Sicherheit auf höchstem Niveau

Zuverlässigkeit und Sicherheit der Prozesse haben bei Versorgungsunternehmen den höchsten Stellenwert. Daran müssen auch die IT-Systeme ausgerichtet sein. Die Netzleitstelle der Energiedienst Netze GmbH hat ihre IT-Infrastruktur dem anspruchsvollen Prozess einer 27001 Zertifizierung vom Bundesamt für Sicherheit in der Informationstechnik unterzogen und als eine der ersten Firmen die Umsetzung der Sicherheitsmaßnahmen auf „höchstem Niveau“ bestätigt bekommen. Dabei wurde sie von Experten des Steinbeis-Transferzentrums ManagementCockpit tatkräftig unterstützt.

Sämtliche Teile des IT-Systems sind mehrfach redundant ausgelegt, sodass ständige Verfügbarkeit sicher gestellt ist. Der Ausfall einzelner Komponenten wird im Rechenzentrum in Rheinfelden selbst kompensiert. Fällt durch einen Großschaden das gesamte Rechenzentrum aus, kann dessen Funktion von der Zweigstelle in Donaueschingen übernommen werden. Sogar für den Fall ist Vorsorge getroffen, dass beide Rechenzentren gleichzeitig gestört sind. Hier können mit einem getrennt betriebenen Notsystem, in einem sogenannten nachgeführten Betrieb, die Funktionen der Leitstelle aufrechterhalten werden.

Die Datensicherheit ist durch ein weitgehend automatisiertes Datensicherungskonzept gewährleistet. Manuell werden nur noch die Datensicherungsträger in getrennte brandgeschützte
Räume gebracht. Die Datenintegrität wird durch ein konsequent angewandtes Virenschutzkonzept, Firewalls an den Schnittstellen nach außen, ein Intrusion Detection System, das vor unerlaubten Attacken warnt, und zentrale Auswertung von Logfiles gesichert.

Damit sind die systemtechnischen Voraussetzungen für ein qualitativ hochwertiges Sicherheitssystem geschaffen. Eine Zertifizierung nach ISO 27001 vom Bundesamt für Sicherheit in der Informationstechnik geht aber weit darüber hinaus. Es fordert den Nachweis, dass nicht nur die technischen Voraussetzungen vorhanden sind, sondern auch ein Prozess der ständigen Überwachung und Verbesserung der Sicherheitsprozesse implementiert ist. Die Leitungsebene der Energiedienst Netze GmbH stellt das dadurch sicher, dass der Stellenwert der IT-Sicherheit in einer Sicherheitsleitlinie dokumentiert, unterschrieben und veröffentlicht wird, die als Orientierungsrahmen für alle weiteren Richtlinien dient. Die IT-Sicherheitsprozesse werden in das übergeordnete Leitstellensicherheitsmanagement integriert, das einem ständigen Rückkopplungsprozess gemäß des Demingschen PDCA-Zirkels unterworfen ist.

Während der Zertifizierung wurde die Energiedienst Netze GmbH von Steinbeis-Experten professionell begleitet und unterstützt. Als Geländerfunktion für das Projekt dienten die IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik, die eine systematische und umfangreiche Hilfestellung zur Analyse der Ist-Situation und zur Aufdeckung von Lücken im Sicherheitsprozess bieten. Eine über das Bundesamt zu beziehende Software erleichterte die umfangreiche Arbeit. Hilfreich kam hinzu, dass Friedhelm Bäumer das Leitstellensicherheitsmanagement und Risikomanagement bereits 2006 nach dem TÜV MS-Standard Netzbetriebsführung zertifizieren ließ. Somit war ein übergeordneter Rahmen geschaffen, in den sich die Prozesse des IT-Sicherheitsmanagements systematisch einordneten. So konnte auf eingeführte Methoden wie Sicherheitskataster, Fehlerbaumanalysen und Störausfallanalysen zurückgegriffen und die geplante Zeit für den Implementierungs- und Zertifizierungsprozess eingehalten werden.

Als Ergebnis dieses Projektes wurde das Sicherheitsniveau auf eine höhere und transparentere Stufe gehoben und kann gegenüber Kunden, Lieferanten und der Öffentlichkeit durch ein international anerkanntes Zertifikat dokumentiert werden. Dabei ist der IT-Sicherheitsprozess in einen ständigen Verbesserungsprozess integriert.

Günter Drews
Prof. Dr. Jürgen Treffert
Steinbeis-Transferzentrum ManagementCockpit (Lörrach)
su1032@stw.de

Friedhelm Bäumer
Energiedienst AG (Rheinfelden)