Wie die Grossen

Die Wasserwerke Wiener Neustadt (WWK) beliefern rund 50'000 Einwohner und Einwohnerinnen mit Trinkwasser aus der ‹Mitterndorfer Senke›, einem der grössten Grundwasserreservoirs Europas. Mit einer jährlichen Wasserfördermenge von rund 4 Millionen m³ fallen sie nicht unter das österreichische Netz- und Informationssicherheitsgesetz (NISG) für Betreiber wesentlicher Dienste. Das ist aber kein Grund für die Versorgung, dieses Gesetz nicht zu befolgen.

In Österreich müssen sich Betreiber von Wasserversorgungen mit mehr als 10 Millionen m³ jährlicher Wasserförderung an das NISG halten. «Diese Menge erreichen wir zwar nicht. Ich bin aber überzeugt, dass IKT-Sicherheit kleine Betreiber genauso betrifft, wie grosse – in Zukunft noch stärker als bisher», macht Manfred Becker, Betriebsleiter der Wasserwerke Wiener Neustadt, die Hintergründe für die Entscheidung klar.

Im Abstand von maximal drei Jahren sind vom Gesetz betroffene Betreiber verpflichtet, die Implementierung verhältnismässiger technischer und organisatorischer Sicherheitsvorkehrungen nachzuweisen. Sicherheitsvorfälle im Bereich von Netz- und Informationssystemen müssen unverzüglich gemeldet werden.

«Wir befolgen das Netz- und Informations­sicher­heits­gesetz frei­willig. IKT-Sicher­heit betrifft auch kleinere Versorger.»

Manfred Becker, Betriebs­leiter, Wasser­werk Wiener Neustadt

Eine eigene IT-Abteilung der Wiener Neustädter Stadtwerke und Kommunal Service GmbH befasst sich bei den WWK seit rund fünf Jahren umfassend mit dem Thema IKT-Sicherheit. Als Wasserversorger müsse man immer vorausschauend planen. Es sei wichtig, genau zu analysieren, welche IKT-Massnahmen für den eigenen Betrieb zielführend sind, ist der Betriebsleiter überzeugt: «Kennt man seine Versorgung gut, kann man gezielt nach individuellen Lösungen suchen. Nachdem das Gesetz in Kraft war, haben wir eine Risikoanalyse durchgeführt. Bei vielen Bereichen waren wir bereits gut unterwegs, bei einigen Punkten mussten wir aber nachschärfen.»

Der Analyse folgten Taten: Der Betreiber analysierte vorhandene Anlagenzugänge von Drittanbietern und schützte den Zugang zur Fernwirkanlage durch klar definierte Benutzer-Berechtigungen und Passwörter. Auch die physischen Zutrittsmöglichkeiten wurden gesichert: Schaltwarte und Serverraum sind jetzt mit einem Schliesssystem versehen. Im Bereich kritischer Systeme lässt die Versorgung keinen Kundenverkehr mehr zu. «Räume freizumachen, um Kundenverkehr und kritische Systeme voneinander zu trennen, war schon eine organisatorische Herausforderung», erinnert sich der Betriebsleiter.

Das IT-Team sperrte vorsorglich nicht genutzte USB-Ports und implementierte eine sichere VPN-Verbindung für Fernzugriffe. «Aktuell gehaltene Virenscanner sind natürlich auch Pflicht», so Becker. Redundante und physisch getrennte Backups halten Ausfallzeiten im Fall der Fälle möglichst gering. Ein umfassend dokumentiertes Netzwerk sorgt für Klarheit bei Anpassungen und hilft dabei, Sicherheitslücken zu vermeiden. Und: Die regelmässige Versorgung mit vorab geprüften Sicherheitsupdates durch Rittmeyer hält den Server in der Zentrale auf dem aktuellen Stand.

«Wir sind ein kleines Team aus Technikern und pflegen den Dialog. Dadurch sind wir schnell in der Umsetzung.»

Die Umsetzung der Massnahmen erfolgte innerhalb eines Jahres. «Wir sind ein kleines Team aus Technikern, pflegen den persönlichen Dialog und haben alle an einem Strang gezogen. Dadurch konnten wir die Massnahmen schnell umsetzen», freut sich der Betriebsleiter. Geholfen habe auch die Geschäftsführung der Wiener Neustädter Stadtwerke und Kommunal Service GmbH, ist sich Becker bewusst: «Einige Dinge waren mit einem entsprechenden Budget verbunden. Unsere Geschäftsführung hat erkannt, dass die Massnahmen notwendig sind.» Das habe vieles erleichtert.