Berlin – die deutsche Hauptstadt ist nicht nur politisches Zentrum, sondern auch ein wichtiger Knotenpunkt der Energieversorgung für Berlin und Umgebung. Genau hier bin ich als Coauditor Teil eines mehrtägigen Audits, das sich um nichts Geringeres dreht als die Sicherheit und Verfügbarkeit kritischer Infrastrukturen. Schon die Anreise vermittelt Spannung: die Vielfalt der Stadt, die Bedeutung des Energieversorgers und die besondere Rolle der angewandten Standards bilden den Rahmen für intensive Audittage. Das Audit erfolgt auf Basis von drei Regelwerken, die für Betreiber im Energiesektor von zentraler Bedeutung sind: ISO/IEC 27001 als internationaler Standard für Informationssicherheits-Managementsysteme, ISO/IEC 27019 als branchenspezifische Erweiterung für Energieversorger sowie der SiKat (IT-Sicherheitskatalog), der regulatorische Anforderungen in Deutschland konkretisiert. Diese Kombination stellt sicher, dass sowohl die grundlegenden Aspekte der Informationssicherheit als auch die spezifischen Herausforderungen des Energiesektors berücksichtigt werden.
Eine besondere organisatorische Herausforderung besteht darin, dass wir drei Auditoren gemeinsam tätig sind. Um die Auditzeit für den Kunden so effizient wie möglich zu gestalten, teilen wir uns in drei Gruppen auf. Jeder übernimmt einen eigenen Schwerpunkt und auditiert unabhängig an verschiedenen Standorten. Dadurch lässt sich die gesamte Auditzeit praktisch dritteln – ein Vorteil sowohl für den Energieversorger, der mehrere seiner kritischen Einrichtungen gleichzeitig überprüfen lassen kann, als auch für uns Auditoren, die dadurch Einblicke in die unterschiedlichen Facetten des Unternehmens gewinnen. Für mich ist es interessant, die verschiedenen Standorte kennenzulernen. Jeder Ort zeigt seine ganz eigenen Besonderheiten – von der technischen Infrastruktur über die Sicherheitskonzepte bis hin zu den organisatorischen Abläufen (Anmeldung, Zutritte, Videoüberwachung). Gerade im Energiesektor wird sehr schnell deutlich, wie eng Betriebssicherheit, Informationssicherheit und die Verfügbarkeit der Systeme miteinander verzahnt sind. Ich erlebe unmittelbar, wie viel Detailarbeit und Planung in diese Prozesse einfließt. Das Ein- und Austragen in die Stationsbücher gehört dazu.
Natürlich darf bei aller Ernsthaftigkeit eines Audits auch das Zwischenmenschliche nicht zu kurz kommen. Die Zusammenarbeit mit meinen beiden Auditorenkollegen ist von Beginn an sehr kollegial. Jeder bringt seine Erfahrung ein, und wir stimmen uns eng ab, sodass sich ein stimmiges Gesamtbild ergibt. Auch auf Kundenseite ist die Atmosphäre ausgesprochen positiv: die Mitarbeitenden begegnen uns offen, kooperativ und stets bereit, Fragen zu beantworten und Nachweise bereitzustellen. Solche Rahmenbedingungen machen die Arbeit als Auditor nicht nur einfacher, sondern auch menschlich sehr angenehm. Ein besonderes Highlight ist unser gemeinsames Abendessen in der Berliner Innenstadt. Nach einem langen und intensiven Tag voller Eindrücke tut es gut, in entspannter Runde zusammenzusitzen. Zwischen Pizza und Pasta, zwischen Gesprächen über Fachliches und Privates, entsteht ein Moment, in dem die Hauptstadt ihren besonderen Charme entfaltet – Berlin eben. Am Ende der Audittage blicke ich mit Dankbarkeit auf das Audit. Ich freue mich über die interessanten Einblicke in kritische Infrastrukturen, über die gute Zusammenarbeit mit allen und über die angenehme Kooperation mit dem Energieversorger. Berlin verdeutlicht mir einmal mehr, dass Audits nicht nur Prüfungen und Checklisten sind. Sie sind auch Reisen in die Strukturen, die unser tägliches Leben technisch und organisatorisch ermöglichen – in diesem Fall die sichere Energieversorgung. Mit vielen neuen Eindrücken im Gepäck und der Gewissheit, Teil eines konstruktiven Prozesses zu sein, sage ich: Vielen Dank an alle Beteiligten.
Read English below 🇬🇧:
Capital Audit: Insights from an Energy Audit in Berlin
Berlin – Germany’s capital is not only a political center but also an important hub for energy supply for Berlin and its surrounding area. Here I am, as a co-auditor, part of a multi-day audit that deals with nothing less than the security and availability of critical infrastructures. Even the journey conveys a sense of excitement: the diversity of the city, the importance of the energy provider, and the special role of the applied standards form the framework for intensive audit days. The audit is based on three sets of rules that are of central importance for operators in the energy sector: ISO/IEC 27001as the international standard for information security management systems, ISO/IEC 27019 as the sector-specific extension for energy providers, and SiKat (IT Security Catalogue), which specifies regulatory requirements in Germany. This combination ensures that both the fundamental aspects of information security and the specific challenges of the energy sector are taken into account.
