Swisspower | Cybersecurity: So läuft der Audit zum…

Cybersecurity: So läuft der Audit zum IKT-Minimalstandard ab

Seit 2018 empfiehlt der Bund Betreibern von kritischen Infrastrukturen, den IKT-Minimalstandard umzusetzen. Wie Energieunternehmen diese Forderung erfüllen können und wie ein Audit zum Minimalstandard abläuft, erklären Roman Brunschwiler, Bereichsleiter Finanzen und ICT der EW Höfe AG, und Adrian Märklin, Leiter Beratung & Services von Swisspower.

Was ist der IKT-Minimalstandard?

Adrian Märklin: Bei kritischen Infrastrukturen wie jenen der Energieversorgung trägt der Bund gemäss Verfassung eine Verantwortung gegenüber der Bevölkerung. Er muss Mittel zur Verfügung stellen, um die Infrastrukturen zu schützen. Bei der Informations- und Kommunikationstechnologie (IKT) tut er das mit dem Minimalstandard. Dieses Framework aus fünf Modulen und 106 Kontrollpunkten befähigt die Energieversorger, ihre IT-Resilienz zu steigern. Der IKT-Minimalstandard orientiert sich an den Cybersecurity-Standards des amerikanischen National Institute of Standards and Technology (NIST). Zudem lässt er sich mit der ISO-Norm 27001 zur Informationssicherheit vergleichen, ist aber pragmatischer ausgelegt. Jeder der 106 Kontrollpunkte ist auch mit einer ISO-Norm verknüpft.

Wie ging die EW Höfe AG vor, als der Bund vor drei Jahren den IKT-Minimalstandard einführte?

Roman Brunschwiler: Als Erstes informierten wir uns eingehend über den Minimalstandard. Wir waren uns der Wichtigkeit der Cybersecurity schon vorher bewusst und führten jährlich einen IT-Audit durch, vorwiegend aus technischer Perspektive. Mit der Empfehlung des Bundes für den Minimalstandard beschlossen wir, das Thema noch ganzheitlicher anzugehen und einen umfassenderen Audit durchzuführen.

Sie haben den Audit für den IKT-Minimalstandard kürzlich mit Unterstützung von Swisspower abgeschlossen. Was hat Ihnen das gebracht?

Roman Brunschwiler: Eine detaillierte Bestandsaufnahme zu unserer IT-Sicherheit. Wir haben erkannt, in welchen Bereichen zusätzliche Massnahmen erforderlich sind, um die Sicherheit weiter zu erhöhen. Ein Beispiel: Wir sichern uns nun gegenüber Drittanbietern, die auf unsere Systeme zugreifen, vertraglich stärker ab. Und wir sind ihnen gegenüber auch technisch restriktiver. Zugriffe ermöglichen wir nur noch dann, wenn sie für Wartungsarbeiten wirklich notwendig sind. Anschliessend sperren wir die Zugriffsrechte wieder.

Wie läuft ein solcher Audit ab und wie gross ist der Aufwand dafür?

Adrian Märklin: Wir prüfen und bewerten das Unternehmen entlang der 106 Kontrollpunkte. Dazu führen wir einen Review der dafür erarbeiteten Dokumente sowie der gesamten IT-Architektur durch. Am Ende resultiert eine Gesamtpunktzahl, welche die Maturität der IT-Sicherheit aufzeigt. Ausserdem geben wir Empfehlungen ab, welche zusätzlichen Massnahmen umzusetzen und in welchen Punkten die Dokumente zu ergänzen sind. Ein solcher Prozess dauert sechs bis zwölf Monate. Bei der EW Höfe AG verliefen die Arbeiten sehr speditiv.

Roman Brunschwiler: Wir führten rund zehn Workshops im Zwei-Wochen-Rhythmus durch. Dabei besprachen wir detailliert, wie gut unsere Sicherheitsvorkehrungen die Tatbestände der Kontrollpunkte erfüllen. Der Aufwand war also gross – noch grösser als erwartet. Aber er hat sich gelohnt, weil wir nun unsere Schwachpunkte kennen und eliminieren können. Wir wissen zum Beispiel ganz konkret, was es für den Betrieb und die Versorgungssicherheit bedeutet, wenn eine Systemkomponente wie eine Firewall oder ein Switch ausfällt.

Adrian Märklin: Der Begriff «Minimalstandard» wird dem Audit nicht gerecht. Viele Kontrollpunkte lassen sich nicht einfach mit Ja oder Nein beantworten, sondern erfordern eine detaillierte Beschreibung von Technologien und Prozessen.

Wie haben Sie die Zusammenarbeit mit Swisspower erlebt?

Roman Brunschwiler: Sehr angenehm. Wir haben Swisspower als fachkundigen, unterstützenden Partner erlebt und von vielen praktischen Tipps profitiert.

Adrian Märklin, Leiter Beratung & Services
Adrian Märklin, Leiter Beratung & Services
«Nicht zuletzt empfehle ich Unternehmen, immer wieder ihre Mitarbeitenden zu schulen. Denn etwa 80 Prozent der Attacken erfolgen über E-Mails.»

Was können Energieversorger über den IKT-Minimalstandard hinaus tun, um sich gegen Cyberangriffe zu schützen – gerade auch kleinere Unternehmen?

Adrian Märklin: Cybersecurity ist kein Projekt, sondern ein laufender Prozess. Er erfordert Ressourcen und Expertise. Nur dann erkennen die Energieversorger die Bedrohungen und ihre Schwachpunkte in der Abwehr. Die grösste Gefahr für die IT-Sicherheit ist Unwissen. Wenn kleinere Unternehmen nicht über das interne Fachwissen verfügen, um sich der Thematik professionell anzunehmen, sollten sie mit einem externen Partner zusammenarbeiten. Auch Kooperationen lohnen sich, weil sie im Austausch das Bewusstsein für aktuelle Gefahren schaffen. Nicht zuletzt empfehle ich Unternehmen, immer wieder ihre Mitarbeitenden zu schulen. Denn etwa 80 Prozent der Attacken erfolgen über E-Mails. Energieversorger sollten verhindern, dass sie von Hackern mit so wenig Aufwand erwischt werden.

Roman Brunschwiler: Deshalb führt Swisspower bei uns eine fünfteilige Awareness-Schulung durch. Das Thema hat für uns hohe Priorität. Wir machen die Mitarbeitenden bei jeder Gelegenheit auf die IT-Gefahren aufmerksam.