Ich führe derzeit ein Audit einer Kritischen Infrastruktur im norddeutschen Raum durch. Der Einsatzort befindet sich in der Nähe von Hamburg, im südlichen Schleswig-Holstein. Die Region ist durch kleinere Städte geprägt, die funktional eng mit dem Wirtschafts- und Infrastrukturaum Hamburg verbunden sind. Eine dieser Städte ist Barmstedt, das rund 30 Kilometer nördlich von Hamburg liegt und typischerweise für die Versorgungsstruktur im Hamburger Umland steht. Das Audit wird im Auftrag einer Zertifizierungsgesellschaft durchgeführt und erfolgt nach den Anforderungen der ISO/IEC 27001, der ISO/IEC 27019 sowie des IT-Sicherheitskatalogs (IT-SiKat). Da es sich um eine Re-Zertifizierung handelt, auditiere ich alle relevanten Normabschnitte vollständig. Die Auditdurchführung erstreckt sich über nahezu fünf Tage und umfasst sowohl die Prüfung von Dokumentationen als auch Gespräche und Vor-Ort-Termine.
Ein zentraler Bestandteil meiner Tätigkeit ist die Betrachtung der technischen und organisatorischen Maßnahmen zur Informationssicherheit innerhalb der Kritischen Infrastruktur. Neben Richtlinien, Rollenmodellen und Prozessen beziehe ich auch die tatsächlichen betrieblichen Gegebenheiten in das Audit ein. In diesem Zusammenhang finden mehrere Begehungen im Geltungsbereich statt, die für die Energieversorgung eine wesentliche Rolle spielen. Während der Begehungen auditiere ich unter anderem Gasregelstationen sowie Trafostationen. Diese Anlagen unterliegen erhöhten Anforderungen, da sie unmittelbar zur Aufrechterhaltung der Versorgungssicherheit beitragen. Ein besonderer Fokus liegt dabei auf der eingesetzten Fernwirktechnik. Sie dient der Überwachung, Steuerung und Regelung technischer Prozesse und ist ein wesentlicher Bestandteil der IT- und OT-Infrastruktur.
Im Rahmen des Audits prüfe ich bei der Fernwirktechnik unter anderem Aspekte wie Zugriffsschutz, Netztrennung, Systemverfügbarkeit und die Einbindung in das bestehende Informationssicherheitsmanagementsystem (ISMS). Dabei berücksichtige ich sowohl die normativen Vorgaben der ISO-Standards als auch die regulatorischen Anforderungen des IT-Sicherheitskatalogs. Ziel ist es, sämtliche relevanten Anforderungen innerhalb des definierten Auditumfangs systematisch zu erfassen. Vielen Dank für die gute Zusammenarbeit!
#iso27001 #isms #iso27019 #itsikat #suhlingtooling