Netzsicherheit/Die Organisation des Security-Managements in Unternehmen: IT-Schutz erfordert eine klare Strategie
Software und insbesondere IT-Security-Komponenten werden zunehmend danach bewertet, welchen Beitrag sie zur Kostensenkung leisten. Diese Tendenz zur Business-Intelligence-Software erfordert auch von der IT- Security einen erweiterten Blick auf Sicherheitsaspekte in den Geschäftsprozessen sowie eine veränderte IT-Sicherheitsdoktrin und damit eine besondere Organisation.
Grundsätzlich lassen sich innerhalb der IT-Sicherheit zwei Typen unterscheiden: Direkte Maßnahmen - zum Beispiel Firewalls - sollen regelwidriges Verhalten und daraus folgende Schäden verhindern; die Prozess-Security - dazu gehört zum Beispiel eine zentrale User- und Berechtigungsverwaltung - zielt auf den Ausbau und die Vertiefung der Organisation sowie der Geschäftsprozesse innerhalb der Organisation und deren Regeln ab.
Diese beiden Aspekte dominieren auch den Nutzen von Sicherheitsmaßnahmen: in direkter Weise durch eine Reduzierung des Gefährdungspotenzials und indirekt durch verbesserte Prozessabläufe, welche die Sicherheit erhöhen und Rationalisierungseffekte bewirken. Außerdem ermöglicht dieser Typ von Security-System betriebsorganisatorische Funktionen, die vorher nicht zu realisieren waren. Dazu gehören etwa ein automatisiertes Vier-Augen-Prinzip, oder die rollenbasierende Berechtigungsvergabe.
Die zunehmende Komplexität der Systemkomponenten und der damit verbundenen Security-Tools erfordert das Zusammenwirken von Fachleuten unterschiedlichen Profils mit Fokus auf Security-Aufgaben. Um der steigenden Zahl an Werkzeugen Herr zu werden, benötigen Unternehmen zusätzliches Personal. Dabei ist zwischen der Einführung und dem Betrieb zu unterscheiden. In der Regel erfordert die Einführung einer Sicherheitslösung tieferes fachliches Systemwissen und einen höheren Arbeitsaufwand.
Die Aufgaben der Security-Teams
Ein Security-Team (ST) muss systemübergreifend arbeiten können und den Systemanforderungen entsprechend zusammengesetzt sein. Nur so ist es in der Lage, die erforderlichen Komponenten unternehmensweit einzuführen und zu warten. Dabei ist in Abhängigkeit von den jeweils vorhandenen Kapazitäten zu prüfen, ob diese Fachkompetenz direkt im ST vorhanden ist oder ob ein virtuelles Team gebildet werden muss.
Ein Security-Teams muss:
- Ziele und verbindliche Security-Dokumente definieren,
- geeignete Security-Tools ermitteln, einsetzen und warten,
- die erforderliche Anwendung aller Security-relevanten Funktionen im System-Management sichern,
- Security-Prüfungen vornehmen,
- das Security-Management betreiben,
- ein System zum IT-Riskmanagement erarbeiten und pflegen,
- sowie die Security-Aktivitäten planen.
Wesentliche Aufgaben und Tools im Security-Bereich wirken plattformübergreifend. Dazu gehören zum Beispiele Single-Sign-On-Systeme, User-Management, Internet-Security-Produkte oder auch Backup-Lösungen. Zwangsläufig muss also auch das ST Aufgaben mit plattformübergreifendem Charakter bearbeiten. Bei der Einführung neuer Produkte sollte die Sicherheitsmannschaft mit einbezogen werden, um rechtzeitig auf eventuell entstehende Probleme hinweisen und einwirken zu können. Empfehlenswert ist ein Formblatt zur Projektinitialisierung, das die Verantwortlichen zwingt, zu Security-Problemen innerhalb des Projektes Stellung zu nehmen.
