(openPR) Als m2m-Dienstleister deutscher Energienetzbetreiber hat sich die mdex GmbH in diesem Monat als eine der Ersten ihrer Branche erfolgreich nach der internationalen Norm für IT-Sicherheit ISO 27001:2013 zertifizieren lassen.
Mit der Implementierung und Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) sichert mdex ihre komplette Infra-struktur und Standorte durch ein aktives Sicherheits- und Risikomanagement gegen externe Bedrohungen gemäß § 11 Absatz 1a EnWG ab. mdex ermöglicht somit Energienetzbetreibern ab sofort eine ISO 27001 konforme Datenkommunikation über die mdex-Infrastruktur.
Energiekonzerne stehen als Betreiber kritischer Infrastruktur zunehmend im Fokus von Cyberangriffen. So hat die IT-Sicherheitsfirma Recurity Labs das Stadtwerk Ettlingen dieses Jahr unter ihre Kontrolle gebracht und damit bewiesen wie unsicher die digitale Infrastruktur in Deutschland sein kann (c't 9/14, Report Kritische Infrastruktur).
Als Reaktion auf die steigende Bedrohungslage internetgestützter Angriffe hat die EU-Kommission die Network-Information-Security-Richtlinie (NIS) verabschiedet, die neben Mindestsicherheitsstandards auch ein Meldewesen für sicherheitsrelevante Vorfälle in volkswirtschaftlich wichtigen Bereichen vorsieht. Die Bundesregierung plant die verbindliche Umsetzung der NIS durch ihr im Koalitionsvertrag angekündigtes IT-Sicherheitsgesetz. Sie hat aber aufgrund der akuten Brisanz des Themas Datensicherheit für die Betreiber kritischer Infrastruktur aus dem Bereich der Energiewirtschaft bereits das Energiewirtschaftsgesetz (EnWG) um den § 11 Absatz 1a ergänzt.
Der § 11 Absatz 1a EnWG schreibt einen angemessenen Schutz gegen Bedrohungen für Tele-kommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen, vor. Die einzelnen Schutzvorschriften werden in einem IT-Sicherheitskatalog weiter präzisiert. Dieser wurde von der Bundesnetzagentur (NBetzA) und dem Bundesamt für IT-Sicherheit (BSI) auf Grundlage des Whitepapers des Bundesverbands der Energie- und Wasserwirtschaft (BDEW) erstellt.
Im Mittelpunkt des IT-Sicherheitskatalogs steht die Einrichtung eines In-formationssicherheits-Managementsystems nach ISO 27001:2013-Standards (ISMS), deren Überwachung durch externe Audits gewährleistet wird. Als Umsetzungszeitraum aller sicherheitsrelevanten Maßnahmen wird ein Zeitraum von 12 Monaten anvisiert, der branchenintern als sehr ambitioniert kommentiert wurde. Des Weiteren sieht der IT-Sicherheitskatalog bei Betrieb von Teilsystemen durch Dritte, wie durch die mdex GmbH, eine vertragliche Zusicherung über die Einhaltung dieser Schutzvorschriften vor. So finden Energieversoger in der zertifizierten mdex Infrastruktur beispielsweise eine zukunftsfähige und sichere Lösung für die Steuerung und Vernetzung intelligenter Ortsnetzstationen.
Das ISMS der mdex GmbH beinhaltet die Kernbereiche Risiko- und Sicherheitsmanagement unter Aufsicht eines IT-Sicherheitsbeauftragten. Voraussetzung für ein aktives Risikomanagement ist ein Maßnahmenplan, der das standardisierte Identifizieren und Bewerten von Risiken, das Ergreifen von Gegenmaßnahmen und deren anschließende Überwachung definiert. Nach einer erfolgten Gefahrenabwehr ist so z.B. eine Evaluierung der Maßnahmen mit dem Ziel der aktiven Verbesserung erfolgter Gegenmaßnahmen geplant. Das Sicherheitsmanagement hingegen umfasst ein verbindliches Regelwerk im Umgang mit Daten, ein sicherheitsbewusstes Personalmanagement und die physische Absicherung des Standorts nach sicherheitsrelevanten Aspekten wie Diebstahl und Unwettereinflüsse. Im Fokus stehen insbesondere Vorschriften für die IT-Sicherheit (Backup, Virenschutz, Firewall, Verschlüsselung, Passwörter).
Die Kommunikationsdienstleistungen und Produkte von mdex Professional erfüllen demzufolge schon jetzt nicht nur die aktuellen sondern auch die zukünftigen IT-Sicherheits-Standards der Energiewirtschaft an ein aktives Sicherheits- und Risikomanagement. Damit setzen wir ein klares Statement für sichere Datenkommunikation in Deutschland.
