Testen

Webcast

Kontakt

Login

Slide background

Gemeinsam am Gipfel angekommen

Versorgungsunternehmen integriert Basis für softwarebasiertes ISMS

IT-Notfallplanung: Ein wichtiger Baustein zur Sicherung der Energieversorgung 

Fallen wichtige IKT-Systeme von Energieversorgern aus, erliegt auch die Versorgung mit lebensnotwendigen Ressourcen. Um Störungen oder Ausfälle zu vermeiden, müssen die Energieversorger als Kritische Infrastruktur (KRITIS) ein angemessenes Sicherheitsniveau nachweisen. Bis Ende Januar 2018 waren die Energieversorger dazu verpflichtet, ein wirksames und nachhaltig gelebtes Informationssicherheits-Managementsystem (ISMS) einzuführen und diesen Prozess zertifizieren lassen. Doch auch ein etabliertes ISMS kann nicht jede Notsituation ausschließen. Kommt es zum Beispiel zu einem Cyberangriff, muss das Unternehmen dennoch in der Lage sein weiterhin agieren zu können. Daher ist eine wirkungsvolle Notfallplanung von besonderer Bedeutung. Auch die Stadtwerke Heidelberg zählen zu KRITIS und bauten ihr umfassendes ISMS unter anderem mit der softwarebasierten IT-Notfallplanung INDART Professional® auf.

Mithilfe verlässlicher Infrastrukturen, versorgen die Stadtwerke Heidelberg als 100%ige Tochter der Stadt Heidelberg die Menschen vor Ort mit Strom, Erdgas und Fernwärme. Mehr als 400 Anlagen stellen eine kontinuierliche Energieversorgung der Bürgerinnen und Bürger sicher. Im Auftrag der Stadt und weiterer Gemeinden beliefern sie die Bevölkerung zudem mit Trinkwasser. Über diese Versorgung hinaus, sind die Stadtwerke Heidelberg ein Querverbundkonzern welcher die gesamte Region mit Services rund um die Themen Energiesparen, Klimaschutz und erneuerbare Energien berät. Aktiv betrieben werden Schwimmbäder, die Heidelberger Bergbahnen und ÖPNV-Infrastruktur, sowie zahlreiche öffentliche Parkhäuser als auch einige Anwohnergaragen.

Nach der KRITIS-Verordnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zählen die Stadtwerke Heidelberg in den Sektoren Prozessleitechnik Strom und Gas, „wegen ihrer besonderen Bedeutung für das Funktionieren des Gemeinwesens“ zu den Kritischen Infrastrukturen. Als diese sind sie gesetzlich dazu verpflichtet, ihre informationstechnischen Systeme, die für den Betrieb des Versorgungsunternehmens maßgeblich sind, „angemessen“ abzusichern. Im Vordergrund steht dabei, dass im Ernstfall die Versorgung der Bevölkerung sichergestellt ist.

IT-Sicherheitskatalog im Energiesektor

Höhere Gewalt, ein fehlgeschlagenes Software-Update oder vorsätzliche Handlungen wie Hackerangriffe oder Diebstahl können die Sicherheit von Informationen in unterschiedlichem Ausmaß bedrohen. Erst im Juni informierte das BSI in einer offiziellen Pressemeldung über eine weltweite Cyber-Angriffskampagne auf die Energiewirtschaftsbranche.[1] Hacker haben es demnach explizit auf deutsche Energieversorger und deren Netzwerke abgesehen. Findet eine solche Cyberattacke statt oder fallen Systeme trotz getroffener Sicherheitsvorkehrungen aus einem anderen Grund aus, kann dies erheblichen Schaden anrichten. Um die Versorgung mit lebenswichtigen Ressourcen aufrechtzuerhalten, müssen KRITIS-Betreiber in der Lage sein, ihre Systeme schnellstmöglich wieder zum Laufen zu bringen. Daher hat das BSI – zusätzlich zur KRITIS-Verordnung – in Zusammenarbeit mit der Bundesnetzagentur den IT-Sicherheitskatalog erstellt. Betreiber von Energieanlagen sind unter anderem dazu verpflichtet, ein ISMS einzuführen, um ein angemessenes Schutzniveau sicherzustellen. Ein ISMS ist eine Aufstellung von Verfahren, Regeln und Prozessen innerhalb eines Unternehmens, die dazu dienen, die Informationssicherheit dauerhaft zu planen, zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. Als laufender Prozess muss das ISMS deshalb zertifiziert und langfristig in die Organisationsstrukturen eingebunden werden.

IT-Notfallplanung als Sicherheitsnetz im ISMS

Trotz eines etablierten und gelebten ISMS kann es immer zu einem Notfall kommen. Daher verlangen die Anforderungen eines funktionsfähigen ISMS eine realistische IT-Notfallplanung, um im Ernstfall schnell reagieren zu können und die Verantwortlichkeiten klar zu definieren. Es gilt daher mögliche Szenarien zu betrachten, die Einfluss auf die Sicherheit der Informationen haben können.

