Management, SQS-Wissen

Der Weg zur zertifizierten Informationssicherheit am Beispiel des Energieversorgers Axpo Grid AG

Hannah Kleiner

Veröffentlicht am: 02.06.2022

Lesedauer

ca. 6 Minuten

«Cybersecurity ist bei allen Unternehmen und Institutionen zu einem Mainstream-Risiko geworden», schrieb das Nationale Zentrum für Cybersicherheit in seinem Halbjahresbericht 2021/I. Seitdem hat sich die Lage durch internationale Krisen weiter verschärft und die Gefahren etwa vor einem Cyber-Angriff sind gestiegen. Mit der ISO/IEC 27001-Zertifizierung und ihrer Normenreihe haben sowohl Handelspartner als auch Verbraucher die Sicherheit, dass die zertifizierten Unternehmen ihre Informationen nach definiertem ISO-Standard schützen. 

Von der Kryptographie über den Transport und die Entsorgung von Datenträgern hin zur physischen Sicherheit der Informationen, beschreibt die Hauptnorm ISO/IEC 27001 alle relevanten Aspekte der Informationssicherheit – ob in Papierform oder digital. Abhängig des vom Unternehmen gewählten Geltungsbereiches werden dabei alle Aspekte, die relevant sind für die Informationsverarbeitung des Unternehmens, auf die Einhaltung der ISO/IEC 27001 hin geprüft. Daniel Badertscher ist als Lead-Auditor und ICT-Branchenleiter bei der SQS tätig sowie spezialisiert auf Informationssicherheit und Datenschutz. Sein Know-how schöpft er aus über 25 Jahren Erfahrungen im Bereich IT, Softwareentwicklung sowie Beratung. «Die Zertifizierung nach ISO/IEC 27001 ist eine solide Grundlage für die Einführung von Informationssicherheit inklusive «Cybersecurity» im Unternehmen», sagt Badertscher. 

Linthebene Strommasten Innovation.jpg

Einen Anstieg für das Interesse an Informationssicherheit kann Badertscher seit einiger Zeit von Unternehmen unterschiedlicher Grösse aus verschiedenen Tätigkeitsbereichen beobachten. Die Axpo Gruppe setzt bereits seit 2017 einen Schwerpunkt auf die Informationssicherheit. Diese Bemühungen mit einer Auditierung zu evaluieren, stand für René Oester, CEO der Axpo WZ-Systems AG und Initiator der Zertifizierung ISO/IEC 27001, von Anfang an fest.

 

«Das ISO 27001-Zertifikat fungiert als Gütesiegel und weist die entsprechenden Dienstleistungen aus»,

sagt Oester. Axpo WZ-Systems AG ist ein Tochterunternehmen der Axpo Grid AG und wurde im Bereich Konzeptionierung, Realisierung, 24/7-Betrieb und Unterhalt von kundenspezifischen Mobil-, Festnetz-, ICT- und Cyber-Security-Lösungen im Bereich der krisensicheren Datenkommunikation zertifiziert und schliesst alle Prozesse und IT-Systeme der Axpo WZ-Systems AG ein. 

Als Teil der kritischen Infrastrukturen müssen Energieunternehmen ihre Kunden auch bei Naturkatastrophen, Krieg und anderen Krisensituationen wie Cyber-Angriffen verlässlich versorgen können. Doch die Norm ISO/IEC 27001 deckt die spezifischen Herausforderungen der Energieversorger nicht genügend ab. «Speziell für Energieversorger und Energieunternehmen wurde die ISO 27019 entwickelt», sagt Badertscher. Gemeinsam mit seinem Co-Auditor Erich Husmann, freier Auditor bei der SQS und mit jahrelanger Erfahrung als CISO bei verschiedenen Energieversorgern, hat Badertscher die Zertifizierung der Axpo Grid AG durchgeführt. Die Zertifizierung nach ISO 27001 und 27019 ist für den Betrieb Teil ihrer Informationssicherheitsstrategie.

