Der Begriff Informationssicherheit hat in den vergangenen Jahren einen festen Platz in vielen Gesetzen und Regularien erhalten und der Austausch von Informationen zwischen den verschiedenen Akteuren im Markt ist zum Alltag geworden.

Die Energieversorgung und Versorgungswirtschaft im Allgemeinen stehen dabei nach dem IT-Sicherheitsgesetz als KRITIS – Kritische Infrastruktur – unter besonderem Fokus. Betreiber kritischer Infrastrukturen sind zudem Angriffsziele von Hacker-Angriffen geworden, was bei Ausfällen  und Beeinträchtigungen zu nachhaltigen Versorgungsengpässen für die Gesellschaft führt.

Die Abhängigkeiten zwischen den Systemen führen zu einer erhöhten Verletzlichkeit des Gesamtsystems, was bei Betreibern Kritischer Infrastrukturen dazu führt, IT-Sicherheit und Informationssicherheit nach dem "Stand der Technik" umzusetzen und deren Einhaltung regelmäßig nachweisen zu müssen. Im Schwerpunkt stehen hier insbesondere Systeme der Netzleitführung, des Systembetriebes und der Messwerterfassung und -verarbeitung, aber auch Anlagenbestandteile zur Erzeugung, Übertragung und Verteilung von Energie in den Sektoren Strom, Gas sowie Fernwärme.

 

IHRE THEMEN

  • Erfüllung der Anforderungen aus dem IT-Sicherheitsgesetz und zur Verbesserung der IT-Sicherheit und Informationssicherheit im Unternehmen
  • Einführung eines ISMS – Informations-Sicherheits-Management-Systems nach ISO 27001 in Teilbereichen oder unternehmensweit
  • Zentralisierung und ganzheitliche Ausführung von Managementsystemen, z. B. als integriertes Managementsystem mit Qualitäts-, Umwelt- und Informationssicherheitsmanagement
  • Erarbeitung einer Sicherheitspolitik und Sicherheitsstrategie sowie Überwachung der Einhaltung
  • Erfüllung der Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit für zu definierende schutzbedürftige Assets
  • regelmäßiges Reporting  an das BSI und Weiterentwicklung des ISMS
  • Aufbau zentraler Organisationseinheiten / Teams zur Erfüllung der Informationssicherheitsanforderungen und zentraler Ansprechpartner, z. B. als Security Operation Center (SOC) bzw. Computer Emergency Response Team (CERT) der Informationssicherheit
  • Nachweis der Anforderungserfüllung an die Informationssicherheit und Bewertung des Sicherheitsniveaus, z. B. durch interne Audits oder Penetrationstests (technische Sicherheitsanalyse)

 

UNSERE LEISTUNGEN

  • Begleitung bei der Einführung und dem Betrieb von ISMS-Systemen nach ISO 27001
  • Erarbeitung einer Risikoidentifizierung und Risikoanalyse mit dem Fokus Verlust der Schutzziele
  • Ableitung von Maßnahmenpaketen zur Einhaltung der Schutzziele
  • Erstellung der begleitenden Dokumentation und Überwachung auf Vollständigkeit
  • Ausführung technischer Analysen (Penetrationstests) bei der Systemetablierung und im Systembetrieb, z. B. während einer FAT
  • Aufbau zentraler Organisationseinheiten / Teams zur Erfüllung der Informationssicherheitsanforderungen und zentraler Ansprechpartner, z. B. als Security Operations Center (SOC)

IHR ANSPRECHPARTNER