IT-Outsourcing bei den Stadtwerken Crailsheim: Eine Frage der Kernkompetenz

Kommunale Energieversorger gelten als Kritische Infrastruktur nach § 2 der BSI-KRITIS-Verordnung. Dies bringt hohe Anforderungen und Kostenrisiken mit sich, denen man sich mit eigenem Personal und Kapazitäten stellen kann. Oder man macht es wie die Stadtwerke Crailsheim, die als KRITIS-Betreiber ihre Infrastruktur an einen entsprechend zertifizierten IT-Dienstleister ausgelagert haben.

 

Die Stadtwerke Crailsheim sind Energie- und Wasserversorger, betreiben verschiedene Solar und Blockheizkraftwerke, Umweltprojekte und Bäder. Was das kommunale Unternehmen seit 2016 allerdings immer weniger betreibt, sind IT-Systeme. Christopher Wolfram, der kaufmännische Leiter und IT-Verantwortliche der Stadtwerke Crailsheim, stellte damals fest, dass mit dem verfügbaren Personal und der installierten IT-Infrastruktur es schwer werden würde, eine ausreichende Betriebssicherheit und Verfügbarkeit der IT zu realisieren.

Sitz der Stadtwerke in Crailsheim.

 

 

Dass Stadtwerke ihre energiewirtschaftlichen Spezialanwendungen selbst pflegen, ist sinnvoll und gehört zur Kernkompetenz. Doch muss man sich auch um Server, Netzwerke und Backup kümmern? Bei den Stadtwerken Crailsheim waren es rund 130 Server im Eigenbetrieb. Jedoch fehlte es an den personellen und technischen Möglichkeiten, einen zuverlässigen Betrieb rund um die Uhr zu gewährleisten. Die Suche nach entsprechend kompetenten IT-Fachleuten gestaltete sich immer schwerer. Ganz zu schweigen von der aus Sicherheitsgründen gesetzlich geforderten räumlich getrennten Spiegelung.

Christopher Wolfram, kaufmännischer Leiter und IT-Verantwortlicher der Stadtwerke Crailsheim

Also ging Christopher Wolfram in die Offensive. Es erfolgte eine Ausschreibung für ein IT-Outsourcing. Dabei stach ein Anbieter durch die Fülle seiner Zertifizierungen sowie mit seiner Branchenerfahrung und eigenen Hochsicherheitsrechenzentren hervor. »Ich lernte das Team von noris network auf der IT-Sicherheitsmesse it-sa in Nürnberg kennen und fühlte mich gleich gut beraten«, erinnert sich Wolfram. Das Angebot des Nürnberger Rechenzentrumsbetreibers war auch preislich interessant und das noris network Team punktete mit einer großen Flexibilität: »Hier bekamen wir sofort ein schrittweises Migrationskonzept geliefert, dass individuell auf unsere IT-Anforderungen abgestimmt war. Andere Anbieter zeigten sich hier deutlich starrer.«

Die Freibäder in Crailsheim werden von den Stadtwerken betrieben.

 

 

Fast keine Hardware mehr vor Ort

So fiel die Outsourcing-Entscheidung. Schrittweise übernahmen virtuelle Server in noris network Rechenzentren die Aufgaben und die Fachleute von noris network deren Betrieb und die Wartung bis »Oberkante Betriebssystem«. Ende 2017 war die Migration abgeschlossen. Lediglich sechs Server mit File-Server, Active Directory, Print-Server und Terminal-Server behielt man in Crailsheim. Alles andere wanderte in hochmoderne Rechenzentren ins nur eine Stunde entfernte Nürnberg. Mittlerweile basiert auch die Mailkommunikation auf einer Dienstleistung: noris network leistet für die Stadtwerke einen Managed Exchange Service mit 160 Postfächern.

Was dem gesamten Projekt guttut, ist die transparente Kommunikation über Status und Veränderungen im IT-Bereich. Der Rechenzentrumsbetreiber pflegt ein intensives Monitoring und informiert zu Zwischenfällen beispielsweise direkt durch Meldung aufs Handy. Während der Umstellungen bekam die IT-Abteilung der Stadtwerke Crailsheim wöchentliche Berichte. Mittlerweile reicht es, monatlich über eventuelle Ereignisse oder Änderungen informiert zu werden.

Saunalandschaft »parc vital« – auch eine Einrichtung in der Verantwortung der Stadtwerke Crailsheim.

 

 

»Stand der Technik« und Nachweis

Nach § 8a des Sicherheitsgesetzes müssen Betreiber Kritischer Infrastrukturen ihre IT-Infrastruktur nach dem »Stand der Technik« absichern und die Erfüllung der Anforderungen mindestens alle zwei Jahre nachweisen. In Crailsheim war zunächst »nur« die Entlastung der eigenen IT-Abteilung bei Routinearbeiten die treibende Motivation hinter dem Outsourcing.

