Blogeintrag

05 Dec 2024

Cyber-Resilienz in der Schweizer Energiebranche: Warum klare Prozesse und Verantwortlichkeiten der Schlüssel zur IKT-Sicherheit sind

In der Schweiz spielt die Energiebranche eine zentrale Rolle für die Gesellschaft und Wirtschaft. Jeder Stromausfall – sei es durch technische Probleme oder Cyberangriffe – kann weitreichende Folgen haben. Wir sehen, dass Stromnetze immer intelligenter und komplexer werden, deshalb wird die Frage der Cyber-Resilienz immer lauter. Doch wie können Energieversorger ihre IKT-Resilienz gezielt verbessern? 

Hier kommen strukturierte Ansätze ins Spiel: Klare Verantwortlichkeiten, definierte Prozesse, umfassende Richtlinien und ein starkes Informationssicherheits-Managementsystem (ISMS).

Mit dem ISMS lassen sich zudem viele der gesetzlichen Vorgaben des BFE umsetzen.
 

Verantwortlichkeiten und Organisation: Das RASCI-Modell als Erfolgsfaktor


Stellen wir uns ein kleines Wasserkraftwerk in einem Bergtal vor. Die technische Infrastruktur ist komplex und die Abhängigkeit von IT-Systemen hoch. Damit bei einem Sicherheitsvorfall alle wissen, was zu tun ist, müssen die Verantwortlichkeiten klar verteilt sein. Hier kommt das RASCI-Modell ins Spiel, ein Werkzeug, welches  dabei hilft, Rollen und Zuständigkeiten präzise zu definieren.

Das Modell beantwortet zentrale Fragen: Wer ist für die Aufgabe verantwortlich? Wer trägt die Gesamtverantwortung? Wer wird bei Entscheidungen konsultiert und wer muss über Entwicklungen informiert werden?

Für einen Energieversorger bedeutet das konkret:

  • Der IT-Leiter ist verantwortlich für die operationelle Umsetzung der Cyber Security
  • Der CISO (Chief Information Security Officer) trägt die Verantwortung für die Umsetzung der Sicherheitsstrategie,
  • Der CISO (Chief Information Security Officer) stellt mit einem adäquaten Information Security Management System die Grundvoraussetzungen für die Informationssicherheit sicher und überprüft diese regelmässig auf Angemessenheit.
  • Das Technik-Team wird bei Fragen einbezogen,
  • und die Geschäftsführung bleibt stets informiert.¨

Durch eine solche Struktur können alle relevanten Personen direkt und koordiniert handeln. Im Ernstfall gibt es keine Missverständnisse oder Verzögerungen, die einen Vorfall verschlimmern könnten.

 

Prozessmanagement: Das House of Processes


Cyber-Resilienz lebt von guten Prozessen. Ein Weg, diese zu visualisieren, ist das House of Processes. Dieses Modell zeigt, wie sich Prozesse in strategische, Management-, Kern- und Support-Prozesse unterteilen lassen, um alle Ebenen eines Unternehmens abzudecken.

Ein EVU (Elektrizitätsversorgungsunternehmen) in der Schweiz muss nicht nur die Sicherheit seiner IKT-Systeme gewährleisten, sondern auch den Betrieb der Stromversorgung schützen. Nehmen wir das Beispiel eines EVUs, dass neben der Stromproduktion mit seinen Kraftwerken auch die Übertragung und Verteilung von Strom koordiniert. Die Prozesse, die hier greifen, sind entscheidend für die Stabilität der gesamten Energieversorgung.

  • Strategische Prozesse setzen die langfristigen Ziele und geben die Richtung vor, beispielsweise wie die Cyber-Resilienz im nächsten Jahrzehnt aussehen soll.
  • Managementprozesse umfassen die regelmässige Überprüfung der Sicherheitsstandards.
  • Die Kernprozesse in der Stromübertragung und -verteilung sind das Herzstück der Wertschöpfungskette, ein Cyberangriff mit Auswirkungen auf diese Prozesse könnte zu weitreichenden Stromausfällen führen.
  • Die Supportprozesse helfen dabei, die Infrastruktur auf dem neuesten Stand zu halten und auf Bedrohungen vorbereitet zu sein.

Diese Strukturierung stellt sicher, dass das Unternehmen sowohl intern als auch extern eine hohe Resilienz aufweist. Der Strommarkt ist volatil, und jeder Prozess muss den Herausforderungen standhalten können.

 

House of Policy: Richtlinien als Fundament der Resilienz


Jedes Unternehmen benötigt Regeln und Richtlinien, um im Alltag sicher und effizient zu arbeiten – erst recht in der Cyber Security. Hier greift das House of Policy: Es dient als Leitlinie für Mitarbeitende, und ein festes Set an Richtlinien gibt klare Handlungsempfehlungen.

Denken wir an eine typische Situation: Ein neuer Mitarbeitender im technischen Team hat Fragen zur Handhabung sensibler Daten. Durch klare Anweisungen weiss er sofort, welche Standards er einhalten muss, um die verbindlichen-Vorgaben seines Unternehmens einhalten zu können.

