Ausgangslage
Als führender Komplettanbieter von Smart Metering-Lösungen verfolgt Discovergy das Ziel, mit seiner Messtechnik sämtliche Energieverbräuche für den Kunden aufzuschlüsseln und somit zum Gelingen der Energiewende beizutragen. Die intelligenten Stromzähler der Discovergy GmbH machen es Endkunden, Kommunen und Unternehmen möglich, Verbrauch und Erzeugung bis ins Detail zu verstehen und damit den Verbrauch zu optimieren. Das Leistungsspektrum des Unternehmens umfasst neben der Entwicklung und dem Betrieb intelligenter Stromzähler auch die aufgeschlüsselte Verbrauchstransparenz in Webportalen und Apps.
Die Zusammenarbeit mit der migosens startete bereits 2016, als die Discovergy noch ein „Start-Up“ war und an ihren beiden Standorten in Aachen und Heidelberg knapp 20 Mitarbeiter beschäftigte.
Herausforderungen
Als Anbieter von Smart Metering Lösungen ist die Discovergy GmbH im Energieversorgungsumfeld der Zukunft tätig, bei dem intelligente Netze zum Einsatz kommen, die Energieerzeugung und -verbrauch effizient verknüpfen und ausbalancieren. Kernbausteine eines solchen Netzes sind intelligente Messsysteme, auch „Smart Meter“ genannt. Sie sorgen für eine aktuelle Verbrauchstransparenz und eine sichere Übermittlung von Messdaten.
Beim Aufbau und der Nutzung eines intelligenten Netzes werden personenbezogene Daten verarbeitet, deren Sicherheit und Schutz eine zentrale Voraussetzung für die öffentliche Akzeptanz intelligenter Messsysteme ist. Somit sind eine verbindliche Vorgabe für alle zukünftigen Messsysteme und deren sicherer Betrieb in Deutschland nötig, um ein hohes, angemessenes Maß an Integrität, Vertraulichkeit und Verfügbarkeit im Rahmen der Interoperabilität zu gewährleisten.
Zentrale Komponente ist hier die Kommunikationseinheit eines intelligenten Messsystems (Smart Meter Gateway – SMGW) mit integriertem Sicherheitsmodul (SecMod). Insbesondere für die Installation, Inbetriebnahme, den Betrieb, die Wartung und Konfiguration des SMGW ist der Smart-Meter-Gateway-Administrator (SMGW Admin) verantwortlich. Aus der Kritikalität der am SMGW Admin gebündelten Prozess- und Datenverantwortung ergibt sich ein besonderer Schutzbedarf. Daher muss sichergestellt sein, dass der IT-Betrieb beim SMGW Admin Mindestanforderungen zur Durchsetzung der Informationssicherheit genügt.
Durch die Tätigkeit der Discovergy GmbH als Smart-Meter-Gateway-Administrator (SMGWA) ist eine Implementierung eines Informationssicherheits-Managementsystems (ISMS) und eine anschließende Zertifizierung nach ISO/IEC 27001:2013 gesetzlich vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgeschrieben.
Wie für Unternehmen dieser Größe üblich, wurde IT-Sicherheit auf die einzelnen Anwendungsfälle bezogen sichergestellt, ohne dass es eine Gesamtstrategie gab.
Der Aufbau eines ISMS stellte insofern eine Herausforderung dar, als dass es dementsprechend keine dokumentierten Prozesse, keine Verfahren für das Risikomanagement sowie kein gelebtes Assetmanagement gab. Auch für die Mitarbeiter war das Thema Informationssicherheit als Gesamtkonzept „Neuland“, da diese nicht geschult waren und hierdurch Prozesse nicht aktiv unterstützen konnten. Hinzu kam, dass der Projektzeitplan einen möglichst zeitnahen Aufbau des ISMS vorsah, da regulatorische und vertragliche Anforderungen eine schnelle Umsetzung erforderten.
Neben der Zertifizierung war eine weitere Herausforderung der Discovergy GmbH, dass sie mit ihren Produkten noch nicht lange am Markt waren und somit nicht die Sichtbarkeit hatten, die sich das Unternehmen wünschte. Als neuer Anbieter von intelligenten Stromzählern musste zudem auch erst einmal ein Kundenstamm aufgebaut werden. Um das Vertrauen der Kunden in die Sicherheit der Datenverarbeitung bei der Aufschlüsselung der Verbrauchsdaten in Webportale und Apps zu gewinnen und somit eine öffentliche Akzeptanz der intelligenten Stromzähler zu erreichen, sollte die ISO 27001 Zertifizierung zusätzlich zur Erfüllung der gesetzlichen Vorgaben als Trust-Signal dienen. Dieses Sicherheitsmerkmal sollte als Marketinginstrument bei der Neukundengewinnung unterstützen.
Auch die Zertifizierung des Smart Meter Gateway Administrators (SMGWA) nach der Technischen Richtlinie TR-03109-6, welcher ein zentraler Eckpfeiler im intelligenten Energienetz der Zukunft ist, wurde im fortgeschrittenen Projektverlauf noch als Zusatzanforderung in das Projekt aufgenommen. Diese Messsysteme sind über Kommunikationsmodule, sogenannte Smart Meter Gateways mit unterschiedlichen Systemen vernetzt, z.B. beim Datentransfer mit dem lokalen Netzbetreiber.
