Der Entscheidungsprozess
Bei der Suche nach einer neuen Softwarelösung für das Informationssicherheitsmanagement (ISMS) erfolgte das Vergabeverfahren auf Basis einer eigens entwickelten Entscheidungsmatrix, die auf mehrere Produkte verschiedener Anbieter angelegt wurde. Wichtige Kriterien waren:
- Übernahme der bisher genutzten Risikomatrix
- Überarbeitung der bestehenden Daten
- Intensiver Preis-Leistungs-Vergleich
Mit dem Modul information security, der Softwarelösung R2C_SECURITY bot die Schleupen SE ein ebenso zielgerichtetes wie auch zukunftssicheres Produkt an, zudem waren die große Erfahrung im Energiesektor sowie das attraktive Preis-Leistungs-Verhältnis überzeugende Argumente bei der Entscheidung für die Schleupen SE.
Höchste Sicherheit frühzeitig verwirklicht
Die infra legt bei ihrer Informationstechnik größten Wert auf durchgängige Sicherheitsaspekte: Schon im April 2005 wurden Grundsätze gültig für die gesamte Unternehmensgruppe erarbeitet. Mit Blick auf die gesetzlich verpflichtende Zertifizierung nach ISO/IEC 27001 und den IT-Sicherheitskatalog (IT-SiKa) für den Bereich der kritischen Infrastruktur bis spätestens 31.01.2018 sollte frühzeitig weiterhin höchste Sicherheit garantiert werden: Mit R2C_SECURITY, der Softwarelösung für das Informationssicherheitsmanagement (ISMS) der Schleupen SE, wurde dieses Ziel bereits 2017 verwirklicht.
Die infra fürth Unternehmensgruppe ist ein privatrechtliches Kommunalunternehmen der Stadt Fürth und Rechtsnachfolgerin der Stadtwerke Fürth. Das Leistungsspektrum umfasst die Bereiche Strom, Erdgas, Trinkwasser, Fernwärme und Stadtverkehr.
- Versorgt werden rund 70.000 Kunden.
- Zum Team zählen knapp 400 Mitarbeiter, davon 15 Auszubildende.
- Die Umsatzerlöse lagen 2016 bei 194,7 Millionen Euro.
- 2016 wurden Investitionen in Höhe von 25 Millionen Euro getätigt.
Die besondere Herausforderung
Unter dem Dach der infra sind die infra fürth dienstleistung gmbh und die infra fürth gmbh angesiedelt. Die neue Software-Lösung musste deshalb in die bestehende Zertifizierungsstruktur mit einem Zertifikatshalter (infra) und zwei Zertifizierungsbereichen mit jeweils etwas unterschiedlichen Zertifizierungsgrundlagen eingebettet werden. Die bisherige Risikomatrix war eine gute Grundlage: Sie bildete die spezifischen Richtlinien und Verfahren zur IT-Sicherheit ab, die der Implementierung und Durchführung eines Informationssicherheitsmanagementsystems (ISMS) dienten. Berücksichtigt waren auch die Merkmale des am 25. Juli 2015 in Kraft getretenen IT-Sicherheitsgesetzes (BSIG), das Betreibern von kritischen Infrastrukturen entsprechende Richtlinien vorgibt.
Die Anforderungen und Erwartungen an die neue Softwarelösung waren bei den Verantwortlichen der infra dementsprechend hoch: Es galt, die bereits seit Oktober 2006 bestehende Zertifizierung des Rechenzentrums mit der neuen verpflichtenden Zertifizierung ISO/IEC 27001 und dem IT-SiKa der kritischen Infrastruktur zu koppeln und dies gleichzeitig mit der Zertifizierungsstelle abzustimmen.
Die Umsetzung
Für eine Zertifizierung nach ISO/IEC 27001 hätte der Lizenzumfang des bisher eingesetzten ISMS-Tools erweitert werden müssen. Nach einer Bewertung der gängigsten ISMS-Tools entscheid man sich bei der infra deshalb für das Modul information security, der Softwarelösung R2C_SECURITY von Schleupen. Über das ISMS-Tool wurde eine Mandantenstruktur aufgebaut. Eine Übernahme der vorhandenen Daten aus dem vorherigen ISMS-Tool war nicht geplant, da die Umstellung zu einer generellen Überarbeitung der entsprechenden Daten genutzt wurde.
Als normenoffenes System ist das information security Moduleine wertvolle Unterstützung sowohl bei der Zertifizierung nach ISO 27001 als auch bei der Zertifizierung nach dem BSI-IT-Grundschutz. Bei der Informationssicherheit werden verschiedene Risiken wie höhere Gewalt, organisatorische Mängel, menschliches oder technisches Versagen sowie elementare Gefährdungen berücksichtigt.
Neben einem überzeugenden Preis-Leistungs-Verhältnis punktete das information security Modul schon in der Umsetzungsphase durch markante Vorteile: Dazu zählten unter anderem die Formbarkeit und Mitentwicklungsmöglichkeiten, die Anpassung auf die individuellen Anforderungen und die Mandantenfähigkeit. Bei der Implementierung waren zudem die weitreichenden Erfahrungen der Experten von Schleupen auf dem Energiesektor sehr hilfreich.
Der Prozessablauf
In die Implementierung des Moduls information security waren seitens der infra rund 50 Mitarbeiter involviert. IT-Sicherheit ist bei infra ein strukturierter und einheitlicher Prozess, der in der gesamten Unternehmensgruppe gelebt wird.
Während der Installations- und Einrichtungsphase erhielten die IT-Sicherheitsbeauftragten der infra vor Ort eine Schulung durch die Experten von Schleupen. Auf Basis der vorhandenen und der neu gewonnenen Erkenntnisse wurde dann ein Prüfungs- und Entscheidungskatalog erstellt und nach dessen Kriterien die einzelnen Tools begutachtet.
Die Erfolge
Frühzeitig wurde die avisierte Zertifizierung nach ISO/IEC 27001 und des IT-SiKa für den Bereich der kritischen Infrastruktur erreicht. Die Akzeptanz des ISMS ist im Haus infra über alle Bereiche gut.