A special organizational challenge is that the three of us auditors are working together. To make the audit time as efficient as possible for the client, we divide into three groups. Each of us takes on a specific focus and audits independently at different sites. This way, the total audit time is practically divided by three – a benefit both for the energy provider, who can have several of its critical facilities checked simultaneously, and for us auditors, who thereby gain insights into the different facets of the company. For me, it is particularly interesting to get to know the different sites. Each place has its own unique characteristics – from the technical infrastructure to the security concepts to organizational procedures such as registration, access control, and video surveillance. Especially in the energy sector, it becomes quickly apparent how closely operational safety, information security, and system availability are intertwined. I experience firsthand how much detail and planning goes into these processes. Even signing in and out of the station logbooks is part of it.
Of course, despite the seriousness of an audit, the human aspect must not be neglected. The cooperation with my two auditor colleagues is collegial from the very beginning. Everyone contributes their experience, and we coordinate closely so that a coherent overall picture emerges. The atmosphere on the client’s side is also very positive: the employees are open, cooperative, and always ready to answer questions and provide evidence. Such conditions make the work as an auditor not only easier but also personally rewarding. A special highlight is our joint dinner in downtown Berlin. After a long and intensive day full of impressions, it feels good to sit together in a relaxed setting. Between pizza and pasta, between conversations about professional topics and personal matters, a moment arises in which the capital unfolds its very special charm – that’s Berlin.
At the end of the audit days, I look back with gratitude. I am pleased about the interesting insights into critical infrastructures, the good cooperation with everyone, and the pleasant collaboration with the energy provider. Berlin once again makes it clear to me that audits are not only about checks and checklists. They are also journeys into the structures that technically and organizationally enable our daily lives – in this case, the secure energy supply. With many new impressions in mind and the certainty of being part of a constructive process, I say: Thank you to everyone involved.
Lea español abajo 🇪🇸:
Auditoría en la Capital: Impresiones de una Auditoría Energética en Berlín
Berlín – la capital de Alemania no solo es un centro político, sino también un punto clave para el suministro de energía de la ciudad y su entorno. Aquí participo como coauditor en una auditoría de varios días que se centra en nada menos que la seguridad y la disponibilidad de infraestructuras críticas. Incluso el viaje transmite emoción: la diversidad de la ciudad, la importancia del proveedor de energía y el papel especial de las normas aplicadas forman el marco de unas jornadas de auditoría intensas. La auditoría se realiza sobre la base de tres marcos normativos de importancia central para los operadores del sector energético: ISO/IEC 27001 como norma internacional para sistemas de gestión de seguridad de la información, ISO/IEC 27019 como extensión sectorial para proveedores de energía y SiKat (Catálogo de Seguridad Informática), que concreta los requisitos regulatorios en Alemania. Esta combinación garantiza que se consideren tanto los aspectos fundamentales de la seguridad de la información como los desafíos específicos del sector energético.
Un reto organizativo especial es que los tres auditores trabajamos juntos. Para hacer que el tiempo de auditoría sea lo más eficiente posible para el cliente, nos dividimos en tres grupos. Cada uno asume un enfoque específico y audita de forma independiente en diferentes sedes. De esta manera, el tiempo total de auditoría se reduce prácticamente a una tercera parte, lo que beneficia tanto al proveedor de energía, que puede revisar varias de sus instalaciones críticas al mismo tiempo, como a nosotros los auditores, que obtenemos así una visión más amplia de las diferentes facetas de la empresa. Para mí resulta especialmente interesante conocer las distintas sedes. Cada lugar presenta características únicas: desde la infraestructura técnica hasta los conceptos de seguridad, pasando por los procedimientos organizativos como el registro, los accesos y la videovigilancia. En el sector energético queda claro muy rápidamente cómo la seguridad operativa, la seguridad de la información y la disponibilidad de los sistemas están estrechamente interrelacionadas. Vivo de primera mano cuánta planificación y trabajo de detalle se invierte en estos procesos. Incluso firmar en los libros de registro de las estaciones forma parte de ello.
Por supuesto, a pesar de la seriedad de una auditoría, el aspecto humano no debe quedar en segundo plano. La cooperación con mis dos colegas auditores es desde el principio muy colegiada. Cada uno aporta su experiencia, y coordinamos estrechamente nuestras actividades para que surja una visión de conjunto coherente. También en el lado del cliente, el ambiente es muy positivo: los empleados se muestran abiertos, cooperativos y siempre dispuestos a responder preguntas y proporcionar pruebas. Estas condiciones hacen que el trabajo como auditor sea no solo más fácil, sino también personalmente enriquecedor. Un momento especial es nuestra cena conjunta en el centro de Berlín. Tras un día largo e intenso, lleno de impresiones, sienta bien sentarse juntos en un ambiente relajado. Entre pizza y pasta, entre conversaciones profesionales y personales, surge un momento en el que la capital despliega su encanto particular – eso es Berlín.