Diese Sicht hat sich zwischenzeitlich gewandelt: Nachweisbare, dokumentierte und zertifizierte IT-Sicherheit wird in Crailsheim heute als der größte Vorteil gesehen. Zum einen sollte der Aufwand bei Einrichtung und Audit eines IT-Sicherheitsmanagementsystems nach ISO 27001 nicht unterschätzt werden. Aber ist der Dienstleister entsprechend zertifiziert, ist die von ihm im Outsourcing betriebene IT automatisch von diesem Sicherheitsmanagementsystem erfasst.

Zum anderen ist IT-Sicherheit ein teurer, aufwendiger Kampf an vielen Fronten. Skaleneffekte bei Schutzlösungen können diese Einrichtungen nicht nur günstiger machen, sondern auch qualitative Unterschiede ermöglichen. Ein Rechenzentrumsdienstleister wie noris network, der mehrere KRITIS-Betreiber hostet, kann High-End-Cyber-Security-Schutzeinrichtungen betreiben, die für eine einzelne Organisation wirtschaftlich nicht darstellbar wären. Bei noris network kommt hinzu, dass neben KRITIS-Kunden beispielsweise auch viele sicherheitssensible Kunden aus der Finanzwirtschaft betreut werden. Dies hat neben dem hohen Niveau der Sicherheitsmaßnahmen einen weiteren günstigen Effekt. Das Unternehmen legt Wert auf die Erfüllung möglichst vieler, auch branchenspezifischer Normen. Um die zahlreichen Audits und Rezertifizierungen – ISO 9001, ISO/IEC 20000-1, ISO/IEC 27001, ISO 27001 nach IT-Grundschutz etc. – mit vertretbarem Aufwand zu bestehen, pflegt noris network ein ausgefeiltes internes Kontrollsystem. Die Folge: Das IT-Sicherheitsmanagement ist täglich gelebte Praxis und auf einem Niveau, das bei kleinen IT-Abteilungen von Versorgern erst mit Kontroll- und Steuerungsaufwand etabliert werden müsste.

Erfolgreiche Stadtwerke: Im Jahr 2005 wurde die größte thermische Solaranlage Deutschlands durch die Bundesregierung als Leuchtturmprojekt ausgezeichnet.

 

 

Fazit

»Nach strukturellen Änderungen im Unternehmen war uns schnell klar: Wir müssen unsere IT-Infrastruktur – entsprechend unserer Unternehmensgröße – professioneller aufstellen, dabei aber auch den personellen Rahmenbedingungen Rechnung tragen. Strategisch hatten wir stets im Blick, den IT-Sicherheitsgesetzen gerecht zu werden, ohne personalintensive Strukturen und Kompetenzen aufbauen zu müssen. Heute garantiert uns noris network die Verfügbarkeit auf Basis von Service Level Agreements – inklusive IT-Sicherheitseinrichtungen auf allerhöchstem Niveau. Outsourcing an einen zertifizierten Rechenzentrumsdienstleister war für uns damals realistisch die einfachste, wenn nicht die sogar die einzige Möglichkeit, als KRITIS-Organisation dem Anspruch einer IT-Sicherheit nach dem aktuellen Stand der Technik gerecht zu werden. Heute fokussieren wir auf unsere Kernkompetenzen und Serviceverbesserungen als Versorger, können uns dabei auf hohe Service Level verlassen und sind Kosten- und Kompetenzrisiken im IT-Betrieb los«, erklärt Christopher Wolfram.

 

Bildquelle Stadtwerke Crailsheim

2115 Artikel zu „KRITIS“

5 Faktoren, die das Cyberrisiko Kritischer Infrastrukturen erhöhen

Der Schutz Kritischer Infrastrukturen (KRITIS) vor Cyberangriffen ist eine besonders heikle Aufgabe, da bei erfolgreichen Cyberangriffen darauf nicht nur die öffentliche Ordnung bedroht ist und gravierende Störungen von vielen Lebensbereichen eintreten werden, sondern auch ganz konkret Menschenleben in Gefahr sind. Wenn Strom plötzlich nicht mehr so fließt, wie es die Menschen und Unternehmen gewohnt sind,…

Mythos künstliche Intelligenz – eine kritische Betrachtung des Hypes

Übernehmen die Maschinen? Es herrscht große Unsicherheit darüber, wie der Einsatz künstlicher Intelligenz, maschinellen Lernens und Automatisierung unseren Arbeitsalltag beeinflussen wird. Lernexperte Skillsoft sprach mit Datenwissenschaftlern und entmystifiziert den KI-Hype. Was verstehen Experten unter den Begrifflichkeiten, welche Entwicklungen haben den großen Aufschwung rund um den Einsatz von KI und Co bewirkt und warum bleiben gut…