Zur Organisation gehört auch die klare Zuordnung der vorhandenen Sicherheitslösungen (etwa Tools zur Unterstützung des Risiko-Managements oder Intrusion-Detection) zum ST. Außerdem sollte geklärt werden, wer die Verantwortung über die nicht eindeutig zuzuordnenden Produkte trägt - hierzu gehören etwa das zentrale User- und Berechtigungs-Management und andere Lösungen, die sowohl System-Management- als auch Sicherheitsfunktionen enthalten.
Mit der Produktverantwortung verbunden ist die Budgetfrage. Die Ausweitung des Einsatzes von Security-Tools auf die Mandanten (Kunden) ist angesichts der steigenden Bedeutung des IT-Risk-Management ein wesentlicher Service, der an einer Stelle für den ganzen Konzern erbracht wird und intern verrechenbar ist. Durch den einmaligen und konzentrierten Aufwand ergibt sich ein nachweisbarer Nutzen gegenüber unkoordinierten Alleingängen.
Das ST ist in der Regel nicht in der Lage, alle relevanten Bereiche komplett abzudecken. Deshalb haben sich in der Praxis virtuelle Security-Teams - bestehend aus dem Kernteam und Experten anderer Bereiche - bewährt. Das ST leitet diese Einheiten und organisiert so eine vertikale und horizontale Durchdringung aller IT-Bereiche. Die Schlüsselplattformen des Unternehmens sollten jedoch dem ST zugeordnet sein. Diese Aufgabe nehmen die System-Security-Manager (SSM) wahr.
Neben der Pflege der vorhandenen Tools übernimmt der SSM administrative Aufgaben im Access-Management. Dazu gehören die Definition erforderlicher Rechte für bestimmte fachliche Rollen und deren Verwaltung, Audit-Aufgaben im Bereich der Systemplattform, die Bearbeitung der Alerts sowie die Zuarbeit zum IT-Risk-Management. Für ein virtuelles Security-Team sind prinzipiell zwei Organisationsformen (inklusive Mischformen) möglich.
Security-Team plus Fachteams
Bei der ersten Variante nimmt das ST nur eine anleitende und prüfende Funktion wahr. Der eigentliche Einsatz und die fachliche Betreuung der Security-Tools erfolgen in den jeweiligen Fachteams (Host, AIX, NT, Netzwerke, Internet). Von Vorteil ist hierbei, dass keine wesentliche zusätzliche Belastung des ST entsteht, weil die Zusatzkapazitäten in den Fachteams aufzubringen sind. Nachteilig kann sich jedoch die fachliche Trennung des ST von den Security-Tools auswirken.
Ausweitung des Security-Teams
Bei der zweiten Variante wird das ST um Fachkompetenz beispielsweise für die Bereiche Host, AIX, NT, Netze oder Internet ausgeweitet, da dies zwangsläufig nicht in einer Person vereinbar ist. Hier ist keine wesentliche zusätzliche Belastung der anderen Fachteams nötig. Zudem ist es möglich, die Kapazitäten und Verantwortlichkeiten sauber zu trennen. Die Verantwortung für die Spezial-Tools liegt nun im Security-Bereich. Dadurch kann die Dienstleistung IT-Sicherheit effektiver angeboten werden. Allerdings ist der möglichen fachlichen Abkopplung des ST von den Systemplattformen durch entsprechende Maßnahmen entgegenzuwirken.
Die Security-Richtlinien sollten in der Verantwortung des Security-Teams liegen. Sie werden zwar von der internen Revision gefordert und auch geprüft, nützen in der Regel aber nicht viel, wenn sie nicht an bestimmte Abläufe gebunden sind. Die Richtlinien sind in das Antragsverfahren möglichst so zu integrieren, dass mit der Vergabe von Berechtigungen die nachweisliche Kenntnisnahme von Richtlinien verbunden ist. Dies lässt sich jedoch nur auf elektronischem Wege realisieren und absichern.