Im optimalen Fall bildet die Notfallplanung daher das letzte Sicherheitsnetz, um während einer Notsituation weiterhin handlungsfähig zu sein. Die Realität ist jedoch eine andere: Komplexe Strukturen, ständige Veränderungen der Prozesse, der Verantwortlichkeiten und der technischen Infrastruktur stellen große Hindernisse für eine aktuelle und allen bekannte Dokumentation dar. Im Ernstfall also auf ein manuelles Notfallhandbuch zurückzugreifen, birgt große Risiken, denn oftmals werden relevante Unternehmensdaten nicht umgehend aktualisiert, und insbesondere nachträgliche Anpassungen führen schnell zu Fehlern. Eine softwarebasierte Lösung für die IT-Notfallplanung wirkt dem entgegen: Kernprozesse werden mit der dazugehörigen IT-Infrastruktur verknüpft und klare Verantwortlichkeiten definiert. Daten wie z.B. Infrastruktur und Personal können dabei automatisch in die Lösung importiert werden.

„Für uns war die Einführung einer IT-Notfallplanung zwingend notwendig, um die gesetzlich festgelegten Anforderungen umsetzen zu können.“

Das IT-Team der Stadtwerke Heidelberg legte bei der Software für ihre Notfallplanung großen Wert darauf, dass die Lösung die komplexen Strukturen der Stadtwerke vollumfänglich erfassen kann. Bei der ausführlichen Recherche stieß die IT-Abteilung auf die Software INDART Professional®. „Wir haben uns die Software intensiv angeschaut und schnell festgestellt, dass sie unsere Anforderungen erfüllt“, sagt Tobias Lang. „Daraufhin haben wir zum Hersteller Kontakt aufgenommen und mit der Projektplanung begonnen“ Die Umsetzung fand gemeinsam mit dem Hersteller sowie dem langjährigen Dienstleister der Stadtwerke Heidelberg der Phalanx IT statt. Für die erfolgreiche Implementierung von INDART Professional® mussten die acht Projektschritte des Systems abgearbeitet werden. So ließ sich innerhalb von vier Wochen im laufenden Betrieb eine funktionsfähige IT-Notfallplanung auf die Beine stellen. Dabei lag die Herausforderung vor allem in dem einmaligen Befüllen und der kontinuierlichen Pflege aller notfallkritischen Daten. Doch gerade die Vollständigkeit dieser Informationen ist die Grundlage einer zuverlässigen Notfallplanung.

Auf dem Weg zum ISMS

Da die Stadtwerke Heidelberg unter die KRITIS-Verordnung fallen, war auch das Thema ISMS von besonderer Wichtigkeit. Das Projekt wurde im Aufgabenbereich der Konzern-IT angesiedelt. „Da wir bereits gute Erfahrungen mit der Einführung der IT-Notfallplanung mit der Software INDART Professional® von CONTECHNET gemacht hatten, haben wir auch im Bereich ISMS zum Hersteller Kontakt aufgenommen“, erläutert Tobias Lang, Informationssicherheitsbeauftragter (ISB) der Stadtwerke Heidelberg.

Nach einer entsprechenden Sichtung der Situation, entschieden sich die Stadtwerke Heidelberg ihr ISMS mit Hilfe der Inventarliste aus der Softwarelösung INDART Professional®, die bereits für die IT-Notfallplanung eingesetzt wird, sowie der Unterstützung von bestehenden dokumentierten Informationen, aufzubauen. Zu Beginn wurden das Projektteam, das Management sowie die Geschäftsführung geschult. Regelmäßig fanden zudem mehrere Organisationstreffen statt, um den Informationsstand bei allen Beteiligten gleich hoch zu halten. Auf diese Weise konnten über 300 Mitarbeiter für das Thema sensibilisiert werden.

„Im Juni haben wir unser ISMS dann auch erfolgreich nach den Standards des IT-Sicherheitskatalogs zertifizieren lassen“, sagt Tobias Lang. „CONTECHNET stand uns bei der gesamten Implementierungsphase und auch darüber hinaus beratend und unterstützend zur Seite“, so Tobias Lang weiter. „Gab es Schwierigkeiten, war der Support telefonisch oder per E-Mail jederzeit erreichbar, und auch über die Fernwartung war immer eine schnelle Lösung möglich.“

Fazit

Mit INDART Professional® haben sich die Stadtwerke Heidelberg für eine Notfallplanungssoftware entschieden, die den hohen Anforderungen des Energiesektors gerecht wird und die Arbeit wesentlich vereinfacht. Durch die enge Zusammenarbeit mit dem Lösungsanbieter und die prozessorientierte Vorgehensweise der Software stellte die Implementierung kein Problem dar. „Die Software entspricht genau unseren Anforderungen, und wir konnten sie einfach in unseren Arbeitsalltag integrieren. Auf diesen Erfahrungen und der guten Zusammenarbeit mit CONTECHNET möchten wir aufbauen und planen daher, eine längerfristige Zusammenarbeit. Da die verschiedenen Lösungen des Anbieters CONTECHNET ineinandergreifen und aufeinander aufbauen, hat das IT-Team mit INDART Professional® bereits die Basis für zukünftige Herausforderungen geschaffen.