Cybersicherheit
GRI 103: Managementansatz (103-1, 103-2, 103-3)
Relevanz
Die weltweite Zunahme von Cyberangriffen und die Professionalität, mit welcher cyberkriminelle Organisationen agieren, stellen alle Unternehmen vor die Herausforderung, Sicherheitsstrategien zu entwickeln, umzusetzen und laufend zu überprüfen. Auch Betreiber von kritischen Infrastrukturen sind gefordert, eine Cyber-Sicherheitsstrategie umzusetzen, die einen umfassenden Schutz ihrer Produktionsanlagen und der kritischen IT-Systeme gewährleistet. Die allermeisten Alpiq Kraftwerke spielen für die zuverlässige Stromversorgung in den jeweiligen Ländern eine wichtige Rolle. Leider stellen die sich ständig weiterentwickelnden Cyberbedrohungen für alle Energieversorger eine echte Gefahr dar. Der Schutz vor gezielten Cyberangriffen ist deshalb ein wichtiger Bestandteil der Sicherheitsstandards der eigenen Kraftwerke.
Managementansatz und Beurteilung
Im Unternehmen werden Richtlinien für das Management und die Organisation der Unternehmenssicherheit entwickelt. Das Business-Continuity-Management (BCM) stellt sicher, dass alle kritischen Geschäftsprozesse im Fall von internen oder externen Vorkommnissen fortgeführt oder zeitnah wiederhergestellt werden können. Die Cybersicherheit der Kraftwerke und der kritischen IT-Systeme ist Teil dieses BCM-Ansatzes.
Im Fall von bedeutenden Cybersicherheitsvorfällen ist Alpiq in der Lage, Notfall- und Krisenstäbe aufzustellen. Das Unternehmen ergreift alle erforderlichen organisatorischen Massnahmen, um sicherzustellen, dass alle Vorfälle, die sich negativ auf die IT-Umgebung auswirken könnten, zeitgerecht behandelt werden. Sicherheitsvorfälle werden nach genau definierten Ereignis- und Reaktionsplänen behandelt und dokumentiert. Die Sicherheitsüberwachung findet auf verschiedenen Ebenen statt. Zum Beispiel wird die Implementation von Geschäftsanwendungen in der Cloud auf Einhaltung von Vorgaben gemäss Sicherheitsarchitektur geprüft und der Betrieb der Anwendungen aktiv überwacht. Ein etabliertes Schwachstellenmanagement sorgt dafür, dass identifizierte Schwachstellen zeitnah und nachhaltig behoben werden. Ebenso gehört zu einem effizienten Schwachstellenmanagement die ständige Aktualisierung aller kritischen IT-Systeme auf Server- und Benutzerebene mit neuester Sicherheitssoftware.
Krisenmanagementpläne enthalten eine Mindestanzahl von Szenarien. So werden zum Beispiel für Wasserkraftwerke Richtlinien für das Risikomanagement verwendet, um die Cybersicherheitsrisiken jährlich zu beurteilen und geeignete Massnahmen zu treffen.
Um ein hohes Kompetenzniveau zu wahren, führt Alpiq regelmässig Schulungen und Simulationsübungen durch, die auf realistischen Szenarien basieren. Die Simulationsübungen erlauben es, die Prozesse zu prüfen, indem Alpiq die Notfall- und Krisenstäbe sowie die Systeme aktiviert und in eine reale Situation mit Cyberattacken versetzt, zum Beispiel Penetrationstests oder Ausfall kritischer Systeme. Regelmässige interne Audits gestatten es, den Reifegrad der Sicherheit zu bestimmen.
Der Reifegrad der Cybersicherheitsrichtlinien wird auch periodisch auf Grundlage der Schweizer Mindeststandards in allen Bereichen der Cybersicherheit beurteilt.
Als Mitglied des Energiesektors wird Alpiq vom Nationalen Zentrum für Cybersicherheit der Schweiz über die neuesten Bedrohungen für die Energiebranche informiert. Alpiq setzt die Empfehlungen um und engagiert sich in verschiedenen Arbeitsgruppen.