Als Bestandteil des IT-Risk-Management sowie der Vorgaben des Gesetzes für Kontrolle und Transparenz in Unternehmen (KonTraG) ist die Sicherheit der IT im Rahmen des unternehmensweiten Risiko-Managements zentral zu überwachen. Dazu muss die Abteilung IT-Security einmal im Jahr eine Risikoanalyse vornehmen, die anhand von quantifizierten Aussagen belegt, dass die notwendigen Sicherheitsniveaus eingehalten werden. Insbesondere die interne Revision verlangt derzeit mit Nachdruck Metriken für das IT-Risk-Management. Vom Institut für System-Management (ISM) steht hierzu unter anderem das Tool "Riscon" zur Verfügung, das beispielsweise die Risiken, Ursachen und Maßnahmen entsprechend bewertet und eine resultierende Risiko-Prioritäts-Zahl bereitstellt. (ave)
*Prof. Dr. Gerd Rossa ist Geschäftsführer des Instituts für System-Management in Rostock.
Angeklickt
Das Management der IT-Sicherheit ist eine komplizierte Aufgabe. Unternehmen können ihr mit der Bildung von Sicherheits-Teams begegnen. Diese sollten unter anderem
- systemübergreifend arbeiten,
- mit allen betroffenen Fachabteilungen kooperieren,
- die relevanten Tools betreuen,
- Sicherheitsrichtlinien erstellen sowie
- die Security-Aktivitäten planen und koordinieren.
Die 10 Gebote der Netz Sicherheit
Immer mehr Nutzer bewegen sich täglich im Internet. Dort gibt es viele Informationen, aber auch wie in der realen Welt Datensammler, Kriminelle und Industriespionage.
So gilt es die Privatsphäre zu wahren.
Wer Sicherheit der Freiheit vorzieht, bleibt zu Recht ein Sklave.
Aristoteles
So ist klar: Mit dem gesunden Menschenverstand muss jeder abzuwägen, wie Freiheit und Sicherheit im richtigen Maß erhalten werden können.
Welche Bereiche umfasst die Netzsicherheit
Schutz vor Datenverlust
Sicherheit vor Fehlverhalten
Komprimitierung verhindern
Schutz bei Angriffen
Schritte zu grundlegender Sicherheit im Internet
Durch eine geeignete Planung kann der Kompromiss zwischen Freiheit und Sicherheit abgestimmt werden. Dazu gehört die Festlegung der Ziele und die Auswahl der geeigneten Maßnahmen. Für die Umsetzung und Betrieb werden Ressourcen gebraucht, die auch bereit gestellt müssen. Änderungen dürfen nur Personen mit Know-How durchführen. Die Folgen sind durch eine Risikoanalyse abzuschätzen.
Die 10 Gebote der Netzsicherheit
Verantwortlichkeiten festlegen Einvernehmliche Regeln festlegen Genügend Ressourcen bereitstellen Die Nutzer stets einbeziehen Wichtige Prozesse und Abläufe definieren Regelmäßige Sicherung der Daten Einsatz von Firewall und Antiviren Programmen Verschlüsselung von wichtigen Internet Verbindungen und E-Mails Kritischer Umgang mit persönlichen Daten in sozialen Netzwerken und in der Cloud Die Handlungen des Menschen hinter den Computern sind das größte Risiko
Wie sagte bereits der ehemalige US Präsident Benjamin Franklin:
Jene, die grundlegende Freiheit aufgeben würden, um eine geringe vorübergehende Sicherheit zu erwerben, verdienen weder Freiheit noch Sicherheit.
Franklin und Aristoteles hatten eine Vorahnung. So sind Sklaverei, Unterdrückung und das Faustrecht des Stärkeren, damals wie heute in der NWO festgeschrieben. Dauerhafte Sicherheit gibt es auch heute nicht.
Die Teilnahme der APG an EQUIGY erhöht die Netzsicherheit in Deutschland
Mehr Flexibilität für das Stromnetz: Austrian Power Grid (APG) tritt europäischem Konsortium EQUIGY bei
(WK-intern) – Die digitale „Crowd-Balancing-Platform“ Equigy hilft, die Energiewende zu managen und erleichtert neuen, kleinteiligen Akteuren die Teilnahme an den Märkten für Regelenergie sowie am Redispatch Portfolio.
