Investition in Sicherheit

Es ist ein kleiner Block im Schaltschrank. Ein paar rotflackernde LED, etliche Steckverbindungen und ein paar Schalter. „Das könnte man als Herzstück der Stadtwerke bezeichnen“, sagt Ralf Rösch und schließt die grünlackierte Tür wieder. Wer an diesem elektrischen Kasten unbedarft herumspielt oder bewusst handelt, könnte Haslach den Saft abdrehen. Und vielleicht sogar mehr als das.

„Energieversorger sind schon immer bestrebt, ihre Anlagen zu schützen“, erläutert der Technische Werkleiter weiter. „Mittlerweile gibt es dazu auch Richtlinien aus der Politik.“ Das IT-Sicherheitsgesetz etwa verpflichtet Unternehmen, die für die Infrastruktur wichtig sind – dazu zählen unter anderem Energieversorger und Telekommunikationsunternehmen, ein „Information Security Managementsystems“, kurz ISMS, einzuführen. Geschehen muss das bis Ende des Jahres. Für die Stadtwerke Haslach ist das eine Herausforderung. „Wenn wir auch nur ein kleines Unternehmen mit 22 Mitarbeitern sind, wir müssen die gleichen sicherheitsrelevanten Vorgaben wie etwa Atomkraftwerksbetreiber erfüllen.“ Und das ist mit einem erheblichen Aufwand und dementsprechenden Kosten verbunden. Rösch rechnet mit 40.000 bis 60.000 Euro.

Das ISMS definiert Prozesse rund um die Informationssicherheit – und umfasst alle Bereiche der Stadtwerke. Rösch, der als Sicherheitsbeauftragter der Stadtwerke die Verantwortung für die Umsetzung innehat, erläutert: „Das beginnt bei der Zugangskontrolle zu bestimmten Bereichen im Haus und baulichen Veränderungen, geht über die Bewertung von Lieferanten und endet noch lange nicht bei IT-Schutzmechanismen wie Firewalls oder dem regelmäßigen Ändern von Passwörtern.“ Unterstützung erhält Rösch bei der Umsetzung dieses Vorhabens durch die Spezialisten der TÜV Trust IT aus Köln. „Den ersten von vielen Terminen hatten wir schon“, berichtet er, um gleich hinterherzuschieben: „Und es gibt einiges zu tun!“

So müssen alle Prozesse im Versorgungsnetz exakt definiert und beschrieben werden, damit sich dann die entsprechenden Schutzmaßnahmen anpassen lassen. „Das betrifft sowohl die Strom- als auch unsere Wasserversorgung“, erläutert Rösch. Zwar verlange das IT-Sicherheitsgesetz nur ein ISMS in Sachen Energie, doch zum einen sind beide Netze bei den Stadtwerken eng miteinander verknüpft, zum anderen ist sich Rösch sicher, dass die Wasserversorgung über kurz oder lang zur sogenannten kritischen Infrastruktur gerechnet wird. „Und dann müssten wir wieder von vorn anfangen.“

Wichtigstes Ziel des ISMS ist es, die sogenannte Netzstabilität zu sichern. „Denn das Problem besteht darin, dass selbst Schwankungen in einem regionalen Stromnetz Auswirkungen auf das ganze System haben können“, erläutert Rösch. Daher gelten die strengen Vorgaben auch für die kleineren Unternehmen in der Energieversorgung. Das schweißt zusammen: „Wir tauschen uns eng mit den Kollegen in Oberkirch und Waldkirch aus, um voneinander zu profitieren, auch wenn die einzelnen Prozesse und Rahmenbedingungen natürlich sehr unterschiedlich sind.“

Sind die Prozesse in ihrer Gesamtheit definiert und alle Sicherheitsmaßnahmen umgesetzt, wird das ISMS zum Herbst hin von externen Auditoren geprüft und – im Idealfall – zertifiziert. Wenn nicht, muss nachgebessert werden, bis es passt, sagt der Sicherheitsbeauftragte: „Sonst drohen uns empfindliche Bußgelder.“