Anwenderbericht: IT-Sicherheit bei den Stadtwerken Bad Reichenhall

Die Stadtwerke Bad Reichenhall haben das Thema IT-Sicherheitskatalog frühzeitig in Angriff genommen. Im Dezember 2016 fand schließlich das Audit durch Tüv Rheinland statt. Welche Maßnahmen dafür notwendig waren, zeigt der Anwenderbericht.

Gas- und Stromversorger haben nur noch wenige Monate Zeit, um die Anforderungen des IT-Sicherheitskatalogs zu erfüllen. Bis 31. Januar 2018 verlangt die Bundesnetzagentur von den Unternehmen einen Nachweis über die Zertifizierung nach dem IT-Sicherheitskatalog. Die Stadtwerke Bad Reichenhall gehören zu den ersten Unternehmen, die mit der Auditierung die Grundlage für eine Zertifizierung gemäß IT-Sicherheitskatalog durch Tüv Rheinland geschaffen haben. Damit ist von unabhängiger dritter Seite bestätigt, dass ihr Informationssicherheits-Managementsystem (ISMS) mit den Anforderungen des IT-Sicherheitskatalogs konform ist.

Umsetzung des IT-Sicherheitskatalogs frühzeitig in Angriff nehmen

Carsten Viell, IT-Leiter und -Sicherheitsbeauftragter der Stadtwerke Bad Reichenhall, nahm die Umsetzung des IT-Sicherheitskatalogs frühzeitig in Angriff. „Der gesamte Prozess bis zur erfolgreichen Zertifizierung dauerte ein knappes Jahr“, so Viell. Die Kernforderung des Katalogs besteht in der Implementierung eines ISMS gemäß ISO 27001, das mindestens die Telekommunikations- und EDV-Systeme umfasst, die für einen sicheren Netzbetrieb notwendig sind. Der Netzbetreiber muss in diesem Zusammenhang auch einen Prozess zur Risikoeinschätzung und -behandlung definiert haben. Außerdem gilt es, einen Netzstrukturplan anzufertigen und zu pflegen. Dieser umfasst mindestens die Technologiekategorien „Leitsystem und Systembetrieb“, „Übertragungstechnik und Kommunikation“ sowie „Sekundär-, Automatisierungs- und Fernwirktechnik“. Außerdem muss jedes Unternehmen einen Ansprechpartner IT-Sicherheit an die Bundesnetzagentur gemeldet haben.

Zur Vorbereitung der Zertifizierung analysierte Viell den Ist-Zustand der Unternehmensbereiche, prüfte die vorhandenen Strukturen und Prozesse und glich sie mit den Kataloganforderungen ab. Betroffene Kollegen band er frühzeitig ein, und machte sie mit Schulungsdokumenten und Workshops fit für das Thema IT-Sicherheit. Im Dezember 2016 fand schließlich das Audit durch Tüv Rheinland gemäß IT-Sicherheitskatalog statt.

It-Sicherheit
Das regelmäßige Aufdecken und Schließen möglicher Sicherheitslücken in der IT-Infrastruktur ist ein kontinuierlicher Prozess bei den Stadtwerken Bad Reichenhall.

Dass die Stadtwerke Bad Reichenhall jetzt optimal auf den 31. Januar 2018 vorbereitet sind, hat auch damit zu tun, dass Viell bereits seit seinem Eintritt in die Stadtwerke Bad Reichenhall im Jahr 2014 seine Hausaufgaben macht, zum Beispiel durch das regelmäßige Aufdecken und Schließen möglicher Sicherheitslücken in der IT-Infrastruktur. Der erfahrene Fachmann für Cyber Security überarbeitete unter anderem die Netzwerkstruktur und teilte sie in einzelne, physisch getrennte Segmente auf. Zudem etablierte er ein dreistufiges Firewall-Konzept. Die Benutzerregistrierung wurde ebenfalls optimiert. BYOD (Bring Your Own Device), also der Einsatz von Privatgeräten innerhalb des Unternehmensnetzwerkes, ist schlicht verboten. Diese und andere Verbesserungen hielten den Aufwand direkt vor dem Zertifizierungs-Audit zum IT-Sicherheitskatalog relativ gering.