Vorgehensweise
Zum Start der Implementierung des ISMS wurde eine gemeinsame Bestandsaufnahme durchgeführt. Hierbei wurden die Anforderungen der ISO/IEC 27001:2013 gegen bereits vorhandene Prozesse und Abläufe geprüft. Als Ergebnis gab es einen Bericht mit konkreten Handlungspunkten, der die Grundlage für den im Anschluss zu erstellenden Projektplan bildete. In diesem wurden die konkreten Arbeitspakete behandelt und dargestellt, die in Kurzform die folgenden Punkte umfassten:
- Assetmanagement: Erfassung aller Werte, die eine Relevanz für die Informationssicherheit haben, wie z.B. Laptops, Server oder Netzwerkkomponenten. Ebenfalls wurden auch sogenannte „weiche Assets“ wie Mitarbeiter oder Dienstleister lückenlos dargestellt.
- Risikomanagement: Erfassung der Gefährdungen, die ein Risiko für die Informationssicherheit ergeben können und dokumentierte Bewertung der Risiken.
- Richtlinie ISMS: Erstellung und Abstimmung der wichtigsten Regelungspunkte für ein ISMS und Bekanntgabe an die Mitarbeiter.
- Operative Prozesse: Dokumentation und Aufbau sämtlicher operativer Prozesse, die einen Einfluss auf die Informationssicherheit haben und von den Normen gefordert sind.
- Verbesserung des ISMS: Planung der internen Audits und dokumentierte Durchführung an beiden Standorten sowie Aufbau einer Methodik zur Messung des ISMS anhand von Kennzahlen.
Erfolge
Die migosens ist in Ihrer Arbeitsweise sehr flexibel, reagiert schnell auf Anfragen und neue Herausforderungen und kann durch Ihre Expertise im Bereich der Informationssicherheit immer praxisorientierte Lösungen anbieten, welche zu einem Erfolg des ISMS beitragen
Adrian Klare – ISMS Beuftragter, Discovergy GmbH
Folgende Erfolge konnten in dem gemeinsamen Projekt der ISMS-Implementierung erreicht werden.
- Beim Aufbau des Assetmanagements haben wir gemeinsam mit den Fachbereichen eine Richtlinie für das Assetmanagement im ISMS erstellt und im Unternehmen ausgerollt.
- Für das Risikomanagement wurde ein Prozess erstellt und gemeinsam mit den einzelnen Teams eine erste Risikobewertung vorgenommen.
- Aus den Ergebnissen der Risikobewertung und den Anforderungen der ISO27001 wurden die notwendigen Richtlinien und Prozesse dokumentiert erstellt und allen Mitarbeitern bekannt gegeben. Zu diesen gehörte unter anderem eine Richtlinie zur Personalsicherheit, eine Richtlinie für das Lieferantenmanagement und die IT-Sicherheit betreffenden Prozesse, wie das Changemanagement.
- An beiden Standorten wurden die Mitarbeiter in Präsenzschulungen zu den Themen der Informationssicherheit geschult, so dass alle Mitarbeiter ihren Mehrwert zur Informationssicherheit leisten können.
- Mitte des Jahres 2017 wurde dem ISMS bei der Discovergy GmbH durch ein Zertifizierungsaudit die Zertifizierungsreife des ISMS bestätigt und die Zertifikate für die ISO/IEC 27001:2013 durch den Zertifizierer erstellt.
Im Rahmen der erfolgreichen Zertifizierung des Smart Meter Gateway Administrators nach der Technischen Richtline TR-03109-6 wurden unter anderem folgende Tätigkeiten umgesetzt:
- Erstellung eines SMGWA IT-Sicherheitskonzeptes
- Dokumentierte Erstellung der Regelungen zur physischen Sicherheit des SMGWA
- Konzeptionierung und Umsetzung der Anforderungen an die physische Sicherheit des Raumes für den SMGWA
- Erweiterung der bestehenden ISMS-Richtlinien und Prozesse um die Anforderungen aus der TR-03109-6
- Schulung der betroffenen Mitarbeiter für die SMGWA
Aufgrund der strukturierten Vorgehensweise und dem guten Zusammenspiel aller Beteiligten im Laufe der beiden Implementierungsprojekte konnten beide angestrebten Zertifizierungen nach Plan erreicht werden und somit sowohl die gesetzlichen Anforderungen erfüllt als auch der Kundenwunsch nach einer sicheren Verarbeitung nach außen sichtbar dargestellt werden.
Die Discovergy hat sich mittlerweile am Markt positioniert und etabliert. Das Vertrauen der Kunden in die Datensicherheit konnte durch die erfolgreiche Zertifizierung nach ISO 27001 und dem gelungenen Einsatz als Trust-Signal gewonnen werden.
Auch nach Abschluss der beiden Projekte unterstützt die migosens das Unternehmen weiterhin bei dem Betrieb des ISMS und den ISMS-Beauftragten bei sämtlichen Themen zur Informationssicherheit, welche durch das Unternehmenswachstum von 20 auf heute 125 Mitarbeiter einzuhalten und umzusetzen sind. Im Jahr 2020 wurde eine erfolgreiche Re-Zertifizierung des ISMS durchgeführt.
Zum Autor
Stephan Auge ist Berater und Teamleiter im Bereich Managementsysteme. Bei der migosens GmbH liegt sein Schwerpunkt auf der Implementierung von Managementsystemen, vorrangig von Informationssicherheitsmanagementsystemen nach ISO27001. Auch die Prozessoptimierung und Beratungen zum Risikomanagement zählen zu seinen Aufgaben. Darüber hinaus ist Stephan Auge als Lead Auditor für die ISO27001, den IT-Sicherheitskatalog und Kritis-Prüfungen beim TÜV Rheinland bestellt.