 

«Axpo hat in den letzten Jahren sehr viel in die Erhöhung der Informationssicherheit investiert. Durch die Zertifizierung haben wir nun die Möglichkeit, unsere effektive Umsetzung durch eine externe Stelle überprüfen zu lassen»,

sagt Ivo Müller, Leiter Betrieb und Instandhaltung Axpo Grid AG und Auftraggeber der ISO 27019-Zertifizierung. Ihr Geltungsbereich umfasst die Operative Technologie (Leit-, Kommunikations-, Sekundär- und Schutztechnik) zur Überwachung und Steuerung des Stromnetzes sowie für die zentrale Überwachung und Fernsteuerung von Kraftwerken.

kritischen Infrastrukturen

Variables Normen-Zusammenspiel

Zu der Hauptnorm ISO/IEC 27001 gehören die Zusatznormen ISO/IEC 27017, 27018, 27019. Zusätzlich gibt es noch die ISO/IEC 27701, die eine Erweiterung im Bereich Informationssicherheit darstellt.

Während sich die ISO 27019 auf die Informationssicherheit bei Energieversorgern bezieht, richtet sich die ISO/IEC 27017 speziell an die Informationssicherheitskontrollen bei Cloud-Services. Die ISO/IEC 27018 definiert Anwendungsregeln für den Schutz von personenbezogenen Daten in Public Clouds.

«Die ISO/IEC 27701 bezieht sich auf die Sicherheit und den Schutz von Personendaten. Hier sind folglich auch die anwendbaren Gesetze, sei es das Datenschutzgesetz der Schweiz (DSG) oder die Europäische-Datenschutz-Grundverordnung (DSGVO) ausschlaggebend», sagt Daniel Badertscher, ICT-Branchenleiter und Produktverantwortlicher der Normenreihe bei der SQS. Durch die vielfältigen Kombinationsmöglichkeiten könne die SQS auf die Bedürfnisse der Kunden eingehen und einen schrittweisen Ausbau der Zertifizierungen ermöglichen.

Bei Fragen zur Normenreihe ISO 27000 steht Ihnen Daniel Badertscher gerne zur Verfügung!

Kontakt

Die Infrastruktur von Energieversorgern ist oft auf eine Nutzungsdauer bis zu 30 Jahren ausgelegt, mit der Folge, dass für den Schutz der Operativen Technologie (OT) besondere Konzepte angewendet werden müssen. So sind einige Massnahmen, die in der ISO/IEC 27001 gefordert werden, für Energiebetriebe eine grosse Herausforderung. «Die ISO/IEC 27001 verlangt die Implementierung eines Patch-Managements, dies ist für uns allerdings nicht realisierbar, da wir dafür die Energieversorgung unterbrechen müssten. Die ISO 27019 erlaubt es uns, andere Lösungen für die Sicherung zu finden», sagt Daniel Schirato, IT und OT Security Officer bei Axpo Grid AG und verantwortlich für das Managementsystem für OT sowie für die Implementierung der Normen ISO 27001 und 27019 bei Axpo Grid AG.

Für eine erfolgreiche Zertifizierung nach ISO 27019 muss das Unternehmen sowohl die Hauptnorm ISO 27001 erfüllen als auch die Zusatznorm ISO 27019. Nach der erfolgreichen Auditierung erhalten die Unternehmen sowohl das ISO 27001-Zertifikat als auch das ISO 27019-Zertifikat. 

ISO 27001-Zertifizierung

Bereits durchgeführte Zertifizierungen helfen bei einer erfolgreichen Auditierung

