Nachhaltig sicher mit ISMS und IT-Notfallplanung

100 Prozent Verantwortung, 100 Prozent kommunal – so lautet das Motto der Stadtwerke Heidelberg GmbH. Der größte regionale Energieversorger beschäftigt rund 1.100 Mitarbeiter. Neben der Versorgung mit Strom, Gas und Wärme beliefert die Stadtwerke Heidelberg GmbH circa 150.000 Bürgerinnen und Bürger sowie zwei Verteilwerke mit rund zehn Millionen Kubikmetern Trinkwasser. Zu dem kommunalen Unternehmen gehören neben der Holding außerdem noch weitere Gesellschaften, die unter anderem für Energieversorgung, Netze, Bäder, die Heidelberger Bergbahnen und Parkhäuser zuständig sind.

Höhere Gewalt, ein fehlgeschlagenes Software-Update oder vorsätzliche Handlungen wie Hackerangriffe oder Diebstahl können die Sicherheit von Informationen in unterschiedlichem Ausmaß bedrohen. Fallen wichtige IT-Systeme von Energieversorgern aus, erliegt auch die Versorgung mit lebensnotwendigen Ressourcen. Um Störungen oder Ausfälle zu vermeiden, müssen Energieversorger wie die Stadtwerke Heidelberg GmbH als Kritische Infrastruktur (Kritis) ein angemessenes Sicherheitsniveau nachweisen.

Energieversorger sind dazu verpflichtet, ein wirksames und nachhaltiges Informationssicherheitsmanagementsystem (ISMS) nach der ISO/IEC 27001 einzuführen und zertifizieren zu lassen. Ein ISMS ist die Aufstellung von Verfahren, Regeln und Prozessen innerhalb eines Unternehmens, die dazu dienen, die Informationssicherheit dauerhaft zu planen, zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. Doch auch ein etabliertes ISMS kann nicht jede Notsituation ausschließen.

Um im Ernstfall die Versorgung mit lebenswichtigen Ressourcen aufrechtzuerhalten, sind zur Kritis gehörende Unternehmen gesetzlich dazu verpflichtet, ihre informationstechnischen Systeme, die für den Betrieb des Versorgungsunternehmens maßgeblich sind, abzusichern. Im Vordergrund steht dabei, dass im Ernstfall die Versorgung der Bevölkerung sichergestellt ist. Zu diesem Zweck hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusätzlich zur Kritis-Verordnung in Zusammenarbeit mit der Bundesnetzagentur den IT-Sicherheitskatalog erstellt.

Notfälle können jederzeit eintreten. Es gilt daher, schon im Vorfeld mögliche Kritikalitäten zu betrachten und zu bewerten, welche sich auf die Funktionsfähigkeit eines Unternehmens auswirken können. Eine softwarebasierte IT-Notfallplanung bildet das beste Sicherheitsnetz, um in einer Notsituation handlungsfähig zu bleiben. Mit der Umsetzung tun sich viele Unternehmen jedoch schwer: Komplexe Strukturen, ständige Veränderungen der Prozesse, der Verantwortlichkeiten und der technischen Infrastruktur stellen große Hindernisse für eine aktuelle und allen Verantwortlichen bekannte Dokumentation dar. Im Ernstfall auf ein manuell erstelltes Notfallhandbuch, zum Beispiel mit Word und Excel, zurückzugreifen, birgt große Risiken. Oftmals werden relevante Unternehmensdaten nicht umgehend aktualisiert, und nachträgliche Anpassungen führen schnell zu Fehlern. Eine softwarebasierte Lösung für die IT-Notfallplanung wirkt dem entgegen: Kernprozesse werden mit der dazugehörigen IT-Infrastruktur verknüpft und klare Verantwortlichkeiten definiert. Assets wie zum Beispiel Infrastruktur und Personal können dabei durch Schnittstellen und Importer automatisch in die Lösung übertragen werden.

