05 Dec 2024
Cyber-Resilienz in der Schweizer Energiebranche: Warum klare Prozesse und Verantwortlichkeiten der Schlüssel zur IKT-Sicherheit sind
In der Schweiz spielt die Energiebranche eine zentrale Rolle für die Gesellschaft und Wirtschaft. Jeder Stromausfall – sei es durch technische Probleme oder Cyberangriffe – kann weitreichende Folgen haben. Wir sehen, dass Stromnetze immer intelligenter und komplexer werden, deshalb wird die Frage der Cyber-Resilienz immer lauter. Doch wie können Energieversorger ihre IKT-Resilienz gezielt verbessern?
Hier kommen strukturierte Ansätze ins Spiel: Klare Verantwortlichkeiten, definierte Prozesse, umfassende Richtlinien und ein starkes Informationssicherheits-Managementsystem (ISMS).
Mit dem ISMS lassen sich zudem viele der gesetzlichen Vorgaben des BFE umsetzen.
Verantwortlichkeiten und Organisation: Das RASCI-Modell als Erfolgsfaktor
Stellen wir uns ein kleines Wasserkraftwerk in einem Bergtal vor. Die technische Infrastruktur ist komplex und die Abhängigkeit von IT-Systemen hoch. Damit bei einem Sicherheitsvorfall alle wissen, was zu tun ist, müssen die Verantwortlichkeiten klar verteilt sein. Hier kommt das RASCI-Modell ins Spiel, ein Werkzeug, welches dabei hilft, Rollen und Zuständigkeiten präzise zu definieren.
Das Modell beantwortet zentrale Fragen: Wer ist für die Aufgabe verantwortlich? Wer trägt die Gesamtverantwortung? Wer wird bei Entscheidungen konsultiert und wer muss über Entwicklungen informiert werden?
Für einen Energieversorger bedeutet das konkret:
- Der IT-Leiter ist verantwortlich für die operationelle Umsetzung der Cyber Security
- Der CISO (Chief Information Security Officer) trägt die Verantwortung für die Umsetzung der Sicherheitsstrategie,
- Der CISO (Chief Information Security Officer) stellt mit einem adäquaten Information Security Management System die Grundvoraussetzungen für die Informationssicherheit sicher und überprüft diese regelmässig auf Angemessenheit.
- Das Technik-Team wird bei Fragen einbezogen,
- und die Geschäftsführung bleibt stets informiert.¨
Durch eine solche Struktur können alle relevanten Personen direkt und koordiniert handeln. Im Ernstfall gibt es keine Missverständnisse oder Verzögerungen, die einen Vorfall verschlimmern könnten.
Prozessmanagement: Das House of Processes
Cyber-Resilienz lebt von guten Prozessen. Ein Weg, diese zu visualisieren, ist das House of Processes. Dieses Modell zeigt, wie sich Prozesse in strategische, Management-, Kern- und Support-Prozesse unterteilen lassen, um alle Ebenen eines Unternehmens abzudecken.
Ein EVU (Elektrizitätsversorgungsunternehmen) in der Schweiz muss nicht nur die Sicherheit seiner IKT-Systeme gewährleisten, sondern auch den Betrieb der Stromversorgung schützen. Nehmen wir das Beispiel eines EVUs, dass neben der Stromproduktion mit seinen Kraftwerken auch die Übertragung und Verteilung von Strom koordiniert. Die Prozesse, die hier greifen, sind entscheidend für die Stabilität der gesamten Energieversorgung.
- Strategische Prozesse setzen die langfristigen Ziele und geben die Richtung vor, beispielsweise wie die Cyber-Resilienz im nächsten Jahrzehnt aussehen soll.
- Managementprozesse umfassen die regelmässige Überprüfung der Sicherheitsstandards.
- Die Kernprozesse in der Stromübertragung und -verteilung sind das Herzstück der Wertschöpfungskette, ein Cyberangriff mit Auswirkungen auf diese Prozesse könnte zu weitreichenden Stromausfällen führen.
- Die Supportprozesse helfen dabei, die Infrastruktur auf dem neuesten Stand zu halten und auf Bedrohungen vorbereitet zu sein.
Diese Strukturierung stellt sicher, dass das Unternehmen sowohl intern als auch extern eine hohe Resilienz aufweist. Der Strommarkt ist volatil, und jeder Prozess muss den Herausforderungen standhalten können.
House of Policy: Richtlinien als Fundament der Resilienz
Jedes Unternehmen benötigt Regeln und Richtlinien, um im Alltag sicher und effizient zu arbeiten – erst recht in der Cyber Security. Hier greift das House of Policy: Es dient als Leitlinie für Mitarbeitende, und ein festes Set an Richtlinien gibt klare Handlungsempfehlungen.
