Öhringer Wasserversorgung hat Risikomanagement implementiert

Auch Wasserversorger geraten zunehmend ins Visier von Hackern. Unternehmen, die unter die KRITIS-Verordnung fallen, müssen bereits heute nachweisen, dass sie bei der IT-Sicherheit auf dem aktuellen Stand sind. Aber auch kleinere Betriebe streben vorsorglich nach einem vergleichbaren Niveau. Wie in Öhringen, bei einem Pilotprojekt mit der EnBW.

Vor gut zwei Jahren hatte Horst Geiger ein Schlüsselerlebnis: Bei einer Anwenderschulung der HST Systemtechnik wurde gezeigt, dass Hacker sogar virtuelle Leitstellen angreifen. Für den Technischen Leiter der Großen Kreisstadt in Nordwürttemberg war damit klar: „Die IT-Systeme unseres Wasserwerks und der Kläranlage brauchen einen zeitgemäßen Schutz“. Die rechtliche Situation legt das nahe. Formal gilt zwar der Schwellenwert von 22 Mio. m³ Wasseraufkommen im Jahr, ab dem ein Standard gemäß dem von den Fachverbänden DVGW und DWA entwickelten IT-Sicherheitsleitfaden B3S Wasser/Abwasser zwingend gilt.
„Passiert doch einmal was, müssen auch wir dokumentieren, was wir zur Vermeidung von IT-Pannen vorsorglich unternommen hatten“. Bei der Suche nach einem geeigneten Anbieter für ein Informationssicherheits-Managementsystem (ISMS) stieß Geiger eher zufällig auf die EnBW. Die blickt auf jahrzehntelange Erfahrung mit kritischen Infrastrukturen zurück, zum Beispiel im Bereich ihrer Kernkraftwerke. „Die Sicherheit unserer IT-Systeme muss höchsten Ansprüchen genügen und extrem strenge behördliche Vorgaben erfüllen“, weiß der IT-Chef der Kernkraftsparte, Achim Bellemann. Rasch lag den Öhringern ein Angebot des Bereichs „Full Kritis Service“ (FKS) der EnBW vor. Das musste sich in einer Ausschreibung durchsetzen, bevor der Gemeinderat im März 2018 grünes Licht gab.

Bald darauf begann die Strukturdatenerfassung nicht nur bei IT-Systemen, technischen Anlagen oder Räumlichkeiten, sondern auch Prozessen,Organisation und Management. Für die einzelnen Assets waren gemäß BSI-Standard Schutzbedarfsbetrachtungen vorzunehmen und die Abweichungen zwischen Soll und Ist zu identifizieren. „Auf Basis unserer Erfahrungen haben wir nach qualitativen und quantitativen Kriterien bewertet“, erläutert dazu Achim Bellemann. Daraus entstand eine umfassende ‚Landkarte‘ mit Priorisierungen in den Ampelfarben, wobei knapp die Hälfte der 118 relevanten Kontrollziele mit „Gelb“ oder gar „Rot“ als Risiken eingestuft wurden.

»DIE SICHERHEIT UNSERER IT-SYSTEME MUSS HÖCHSTEN ANSPRÜCHEN GENÜGEN UND EXTREM STRENGE BEHÖRDLICHE VORGABEN ERFÜLLEN.«

Achim Bellemann, IT-Chef der Kernkraftsparte

Seit dem Frühjahr 2019 ist das Risiko-Management-System gemäß ISMS vollständig implementiert. „Damit haben wir das passende Instrument, um mit planbarem Budget
die Risiken entsprechend ihrer Priorisierung in den kommenden Jahren angemessen zu mindern“, so Horst Geiger. Einige„scheinbar ganz banale Dinge“ wurden als ‚Quick Wins‘ bereits realisiert. So bleiben der Schaltraum der Wasserversorgung und die einzelnen Schaltschränke verschlossen, und jeder Zutritt ist mit Angabe der Gründe zu dokumentieren. „Manchen Kollegen nervte der zusätzliche Aufwand zunächst“, berichtet er freimütig. „Inzwischen klappt es, nicht zuletzt dank des kompetenten Auftretens der EnBW-Mitarbeiter“. Gemäß den FKS-Handlungsempfehlungen sind nach und nach dickere Bretter zu bohren. Gut die Hälfte der Maßnahmen betreffen den Bereich Organisation, Personal und Notfallvorsorge. Dabei geht es beispielsweise um robuste Datensicherungskonzepte oder auch leistungsfähige Backup-Systeme für den Krisenfall. Dazu hat die EnBW der Stadt einen „managed service“ für die IT in der sicheren Umgebung ihres eigenen Rechenzentrums angeboten. Bereits entschieden ist die Einführung des vollumfänglichen, elektronischen Betriebsführungssystems mit integriertem ISMS Modul aus dem Hause HST. Sehr großen Wert legt Achim Bellemann auch auf die Organisation der Dokumentation, wobei nicht nur schlüssige Konzepte gefragt sind. „Das Ganze funktioniert umso besser, wenn alle Mitarbeiter mitziehen. Denn bei der IT-Sicherheit leistet immer auch der Faktor Mensch einen Beitrag. Bei Bedarf können Change- Prozesse helfen.“

In das Thema könnte bald noch mehr Bewegung kommen, da bereits über eine Absenkung des Schwellenwerts für KRITIS-Unternehmen diskutiert werde. Dann könnten viele der rund 6.000 Wasserversorger in Deutschland direkt von den Vorgaben des IT-Sicherheitsgesetzes betroffen sein. Angetan von dem Projekt ist übrigens auch der städtische IT-Leiter, Jürgen Haak, der bei technischen Fragen und Umbaumaßnahmen der Systeme mit Mario Kraemer einen EnBW-Fachmann hinzuziehen kann. Nicht nur wegen der zeitlichen Entlastung. „Viele Erfahrungen aus der Wasserversorgung lassen sich auch für das Sicherheitsmanagement in anderen kommunalen Einrichtungen wie den Schulen oder dem Rathaus nutzen“.


EnBW AG

Full Kritis Service
Jürgen Franke
76131 Karlsruhe
Telefon: 0711 289-56803
E-Mai: kritis@enbw.com