APG ist am 1. Februar neben den Übertragungsnetzbetreibern Swissgrid (CH), Tennet (Deutschland/Niederlande) und Terna (IT) als fünftes Gründungsmitglied der Crowd-Balancing-Plattform EQUIGY beigetreten.
Ziel des Konsortiums ist es, kleinteilige Akteure als Systemdienstleister zu präqualifizieren und dadurch – vor dem Hintergrund einer zunehmend erneuerbaren Stromerzeugung – die Netzregelung zu verbessern. APG fokussiert vor allem darauf, die Märkte für Regelenergie und das Redispatch Portfolio zu erweitern und effizienter zu machen.
Digitale Plattform ermöglicht kosteneffiziente Energiewende
Erneuerbare Energie deckt immer häufiger den Stromverbrauch in Teilen Europas. Auch in Österreich wächst der Anteil von wetterabhängiger Wind- und Sonnenkraft an der Stromproduktion stetig. Gleichzeitig steigt der Strombedarf durch neue Verbraucher wie Elektroautos, Wärmepumpen, strombasierte Produktionsprozesse in Wirtschaft und Industrie oder Batteriespeicher. Thomas Karall, kaufmännischer Vorstandsdirektor der APG, analysiert die aktuelle Situation: „Für Übertragungsnetzbetreiber wie APG wird es angesichts der Transformation des Energiesystems immer aufwendiger, das sensible Gleichgewicht zwischen Erzeugung und Verbrauch in Balance zu halten. Damit das auch in Zukunft gelingt, müssen wir allen StromkundInnen einen transparenten Zugang zum Stromsystem ermöglichen – Haushalten genauso wie Industrie und Gewerbe. Sie werden dadurch zum Systemdienstleister und können zur Netzregelung und damit zur sicheren Stromversorgung beitragen. Dazu braucht es dringend neue Tools und Maßnahmen.“ Karall ist überzeugt: „Unser Beitritt zu EQUIGY ist ein konsequenter und notwendiger Schritt: In enger Zusammenarbeit mit unseren Partner-Netzbetreibern entwickeln wir im Rahmen des Konsortiums innovative, digitale Lösungen und schaffen Standards, um die Energiewende auf nationaler und internationaler Ebene noch besser bzw. kosteneffizient zu managen. Nur so können wir auch in Zukunft die sichere Stromversorgung Österreichs auf dem gewohnt hohen Niveau gewährleisten.“
Effizienzsteigerung und Demokratisierung am Regelenergiemarkt
EQUIGY hilft, die kleinteiligen, dezentralen Erzeugungs- und Speicherkapazitäten der neuen Akteure sowohl auf nationaler als auch europäischer Ebene in aggregierter Form für den Netzregelungsprozess nutzbar zu machen. Damit trägt die Plattform wesentlich zur Netzstabilisierung bei und steigert die Effizienz am Regelenergiemarkt. Karall zu den ersten konkreten Schritten von APG: „Im Zuge eines ersten Pilotprojekts erweitern wir den bestehenden Markt für Sekundärregelreserven um die Einbindung von Flexibilitäten via EQUIGY.“ Die Kooperation der Übertragungsnetzbetreiber vergrößert also den Markt für flexible Stromressourcen – nicht zuletzt die kritischen Ereignisse vom 8. Jänner 2021 im europäischen Verbundnetz haben einmal mehr gezeigt, wie unverzichtbar die intensive, gut koordinierte internationale Zusammenarbeit für die sichere Stromversorgung ist. Ausreichende Flexibilität im Stromnetz ist auch im Tagesgeschäft das Maß der Dinge.
