IT-Sicherheit an erster Stelle
Herausforderungen (auch) für Kommunen
Wir haben mit Dr. Martin Richter, Leiter Abteilung Informations- und Kommunikationstechnik der Stadt Radolfzell am Bodensee, darüber gesprochen, wie entscheidend IT-Sicherheit auch und gerade für Kommunen ist.
Herr Dr. Richter, in welchem Rahmen entsteht für Sie IT-Sicherheit?
Aktuelle gesetzliche Bestimmungen, wie die Definition kritischer Infrastrukturen durch den IT-Planungsrat, die ISO/IEC 27002 zum Thema IT-Sicherheit oder die europäische Datenschutzverordnung geben den gesetzlichen Rahmen für die Infrastruktur vor. Das betrifft nicht nur die Compliance und den sicheren Betrieb, sondern genauso die sichere Wiederherstellung der IT-Infrastrukturen nach einer technischen Störung oder einem erfolgreichen Angriff. Und: Dies betrifft die technischen Systeme genauso wie die Daten selbst.
Auf die Praxis bezogen ist eine unserer grundlegenden Herangehensweisen der Aufbau logisch voneinander getrennter Netzinfrastrukturen auf Basis von VLAN. Hinzu kommt, dass wir aktuelle Virtualisierungstechnologien für Betriebssysteme und Datenspeicher einsetzen. Es gibt ein tragfähiges Backup & Recovery-Konzept um akzeptable Ausfallzeiten zu erreichen. Externe Zugriffe laufen über VPN-Tunnel und eine professionelle Firewall-Architektur. Im Hintergrund erfolgt die logische und teilweise sogar physische Trennung von Netzen.
Wir separieren auch das Verwaltungs- und Produktivnetz. Im Produktivnetz haben wir oft das Problem, dass einfache Betriebssysteme von messtechnischen Anlagen oder Maschinensteuerungen nicht ausreichend gehärtet sind. Die angemessene Abschirmung der Netzsegmente durch Firewalls ist damit Pflicht.
Was ist für Sie im Kontext der IT-Sicherheit besonders wichtig?
«Sicherheitstechnisch betrachtet reicht die vereinfachte Sicht auf die IT mit der Aufteilung in ‹gut drinnen› und ‹böse draussen› längst nicht mehr aus.»
IT-technisch ist das nicht mehr trennbar. Das vermischt sich immer weiter hinein in die Applikationsebene. Deshalb brauchen wir klügere Strategien, und gerade dort, wo die Verbindung zu externen Services oder Beteiligten hergestellt wird. Immer wenn der Austausch zwischen verschiedenen Netzen stattfindet oder Geräte und Anwendungen in ein Netz eingebunden werden, braucht es hochkomplexe Sicherheitsstrukturen. Das ist ein langfristiger Prozess, der aber heute schon beginnen muss. Dazu gehört gleichermassen ein vernünftiger Schutz auf Applikationsebene. Das fängt schon beim Patchlevel der Betriebssysteme an und geht beim aktuellen Schutz von Client- wie Serversystemen weiter.
Elementar ist für jedes Datennetz auch dessen Überwachung. Wir brauchen also ein System, das Angriffe erkennt und entsprechend reagiert. Und wir benötigen ein integriertes Störfall-Management, welches die Funktionalität des Netzes so rasch wie möglich stabilisiert und wiederherstellt. Das ist enorm aufwändig und damit gerade für kleinere Kommunen eine extrem herausfordernde Aufgabe. Das geht nicht von heute auf morgen und ist ein intensiver Change-Prozess. Wir haben hier den Vorteil, dass wir in unserem internen Produktivnetz schon viele Anforderungen umgesetzt haben, die wir jetzt auf den technischen Betrieb erweitern können. Dazu zählen beispielsweise Monitoring, Fernzugriff oder die Einbindung von Mobilgeräten.
Ausserdem ist die Sensibilisierung wichtig: Wir haben als eine der ersten Kommunen eine IT-Sicherheitsrichtlinie erlassen, die dem Informations-Sicherheitsmanagement entspricht, wir informieren über Vorfälle und stärken so auch die Aufmerksamkeit gegenüber potenziellen Gefahren.
IT-Sicherheit ist ein komplexes Thema. Wie gehen Sie in Radolfzell konkret damit um?
Die Sicherheit der Informations- und Kommunikationstechnik ist doch unabdingbar – nicht nur für grosse Industrieunternehmen, sondern auch und vielleicht gerade für Kommunen. Eine Stadt oder Gemeinde verwaltet viele sensible Daten und ist zudem verantwortlich für eine hochkomplexe Infrastruktur, die für die Menschen lebensnotwendig ist.
Klar ist: Sicherheit kostet etwas. Und sie erfordert eine hohe Fachkompetenz, die entweder als Dienstleistung eingekauft oder intern zur Verfügung gestellt werden kann. In Radolfzell verfügen wir glücklicherweise über ein hohes internes IT-Know-how. In unserer Abteilung arbeiten Fachkräfte als Dienstleister für die gesamte Kommunalverwaltung. Da wir unser Fachwissen zu einem sehr frühen Zeitpunkt konkret und praktisch und dazu auf oberster Ebene in die Projekte der einzelnen Bereiche einbringen können, haben wir zugleich die Kosten im Bereich IT langfristig im Griff.
In das Projekt zur Beschaffung und Installation des neuen Prozessleitsystems der Kläranlage waren wir beispielsweise von Anbeginn involviert und haben darauf geachtet, dass die notwendigen Standards im Hinblick auf die IT-Sicherheit eingehalten werden. Systementscheidungen wurden damit immer auch mit dem Fokus IT-Sicherheit getroffen. So konnten wir entsprechend den betrieblichen Bedürfnissen der Anlage den bestmöglichen Schutz realisieren.
Herzlichen Dank für das Gespräch.
Kategorien
Experteninterviews
Bereiche
Abwasserreinigung
Wasserversorgung
Stromversorgung
Gasversorgung