Al final de las jornadas de auditoría, miro hacia atrás con gratitud. Me alegro de haber obtenido interesantes perspectivas sobre infraestructuras críticas, de la buena colaboración con todos y de la cooperación agradable con el proveedor de energía. Berlín me muestra una vez más que las auditorías no son solo controles y listas de verificación. También son viajes a las estructuras que hacen posible nuestra vida cotidiana técnica y organizativamente – en este caso, el suministro seguro de energía. Con muchas nuevas impresiones en mente y la certeza de formar parte de un proceso constructivo, digo: Gracias a todos los involucrados.
Lisez le français ci-dessous 🇫🇷:
Audit de la Capitale : Impressions d’un Audit Énergétique à Berlin
Berlin – la capitale allemande n’est pas seulement un centre politique, mais aussi un nœud essentiel pour l’approvisionnement en énergie de la ville et de sa région. Ici, je participe en tant que co-auditeur à un audit de plusieurs jours qui porte sur rien de moins que la sécurité et la disponibilité des infrastructures critiques. Même le voyage dégage une certaine tension : la diversité de la ville, l’importance du fournisseur d’énergie et le rôle particulier des normes appliquées forment le cadre de journées d’audit intenses. L’audit se déroule sur la base de trois référentiels d’une importance centrale pour les opérateurs du secteur énergétique : ISO/IEC 27001 comme norme internationale pour les systèmes de management de la sécurité de l’information, ISO/IEC 27019 comme extension sectorielle pour les fournisseurs d’énergie et SiKat (Catalogue de Sécurité Informatique), qui précise les exigences réglementaires en Allemagne. Cette combinaison garantit que les aspects fondamentaux de la sécurité de l’information ainsi que les défis spécifiques du secteur énergétique sont pris en compte.
Un défi organisationnel particulier réside dans le fait que nous sommes trois auditeurs à travailler ensemble. Afin de rendre le temps d’audit le plus efficace possible pour le client, nous nous répartissons en trois groupes. Chacun prend en charge un domaine spécifique et audite de manière indépendante sur différents sites. Ainsi, le temps global de l’audit est pratiquement divisé par trois – un avantage à la fois pour le fournisseur d’énergie, qui peut faire contrôler plusieurs de ses installations critiques en parallèle, et pour nous, les auditeurs, qui obtenons ainsi des perspectives variées sur les différentes facettes de l’entreprise. Pour moi, il est particulièrement intéressant de découvrir les différents sites. Chaque lieu présente ses propres particularités – de l’infrastructure technique aux concepts de sécurité, en passant par les procédures organisationnelles comme l’enregistrement, les accès et la vidéosurveillance. Dans le secteur de l’énergie, il devient très vite évident à quel point la sécurité opérationnelle, la sécurité de l’information et la disponibilité des systèmes sont étroitement liées. Je constate directement combien de travail de détail et de planification ces processus exigent. Même le fait de s’inscrire dans les registres des stations en fait partie.
Bien sûr, malgré le sérieux d’un audit, l’aspect humain ne doit pas être négligé. La collaboration avec mes deux collègues auditeurs est dès le départ très collégiale. Chacun apporte son expérience, et nous nous coordonnons étroitement afin qu’un tableau d’ensemble cohérent se dessine. Du côté du client, l’ambiance est également très positive : les employés se montrent ouverts, coopératifs et toujours prêts à répondre aux questions et à fournir des preuves. De telles conditions rendent le travail d’auditeur non seulement plus simple, mais aussi humainement enrichissant. Un moment fort est notre dîner commun dans le centre-ville de Berlin. Après une journée longue et intense, riche en impressions, il est agréable de s’asseoir ensemble dans une atmosphère détendue. Entre pizza et pâtes, entre discussions professionnelles et personnelles, naît un moment où la capitale déploie tout son charme particulier – c’est Berlin.
À la fin des journées d’audit, je regarde en arrière avec gratitude. Je me réjouis des perspectives intéressantes sur les infrastructures critiques, de la bonne coopération avec tous et de la collaboration agréable avec le fournisseur d’énergie. Berlin me rappelle une fois de plus que les audits ne sont pas seulement des contrôles et des listes de vérification. Ils sont aussi des voyages au cœur des structures qui rendent possible notre vie quotidienne, tant sur le plan technique qu’organisationnel – dans ce cas, l’approvisionnement énergétique sécurisé. Avec de nombreuses nouvelles impressions en tête et la certitude de faire partie d’un processus constructif, je dis : Merci à tous les participants.
#audit #iso27001 #kritis #berlin #suhlingtooling