Denken wir an eine typische Situation: Ein neuer Mitarbeitender im technischen Team hat Fragen zur Handhabung sensibler Daten. Durch klare Anweisungen weiss er sofort, welche Standards er einhalten muss, um die verbindlichen-Vorgaben seines Unternehmens einhalten zu können.
Das House of Policy hilft, diese Anweisungen und Vorgaben klar darzustellen:
- Die Politik und Weisungen geben die allgemeine Marschrichtung vor und beschreiben WARUM etwas gemacht werden muss
- Richtlinien definieren WAS in welchen Sicherheitsdomänen zu tun ist
- Arbeitsanleitungen geben spezifische Vorgaben vor und beschreiben, WIE etwas gemacht werden muss,
- und Prozesse beschreiben den täglichen Umgang und bieten detaillierte Handlungsabläufe
Für ein Energieunternehmen bedeutet dies, dass jeder Mitarbeitende – vom Techniker bis zur Geschäftsleitung – klare Vorgaben erhält, wie sie im Sinne der Cyber-Sicherheit handeln sollten. In einer Branche, in der bereits ein kleiner Fehler schwerwiegende Folgen haben kann, sind solche Vorgaben ein Muss.
ISMS: Der Backbone der Cyber Security
Ein Informationssicherheits-Managementsystem (ISMS) ist der Kern einer nachhaltigen Cybersicherheit. Es strukturiert den Aufbau, Betrieb und die kontinuierliche Verbesserung der Sicherheitsmassnahmen.
Das ISMS arbeitet nach dem PDCA-Zyklus (Plan-Do-Check-Act), der die ständige Verbesserung sicherstellt. Es stellt ausserdem sicher, dass alle Beteiligten – von der Führungsebene bis zu den ausführenden Spezialisten – ihre Rollen und Verantwortlichkeiten kennen und regelmässig geschult werden.
Die von ALSEC und dem VSE entwickelten acht Phasen zur Implementierung eines ISMS leiten Unternehmen durch den gesamten Sicherheitsprozess: von der Identifikation und Bewertung von Risiken über die Festlegung der Schutzmassnahmen bis hin zur Überwachung und Überprüfung. Gerade für die Energiebranche ist es entscheidend, dass diese Phasen kontinuierlich durchlaufen werden, um auf neue Bedrohungen vorbereitet zu sein.
Ein Beispiel von uns aus der Phase 2: «Initialisierung»
Die zweite Phase der ISMS-Implementierung, die Initialisierung, legt die Basis für alle weiteren Sicherheitsmassnahmen. In dieser Phase schaffen Organisationen die nötigen Grundlagen, um eine robuste Sicherheitsstruktur aufzubauen. So werden Politik, Strategie und Ressourcen für die Informationssicherheit definiert.
Ein Beispiel: Ein Stromnetzbetreiber legt den Rahmen und Geltungsbereich für seine Cyber Security fest. Er erstellt eine detaillierte IST-Analyse, um seine aktuelle Sicherheitslage zu bewerten und potenzielle Schwachstellen zu identifizieren. Anschliessend baut er eine Sicherheitsorganisation auf und definiert klare Verantwortlichkeiten – sowohl für reguläre Betriebssituationen als auch für Notfälle. Schliesslich werden KPIs (Leistungsindikatoren) und Auditverfahren eingeführt, um die Sicherheitsmassnahmen kontinuierlich zu überwachen und zu verbessern.
Fazit: Die Resilienz von Energieunternehmen ist ein nationales Anliegen
Für die Schweizer Energiebranche ist die IKT-Resilienz weit mehr als nur ein technisches Thema. Es geht darum, die Grundlage der Energieversorgung und damit der Gesellschaft und Wirtschaft zu sichern. Ein umfassendes, gut strukturiertes Cyber Security Management unterstützt Energieversorger dabei, auf Bedrohungen angemessen zu reagieren und die Energieversorgung zuverlässig zu gewährleisten.
Mit den Modellen und Strukturen, die wir hier beleuchtet haben – vom RASCI-Modell über das House of Processes und das House of Policy bis hin zum ISMS – schaffen Unternehmen eine stabile Basis für die Zukunft. Die Schweiz und ihre Bürger können sich dadurch auf eine sichere und resiliente Energieinfrastruktur verlassen, die auch in Krisenzeiten verlässlich funktioniert. Und Unternehmen im Energiesektor erfüllen damit auch die neuen gesetzlichen Vorgaben des BFE .