→ Seit 2015 ist in Deutschland das IT-Sicherheitsgesetz in Kraft. Es schreibt Betreibern kritischer Infrastrukturen vor, IT-Sicherheit nach dem Stand der Technik umzusetzen und erhebliche IT-Sicherheitsvorfälle an das BSI zu melden. «Damit hat die Bundesregierung die Grundlage geschaffen, die europäische NIS-Richtlinie zur Gewährleistung hoher Netzwerk- und Informationssicherheit national umzusetzen», klärt Sylvia Wetzel auf. Die designierte ISMS-Managerin bei der LW Stuttgart zeichnet ab Januar 2021 für das Information Security Management System (ISMS) verantwortlich. Umsetzung obliegt dem Betreiber Solange die IT-Sicherheitsmassnahmen dem aktuellen Stand entsprechen, steht es Betreibern in Deutschland frei, wie sie die Absicherung ihrer IT-Infrastruktur ausgestalten. Bei der LW Stuttgart setzt man auf den internationalen ISO-27001-Standard. «Vorgeschrieben ist nur, dass wir uns mindestens alle zwei Jahre überprüfen lassen», so Wetzel. 2016 begann die LW Stuttgart mit dem Aufbau des ISMS. Anhand einer Risikomatrix beurteilt die Versorgung IT-Sicherheitsrisiken relevanter Systeme, deren Eintrittswahrscheinlichkeit und das potenzielle Schadensausmass. Gemeinsam mit Rittmeyer wurden diverse Vorkehrungen gesetzt, um die informationstechnischen Systeme und Prozesse nach dem aktuellen Stand der Technik zu schützen. Beim erstmaligen Audit im April 2018 bescheinigten die Auditoren der LW Stuttgart, dass alle getroffenen Massnahmen der Größe des Unternehmens, der Kritikalität der Anlagen und dem Schutzbedarf der Informationen und Anlagen angemessen sind, um die Ziele des Managementsystems zu erreichen. IT-Sicherheit betrifft nur die IT. Oder? Zwischen dem Audit 2018 und dem letzten Audit im Juni 2020 setzte man weitere Massnahmen um und präzisierte Sicherheitsrichtlinien sowie Vereinbarungen mit externen Unternehmen. «Nur ein kleiner Teil dieser Arbeit betrifft die eigentliche IT. Uns war bis zu diesem Zeitpunkt gar nicht bewusst, in welchen Bereichen man überall eingreifen muss», so Wetzel. Bei einem Versorgungsbetrieb dieser Grösse ziehe das viel Aufwand nach sich. «Die normativen Anforderungen sind umfangreich. Man weiss kaum, wo man anfangen soll. Aber dank der Unterstützung eines externen Beraters konnten wir uns auf Vorlagen stützen und mussten nicht bei null anfangen.» Die Grösse der LW sei gleichzeitig ein Vorteil, stellt die designierte ISMS-Managerin klar. So kann man auf das entsprechende Know-how im eigenen Unternehmen zurückgreifen. «Wir verfügen aber auch über die Kapazität, Sicherheitsmassnahmen selbst schnell umzusetzen.» Ein Kompromiss Die Sicherheit steht für die Versorgung stets an oberster Stelle. Dennoch muss die designierte ISMS-Managerin Kompromisse eingehen, um den Bedienkomfort und Arbeitsprozesse für die Mitarbeitenden nicht zu weit einzuschränken: «Hier führten wir schon die eine oder andere Diskussion. Unsere Massnahmen hatten natürlich Auswirkungen auf die Fernwartung. Sie betrafen aber auch ganz banale Dinge, wie z. B. passwortgeschützte Bedienmonitore oder Objektschutzanlagen, die jedes Mal beim Betreten unscharf geschaltet werden müssen.» Die Leute mitnehmen Mit Schulungen und viel Kommunikationsarbeit versucht Sylvia Wetzel, die Bedeutung der Cyber-Sicherheit den Mitarbeitenden nachhaltig zu vermitteln. «Über Trainingsmaßnahmen lässt sich die Sensibilität gut schärfen. Wir setzen u.a. auf Multiplikatoren- Schulungen, bringen regelmässig die Meister auf den aktuellen Stand und geben ihnen für ihre Mitarbeitenden die passenden Informationen und Unterlagen mit», so Wetzel. Zudem wird das technische Personal kontinuierlich sensibilisiert. Spezifische Trainings für einzelne Personengruppen sowie regelmässige Mitarbeiterinfos «Cyber-Sicherheit kann man nicht einfach zwei Jahre lang bis zum nächsten Audit unter den Tisch kehren.» Sylvia Wetzel, Projektingenieurin und designierte ISMS-Managerin, Landeswasserversorgung Stuttgart
RkJQdWJsaXNoZXIy NTkxNzY=