IT-Outsourcing bei den Stadtwerken Crailsheim – Eine Frage der Kernkompetenz

Kommunale Energieversorger gelten als Kritische Infrastruktur nach § 2 der BSI-KRITIS-Verordnung. Dies bringt hohe Anforderungen und Kostenrisiken mit sich, denen man sich mit eigenem Personal und Kapazitäten stellen kann. Oder man macht es wie die Stadtwerke Crailsheim, die als KRITIS-Betreiber ihre Infrastruktur an einen entsprechend zertifizierten IT-Dienstleister ausgelagert haben.

Die Stadtwerke Crailsheim sind Energie- und Wasserversorger, betreiben verschiedene Solar- und Blockheizkraftwerke, Umweltprojekte und Bäder. Was das kommunale Unternehmen seit 2016 allerdings immer weniger betreibt, sind IT-Systeme. Christopher Wolfram, der kaufmännische Leiter und IT-Verantwortliche der Stadtwerke Crailsheim, stellte damals fest, dass es mit dem verfügbaren Personal und der installierten IT-Infrastruktur schwer werden würde, eine ausreichende Betriebssicherheit und Verfügbarkeit der IT zu realisieren. 

Dass Stadtwerke ihre energiewirtschaftlichen Spezialanwendungen selbst pflegen, ist sinnvoll und gehört zur Kernkompetenz. Doch muss man sich auch um Server, Netzwerke und Back-up kümmern? Bei den Stadtwerken Crailsheim waren es rund 130 Server im Eigenbetrieb. Jedoch fehlte es an den personellen und technischen Möglichkeiten, einen zuverlässigen Betrieb rund um die Uhr zu gewährleisten. Die Suche nach entsprechend kompetenten IT-Fachleuten gestaltete sich immer schwerer. Ganz zu schweigen von der aus Sicherheitsgründen gesetzlich geforderten räumlich getrennten Spiegelung. 

Also ging Christopher Wolfram in die Offensive. Es erfolgte eine Ausschreibung für ein IT-Outsourcing. Dabei stach ein Anbieter durch die Fülle seiner Zertifizierungen sowie mit seiner Branchenerfahrung und eigenen Hochsicherheitsrechenzentren hervor. »Ich lernte das Team von noris network auf der IT-Sicherheitsmesse it-sa in Nürnberg kennen und fühlte mich gleich gut beraten«, erinnert sich Wolfram. Das Angebot des Nürnberger Rechenzentrumsbetreibers war auch preislich interessant und das noris-network-Team punktete mit einer großen Flexibilität: »Hier bekamen wir sofort ein schrittweises Migrationskonzept geliefert, dass individuell auf unsere IT-Anforderungen abgestimmt war. Andere Anbieter zeigten sich hier deutlich starrer.«

Anzeige

Fast keine Hardware mehr vor Ort. So fiel die Outsourcing-Entscheidung. Schrittweise übernahmen virtuelle Server in noris-network-Rechenzentren die Aufgaben und die Fachleute von noris network deren Betrieb und die Wartung bis »Oberkante Betriebssystem«. Ende 2017 war die Migration abgeschlossen. Lediglich sechs Server mit File-Server, Active Directory, Print-Server und Terminal-Server behielt man in Crailsheim. Alles andere wanderte in hochmoderne Rechenzentren ins nur eine Stunde entfernte Nürnberg. Mittlerweile basiert auch die Mailkommunikation auf einer Dienstleistung: noris network leistet für die Stadtwerke einen Managed Exchange Service mit 160 Postfächern. 

Was dem gesamten Projekt guttut, ist die transparente Kommunikation über Status und Veränderungen im IT-Bereich. Der Rechenzentrumsbetreiber pflegt ein intensives Monitoring und informiert zu Zwischenfällen beispielsweise direkt durch Meldung aufs Handy. Während der Umstellungen bekam die IT-Abteilung der Stadtwerke Crailsheim wöchentliche Berichte. Mittlerweile reicht es, monatlich über eventuelle Ereignisse oder Änderungen informiert zu werden. 

»Stand der Technik« und Nachweis. Nach § 8a des Sicherheitsgesetzes müssen Betreiber Kritischer Infrastrukturen ihre IT-Infrastruktur nach dem »Stand der Technik« absichern und die Erfüllung der Anforderungen mindestens alle zwei Jahre nachweisen. In Crailsheim war zunächst »nur« die Entlastung der eigenen IT-Abteilung bei Routinearbeiten die treibende Motivation hinter dem Outsourcing. 

Diese Sicht hat sich zwischenzeitlich gewandelt: Nachweisbare, dokumentierte und zertifizierte IT-Sicherheit wird in Crailsheim heute als der größte Vorteil gesehen. Zum einen sollte der Aufwand bei Einrichtung und Audit eines IT-Sicherheitsmanagementsystems nach ISO 27001 nicht unterschätzt werden. Aber ist der Dienstleister entsprechend zertifiziert, ist die von ihm im Outsourcing betriebene IT automatisch von diesem Sicherheitsmanagementsystem erfasst. 

