Kommunale Energieversorger gelten als Kritische Infrastruktur nach § 2 der BSI-KRITIS-Verordnung. Dies bringt hohe Anforderungen und Kostenrisiken mit sich, denen man sich mit eigenem Personal und Kapazitäten stellen kann. Oder man macht es wie die Stadtwerke Crailsheim, die als KRITIS-Betreiber ihre Infrastruktur an einen entsprechend zertifizierten IT-Dienstleister ausgelagert haben.

Die Stadtwerke Crailsheim sind Energie- und Wasserversorger, betreiben verschiedene Solar- und Blockheizkraftwerke, Umweltprojekte und Bäder. Was das kommunale Unternehmen seit 2016 allerdings immer weniger betreibt, sind IT-Systeme. Christopher Wolfram, der kaufmännische Leiter und IT-Verantwortliche der Stadtwerke Crailsheim, stellte damals fest, dass es mit dem verfügbaren Personal und der installierten IT-Infrastruktur schwer werden würde, eine ausreichende Betriebssicherheit und Verfügbarkeit der IT zu realisieren.

Dass Stadtwerke ihre energiewirtschaftlichen Spezialanwendungen selbst pflegen, ist sinnvoll und gehört zur Kernkompetenz. Doch muss man sich auch um Server, Netzwerke und Back-up kümmern? Bei den Stadtwerken Crailsheim waren es rund 130 Server im Eigenbetrieb. Jedoch fehlte es an den personellen und technischen Möglichkeiten, einen zuverlässigen Betrieb rund um die Uhr zu gewährleisten. Die Suche nach entsprechend kompetenten IT-Fachleuten gestaltete sich immer schwerer. Ganz zu schweigen von der aus Sicherheitsgründen gesetzlich geforderten räumlich getrennten Spiegelung.

Also ging Christopher Wolfram in die Offensive. Es erfolgte eine Ausschreibung für ein IT-Outsourcing. Dabei stach ein Anbieter durch die Fülle seiner Zertifizierungen sowie mit seiner Branchenerfahrung und eigenen Hochsicherheitsrechenzentren hervor. »Ich lernte das Team von noris network auf der IT-Sicherheitsmesse it-sa in Nürnberg kennen und fühlte mich gleich gut beraten«, erinnert sich Wolfram. Das Angebot des Nürnberger Rechenzentrumsbetreibers war auch preislich interessant und das noris-network-Team punktete mit einer großen Flexibilität: »Hier bekamen wir sofort ein schrittweises Migrationskonzept geliefert, dass individuell auf unsere IT-Anforderungen abgestimmt war. Andere Anbieter zeigten sich hier deutlich starrer.«

Fast keine Hardware mehr vor Ort. So fiel die Outsourcing-Entscheidung. Schrittweise übernahmen virtuelle Server in noris-network-Rechenzentren die Aufgaben und die Fachleute von noris network deren Betrieb und die Wartung bis »Oberkante Betriebssystem«. Ende 2017 war die Migration abgeschlossen. Lediglich sechs Server mit File-Server, Active Directory, Print-Server und Terminal-Server behielt man in Crailsheim. Alles andere wanderte in hochmoderne Rechenzentren ins nur eine Stunde entfernte Nürnberg. Mittlerweile basiert auch die Mailkommunikation auf einer Dienstleistung: noris network leistet für die Stadtwerke einen Managed Exchange Service mit 160 Postfächern.

Was dem gesamten Projekt guttut, ist die transparente Kommunikation über Status und Veränderungen im IT-Bereich. Der Rechenzentrumsbetreiber pflegt ein intensives Monitoring und informiert zu Zwischenfällen beispielsweise direkt durch Meldung aufs Handy. Während der Umstellungen bekam die IT-Abteilung der Stadtwerke Crailsheim wöchentliche Berichte. Mittlerweile reicht es, monatlich über eventuelle Ereignisse oder Änderungen informiert zu werden.

»Stand der Technik« und Nachweis. Nach § 8a des Sicherheitsgesetzes müssen Betreiber Kritischer Infrastrukturen ihre IT-Infrastruktur nach dem »Stand der Technik« absichern und die Erfüllung der Anforderungen mindestens alle zwei Jahre nachweisen. In Crailsheim war zunächst »nur« die Entlastung der eigenen IT-Abteilung bei Routinearbeiten die treibende Motivation hinter dem Outsourcing.

