Deutlich besser als das IT-Sicherheitsgesetz beurteilten die Unternehmen den IT-Sicherheitskatalog, den die Bundesnetzagentur als Ergänzung des rechtlichen Rahmens kürzlich veröffentlicht hat. Dieser verpflichtet Strom- und Gasnetzbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards. Kernforderung ist dabei die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC 27001 sowie dessen Zertifizierung bis zum 31. Januar 2018.
Rund die Hälfte der Antworten bezeichnete den Katalog als genau richtig, nur 18 Prozent schätzen ihn als unzureichend ein. Dass der bürokratische Aufwand für die Umsetzung zu hoch sei, meinten lediglich acht Prozent. Sie waren der Ansicht, dass bestehende Normen wie ISO 27001 und die DIN SPEC 27019 ausreichen würden. 50 Prozent bezeichneten den Aufwand dagegen als angemessen.
Die größten Gefahren
Spannend war die Frage, wo genau die größten Gefahren in der IT für die Energieversorgung lauern. Hier führen die leittechnischen Anlagen mit fast 35 Prozent in der Umfrage vor der Fernwirktechnik (26 Prozent). Mit knapp 18 Prozent landeten die intelligenten Messsysteme auf Platz drei der gefährdeten Systeme. Personenbezogene Daten, wie sie etwa in den Abrechnungs- oder CRM-Systemen verwaltet werden, sah nur einer der Teilnehmer als gefährdet an.
Was die Möglichkeiten zur Verbesserung der IT-Sicherheit angeht, machten die Befragten eine ganze Reihe von Vorschlägen. Dazu gehörten die Verbesserung der Prozess-Qualität und Transparenz oder der Einsatz aktueller Technologien, beispielsweise bei Verschlüsselungs- und Signaturverfahren. Aber auch die Trennung der aktiven Energienetzkomponenten vom Internet sowie die Trennung von Physik und Markt wurden gefordert. Die Frage der IT-Sicherheit müsse bereits in der Ausbildung künftiger Mitarbeiter stärker berücksichtigt werden, um später in den Unternehmen und Behörden sinnvoll umgesetzt werden zu können. Eine zentrale Rolle spiele aber vor allem auch das Sicherheitsbewusstsein der Mitarbeiter.
Einig waren sich alle Befragten, dass sich der EDNA Bundesverband Energiemarkt und Kommunikation verstärkt in Fragen der IT-Sicherheit engagieren sollte und zwar in erster Linie durch die Mitarbeit in entsprechenden Gremien (65 Prozent). Daneben gehört aber auch der Austausch mit den Ministerien (39 Prozent) oder die Vertiefung des Themas im Rahmen der EDNA-Fachtreffen (43 Prozent) zu den bevorzugten Maßnahmen. Lediglich 26 Prozent wünschten sich die Gründung einer eigenen Projektgruppe.
hei