Einführung von Stream Processing und KI im Unternehmen – Engpässe und erfolgskritische Zusammenhänge

Aktuell wird viel darüber diskutiert, wie künstliche Intelligenz (KI) eingesetzt werden kann, insbesondere im Hinblick auf Stream Processing und Datenströme zwischen Systemen, Endgeräten und Echtzeitanwendungen. Da die Einführung von KI im Unternehmen einen entscheidenden Punkt erreicht hat, wird deutlich, dass Stream Processing und KI oft zusammenhängen und ähnliche Herausforderungen auftreten.   KI und Echtzeitdaten sind…

Mehrheit der Unternehmen schützt geschäftskritische Applikationen unzureichend

Gemäß einer neuen Untersuchung räumen 80 Prozent der Unternehmen in Deutschland dem Schutz von kritischen Applikationen wie ERP- und CRM-Systemen keine besondere Priorität ein. Sie werden in dem gleichen Maße gesichert wie auch weniger wichtige Daten, Applikationen oder Services. An der neuen CyberArk-Umfrage beteiligten sich 1.450 Business- und IT-Entscheider hauptsächlich aus westeuropäischen Ländern [1]. Die…

Enge Integration mit geschäftskritischen Anwendungen: Veeam erhält Backup-Zertifizierung für SAP HANA

Neue Veeam Availability Suite 9.5 Update 4 bietet zertifiziertes Plug-In für SAP HANA. Integration mit SAP HANA verbessert Backup und Disaster Recovery. Vollständige Backup-Kontrolle für SAP-Administratoren.   Veeam Software, Anbieter von Backup-Lösungen für intelligentes Datenmanagement, hat jetzt für das neue Veeam Plug-In für SAP HANA die offizielle Zertifizierung »SAP Certified Integration for SAP HANA« erhalten.…

Mehr Aufmerksamkeit für den Endpunktschutz bei kritischen Infrastrukturen

Da Cyberangriffe auf ICS- und SCADA-Systeme immer häufiger gemeldet werden, steigt der Bedarf an robustem Endpunktschutz. Das rasante Wachstum des Internets mit seiner zunehmenden Datenflut sorgt dafür, dass permanent Informationen und Daten ausgetauscht werden, in denen auch Malware versteckt werden kann. Diese »Datenvöllerei« führt dazu, dass Unternehmen Verbindungen zu Geräten in ihren Prozesskontrollnetzwerken bereitstellen müssen,…

Digitale Transformation: Die Netzwerksicherheit ist geschäftskritisch

So bedienen Unternehmen die Anforderungen an Konnektivität und Datensicherheit. Die digitale Transformation führt zu einem rasanten Wachstum an Netzwerkendpunkten, die es zu versorgen und zu managen gilt. Gleichzeitig steigt die Gefahr durch Cyberangriffe. Gemischte Netzwerkarchitekturen aus On-Premises- und Cloud-Lösungen sind das Mittel der Wahl.   Sicherheitsexperten gehen davon aus, dass mehrere hundert Millionen Malware-Proben im…

Geschäftskritische Downtime durch moderne Backups minimieren – Schnell zurück zum Tagesgeschäft

Unternehmen generieren mehr Daten als je zuvor: Laut IDC soll bis zum Jahr 2020 eine Datenmenge von 40 Zettabytes entstehen. Neben dem Volumen nimmt auch die Bedeutung der Daten zu. Die intelligente Nutzung von Daten hat sich als unerlässlich für die Wettbewerbsfähigkeit, den Umsatz und das Tagesgeschäft von Unternehmen auf der ganzen Welt erwiesen.  …

»Co-creation for Success«: Unternehmen sehen Balance der Interessen von Mitarbeitern, Kunden und Bürgern kritisch

Studie untersucht die Beziehung von Unternehmen zu ihren Stakeholder-Gruppen Mitarbeiter, Kunden und Bürger, wie wichtig jede Gruppe für den Erfolg ist und welche Rolle Kultur, Kreativität und digitale Technologie im Gesamtbild spielen. Unternehmen fühlen sich vor allem ihren Mitarbeitern verpflichtet (60 Prozent), gefolgt von Kunden (55 Prozent) und dem gesellschaftlichen Umfeld (37 Prozent). In Anbetracht…

Agil in der Praxis – Skalierung mit verteilten Teams für kritische Systeme

Agile Entwicklung bringt Effizienz und Flexibilität. Ein neues Kompendium stellt beste Industriepraxis zum Thema »Agil in der Praxis« vor. Neben agilen Projekten von Vector reichern Unternehmen wie ABB, Bosch, Essence, Ford, ZF mit eigener Erfahrungen an. Im White Paper geht es um agile Skalierung, agile Hardware- und Systementwicklung, Agile für Safety, verteilte Teams sowie passende…