Kür Pflicht

250 Städte und Gemeinden, rund 100 Millionen m³ Trinkwasser jährlich, 3 Millionen Kunden. Wasser­leitungen, deren Länge von Stuttgart bis nach London oder Rom reichen würde: Die Landes­wasserversorgung (LW) mit Sitz in Stuttgart betreibt großflächig Anlagen einer kritischen Infrastruktur. Das Bundesamt für Sicherheit in der Informations­technik (BSI) in Deutschland verpflichtet Betreiber mit solch weitreichenden Versorgungs­aufträgen zur Umsetzung aktueller IT-Sicherheits­massnahmen. Sylvia Wetzel teilt ihre Erfahrungen, wie diese Anforderung in einem Unternehmen mit fast 300 Mitarbeit­enden gelungen ist.

Seit 2015 ist in Deutschland das IT-Sicherheitsgesetz in Kraft. Es schreibt Betreibern kritischer Infrastrukturen vor, IT-Sicherheit nach dem Stand der Technik umzusetzen und erhebliche IT-Sicherheitsvorfälle an das BSI zu melden. «Damit hat die Bundesregierung die Grundlage geschaffen, die europäische NIS-Richtlinie zur Gewährleistung hoher Netzwerk- und Informationssicherheit national umzusetzen», klärt Sylvia Wetzel auf. Die designierte ISMS-Managerin bei der LW Stuttgart zeichnet ab Januar 2021 für das Information Security Management System (ISMS) verantwortlich.

Solange die IT-Sicherheitsmassnahmen dem aktuellen Stand entsprechen, steht es Betreibern in Deutschland frei, wie sie die Absicherung ihrer IT-Infrastruktur ausgestalten. Bei der LW Stuttgart setzt man auf den internationalen ISO-27001-Standard. «Vorgeschrieben ist nur, dass wir uns mindestens alle zwei Jahre überprüfen lassen», so Wetzel.

2016 begann die LW Stuttgart mit dem Aufbau des ISMS. Anhand einer Risikomatrix beurteilt die Versorgung IT-Sicherheitsrisiken relevanter Systeme, deren Eintrittswahrscheinlichkeit und das potenzielle Schadensausmass. Gemeinsam mit Rittmeyer wurden diverse Vorkehrungen gesetzt, um die informationstechnischen Systeme und Prozesse nach dem aktuellen Stand der Technik zu schützen. Beim erstmaligen Audit im April 2018 bescheinigten die Auditoren der LW Stuttgart, dass alle getroffenen Massnahmen der Größe des Unternehmens, der Kritikalität der Anlagen und dem Schutzbedarf der Informationen und Anlagen angemessen sind, um die Ziele des Managementsystems zu erreichen.

«Cyber-Sicher­heit kann man nicht einfach zwei Jahre lang bis zum nächsten Audit unter den Tisch kehren.»

Sylvia Wetzel, Projekt­ingenieurin und designierte ISMS-Managerin, Landes­wasser­versorgung Stuttgart

Zwischen dem Audit 2018 und dem letzten Audit im Juni 2020 setzte man weitere Massnahmen um und präzisierte Sicherheitsrichtlinien sowie Vereinbarungen mit externen Unternehmen. «Nur ein kleiner Teil dieser Arbeit betrifft die eigentliche IT. Uns war bis zu diesem Zeitpunkt gar nicht bewusst, in welchen Bereichen man überall eingreifen muss», so Wetzel. Bei einem Versorgungsbetrieb dieser Grösse ziehe das viel Aufwand nach sich. «Die normativen Anforderungen sind umfangreich. Man weiss kaum, wo man anfangen soll. Aber dank der Unterstützung eines externen Beraters konnten wir uns auf Vorlagen stützen und mussten nicht bei null anfangen.» Die Grösse der LW sei gleichzeitig ein Vorteil, stellt die designierte ISMS-Managerin klar. So kann man auf das entsprechende Know-how im eigenen Unternehmen zurückgreifen. «Wir verfügen aber auch über die Kapazität, Sicherheitsmassnahmen selbst schnell umzusetzen.»

Die Sicherheit steht für die Versorgung stets an oberster Stelle. Dennoch muss die designierte ISMS-Managerin Kompromisse eingehen, um den Bedienkomfort und Arbeitsprozesse für die Mitarbeitenden nicht zu weit einzuschränken: «Hier führten wir schon die eine oder andere Diskussion. Unsere Massnahmen hatten natürlich Auswirkungen auf die Fernwartung. Sie betrafen aber auch ganz banale Dinge, wie z. B. passwortgeschützte Bedienmonitore oder Objektschutzanlagen, die jedes Mal beim Betreten unscharf geschaltet werden müssen.»

Mit Schulungen und viel Kommunikationsarbeit versucht Sylvia Wetzel, die Bedeutung der Cyber-Sicherheit den Mitarbeitenden nachhaltig zu vermitteln. «Über Trainingsmaßnahmen lässt sich die Sensibilität gut schärfen. Wir setzen u.a. auf Multiplikatoren-Schulungen, bringen regelmässig die Meister auf den aktuellen Stand und geben ihnen für ihre Mitarbeitenden die passenden Informationen und Unterlagen mit», so Wetzel. Zudem wird das technische Personal kontinuierlich sensibilisiert. Spezifische Trainings für einzelne Personengruppen sowie regelmässige Mitarbeiterinfos per E-Mail vervollständigen die Kommunikationsmassnahmen. Die IT-Spezialistin ist überzeugt, dass Social Engineering zunimmt. Auf lange Sicht wird die LW deshalb noch stärker in Schulungen und Massnahmen in diesem Bereich investieren.

Wichtig sei, dass die Geschäftsleitung hinter allen Massnahmen steht und sich der Bedeutung des ISMS bewusst ist, betont Wetzel: «Dieses Bewusstsein ist bei uns vorhanden. Dazu haben die vielen Gespräche mit externen Auditoren beigetragen. Aber natürlich auch, dass es finanzielle Konsequenzen hat, wenn wir nicht überprüft sind.» Ebenso werde die IT-Sicherheit inzwischen von Beginn an bei Projekten mitberücksichtigt. Der beste Beweis für Sylvia Wetzel, dass das Thema gut im Unternehmen verankert ist.

«Man muss noch arbeiten können. Man kann nicht alles zu machen. Das geht einfach nicht.»

Beim ersten Audit 2018 war Wetzel zwar noch nicht involviert. Sie ist jedoch überzeugt, dass es mit der Zeit einfacher wird, die Cyber-Sicherheit auf dem aktuellen Stand zu halten: «Damals war das Bewusstsein noch nicht so stark im Unternehmen verwurzelt. Und auch im Bereich der Technik gab es noch Handlungsbedarf. Jetzt betreffen die Massnahmen mehr und mehr den Kernbereich der IT. Das konnten wir gut beobachten.»

Ausruhen nach dem kürzlich erfolgten Audit ist für Wetzel beim Thema Sicherheit aber keine Option: Man könne dieses wichtige Thema schliesslich nicht einfach zwei Jahre unter den Tisch kehren. Durch monatliche Sitzungen mit dem Kernteam sowie dem externen Sicherheitsberater sorgt die LW Stuttgart für entsprechende Kontinuität.