Anzeige

Zum anderen ist IT-Sicherheit ein teurer, aufwendiger Kampf an vielen Fronten. Skaleneffekte bei Schutzlösungen können diese Einrichtungen nicht nur günstiger machen, sondern auch qualitative Unterschiede ermöglichen. Ein Rechenzentrumsdienstleister wie noris network, der mehrere KRITIS-Betreiber hostet, kann High-End-Cyber-Security-Schutzeinrichtungen betreiben, die für eine einzelne Organisation wirtschaftlich nicht darstellbar wären. Bei noris network kommt hinzu, dass neben KRITIS-Kunden beispielsweise auch viele sicherheitssensible Kunden aus der Finanzwirtschaft betreut werden. Dies hat neben dem hohen Niveau der Sicherheitsmaßnahmen einen weiteren günstigen Effekt. Das Unternehmen legt Wert auf die Erfüllung möglichst vieler, auch branchenspezifischer Normen. Um die zahlreichen Audits und Rezertifizierungen – ISO 9001, ISO/IEC 20000-1, ISO/IEC 27001, ISO 27001 nach IT-Grundschutz etc. – mit vertretbarem Aufwand zu bestehen, pflegt noris network ein ausgefeiltes internes Kontrollsystem. Die Folge: Das IT-Sicherheitsmanagement ist täglich gelebte Praxis und auf einem Niveau, das bei kleinen IT-Abteilungen von Versorgern erst mit Kontroll- und Steuerungsaufwand etabliert werden müsste.

Fazit. »Nach strukturellen Änderungen im Unternehmen war uns schnell klar: Wir müssen unsere IT-Infrastruktur – entsprechend unserer Unternehmensgröße – professioneller aufstellen, dabei aber auch den personellen Rahmenbedingungen Rechnung tragen. Strategisch hatten wir stets im Blick, den IT-Sicherheitsgesetzen gerecht zu werden, ohne personalintensive Strukturen und Kompetenzen aufbauen zu müssen. Heute garantiert uns noris network die Verfügbarkeit auf Basis von Service Level Agreements – inklusive IT-Sicherheitseinrichtungen auf allerhöchstem Niveau. Outsourcing an einen zertifizierten Rechenzentrumsdienstleister war für uns damals realistisch die einfachste, wenn nicht die sogar die einzige Möglichkeit, als KRITIS-Organisation dem Anspruch einer IT-Sicherheit nach dem aktuellen Stand der Technik gerecht zu werden. Heute fokussieren wir auf unsere Kernkompetenzen und Serviceverbesserungen als Versorger, können uns dabei auf hohe Service Level verlassen und sind Kosten- und Kompetenzrisiken im IT-Betrieb los«, erklärt Christopher Wolfram.


Illustration: © Yoko Design/shutterstock.com; Michael Schultz

 

1243 Artikel zu „KRITIS Infrastruktur“

5 Faktoren, die das Cyberrisiko Kritischer Infrastrukturen erhöhen

Der Schutz Kritischer Infrastrukturen (KRITIS) vor Cyberangriffen ist eine besonders heikle Aufgabe, da bei erfolgreichen Cyberangriffen darauf nicht nur die öffentliche Ordnung bedroht ist und gravierende Störungen von vielen Lebensbereichen eintreten werden, sondern auch ganz konkret Menschenleben in Gefahr sind. Wenn Strom plötzlich nicht mehr so fließt, wie es die Menschen und Unternehmen gewohnt sind,…

Mehr Aufmerksamkeit für den Endpunktschutz bei kritischen Infrastrukturen

Da Cyberangriffe auf ICS- und SCADA-Systeme immer häufiger gemeldet werden, steigt der Bedarf an robustem Endpunktschutz. Das rasante Wachstum des Internets mit seiner zunehmenden Datenflut sorgt dafür, dass permanent Informationen und Daten ausgetauscht werden, in denen auch Malware versteckt werden kann. Diese »Datenvöllerei« führt dazu, dass Unternehmen Verbindungen zu Geräten in ihren Prozesskontrollnetzwerken bereitstellen müssen,…

Branchen nach ihrer Abhängigkeit von kritischen IT-Infrastrukturen klassifiziert

Versorgungsunternehmen, Öffentlicher Verkehr, Telekommunikation liegen an der Spitze, Cloud- und Colocation-Dienste auf Rang 5 mit steigender Tendenz. Welche Branche ist am meisten auf IT-Infrastrukturen angewiesen und am stärksten von Ausfällen betroffen? Diese Frage war Gegenstand einer Untersuchung, die eine internationale Gruppe von Experten für Vertiv (ehemals Emerson Network Power) durchführte. Die Abhängigkeit einzelner Branchen von…

Ransomware nimmt kritische Infrastrukturen ins Visier – Ausfallzeiten durch Cyberangriffe