Informationssicherheit hat sehr viele verschiedene Aspekte und die grundlegenden organisatorischen und technischen Massnahmen zum Schutz der Informationen sind in der ISO/IEC 27001 Norm erfasst. «Für eine erfolgreiche Zertifizierung ist eine vollständige Einführung des ISMS erforderlich», sagt Daniel Badertscher von der SQS. Das ISMS (Information Security Management System) besteht aus unterschiedlichen Prozessen und Vorgaben als Sammlung von Leit- und Richtlinien sowie detaillierten Arbeitsanweisungen. Den Anwendern soll es die Möglichkeit bieten, Informationssicherheits-Risiken zu bestimmen, beurteilen und wirksam zu behandeln. Die ISO/IEC 27001 definiert das ISMS. «Bei der erfolgreichen Umsetzung des ISMS haben uns unsere Erfahrungen aus den Zertifizierungen nach ISO 9001, ISO 14001 und ISO 45001 geholfen, die wir hier anwenden konnten», so Ivo Müller. 
Bei CIA handelt es sich nicht etwa um den Auslandsgeheimdienst der USA, vielmehr ist es ein Kürzel für Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit). Nach diesen Grundsätzen der Informationssicherheit wird das vorher definierte Management-System von den Auditoren geprüft und auf die Umsetzung der Norm-Anforderungen hin untersucht. 

Doch auch Sicherheitsmassnahmen wie Schliessanlagen und Feuerlöscher stehen auf dem Prüfstand und fordern von den Auditoren ein breites Wissen. Um den Anforderungen eines Audits fachgerecht begegnen zu können, arbeiten die Auditoren im Team. «Mit diesem fokussierten Ansatz und parallelen Audit-Sitzungen sind wir in der Lage, die Auditdauer vor Ort zu reduzieren und die Umsetzung des Audits mit dem Unternehmen zu optimieren», führt Badertscher aus. Sein Kollege Husmann fügt an: «Bei jedem Audit trifft man auf die speziellen Facetten des Kunden. Meine Herausforderungen sind es, auf diese Eigenheiten einzugehen und den Kunden Chancen aufzuzeigen, wie sie ihr ISMS auf ein stabiles Fundament stellen und kontinuierlich verbessern können, um bestmöglich vorbereitet zu sein bei potenziellen Cyber-Angriffen.»

 

Die Entscheidung, die Auditierung bei der SQS durchzuführen, trafen sowohl Axpo Grid AG als auch Axpo WZ-Systems AG bewusst. «Wir kennen die SQS bereits aus vorherigen Audits und haben sehr gute Erfahrungen gemacht, die sich auch diesmal bestätigt haben», sagt Ivo Müller. Und auch René Oester hat sich gezielt für die SQS entschieden: «Die SQS hat im Bereich der ISO/IEC 27001 sowohl national wie international einen ausgezeichneten Ruf.»

Mehr Informationssicherheit im Unternehmen führt auch zu einem Kulturwandel

«Die Zertifizierung ist für uns ein ungewöhnliches Projekt. Normalerweise arbeiten wir mit Projekt-Prozessen. Mit der ISO 27019-Zertifizierung haben wir es mit einem Prozess-Projekt zu tun. Als wir mit dem Projekt der ISO 27019-Zertifizierung anfingen, begann kurze Zeit später die Corona-Pandemie. Einige meiner Mitarbeitenden habe ich beim Audit das erste Mal persönlich getroffen», so Daniel Schirato. Dass die Auditierung trotz der erschwerten Umstände zu einem Erfolg führte, sieht er auch in den zahlreichen Mitarbeitergesprächen begründet.

 

«Bei der erfolgreichen Implementierung der ISO 27019 haben sich besonders zwei Faktoren als wichtig herausgestellt. Relevant ist, dass die Unterstützung von der Geschäftsleitung da ist. Ohne das Top-Down-Prinzip ist eine Umsetzung nicht möglich. Doch ebenso essenziell ist das Bottom-Up-Prinzip: Für eine erfolgreiche Umsetzung braucht es die Unterstützung und den Rückhalt unter den Mitarbeitenden. Daher empfehle ich allen, die eine Zertifizierung anstreben, sowohl das Top-Down-Prinzip als auch das Bottom-Up-Prinzip zu beachten», sagt Schirato. «Wurde jahrelang dasselbe Passwort benutzt, müssen die Mitarbeitenden erst umdenken, wenn das Passwort regelmässig geändert werden muss. Diesen Wandel in der Unternehmenskultur mussten wir erst herbeiführen», sagt Ivo Müller. Allerdings wurde von den Mitarbeitenden auch ein Umdenken gefordert und so ein Kulturwandel im Unternehmen eingeleitet.