„Für uns war die Einführung einer IT-Notfallplanung zwingend notwendig, um die gesetzlich festgelegten Anforderungen umsetzen zu können“, sagt Tobias Lang, Informationssicherheitsbeauftragter (ISB) der Stadtwerke Heidelberg GmbH.

Das IT-Team legte bei der Software für ihre Notfallplanung großen Wert darauf, dass die Lösung die komplexen Strukturen der Stadtwerke vollumfänglich erfasst und abbilden kann. Bei der ausführlichen Recherche stieß die IT-Abteilung auf die Software Indart Professional von der Contechnet Deutschland GmbH. Der Software-Hersteller bietet eine prozessorientierte, modulare Software Suite, darunter auch IT-Notfallplanung und ISMS. „Wir haben uns die Software intensiv angeschaut und schnell festgestellt, dass sie unsere Anforderungen erfüllt“, sagt Tobias Lang. „Daraufhin haben wir zum Hersteller Kontakt aufgenommen und mit der Projektplanung begonnen.“ Zuerst wurde die Etablierung einer IT-Notfallplanung in Angriff genommen. Die Umsetzung fand gemeinsam mit der Contechnet statt. Durch die benutzerfreundliche Schritt-für-Schritt Anleitung, die den Anwender unmittelbar zum Ergebnis führt, gelang es innerhalb von vier Wochen im laufenden Betrieb eine funktionsfähige IT-Notfallplanung umzusetzen. Dabei lag die Herausforderung vor allem in dem einmaligen Befüllen und der kontinuierlichen Pflege aller notfallkritischen Daten. Doch gerade die Vollständigkeit dieser Informationen ist die Grundlage einer zuverlässigen Notfallplanung sowie der effizienten Nutzung der Contechnet Suite, die auf eine einheitliche Datennutzung ihrer Module setzt.

Als unter die Kritis-Verordnung fallendem Energieversorger, war auch die Einführung eines Informationssicherheitsmanagementsystem (ISMS) von besonderer Wichtigkeit. Das Projekt wurde im Aufgabenbereich der Konzern-IT angesiedelt. „Da wir bereits gute Erfahrungen mit der Einführung der IT-Notfallplanung mit der Software INDART Professional von Contechnet gemacht hatten, haben wir auch im Bereich ISMS zum Hersteller Kontakt aufgenommen“, erläutert Tobias Lang. Zudem erleichterten der einheitliche Aufbau der Software und die bereits angelegte Datenbasis aus der IT-Notfallplanung, das ISMS Modul Inditor Iso schnell und nachhaltig aufzusetzen.

„Nachfolgend haben wir unser ISMS dann auch erfolgreich nach den Standards des IT-Sicherheitskataloges zertifizieren lassen“, sagt Tobias Lang. „Contechnet stand uns bei der gesamten Implementierungsphase und auch darüber hinaus beratend und unterstützend zur Seite. Gab es Schwierigkeiten, war der Support telefonisch oder per E-Mail jederzeit erreichbar, und auch über die Fernwartung war immer eine schnelle Lösung möglich.“

Mit Indart Professional haben sich die Stadtwerke Heidelberg GmbH für eine Notfallplanungssoftware entschieden, die den hohen Anforderungen des Energiesektors gerecht wird und die Datenpflege wesentlich vereinfacht. Der Aufbau eines ISMS mit Inditor Iso komplettierte die Voraussetzungen für eine erfolgreiche Zertifizierung nach der ISO/IEC 27001. Tobias Langs Fazit ist jedenfalls eindeutig: „Die Software entspricht genau unseren Anforderungen, und wir konnten sie einfach in unseren Arbeitsalltag integrieren. Auf diesen Erfahrungen und der guten Zusammenarbeit mit Contechnet möchten wir aufbauen und planen daher, eine längerfristige Zusammenarbeit.“

Rüdiger Eilers, Contechnet Deutschland GmbH.