Ein Ausfall der Leitsysteme in der Wasserversorgung kann dazu führen, dass Trinkwasser verunreinigt oder die Versorgung unterbrochen wird. Um Cyber-Risiken richtig zu adressieren, führte die EW Rothrist AG, der Strom- und Wasserversorger für Industrie- und Gewerbekunden sowie alle Haushalte in der Gemeinde Rothrist und Vordemwald, eine Standortbestimmung ihrer Informationssicherheit durch. Obwohl technisch gut aufgestellt, bestand organisatorisch durchaus Verbesserungsbedarf. «Informationssicherheit ist ein wichtiger Erfolgsfaktor, um unsere Ziele und Aufgaben der Wasser- und Stromversorgung langfristig und möglichst ohne Unterbruch zu gewährleisten», erklärt Roberto Romano, Geschäftsleiter bei EW Rothrist, und ergänzt: «Darum haben wir Informationssicherheit als strategisches Thema verankert und mit Unterstützung von einem Informationssicherheitsdienstleister den IKT-Minimalstandard umgesetzt.»
Als Mitglied des SVGW hatte der Verwaltungsrat der EW Rothrist bereits während der Erarbeitung Einblick in den IKT-Minimalstandard (W1018). Er hat die Notwendigkeit, aber auch den Mehrwert des IKT-Minimalstandards sofort erkannt und gemeinsam mit der Geschäftsleitung dessen Umsetzung besprochen.
Die W1018 ist so konzipiert, dass sie grundsätzlich von jeder Wasserversorgung selbständig umgesetzt werden kann. Die EW Rothrist AG liess jedoch die Standortbestimmung durch einen externen Informationssicherheitsexperten durchführen. Die Expertenerfahrung gab der EW Rothrist die Gewissheit, dass der IKT-Minimalstandard vollumfassend und durch eine unabhängige Stelle angegangen wird.
Basierend auf der Standortbestimmung ernannte die Geschäftsleitung der EW Rothrist einen internen Verantwortlichen für Informationssicherheit (Informationssicherheitsverantwortlicher): René Hürzeler, Leiter Strom. Zusammen mit dem beauftragten Dienstleister Redguard hat er die Verbesserungsmassnahmen adressiert und koordiniert. «Viele Verbesserungen konnten wir selbst umsetzen. Redguard hat uns fachlich und bei Ressourcen-Engpässen unterstützt», so Hürzeler. «Es ist bemerkenswert, wie viel die EW Rothrist in kurzer Zeit umsetzen konnte. Die Arbeitsweise war pragmatisch und sehr effizient», freut sich Dario Walder, Projektleiter seitens Redguard. Durch die enge Zusammenarbeit konnten nicht nur alle Massnahmen kostengünstig umgesetzt, auch konnte eine hohe Qualität der Lieferergebnisse sichergestellt werden.
Im Rahmen der Standortbestimmung hat sich gezeigt, dass die EW Rothrist AG technisch bereits einige Massnahmen umgesetzt hatten. Durch den beauftragten IT-Dienstleister wurde ein für die EW Rothrist AG passendes Netzwerkzonenkonzept erarbeitet. Dabei wurde das Netzwerk in verschiedene Zonen eingeteilt, wobei insbesondere auf die Trennung zwischen dem Netz für die Office-IT und dem Netz für das Prozessleitsystem geachtet wurde. Die Trennung der Netzwerke wurde unter anderem durch entsprechend konfigurierte Firewalls sichergestellt. Ausserdem wird auf allen Geräten eine Antivirus-Software verwendet. Durch den Patchmanagement-Plan des Dienstleisters werden Systeme und Software immer auf dem aktuellsten Stand gehalten. Aufgrund dieser und weiteren bereits vorhandenen technischen Massnahmen wurde der Fokus bei der Erhöhung des Sicherheitsniveaus insbesondere auf organisatorische Aspekte gelegt.
Ein zentraler Punkt bei der Umsetzung des Standards bildete das Informationssicherheits-Management-System (ISMS). Gemeinsam wurde die Erarbeitung einer Informationssicherheitsstrategie, Weisungen zum sicheren Umgang mit IKT-Mitteln, Konzepte (z. B. Notfallkonzept) und eine Awareness-Kampagne erarbeitet. Auch hier wurde mit Informationssicherheitsexperten die effizienteste und kostengünstigste Vorgehensweise besprochen. So hatte der Informationssicherheitsverantwortliche der EW Rothrist AG beispielsweise die Weisungen grösstenteils selbst erstellt und durch die Informationssicherheitsexperten einem Review unterzogen. Die Strategie dagegen wurde gemeinsam erarbeitet und auch die Awareness-Kampagne wurde aufgeteilt. So konnte der Informationssicherheitsverantwortliche seine Erfahrung und Kompetenzen gezielt einbringen und erhielt dort Unterstützung, wo es notwendig war. In enger Zusammenarbeit wurden zudem ein Notfallkonzept für den Ausfall des Prozessleitsystems ausgearbeitet und Notfallszenarien klar definiert: Wer ist verantwortlich? Was ist im Krisenfall zu tun? Welche Back-up-Systeme und -Prozesse sind vorhanden? Nun ist das EW Rothrist für zukünftige Herausforderungen gewappnet und kann mit Gewissheit gar dem Worst-Case-Szenario – dem Ausfall des Prozessleitsystems – entgegentreten. Der Notfallplan dafür wurde nicht nur festgehalten, sondern zumindest in Teilen auch getestet.
