheitsmaßnahmen nachweisen. Dies dient auch der Sicherheit der Daten der Kunden. Der Energieversorger EnBW ODR und der Netzbetreiber Netze NGO haben daher ihr Informationsmanagementsystem nach der Norm ISO 27001 zertifizieren lassen.
„Primäres Ziel ist es natürlich, unseren Versorgungsauftrag für Strom oder Gas auch bei zunehmenden Bedrohungen zu gewährleisten. Dies kommt dem Kunden zugute. Dieses wird auch vom Gesetzgeber gefordert“, weiß der Sicherheitsbeauftragte der EnBW ODR, Alexander Halbig.
Das Energiewirtschaftsgesetz schreibt den Versorgern vor, ein System zum Management der Informationssicherheit einzurichten und dieses System zertifizieren zu lassen. Geschieht dies nicht, könnte die Bundesnetzagentur als Aufsichtsbehörde Strafen verhängen. Im schlimmsten Fall könnte ein säumiger Energieversorger sogar die Betriebserlaubnis verlieren.
Ein System zum Management der Informationssicherheit umfasst einen Katalog von unterschiedlichen Kriterien. Darunter fallen unter anderem die sichere Datenspeicherung, der Schutz vor Schadsoftware oder Regeln zum Umgang der Mitarbeiter mit mobilen Geräten wie Smartphones oder Tablets. Aber: „Informationssicherheit ist mehr als IT-Sicherheit“, sagt Alexander Halbig, der Projektleiter und Sicherheitsbeauftragte bei der EnBW ODR. Es gehe auch darum, Risiken für das gesamte Geschäft des Netzbetreibers herauszufinden und zu bewerten, um Gegenmaßnahmen ergreifen zu können. Darunter fallen zum Beispiel die Zutrittskontrolle zum ODRGelände in Ellwangen oder auch die Kontrolle des Informationsflusses im Betrieb und mit der Außenwelt.
Simulierte Hackerangriffe tragen zur Sicherheit bei
Auch die Vergabe von Aufträgen an Dienstleister spielt eine Rolle. Wird zum Beispiel ein externes Unternehmen damit beauftragt, Softwareprogramme für die ODR zu entwickeln, dann muss die Vertrauenswürdigkeit dieses Dienstleisters geprüft werden. Zum Schutz gegen Angriffe von außen werden Attacken von Hackern simuliert, um schnell und richtig reagieren zu können.
Mit der Zertifizierung ist das Thema für die ODR aber nicht abgehakt. Da sich die Risiken ständig ändern, ist jedes Jahr eine Re-Zertifizierung notwendig. „Das gewährleistet, dass das Thema immer eine hohe Priorität hat“, sagt Alexander Halbig. Das ist notwendig, denn die intelligenten Stromnetze transportieren auch Informationen über ihren Zustand, über den Verbrauch oder über den Stromfluss. Und das macht sie für Geheimdienste als Angriffsziele interessant. „Eine Maßnahme, die daraus resultiert, ist zum Beispiel die Verschlüsselung des Datenverkehrs der intelligenten Stromnetze“, so der Sicherheitsbeauftragte der EnBW ODR.