Die TIWAG - Tiroler Wasserkraft AG erreichte die Zertifizierung nach dem internationalen Standard für Informationssicherheit ISO 27001. Damit gehört die TIWAG zu den fünf 27001-Vorreitern im österreichischen Energiesektor. Weitere zertifizierte Energieversorger sind Austria Power Grid, Linz Strom, it & tel / E-Werk Wels und die Energie AG Oberösterreich. "Grund dafür sind vor allem die gestiegenen Anforderungen im Datenschutz", erklärt Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS.

Sensible Messdaten

Im Wettbewerb um große Industriekunden zählen nicht mehr nur Preis und Versorgungssicherheit zu den schlagenden Auswahlkriterien bei Ausschreibungen, sondern zunehmend auch die Datensicherheit. Neben Kundenstamm- und Detaildaten wie Bankverbindungen sind auch die sensiblen Strommesswerte schützenswert. "Der Stromverbrauch von Großkunden lässt indirekte Rückschlüsse auf die Auftragslage und Auslastung zu. Daher sind Strommesswerte als streng vertrauliche Daten einzustufen", betont Harald Oleschko, IT-Security-Officer der TIWAG Tiroler Wasserkraft AG.

Datensicherheit mit System

Ausgehend von dem Grundgedanken der Risikominimierung in der Stromverteilung suchte die TIWAG nach einer praxistauglichen Norm für die IT- und Datensicherheit. Zwei Zielvorgaben sollten erfüllt werden, wie TIWAG-Vorstand Alfred Fraidl erklärt: "Höchste Maßstäbe in IT-Sicherheit und Datenschutz mit deutlicher Außenwirkung an Kunden und Partner." Vor diesem Hintergrund hat die TIWAG schließlich Kurs in Richtung ISO 27001 genommen, um ein standardisiertes Informationssicherheits-Managementsystem einzuführen. "ISO 27001 ist weltweit der einzige Standard für IT- und Informationssicherheit, dessen erfolgreiche Umsetzung mittels staatlich anerkanntem Zertifikat nachweisbar ist", so CIS-Chef Scheiber.

Business Continuity

Der Security-Standard ist branchen- und größenunabhängig einsetzbar. Mit seinem Fokus auf Sicherheit und Verfügbarkeit von Informationen wurden bei der TIWAG wichtige Kontrollziele wie die sichere IT-Betriebsführung mit Back-Up- und Recovery-Konzepten sowie Business Continuity und Notfallmanagement umgesetzt. "Zudem decken wir mit ISO 27001 automatisch wichtige Inhalte der jährlichen, verpflichtenden Wirtschaftsprüfung ab. Statt aufwendiger Einzelnachweise genügt für den IT-Teil der Prüfung die Vorlage unseres Zertifikats", berichtet Harald Oleschko.

ISO 27001: ganzheitlich

Der internationale Standard für Informationssicherheit ISO 27001 umfasst neben IT-Sicherheitstechnik auch die Security-Organisation mit Mitarbeiter-Awareness, Gebäudeschutz oder Umgebungssicherheit - wichtig bei Naturkatastrophen. Die erforderlichen Sicherheitsmaßnahmen werden mittels Risikoanalyse individuell eruiert. Die Maßnahmen-Umsetzung führt über Policies, Daten-Klassifizierung und Wirksamkeitskontrollen nach dem Prozessverbesserungsansatz Plan-Do-Check-Act. Dieses Vorgehen entspricht dem gesetzlich geforderten Sorgfaltsprinzip, wodurch sich auch das Haftungsrisiko für Unternehmen und Management reduziert. Webtipp: http://at.cis-cert.com/Systemzertifizierung/Ueberblick-ISO-27001-und-ISO-20000.aspx

(Ende)