Branchenspezifische Herausforderungen für Stadtwerke

Die Stadtwerksgröße

Abhängig von der Versorgungsgröße des jeweiligen Stadtwerks gelten mindestens die regulären Anforderungen an die Unternehmenssicherheit oder darüber hinaus auch die weiterführenden Anforderungen an kritische Infrastrukturen gemäß IT-Sicherheitsgesetz.

Anforderungen für KRITIS-Stadtwerke gemäß IT-Sec

Aus dem IT-Sicherheitsgesetz gehen Anforderungen für kritische Infrastrukturen hervor. Diese sind konkret: § 8a: Schutz nach Stand der Technik und B3S.

BSIG §8a fordert die Umsetzung angemessener organisatorischer und technischer Vorkehrungen gemäß Stand der Technik zur Vermeidung von Störungen der IT spätestens nach zwei Jahren (in Krafttreten des IT-Sicherheits-Korbs). Die Vorkehrungen decken dabei folgende Themenfelder ab:

Die Umsetzung der Themenfelder kann dabei gemäß des branchenspezifischen Sicherheitsstandards B3S erfolgen. Dieser hat die Mindestanforderungen aus dem IT-Sicherheitsgesetz bereits durch den Branchenarbeitskreis in durchführbare Handlungen innerhalb des Stadtwerkbetriebs überführt.

Branchenabhängige Herausforderungen

Die Betrachtung der branchenabhängigen Herausforderungen ist gerade im Stadtwerksbetrieb äußerst sinnvoll. Unter anderem deshalb, weil auf Grund des Betriebs IT- und OT-Systeme (Operationale Technologie: Produktionsanlagen) zum Einsatz kommen. Ein weiterer, wichtiger Aspekt ist der Lebenszyklus einer solchen OT-Anlage, welche zehn und mehr Jahre beträgt.

Die neuen Anforderungen aus dem IT-Sicherheitsgesetz zur Sicherstellung des Betriebs und der Erhöhung der Widerstandsfähigkeit der Systeme gegenüber Cyberangriffen muss demnach mit den regulären Anforderungen des Anlagenbetriebs sowie der langfristig strategischen Ausrichtung des Stadtwerks in Einklang gebracht werden.

Die Herausforderung innerhalb der kleineren Stadtwerke ist dabei besonders hoch. Durch die Ausweitung der IT-Sicherheitsanforderungen auf kleinere Stadtwerke sind diese verpflichtet, mit niedrigerer Personaldecke die gleichen Schwellwerte zu erzielen, die bisher nur für größere Stadtwerke galten.

Stufenweise Herangehensweise

Um den Anforderungen kritischer Infrastrukturen in den verschiedenen Themenfeldern gerecht zu werden, ist eine stufenweise Herangehensweise sinnvoll. Dabei sollten die inhaltlich verknüpften Themen gemeinsam angegangen werden. Am Beispiel der IT-Sicherheit bedeutet das konkret, dass die einzelnen Themengebiete aufeinander aufbauen können:

IT-Sicherheitsthemen im Überblick:

  • Asset Management:
    • Das Asset-Management ist ein sinnvoller erster Schritt, um einen Überblick über alle relevanten IT- und OT-Komponenten zu erhalten.
  • Technische IT-Sicherheit
    • Die erfassten IT-Systeme im Asset-Management werden im zweiten Schritt auf ihre technische IT-Sicherheit überprüft. Dabei werden die aktuelle Konfiguration, der Dokumentationszustand sowie Aktualität der Hard- und Software-Komponenten überprüft.
  • Branchenspezifische Technik
    • Analog des branchenspezifischen Standards wird die Überprüfung der IT-Sicherheit auch bei den branchenspezifischen Systemen durchgeführt.
  • Robuste, resiliente Architektur
    • Im Anschluss an die technische Überprüfung besteht ein gutes Gesamtbild der Architektur, sodass diese im Gesamtkontext auf die Sicherheit und Widerstandsfähigkeit überprüft werden kann.
  • Überprüfung im laufenden Betrieb
    • Wird die Analyse auf die Widerstandsfähigkeit im laufenden Betrieb durchgeführt, eignen sich besonders die Ansätze, die wenig bis gar keine Auswirkungen auf den laufenden Betrieb haben. Ein Beispiel für eine solche Überprüfung ist die Überführung der gesammelten Informationen (1-4) in einen digitalen Zwilling. Innerhalb des digitalen Zwillings wird die Cyber-Security-Analyse durchgeführt, Schwachstellen identifiziert und potentielle Angriffswege betrachtet, ohne den Betrieb der Anlagen zu stören.
  • Business Continuity Management
    • Die Informationen über die Widerstandsfähigkeit der Anlage (4,5) fließen in das Business Continuity Management ein, welches die Anfälligkeit und die Gefahren von Störungen auf den Geschäftsprozess untersucht.
  • ISMS
    • Alle gesammelten Informationen werden in einem letzten Schritt in das Informations-Sicherheits-Management-System überführt.
    • In diesem wird das Gesamtrisiko berücksichtigt. Einflussgrößen für das Gesamtrisiko sind die technische Resilienz und die Betrachtung aus dem Business Continuity Management.

Für den idealen Einstieg in eine solche Prozesskette empfehlen wir einen Workshop vor Ort, in dem das Basis- und Spezialwissen rund um das Thema B3S vermittelt wird. Das Workshop-Ergebnis kann dann zu einem modellierten Katalog für die Sicherheitsanforderungen genutzt werden.

Alternativ dazu besteht auch die Möglichkeit, die Umsetzung des B3S auf Basis des modernisierten Grundschutzes durchzuführen.

Ein Ergebnis davon kann auch sein, dass technische Anforderungen nachgearbeitet werden müssen, um die Leittechnik und die OT-Infrastruktur auf den zertifizierbaren Stand zu bringen.

Bei Bedarf ist außerdem die Beauftragung eines externen Informations-Sicherheits-Beauftragten sinnvoll, sofern Ihr Unternehmen heute noch nicht über einen solchen verfügt.

Sie haben Fragen zu diesem Artikel?

Sprechen Sie uns an!

Kontakt

Menü