RWE: Herausragendes In-House-Sicherheitsteam

Im Rahmen der Neugestaltung der Sicherheitsorganisation wurde auch die Berichterstattung überarbeitet und konsequent auf die Interessen und Bedürfnisse der jeweiligen Empfänger ausgerichtet. Die Vorstände und Geschäftsführungen erhalten Informationen im Rahmen eines vierteljährlichen Sicherheitsberichtes, der die wichtigsten Fortschritte des vorherigen Quartals zusammenfasst und einen Ausblick auf das laufende Quartal gibt. Damit sind Fortschritte transparent und nachweisbar.

Im Unterschied dazu wird die breite Unternehmensöffentlichkeit über ein anderes Medium, den Security Newsflash, informiert. Hier kann sich jeder Mitarbeiter mit Artikeln zu seinen persönlichen Themen beteiligen und so mit eigenen Arbeitsergebnissen sichtbar werden. Der Security Newsflash steht allen Mitarbeitern des Konzerns auf den ebenfalls neu gestalteten Intranetseiten zur Verfügung. Security wird durch ihre neue Kommunikations- und Berichtsstrategie zunehmend „Marke“ im Konzern.

In einem Jahr intensiver Teamarbeit von Experten aus strategischem Security-Risikomanagement, Forensics, BCM- und Krisenmanagement, Bewachung, Sicherheitstechnologie und IT wurde das in Eigenleistung entwickelte, konzernweit einheitliche und web-basierte Incident Reporting & Information System (IRIS) implementiert. IRIS ermöglicht durch eigens entwickelte Analysetechniken in Bezug auf Sicherheitsvorfälle eine proaktive Risiko-Mitigation. Inspiriert durch Polizeibehörden weltweit wird ein an IRIS angebundenes web-basiertes Geospatial Crime Mapping Analytics Tool genutzt, das Unternehmensassets und Sicherheitsvorfälle beleuchtet. Diese Tools werden in dem im Jahr 2014 neu gebauten zentralen Security Operations Center (SOC) eingesetzt, das nach Stand der Technik aus einem operativen Lagezentrum zum Monitoring sicherheitsrelevanter Ereignisse sowie dem Central Crisis-Management Room besteht.

Seit 2009 ist die Informationssicherheit integraler Bestandteil der RWE-Konzernsicherheit. War sie am Anfang im Wesentlichen eine Governance-Funktion, die medien- und technikübergreifend Schutzniveaus festlegte, erfolgte ab 2013 eine konsequente Stärkung. Diese Entwicklung ging einher mit dem Aufbau eines Information Security Management Systems (ISMS) und sichtbaren Wertbeiträgen der Cyber Forensics im Rahmen interner Ermittlungen. Diese Expertise ermöglichte es in 2014, mit dem Gesamtvorstand der RWE AG eine mehrstündige Cyber Security Exercise durchzuführen, die mittels eigener Ressourcen erfolgreich vorbereitet und durchgeführt wurde. Daneben sind Cyber Security Themen sowie Cyber-Sicherheitsvorfälle zum wesentlichen Bestandteil des regelmäßigen Berichtswesens an den Vorstand der RWE AG geworden, was zu einer maßgeblichen Steigerung der Cyber Security Awareness führte.

Aufgrund der zunehmenden Konvergenz der Risiken in den Bereichen IT-Sicherheit, Informationssicherheit und klassischer physischer Sicherheit wird in Kürze die IT-Security Governance vom CIO auf die Konzernsicherheit übertragen.

Seit Juli 2015 ist RWE Mitglied der USamerikanischen Privat-Public-Partnership National Cyber-Forensics & Training Alliance (NCFTA) und schult dort als einer der ersten deutschen Dax-Konzerne seine Cybersecurity- und Cyberforensic-Experten. Dazu ist jeweils ein Experte im Rahmen eines Rotationsmodells mehrere Monate vor Ort in Pittsburgh.

Als Reaktion auf das im Juli 2015 in Kraft getretene deutsche IT-Sicherheitsgesetz entwickelt RWE zusammen mit anderen Betreibern kritischer Infrastrukturen des Energiesektors eine „Gemeinsame übergeordnete Anlaufstelle“. Dabei handelt es sich um eine 24/7-Kontaktstelle deutscher Energie- und Netzanlagen, die als Single Point of Contact mit dem BSI im Bereich der IT-Security Intelligence zusammenarbeitet.

Im Rahmen der „Mission:Possible (M:P)“ wurden die Mitarbeiter in die Pflicht genommen, an ihren Prozessen und Schnittstellen zu feilen und die Arbeiten auf das tatsächlich Notwendige zu reduzieren. Das tradierte Regelwerk, das im Wesentlichen top-down, aber mit erheblichen Unschärfen in der Praktikabilität aufgebaut war, wurde stark ausgedünnt und präzisiert. Zusätzlich wurden alle Sicherheitsprozesse in Anlehnung an ISO 9001 bottom-up dokumentiert. Damit wurden die Voraussetzungen für einen dokumentierten und nachhaltigen kontinuierlichen Verbesserungsprozess sowie Knowhow-Transfers innerhalb der Sicherheitsorganisation geschaffen und frühzeitig gute Voraussetzungen für die im Rahmen des IT-Sicherheitsgesetzes zukünftig erforderlichen externen Zertifizierungen geschaffen.