Externe Berater für den Blick von außen

Es kann hilfreich sein, einen externen Berater für die Bestandsaufnahme in Anspruch zu nehmen. So wie es auch Viell getan hat. Gemeinsam werden dann die einzelnen Kapitel der Norm mit den Gegebenheiten im Unternehmen verglichen, um Abweichungen zu identifizieren. Wichtig ist, beide Infrastrukturen in den Blick zu nehmen: die IT-Infrastruktur sowie die Strom-, Wasser- und/oder Gasnetze. Eine GAP-Analyse durch einen unabhängigen Blick von außen kann da wichtige Impulse für aktuellen Nachbesserungsbedarf geben. Die Einbindung von Kollegen steigert die Mitarbeitermotivation und ermöglicht Lerneffekte. Die intensive Auseinandersetzung mit der ISO 27001 sowie der ISO 27019 ist für jeden IT-Sicherheitsbeauftragten trotzdem unumgänglich.

Stromnetze
Eine GAP-Analyse durch einen unabhängigen Berater kann wichtige Impulse für die Verbesserung der IT-Sicherheit geben. Wichtig ist dabei, beide Infrastrukturen in den Blick zu nehmen: die IT-Infrastruktur sowie die Strom-, Wasser- und/oder Gasnetze.

„Wer nicht das Risiko einer Fristüberschreitung eingehen möchte, sollte mit der Zertifizierungsgesellschaft seines Vertrauens schnellstmöglich Kontakt aufnehmen und abstimmen, welcher Termin für ein Audit oder eine Zertifizierung überhaupt noch frei ist“, rät Bernd Kloft, Auditor für ISO 27001 und IT-Sicherheitskatalog bei Tüv Rheinland, mit Blick auf den nahenden Stichtag. „Gibt es keine freien Audit-Termine, wird es schwierig mit der Einhaltung der Frist.“ Selbst die Berater seien so stark nachgefragt, dass sie Aufträge ablehnen oder auf später vertrösten müssen. „Wie die gelbe Karte für Nachzügler aussieht, wissen wir noch nicht“, so Kloft. „Offizielle Sanktionen bei Fristüberschreitung sind nicht definiert, aber darauf würde ich es nicht ankommen lassen. Wichtig ist, dass Unternehmen nachweisen können, mit der Umsetzung der Anforderungen des IT-Sicherheitskatalogs rechtzeitig angefangen zu haben.“

Regelmäßige Überwachungsaudits

Nach zwölf Monaten sehen sich Viell und die Auditoren von Tüv Rheinland wieder, zum Überwachungsaudit. Die Laufzeit der Zertifizierung beträgt drei Jahre. Bis dahin dürfte sich in Bezug auf Cyber-Attacken und IT-Sicherheit eine Menge tun, auch bei den Stadtwerken Bad Reichenhall. So weiß Viell, dass er sich nicht auf dem bisher Erreichten ausruhen darf. „Die Bedrohung durch Cyber-Attacken nimmt durch die voranschreitende Vernetzung und das Internet der Dinge weiter zu“, sagt Viell. „Selbst ein vernetzter Heizungsregler kann heute Einfallstor für Angreifer sein.“

Dann gibt es auch noch die Gefahren, die Unternehmen von innen drohen, beispielsweise durch infizierte USB-Sticks, die ein Mitarbeiter unbedarft an Firmenrechner anschließt. „Stillstand ist Rückschritt“, sagt Viell. „Wir müssen Wege finden, den neuen Herausforderungen gerecht zu werden.“ Deshalb werden die Stadtwerke Bad Reichenhall ihre Sicherheitsmaßnahmen weiter ausbauen, beispielsweise mit regelmäßigen Penetrationstests. „Nur so lässt sich ein Ausfall der kritischen Infrastrukturen in Deutschland verhindern und dauerhaft ein verlässlicher Netzbetrieb sicherstellen.“

Autorin

Angela Recino, Fachjournalistin für ICT-Themen