Thomas Meißner, Bereichsleiter Netze und René Röthig, Geschäftsführer der SWR: „Mit der Rezertifizierung des ISMS weisen wir nach, welchen hohen organisatorischen Anforderungen die SWR GmbH gerecht wird, um Schäden durch Sicherheitslücken möglichst zu vermeiden.“
Was versteckt sich hinter der Abkürzung ISO/IEC 27001, Herr Meißner?
„ISO (International Organization for Standardization) und IEC (International Electrotechnical Commission) sind internationale Normungsorganisationen, die weltweit anerkannte Standards etablieren. Die 27001 ist eine internationale Norm mit deren Hilfe die Informationssicherheit für Organisationen umgesetzt werden kann.“
Gegen welche Bedrohungen, die zum Ausfall führen könnten, muss sich die SWR wappnen?
Das Energiewirtschaftsgesetz fordert einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind. Dafür hat die Bundesnetzagentur einen Katalog von Sicherheitsanforderungen festgelegt, der u.a. ein Managementsystem nach der bereits genannten Norm fordert. Die Strom- und Gasnetze der SWR gehören zur kritischen Infrastruktur – das heißt im schlimmsten Fall, wenn die Anlagen ausfallen, können lebensnotwendige Leistungen nicht mehr erbracht werden und das öffentliche Leben kommt zum Erliegen. Die komplexe IT-Infrastruktur der SWR zur Überwachung und Steuerung dieser Netze muss deshalb vor Angriffen, die zum Ausfall dieser Systeme führen können, geschützt werden. Bedrohungen bestehen insbesondere durch Hackerangriffe, dem Verlust vertraulicher Daten oder der Manipulation von Informationen.
Und welche Informationen müssen konkret bei den SWR sicher geschützt sein?
Da gibt es jede Menge. Zuerst einmal haben wir in einer Projektgruppe die zu schützenden Werte analysiert und einer Risikobewertung unterzogen. Viele Prozesse in unserer modernen Gesellschaft werden durch Informations- und Kommunikationstechnologien unterstützt. Da kann Schadsoftware, beispielsweise aus dem Internet oder von manipulierten USB-Sticks, erheblichen Schaden verursachen. IP-Adressen, Netzwerkpläne oder bestimmte Betriebsabläufe müssen vertraulich behandelt werden. Aber auch menschliches Fehlverhalten stellt ein nicht zu unterschätzendes Risiko dar.
Und um das Ausfallrisiko zu minimieren, wurde das System zum 2. Mal auf die Probe gestellt. Dürfen Sie verraten, welche Schutzmechanismen die SWR eingebaut hat?
Details müssen natürlich geschützt werden, sonst würde das System keinen Sinn machen. In erster Linie kommt es aber darauf an, sich alle Risiken bewusst zu machen. Nur so ist es möglich, mit geeigneten technischen oder organisatorischen Maßnahmen die Eintrittswahrscheinlichkeit oder Schadensauswirkungen zu minimieren. Eine gute Dokumentation und zahlreiche Kontrollmechanismen sind die Basis für die Aufrechterhaltung eines solchen Managementsystems. Vor Ausfällen kann man sich zwar auch mit einer Zertifizierung nicht einhundertprozentig schützen, aber das System beinhaltet auch Notfallpläne, die ein Wiederhochfahren der Versorgung gewährleisten. Damit werden die SWR ihrer Verantwortung für eine sichere Energieversorgung der Stadt Riesa gerecht.