Diese Sicht hat sich zwischenzeitlich gewandelt: Nachweisbare, dokumentierte und zertifizierte IT-Sicherheit wird in Crailsheim heute als der größte Vorteil gesehen. Zum einen sollte der Aufwand bei Einrichtung und Audit eines IT-Sicherheitsmanagementsystems nach ISO 27001 nicht unterschätzt werden. Aber ist der Dienstleister entsprechend zertifiziert, ist die von ihm im Outsourcing betriebene IT automatisch von diesem Sicherheitsmanagementsystem erfasst.

Zum anderen ist IT-Sicherheit ein teurer, aufwendiger Kampf an vielen Fronten. Skaleneffekte bei Schutzlösungen können diese Einrichtungen nicht nur günstiger machen, sondern auch qualitative Unterschiede ermöglichen. Ein Rechenzentrumsdienstleister wie noris network, der mehrere KRITIS-Betreiber hostet, kann High-End-Cyber-Security-Schutzeinrichtungen betreiben, die für eine einzelne Organisation wirtschaftlich nicht darstellbar wären. Bei noris network kommt hinzu, dass neben KRITIS-Kunden beispielsweise auch viele sicherheitssensible Kunden aus der Finanzwirtschaft betreut werden. Dies hat neben dem hohen Niveau der Sicherheitsmaßnahmen einen weiteren günstigen Effekt. Das Unternehmen legt Wert auf die Erfüllung möglichst vieler, auch branchenspezifischer Normen. Um die zahlreichen Audits und Rezertifizierungen – ISO 9001, ISO/IEC 20000-1, ISO/IEC 27001, ISO 27001 nach IT-Grundschutz etc. – mit vertretbarem Aufwand zu bestehen, pflegt noris network ein ausgefeiltes internes Kontrollsystem. Die Folge: Das IT-Sicherheitsmanagement ist täglich gelebte Praxis und auf einem Niveau, das bei kleinen IT-Abteilungen von Versorgern erst mit Kontroll- und Steuerungsaufwand etabliert werden müsste.

Fazit. »Nach strukturellen Änderungen im Unternehmen war uns schnell klar: Wir müssen unsere IT-Infrastruktur – entsprechend unserer Unternehmensgröße – professioneller aufstellen, dabei aber auch den personellen Rahmenbedingungen Rechnung tragen. Strategisch hatten wir stets im Blick, den IT-Sicherheitsgesetzen gerecht zu werden, ohne personalintensive Strukturen und Kompetenzen aufbauen zu müssen. Heute garantiert uns noris network die Verfügbarkeit auf Basis von Service Level Agreements – inklusive IT-Sicherheitseinrichtungen auf allerhöchstem Niveau. Outsourcing an einen zertifizierten Rechenzentrumsdienstleister war für uns damals realistisch die einfachste, wenn nicht die sogar die einzige Möglichkeit, als KRITIS-Organisation dem Anspruch einer IT-Sicherheit nach dem aktuellen Stand der Technik gerecht zu werden. Heute fokussieren wir auf unsere Kernkompetenzen und Serviceverbesserungen als Versorger, können uns dabei auf hohe Service Level verlassen und sind Kosten- und Kompetenzrisiken im IT-Betrieb los«, erklärt Christopher Wolfram.

Illustration: © Yoko Design/shutterstock.com; Michael Schultz

1243 Artikel zu „KRITIS Infrastruktur“

NEWS | DIGITALISIERUNG | FAVORITEN DER REDAKTION | INDUSTRIE 4.0 | INFRASTRUKTUR | IT-SECURITY

5 Faktoren, die das Cyberrisiko Kritischer Infrastrukturen erhöhen

19. Juli 2019

Der Schutz Kritischer Infrastrukturen (KRITIS) vor Cyberangriffen ist eine besonders heikle Aufgabe, da bei erfolgreichen Cyberangriffen darauf nicht nur die öffentliche Ordnung bedroht ist und gravierende Störungen von vielen Lebensbereichen eintreten werden, sondern auch ganz konkret Menschenleben in Gefahr sind. Wenn Strom plötzlich nicht mehr so fließt, wie es die Menschen und Unternehmen gewohnt sind,…