Sicherheitsexperten rechnen mit einer zunehmenden Anzahl erfolgreicher, gezielter Ransomware-Angriffe auf die OT-Umgebung (Operational Technology) verschiedener kritischer Infrastrukturen, was alleine durch die Ausfallzeiten Schäden in Millionenhöhe verursachen kann. Ernst zu nehmende Bedrohung Die Entwicklung von Ransomware-Angriffen in kritischen Infrastrukturen ist demnach recht eindeutig und wird von den Sicherheitsexperten von Palo Alto Networks als ernsthafte Bedrohung gewertet.…

Cybergefahr für kritische Infrastruktur

Eine russische Sicherheitsfirma warnt in einer umfangreichen Untersuchung vor möglichen Schwachstellen industrieller Kontrollsysteme (Industrial Control Systems, ICS) weltweit [1]. Die Gefahr ist real: Während in der Vergangenheit industrielle Systeme und kritische Infrastruktur in physisch isolierten Umgebungen betrieben wurden, ist dies in Zeiten der Industrie 4.0 nicht immer der Fall. Weltweit sind 188.019 ICS-Rechner (Hosts) über…

Die fünf Vorteile der ISO 27001 für Betreiber kritischer Infrastrukturen

Gründe, warum KRITIS-Betreiber von der Einführung eines Informationssicherheits-Managementsystems profitieren. Verbleibende Zeit zur Implementierung eines Systems nicht unterschätzen. Die Zeit läuft: Noch bis Ende Januar 2018 haben Strom- und Gasnetzbetreiber Zeit, einen angemessenen IT-Schutz »gemäß dem aktuellen Stand der Technik« zu implementieren. Doch auch für andere Betreiber kritischer Infrastrukturen (KRITIS) wie. etwa Energieversorger, Telekommunikationsprovider und Krankenhäuser…

Studie: Kritische öffentliche Infrastruktur in Deutschland ohne Kontrolle

Die mit öffentlichen Infrastrukturen befassten Unternehmen in Deutschland sehen gravierende Lücken bei der Leistungskontrolle von Energienetzen, Bahntrassen oder der Wasserversorgung. Nur gut jedes fünfte Unternehmen hat ein vollumfängliches Anlagen-Controlling implementiert (12 Prozent) beziehungsweise mit den strategischen Zielen abgestimmt (10 Prozent). Das zeigt die Studie »Asset Management kritischer öffentlicher Infrastrukturen« von CSC, bei der 100 Führungskräfte…

Sicherung von kritischen Infrastrukturen ohne Blackouts

Ganzheitlicher Schutz

Ob Finanzwesen, Gesundheitsbranche oder Energieversorgung: Der Schutz kritischer Infrastrukturen ist nicht erst seit den Diskussionen um das zukünftige IT-Sicherheitsgesetz in den Fokus der Aufmerksamkeit gerückt. Schon Angriffe wie mit dem Computerwurm Stuxnet, der vor wenigen Jahren alleine im Iran 30.000 Computer infizierte und die Inbetriebnahme des ersten iranischen Atomkraftwerks in Buschehr um mehrere Monate verzögerte, haben die Anfälligkeit moderner Prozessnetzwerke offengelegt. Wie lassen sich diese erfolgreich und nachhaltig sichern?

Kritische Infrastrukturen im Fokus: IT-Verantwortliche wollen mehr Staat

In einer Security-Studie [1] sprachen sich 86 Prozent aller IT-Verantwortlichen aus Organisationen mit kritischer Infrastruktur für eine bessere öffentlich-private Kooperation aus. 59 Prozent berichteten, dass Cyber-Attacken bei ihnen bereits zu physischen Schäden geführt haben. 86 Prozent der IT-Entscheider in Organisationen, die kritische Infrastrukturen betreiben, sehen in einer intensiveren Zusammenarbeit mit öffentlichen Stellen den Schlüssel zu…

Deutsche Führungskräfte treffen geschäftskritische Entscheidungen am schnellsten

Das Bauchgefühl ist nach wie vor Entscheidungshelfer Nummer eins. 91 % glauben, dass mehr Daten die Arbeit optimieren würden, diese sind aber nicht schnell genug verfügbar. Splunk hat eine unabhängige Studie durch Censuswide in Auftrag gegeben. Ziel war es herauszufinden, wie es um die Entscheidungsfindung von europäischen Führungskräften steht. Dazu wurden im Zeitraum vom 29.08.…

5 Technologietrends 2020 und ihre Auswirkung auf digitale Infrastrukturen

Die hybride Multi-Cloud, künstliche Intelligenz, Cybersicherheit, Datenregulierung und Nachhaltigkeit 2020 sind Schlüsselfaktoren für die digitale Transformation in Unternehmen. Equinix hat seine Prognose der fünf wichtigsten Technologietrends veröffentlicht, die im Jahr 2020 die digitale Transformation von Unternehmen bestimmen werden. Equinix baut bei der Analyse aktueller Trends auf seine weltweite Präsenz in mehr als 50 Märkten sowie…