Complimant

Fit für den IT-Sicherheitskatalog der Bundesnetzagentur

Mit Hilfe der complimant AG haben die Stadtwerke Nettetal ein Informationssicherheits-Managementsystem eingeführt

Über 40.000 Einwohner versorgen die Stadtwerke Nettetal mit Strom, Gas und Trinkwasser. Wie alle Strom- und Gasnetzbetreiber stand der Versorger in der Stadt am Niederrhein vor der Aufgabe, bis Januar 2018 ein vollständiges Informationssicherheits-Managementsystem (ISMS) einzuführen. „Diese Pflicht hatte die Bundesnetzagentur auch allen kleinen und mittleren Unternehmen unserer Branche auferlegt“, sagt Rechtsanwalt Peter Klocke, Bereichsleiter Netze bei den Stadtwerken. Mit Hilfe der oberbayerischen complimant AG hat der Versorger die Verpflichtung pünktlich zum Stichtag gemeistert.

Nach IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz muss die Strom- und Gasversorgung ganz besonders vor Bedrohungen geschützt werden. Das gilt vor allem für die Computersysteme, mit denen die Versorger ihre Netze steuern. Deswegen hat die Bundesnetzagentur zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen erarbeitet. „Im Zentrum des Katalogs steht, ein Informationssicherheits-Managementsystems nach der internationalen Norm ISO 27001 einzuführen und bis 31. Januar 2018 zertifizieren zu lassen“, erläutert Dominik Seifert von der complimant AG.

Spezielle Anforderungen für Netzbetreiber

Neben den allgemeinen Anforderungen zur Informationssicherheit unterliegen Netzbetreiber wie die Stadtwerke Nettetal branchenspezifischen Sicherheitsstandards für die Energiewirtschaft. Daher ist zusätzlich eine Zertifizierung nach der einschlägigen Norm ISO 27019 zwingend. Auch hierfür hat die complimant AG Experten und konnte so die Informationssicherheit nach ISO 27001 mit den weiterreichenden Anforderungen der ISO 27019 kombinieren.

„Wir standen vor der Aufgabe, das gesamte Managementsystem aus dem Nichts aufzubauen“, berichtet Peter Klocke. Zunächst startete die complimant AG den Prozess mit ihrem Einstiegsprodukt, dem „Basis-Check ISO 27001“. Der macht eine Bestandsaufnahme aller sicherheitsrelevanten Prozesse und prüft, inwieweit die Abläufe bereits standardisiert und dokumentiert sind. Der Basis-Check entlang der ISO 27001-Vorgaben fördert in der Regel 60 bis 100 offene Punkte zu Tage. „Der Kunde hat dadurch einen ganz konkreten und priorisierten Maßnahmenkatalog – unser Anspruch ist: Wenn er den abgearbeitet hat, dann ist er reif für die Zertifizierung“, erzählt Seifert.

Mit Videokonferenzen Zeit und Ressourcen gespart

In der Folge haben sich die Stadtwerke Nettetal daran gemacht, die Punkte abzuarbeiten. Die complimant AG begleitet und berät dabei. Im Rhythmus von zwei bis vier Wochen veranstaltet sie Workshops mit dem Kunden. Sie begutachtet dabei die Fortschritte, prüft Dokumentationen und legt neue Meilensteine und konkrete Vorgehensweisen fest.

„Uns hat beeindruckt, wie kompetent und zuverlässig das Nettetaler ISMS-Team um Peter Klocke und Oliver Röllen die Punkte jeweils abgearbeitet hat“, lobt Seifert seinen Kunden. Kosten- und zeitsparend haben sich die Stadtwerke und die complimant AG zu über 80 Prozent bei Video-Telekonferenzen abgestimmt, statt dass Seifert und seine Kollegen zu jedem Workshop eigens aus Oberbayern an die niederländische Grenze gereist sind. „Mit Blick aufs Kundenbudget bieten wir diese Möglichkeit verstärkt und auch kostengünstiger an“, so Seifert. Zugute kommt der complimant AG dabei, dass im Alltag vieler Unternehmen Videokonferenzen zunehmend Vor-Ort-Meetings ersetzen. „. Außerdem können sich zusätzliche Ansprechpartner aus anderen Abteilungen oder Mitarbeiter aus dem Homeoffice flexibel dazuschalten“, sagt der Bereichsleiter Beratung IT-Compliance.

Rund ein halbes Jahr nach Projektstart waren Planung und Dokumentation des ISMS so weit fortgeschritten, dass der Startschuss zur Einführung bei den Stadtwerken fiel. Am Anfang standen vor allem Schulungen der Mitarbeiter im Umgang mit dem neuen Werkzeug. „Bevor die Zertifizierungsstelle vor der Tür steht, sollte das Managementsystem eine gewisse Zeit im Unternehmensalltag gelebt werden. Das ist der Test, ob das alles, was das ISMS-Team am grünen Tisch geplant hat, anwendbar und praktikabel ist. Außerdem treten dabei oft weitere Optimierungsmöglichkeiten zu Tage“, erklärt Seifert.

Nach zwei Monaten Praxis stand das Simulationsaudit zur Zertifizierung des ISMS an. Bevor es ernst wurde, prüfte ein ausgebildeter Auditor der complimant AG, der bislang noch nicht mit dem Kunden beschäftigt war, den Stand. Das Simulationsaudit entspricht dabei exakt dem späteren Zertifizierungsaudit. Treten noch Mängel auf, lassen sie sich rechtzeitig abstellen.

„Das Simulationsaudit ist ein wichtiges Werkzeug für den Gesamterfolg des Projekts“, erläutert Seifert. Alle Beteiligten trainieren die spätere Auditsituation. Vor allem ersetzt das Simulationsaudit aber das interne Audit des ISMS, das im ersten Jahr ohnehin verpflichtend vorgeschrieben wäre.

Einen weiteren Monat später stellten sich die Stadtwerke Mitte Januar 2018 dann erfolgreich dem Zertifizierungsaudit.

„Wir waren froh, in der knappen Zeit, die uns die Bundesnetzagentur gelassen hat, auf die hohe Fachkompetenz und Flexibilität der complimant AG zurückgreifen zu können“, resümiert Peter Klocke. „Da das gesamte Team noch dazu ausgesprochen pragmatisch arbeitet, die komplexen Zusammenhänge gut erläutern kann und sehr kundenorientiert agiert, hat uns das Projekt trotz der damit verbundenen Arbeit sogar wirklich Spaß gemacht.“ Klocke kündigt an, zusammen mit den Oberbayern an der Weiterentwicklung des ISMS der Stadtwerke Nettetal zu arbeiten.


www.complimant.de