Um das Wissen und das Bewusstsein der Mitarbeitenden zu verbessern, hat die EW Rothrist mit der Unterstützung der Informationssicherheitsexperten eine Awareness-Kampagne für die regelmässige Durchführung geplant – für alle Mitarbeitenden von Sachbearbeiter bis Geschäftsleitung. «Jeder Mitarbeitende ist eine potenzielle Schwachstelle. Wenn wir sie aufklären und sensibilisieren, werden aus diesen Schwachstellen Sensoren, die sich korrekt zu verhalten wissen, Auffälligkeiten erkennen und frühzeitig auf Risiken hinweisen», so Dario Walder. Dazu wurde ein Grossteil der Mitarbeitenden bereits im Rahmen der Standortbestimmung auf Risiken und Gefahren im Umgang mit IKT-Mitteln aufmerksam gemacht. Damit alle Mitarbeitenden sensibilisiert werden können, wurde durch den Informationssicherheitsverantwortlichen eine Weisung erarbeitet, die von den Mitarbeitenden zur Kenntnis genommen und unterschrieben wird.
Ausserdem hat der Verwaltungsrat den Informationssicherheitsexperten beauftragt, ein Live-Hacking durchzufĂĽhren und die Sensibilisierung der Mitarbeitenden durch eine Phishing-Kampagne zu testen.
Durch das gemeinsame Vorgehen konnte die EW Rothrist AG ihre Kompetenzen im Informationssicherheitsbereich noch weiter ausbauen, die beschränkt zur Verfügung stehenden Ressourcen äusserst gezielt einsetzen und die Einhaltung des IKT-Minimalstandards sicherstellen. «Durch die Umsetzung des IKT-Minimalstandards haben wir Gewissheit, dass wir die richtigen und wichtigen Sachen umsetzen und unsere Ressourcen bestmöglich einsetzen», so Roberto Romano. Er weiss, dass es sich dabei um einen kontinuierlichen Prozess handelt: «Wir haben Verantwortlichkeiten und Informationssicherheitsprozesse bestimmt. Einmal pro Jahr prüfen die Informationssicherheitsverantwortlichen und die Geschäftsleitung, dass diese auch tatsächlich gelebt werden.»
Der Informationssicherheitsexperte hat für den Geschäftsleiter und Informationssicherheitsverantwortlichen einen Prozess (inklusive entsprechender Checkliste) erarbeitet, durch den sie die zur Einhaltung des IKT-Minimalstandards notwendigen Arbeiten jährlich überprüfen können. So ist Informationssicherheit als Thema bis in die Geschäftsleitung verankert. Zudem ist sichergestellt, dass sich das ISMS (Strategie, Weisung, Konzept usw.) nicht als Papiertiger entpuppt.
Â
Der Schweizerische Verein des Gas- und Wasserfaches (SVGW) hat gemeinsam mit dem Bundesamt für wirtschaftliche Landesversorgung (WL) einen Minimalstandard (W1018) zum Schutz der Informations- und Kommunikationstechnologie (IKT) für Wasserversorger erarbeitet. Die W1018 dient den Wasserversorgungen als Hilfsmittel, um Informationssicherheit systematisch anzugehen und dabei bestehende Sicherheitslücken mit vertretbarem Aufwand zu schliessen. Das Regelwerk betrachtet Informationssicherheit ganzheitlich, vom Identifizieren von Risiken, Schützen von Systemen, Erkennen von Angriffen, die Reaktion auf diese, bis zum Wiederherstellen des Geschäftsbetriebs. Jeder dieser Bereiche wird anhand eines Kriterienkatalogs eingestuft.
epaper.svgw.ch
www.bwl.admin.ch > themen > ikt
www.aquaetgas.ch > wasser
«AQUA & GAS» gibt es auch als E-Paper. Abonnenten, SVGW- und/oder VSA-Mitglieder haben Zugang zu allen Ausgaben von A&G.
Den «Wasserspiegel» gibt es auch als E-Paper. Im SVGW-Shop sind sämtliche bisher erschienenen Ausgaben frei zugänglich.
Kommentare (0)