Das House of Policy hilft, diese Anweisungen und Vorgaben klar darzustellen:

  • Die Politik und Weisungen geben die allgemeine Marschrichtung vor und beschreiben WARUM etwas gemacht werden muss
  • Richtlinien definieren WAS in welchen Sicherheitsdomänen zu tun ist
  • Arbeitsanleitungen geben spezifische Vorgaben vor und beschreiben, WIE etwas gemacht werden muss,
  • und Prozesse beschreiben den täglichen Umgang und bieten detaillierte Handlungsabläufe

Für ein Energieunternehmen bedeutet dies, dass jeder Mitarbeitende – vom Techniker bis zur Geschäftsleitung – klare Vorgaben erhält, wie sie im Sinne der Cyber-Sicherheit handeln sollten. In einer Branche, in der bereits ein kleiner Fehler schwerwiegende Folgen haben kann, sind solche Vorgaben ein Muss.

 

ISMS: Der Backbone der Cyber Security


Ein Informationssicherheits-Managementsystem (ISMS) ist der Kern einer nachhaltigen Cybersicherheit. Es strukturiert den Aufbau, Betrieb und die kontinuierliche Verbesserung der Sicherheitsmassnahmen. 

Das ISMS arbeitet nach dem PDCA-Zyklus (Plan-Do-Check-Act), der die ständige Verbesserung sicherstellt. Es stellt ausserdem sicher, dass alle Beteiligten – von der Führungsebene bis zu den ausführenden Spezialisten – ihre Rollen und Verantwortlichkeiten kennen und regelmässig geschult werden.

Die von ALSEC und dem VSE entwickelten acht Phasen zur Implementierung eines ISMS leiten Unternehmen durch den gesamten Sicherheitsprozess: von der Identifikation und Bewertung von Risiken über die Festlegung der Schutzmassnahmen bis hin zur Überwachung und Überprüfung. Gerade für die Energiebranche ist es entscheidend, dass diese Phasen kontinuierlich durchlaufen werden, um auf neue Bedrohungen vorbereitet zu sein.

 

Ein Beispiel von uns aus der Phase 2: «Initialisierung»


Die zweite Phase der ISMS-Implementierung, die Initialisierung, legt die Basis für alle weiteren Sicherheitsmassnahmen. In dieser Phase schaffen Organisationen die nötigen Grundlagen, um eine robuste Sicherheitsstruktur aufzubauen. So werden Politik, Strategie und Ressourcen für die Informationssicherheit definiert.

Ein Beispiel: Ein Stromnetzbetreiber legt den Rahmen und Geltungsbereich für seine Cyber Security fest. Er erstellt eine detaillierte IST-Analyse, um seine aktuelle Sicherheitslage zu bewerten und potenzielle Schwachstellen zu identifizieren. Anschliessend baut er eine Sicherheitsorganisation auf und definiert klare Verantwortlichkeiten – sowohl für reguläre Betriebssituationen als auch für Notfälle. Schliesslich werden KPIs (Leistungsindikatoren) und Auditverfahren eingeführt, um die Sicherheitsmassnahmen kontinuierlich zu überwachen und zu verbessern.

 

Fazit: Die Resilienz von Energieunternehmen ist ein nationales Anliegen


Für die Schweizer Energiebranche ist die IKT-Resilienz weit mehr als nur ein technisches Thema. Es geht darum, die Grundlage der Energieversorgung und damit der Gesellschaft und Wirtschaft zu sichern. Ein umfassendes, gut strukturiertes Cyber Security Management unterstützt Energieversorger dabei, auf Bedrohungen angemessen zu reagieren und die Energieversorgung zuverlässig zu gewährleisten.

Mit den Modellen und Strukturen, die wir hier beleuchtet haben – vom RASCI-Modell über das House of Processes und das House of Policy bis hin zum ISMS – schaffen Unternehmen eine stabile Basis für die Zukunft. Die Schweiz und ihre Bürger können sich dadurch auf eine sichere und resiliente Energieinfrastruktur verlassen, die auch in Krisenzeiten verlässlich funktioniert. Und Unternehmen im Energiesektor erfüllen damit auch die neuen gesetzlichen Vorgaben des BFE .

Holen Sie sich unser neuestes Whitepaper

Back to analog für Business Continuity

Gerade in industriellen Umgebungen von kritischen Infrastrukturen ist ein Betrieb mit hoher Verfügbarkeit, möglichst ohne jede Unterbrechung der Produktionsprozesse, absolut unabdingbar. Das Thema Business Continuity Management (BCM) spielt im Kontext der Security in diesem Bereich eine besonders grosse Rolle. Wenn ein Cyberangriff erfolgt und dadurch Infrastruktur lahmgelegt wird, müssen möglichst typengleiche Systeme (Hardware) als Ersatzsysteme mit kompatibler Software (Firmware, Betriebssystem) unmittelbar bereitstehen, damit Backups zurückgespielt und Systeme wiederhergestellt werden können. Bis dies erfolgt ist, müssen zudem Ersatzprozesse möglichst sofort in Kraft treten.