Einbindung von Redispatch-Maßnahmen
Die Teilnahme der APG an EQUIGY erhöht die Netzsicherheit hierzulande: „Drohende Überlastungen des Übertragungsnetzes müssen von APG mittlerweile fast täglich mit der Notmaßnahme Redispatch gelöst werden. Allein 2020 betrugen die Kosten für diese kurzfristige Aktivierung oder Drosselung von Kraftwerken rund 134 Millionen Euro,“ so Karall, und gibt erste Einblicke in zukünftige Anwendungsgebiete: „Ein weiteres Projekt wird daher die Einbindung flexibler Einheiten via EQUIGY für Redispatch-Maßnahmen sein: Mithilfe der Plattform wird die Möglichkeit für zusätzliche Anbieter geschaffen das Redispatch Portfolio zu erweitern und das Stromversorgungssystem wird insgesamt flexibler und sicherer.“ Zur Umsetzung dieses Zukunftsprojekts kooperiert APG eng mit den österreichischen Verteilnetzbetreibern und Marktteilnehmern.
APG profitiert von einem etablierten System
APG arbeitet bereits seit geraumer Zeit an einem technischen System, um die Anbindung kleinteiliger Stromkunden an die diversen Märkte zu bewerkstelligen. 2019 hat der Übertragungsnetzbetreiber auch in Österreich eine Flexibilisierungsplattform gemeinsam mit Verteilnetzbetreibern gestartet. Mit dem Beitritt zu EQUIGY kann APG nun auf ein bereits etabliertes Instrument zugreifen und vom Wissenstransfer durch andere Überragungsnetzbetreiber profitieren. Die Blockchain-basierte Plattform ist für Netzbetreiber und Aggregatoren offen und damit auch für traditionelle IT-Technologien anwendbar.
Über Austrian Power Grid (APG)
Austrian Power Grid (APG) ist Österreichs unabhängiger Stromnetzbetreiber, der das überregionale Stromtransportnetz steuert und verantwortet. Die Infrastruktur der APG sichert die Stromversorgung und ist somit die Lebensader Österreichs, der Bevölkerung und seiner Unternehmen. Das APG-Netz erstreckt sich auf einer Trassenlänge von etwa 3.400 km, welches das Unternehmen mit einem Team von rund 600 Spezialistinnen und Spezialisten betreibt, instand hält und laufend den steigenden Anforderungen seitens Wirtschaft und Gesellschaft anpasst. Die Kapazitäten des Stromnetzes der APG sind die Voraussetzung für das Gelingen der Energiewende. Mitarbeiter entwickeln die geeigneten Marktprodukte, beherrschen die Physik und garantieren Sicherheit und Effizienz für Österreich. Mit einem Investitionsvolumen in Höhe von 350 Millionen Euro für den Aus- und Umbau der Netzinfrastruktur 2020 gibt APG der heimischen Bauindustrie einen kräftigen Impuls. Insgesamt wird APG rund 2,9 Milliarden Euro in den kommenden zehn Jahren in den Netzaus- und Umbau investieren. Das sind rund 16 Prozent der insgesamt 18 Milliarden Euro, die die E-Wirtschaft in den kommenden zehn Jahren in den Netzausbau investieren wird. Beim Sustainable Brand Rating 2020 wird APG in der Kategorie Versorgungs-Infrastruktur auf Platz eins gewählt, im Gesamtrating der Kategorie Investment auf Platz zwei.
ÜBER EQUIGY
EQUIGY spielt eine Schlüsselrolle bei der raschen Umsetzung der Energiewende und der Integration des Energiesystems. Mit seiner europäischen Crowd-Balancing-Platform schafft EQUIGY die Voraussetzung für einen vertrauenswürdigen Datenaustausch und damit die Möglichkeit für Aggregatoren mit kleinen und flexiblen Ressourcen wie Batteriespeicher und Elektroautos an den Regelenergiemärkten teilzunehmen. So werden Konsumenten zu Prosumenten. Gegründet von den drei nationalen Übertragungsnetzbetreibern TenneT, Swissgrid und Terna zielt EQUIGY darauf ab, in ganz Europa branchenübergreifende Standards zu schaffen, als Grundlage für ein zukunftsorientiertes, verlässliches und kosteneffizientes Stromsystem, das nicht von fossilen Brennstoffen als Flexibilitätsquelle abhängig ist.
PM: TenneT
PB: Equigy