Stadtwerke Bad Reichenhall KU und Süd IT AG setzen mit der frühen Zertifizierung gemäß IT-Sicherheitskatalog der Bundesnetzagentur ein Signal für die Branche

Die Stadtwerke Bad Reichenhall gehen mit ihrem Partner Süd IT beim Schutz sensibler Infrastrukturen voran. Bereits 18 Monate nach Veröffentlichung des neuen IT-Sicherheitskatalogs durch die Bundesnetzagentur sind damit

deren anspruchsvolle Anforderungen erfüllt. Kernstück des Zertifizierungsprojektes waren der Aufbau und Betrieb eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001 sowie ISO/IEC TR 27019. Damit setzt der kommunale Versorger Standards bei Sicherheit, Risikomanagement, Prävention und Krisenreaktion. Darüber hinaus ermöglicht die gesteigerte Transparenz der Betriebsprozesse und Arbeitsabläufe den Stadtwerken, die Produktivität und Kosteneffizienz ihrer Leistungen für den Bürger zu steigern. Die Energiewirtschaft verfügt damit über ein belastbares Modell, um die Rechtskonformität sensibler Anlagen bis zum 31.01.2018 nachzuweisen.

Wegweisend für die Energiewirtschaft: Der Zertifizierungspilot gemäß EnWG 11 Abs. 1a

Insgesamt erstreckte sich das Zertifizierungsprojekt von dem ersten Projekttreffen über Vorbereitung, Implementierung sowie Vor- und Abschlussaudits über 11 Monate. Süd IT Vorstand Dr. Stefan Krempl erläutert: „Wir haben zusammen mit den Branchenverbänden KOV und PEG ein speziell für mittelständische Energieversorger zugeschnittenes Projektvorgehen erarbeitet. Damit können die Netzbetreiber die Vorgaben der Bundesnetzagentur effizient erfüllen und gleichzeitig von den Vorteilen eines ISMS profitieren.“

Traditionell legen die Stadtwerke Bad Reichenhall großen Wert auf eine starke Absicherung ihrer Versorgungsleistungen. Auf Basis der hohen personellen und technischen Sicherheitskompetenz hat das Unternehmen die Initiative ergriffen und die Zertifizierung aktiv vorangetrieben, wie Jörg Schmitt, Vorstand der Stadtwerke Bad Reichenhall, ausführt: „Die Umsetzung des IT-Sicherheitskatalogs ist für uns keine bloße Pflichtübung: Wir haben die Zertifizierung in erster Linie als Chance gesehen, einen dynamischen Schutz für unsere Geschäftsmodelle zu implementieren, damit wir auch auf unvorhergesehene Gefahrenlagen schnell und richtig reagieren können. Der methodische Ansatz und die gute Zusammenarbeit mit der Süd IT hat es uns ermöglicht, dieses Ziel mit weniger Zeit- und Budgeteinsatz als geplant zu erreichen. Gemeinsam haben wir ein ISMS eingeführt, das unsere Gefahrenabwehr stärkt und auch betriebswirtschaftlich einen Mehrwert in Form von umfassender Prozesskontrolle und Workflow-Optimierung liefert.“

Prüfverfahren durch TÜV Rheinland 

TÜV Rheinland führte das abschließende Audit (Prüfverfahren) bei den Stadtwerken Bad Reichenhall durch. Dieses Audit war zugleich Bestandteil des Verfahrens, das TÜV Rheinland erfolgreich absolvieren muss, um die Akkreditierung für den IT-Sicherheitskatalog zu erhalten. Nach Abschluss der noch ausstehenden Anerkennung durch die Deutsche Akkreditierungsstelle (DAkkS) fungiert der TÜV Rheinland als Prüforganisation für Gas- und Stromnetzbetreiber und darf Prüf- und Zertifizierungsverfahren nach dem IT-Sicherheitskatalog der Bundesnetzagentur durchführen. Dazu Ralph Freude, Head of Business Line ICT bei TÜV Rheinland: „Im Hinblick auf die Fristsetzung zum 31. Januar 2018 ist es uns wichtig, Energieversorgern schnell als Prüfdienstleister zur Verfügung zu stehen. Wir haben für unsere DAkkS-Akkreditierung dieses Projekt der Süd IT ausgewählt.“

Hintergrund: Zertifizierte Sicherheit als Antwort auf wachsende Gefahr durch IT-Sabotage

Angesichts von Hackerangriffen und Terrorgefahr sind Betreiber von Energieversorgungsnetzen verpflichtet, die Sicherheit ihres Netzbetriebes nachzuweisen. Das gilt insbesondere für alle Computer- und Telekommunikationssysteme, sofern sie die Netzfahrweise beeinflussen – sei es direkt oder indirekt über die Steuerung von Verbrauchern und Erzeugungsanlagen. Kernziele sind die Verfügbarkeit der Systeme sowie die Integrität und Vertraulichkeit sensibler Daten. Die neuen Vorgaben hierfür formuliert der im Sommer 2015 veröffentlichte IT-Sicherheitskatalog auf Grundlage des EnWG §11 (1a)