KRITIS-Sicherheitsverordnung: EnBW unterstützt IT-Sicherheitsmanagement in Versorgungsunternehmen

Ein umfangreiches Dienstleistungspaket der EnBW unterstützt das IT-Sicherheitsmanagement in Versorgungsunternehmen.

Spätestens seit der Verabschiedung des IT-Sicherheitsgesetzes hat das Thema hohe Priorität in der Branche. Auch kleinere Versorger, die (noch) nicht unter die KRITIS-Verordnung fallen, sehen Handlungsbedarf. So etwa Horst Geiger, der als technischer Leiter für die Wasserversorgung im schwäbischen Öhringen zuständig ist. Bei einer Anwenderschulung des Softwarelieferanten HST Systemtechnik wurde gezeigt, dass Hacker sogar virtuelle Leitstellen angreifen. Für Geiger war damit klar: „Die IT-Systeme unseres Wasserwerks und der Kläranlage brauchen dringend einen zeitgemäßen Schutz“. Die rechtliche Situation legt das nahe.

Formal gilt zwar der Schwellenwert von 22 Mio. m³ Wasseraufkommen im Jahr, ab dem ein Standard gemäß dem von DVGW und DWA entwickelten IT-Sicherheitsleitfaden B3S Wasser/Abwasser zwingend einzuhalten ist. „Passiert doch einmal was, müssen auch wir dokumentieren, was wir zur Vermeidung von IT-Pannen vorsorglich unternommen haben“.

Bei der Suche nach dem passenden Anbieter für ein Informationssicherheits-Managementsystem (ISMS) stieß Geiger eher zufällig auf die EnBW, die als erster Kraftwerks-Betreiber Deutschlands das IT-Sicherheitsgesetz erfolgreich umgesetzt hat. Insbesondere Kernkraft-Tochter EnKK blickt auf jahrzehntelange Erfahrung mit kritischen Infrastrukturen zurück. „Unsere technische IT ähnelt sehr stark der eines Wasserversorgers oder einer Kläranlage“ weiß der am Standort Philippsburg tätige Michael Aziz. Vor diesem Hintergrund entstand das Dienstleistungsangebot „Full Kritis Service“ (FKS), das sämtliche Schritte des IT-Sicherheitsmanagements abdeckt – von der ersten Bestandsaufnahme über Konformitätsanalyse und Maßnahmenumsetzung bis hin zum Betrieb. Horst Geiger forderte ein Angebot an, nach einer Ausschreibung gab der Öhringer Gemeinderat im März 2018 grünes Licht.

Bald darauf begann die Strukturdatenerfassung nicht nur bei den IT-Systemen, technischen Anlagen oder Räumlichkeiten, sondern auch bei Prozessen, Organisation und Management. Für die einzelnen Assets waren gemäß BSI-Standard Schutzbedarfsbetrachtungen vorzunehmen und die Abweichungen zwischen Soll und Ist zu identifizieren. „Auf Basis unserer Erfahrungen haben wir nach qualitativen und quantitativen Kriterien bewertet“ erläutert Michael Aziz. Daraus entstand eine umfassende Landkarte mit Priorisierungen in den Ampelfarben – rund die Hälfte der 118 identifizierten Risiken wurde mit „Gelb“ oder gar „Rot“ eingestuft.

Mit dem vollständig implementierten Risiko-Management-System stehen in Öhringen jetzt die Entscheidungen über die nächsten Schritte an. Einige scheinbar banale Dinge wurden bereits realisiert. So bleiben der Schaltraum der Wasserversorgung und die einzelnen Schaltschränke verschlossen, und jeder Zutritt ist mit Angabe der Gründe zu dokumentieren. Um die FKS-Handlungsempfehlungen umzusetzen, sind jedoch auch dickere Bretter zu bohren. Gut die Hälfte der Maßnahmen betreffen den Bereich Organisation, Personal und Notfallvorsorge. Dabei geht es etwa um Datensicherungskonzepte oder leistungsfähige Backup-Systeme für den Krisenfall. Die EnBW hat der Stadt dazu einen „managed service“ für die IT in der sicheren Umgebung ihres eigenen Rechenzentrums angeboten. Großen Wert legt Michael Aziz auch auf die Organisation der Dokumentation, bei der neben schlüssigen Konzepten auch die aktive Mitwirkung der Mitarbeiter gefragt ist. „Bei Bedarf wären hier entsprechende Change-Prozesse aufzusetzen“, so Aziz.

Eine Schlüsselrolle bei der Umsetzung des Risikomanagements nimmt in Öhringen auch die HST Systemtechnik ein, die 2008 die gesamte Prozessleittechnik aufgebaut hat und sie seitdem betreut. Geschäftsführer Rolf Schwen ist „schon lange klar, dass sich Wasserversorger zunehmend Bedrohungen durch Cyberattacken ausge­setzt sehen“. Daher beinhaltet die Betriebs­führungssoftware KANiO, die auch in Öhringen zum Einsatz kommt, bereits ein integriertes ISMS Modul. „Dieses Projekt bedeutet für uns einen Glücksfall, weil wir viele praktische Erfahrungen sammeln konnten, die unseren Produkten zugutekommen werden“, sagt Schwen. In das Thema könnte bald noch mehr Bewegung kommen, da bereits über eine Absenkung des Schwellenwerts für KRITIS-Unternehmen diskutiert werde. (pq)

www.enbw.de

Publikationen des 50,2 Verlages


Der Branchenleitfaden für Stadtwerke und Netzbetreiber
Die "gelben Seiten" der IT-Sicherheit



Der Branchenleitfaden für Stadtwerke und Netzbetreiber
Die "gelben Seiten" des Smart Metering-Marktes

Der Rollout-Leitfaden für die Praxis
Unterstützung bei der Einführung der Smart-Meter-Technologie.