Mehr Informationssicherheit im Unternehmen führt auch zu einem Kulturwandel

Investitionen in Informationssicherheit zahlen sich langfristig aus

Die Implementierung der Normen und speziell der Massnahmen für die Risikobehandlungen waren für das Unternehmen mit hohen Investitionen verbunden. So wurden nicht nur neue Stellen geschaffen und Mitarbeitende eingestellt, sondern es mussten auch Änderungen an der Infrastruktur und Architektur der Prozessinformatik vorgenommen werden. Die Axpo Grid AG als auch die Axpo WZ-Systems AG erwarten aber, mittelfristig Gewinn aus ihren Investitionen schöpfen zu können. «Mit der ISO 27019 planen wir einen Nutzen auf mehreren Ebenen. Zum einen ist das bereits vorhandene Wissen strukturiert worden und dadurch mehr Mitarbeitenden zugänglich. Zum anderen möchten wir unsere durch die ISO 27019 erlangten Erfahrungen anderen Energieversorgern anbieten, die keine Kapazitäten für eine eigene Abteilung haben», sagt Daniel Schirato. Ivo Müller und René Oester sehen noch einen weiteren Vorteil.

 

«In der EU ist die ISO 27001-Zertifizierung bereits Voraussetzung für einige Energieversorger. Mit der ISO/IEC 27001 möchten wir proaktiv agieren, bevor der Gesetzgeber regulierend eingreift»,

so René Oester. Langfristig sieht er in der Zertifizierung einen Wettbewerbsvorteil. 

Die Zertifizierung erfolgt nach dem Standardprozess in zwei Phasen. In der ersten Phase wird die Dokumentation des ISMS geprüft und bestimmt. Anschliessend wird evaluiert, ob das Unternehmen für die zweite Phase, die effektive Zertifizierung, bereit ist. Während dieser zweiten Phase wird die normkonforme Umsetzung aller Anforderungen, inklusive aller Massnahmen, im Detail geprüft. Berücksichtigt werden dafür auch die verschiedenen Standorte des Geltungsbereiches. Bereits am letzten Tag der Auditierung erfahren die Verantwortlichen, ob die Zertifizierung bestanden wurde oder nicht, auch erhalten die Unternehmen einen vorläufigen Befund. «Dabei werden nicht nur Abweichungen von der Norm erfasst, welche selbstverständlich vom Unternehmen behoben werden müssen, sondern es werden auch die positiven Beurteilungen erwähnt», führt Daniel Badertscher aus. Der definitive Entscheid wird auf der Basis des Auditberichtes von der Sachverständigenkommission der SQS bestätigt und die Betriebe erhalten anschliessend die gültigen Zertifikate von der SQS.

Nach der Zertifizierung ist vor der Rezertifizierung

Das Zertifikat behält drei Jahre Gültigkeit, wobei jährliche Aufrechterhaltungsaudits stattfinden müssen. Nach den drei Jahren kann das Zertifikat durch eine Rezertifizierung bestätigt werden. Ob die Rezertifizierung dann auch bei der SQS geplant ist? «Sicherlich!», antwortet Daniel Schirato. «Wir planen langfristig bei der SQS zu bleiben sowie die Rezertifizierung der ISO 27001 und 27019 bei der SQS durchzuführen».

Ebenso steht René Oester der nächsten Auditierung bei der SQS positiv gegenüber: «Durch kontinuierliche Audits bei bereits bekannten Auditoren kann man sich am besten weiterentwickeln.»

Unser Newsletter bringt relevante und interessante Inhalte zu Ihnen

Möchten Sie informiert werden, wenn wir einen neuen Beitrag aufschalten? Dann abonnieren Sie unseren SQS-Blog-Newsletter. Sie können sich jederzeit wieder abmelden.