Von:
Elmar Eperiesi-Beck,
Management
bei Bare.ID
Stadt- bzw. Kommunalwerke sind die Hüter der kommunalen Infrastruktur und dafür verantwortlich, die Grundversorgung der Bevölkerung sicherzustellen. Als Teil der öffentlichen Hand erbringen sie technische Dienstleistungen und Versorgungsleistungen. Wie andere Unternehmen auch befinden sich Stadtwerke mitten in der digitalen Transformation. Die zunehmende Vernetzung kritischer Infrastrukturen, die steigende Zahl von Cyberangriffen und neue regulatorische Anforderungen wie die NIS-2-Richtlinie stellen sie vor neue Herausforderungen. Es gilt, bei allen Digitalisierungsinitiativen die damit verbundenen Sicherheitsrisiken genau im Blick zu behalten.
Sicherheitsrisiken im digitalen Zeitalter
Die zunehmende Vernetzung und Digitalisierung birgt neue Sicherheitsrisiken. Stadtwerke werden zunehmend zur Zielscheibe von Cyberangriffen, die schwerwiegende Folgen haben können. Attacken auf kritische Infrastrukturen können zu Störungen der Energieversorgung und Versorgungsunterbrechungen führen. Ein weiteres Risiko ist der Verlust oder Diebstahl von Daten, wobei sensible Kundendaten und Betriebsgeheimnisse in die Hände der Angreifer gelangen können. Auch Erpressung und Lösegeldforderungen durch Ransomware-Angriffe, die IT-Systeme lahmlegen, stellen eine ernstzunehmende Bedrohung dar. Nicht zu unterschätzen ist auch der Reputationsverlust, der durch gelungene Cyberangriffe entstehen kann und das Vertrauen der Bevölkerung in die Stadtwerke beschädigt.
Cybersicherheit: Herausforderung im Kontext digitaler Transformation
Stadtwerke stehen vor der besonderen Herausforderung, ihre wichtigen Aufgaben mit oft begrenzten Budgets und kleinen IT-Abteilungen bewältigen zu müssen. Die komplexen und hybriden IT-Infrastrukturen sowie die stetig wachsenden regulatorischen Anforderungen erhöhen den Druck zusätzlich. Gleichzeitig steigen die Erwartungen der Nutzer an komfortable digitale Services.
Besonders kritisch erweist sich die Situation im Bereich des Homeoffice: Viele Stadtwerke mussten während der Corona-Pandemie kurzfristig Home-Office-Lösungen implementieren, etwa durch VPN oder Citrix-Infrastrukturen. Diese ursprünglich als Übergangslösungen gedachten Systeme wurden häufig nicht ausreichend abgesichert, wodurch erhebliche Sicherheitslücken entstanden sind. Ein Paradigmenwechsel von der reinen Netzwerkabsicherung hin zur anwendungsspezifischen Zugangskontrolle ist darum dringend erforderlich.
Weitere Herausforderungen ergeben sich im Kundenservice und bei der Verwaltung von Außendienstmitarbeitern. Während Kunden sichere Self-Service-Optionen erwarten, benötigen Außendienstmitarbeiter zuverlässige Authentifizierungslösungen – auch in Gebieten mit schlechter Netzabdeckung.
NIS 2: Ein neuer Standard für Cybersicherheit
Die europäische Richtlinie NIS 2 (Richtlinie zur Netzwerk- und Informationssicherheit) setzt neue Standards für die Cybersicherheit kritischer Infrastrukturen. Sie verpflichtet Stadtwerke und andere Unternehmen der öffentlichen Hand zu umfassenden Sicherheitsmaßnahmen, um Cyberangriffen vorzubeugen und die Auswirkungen von Angriffen zu minimieren. Kern der Richtlinie ist die Durchführung regelmäßiger Risikoanalysen und die Implementierung geeigneter Sicherheitsmaßnahmen. Im Falle eines Cyberangriffs besteht eine Meldepflicht an die zuständigen Behörden. Darüber hinaus schreibt NIS 2 regelmäßige Sicherheitsaudits vor, um die Wirksamkeit der Maßnahmen zu überprüfen. Ein weiterer wichtiger Aspekt ist die Schulung der Mitarbeiter im Umgang mit Cyberrisiken.
Multi-Faktor-Authentifizierung als zentraler Baustein für mehr Cybersicherheit
Ein zentrales Element der NIS-2-Richtlinie und ein wichtiger Treiber für mehr Cybersicherheit ist die Multi-Faktor-Authentifizierung (MFA). MFA verlangt, dass Nutzerinnen und Nutzer mindestens zwei verschiedene Authentifizierungsfaktoren verwenden, um sich an IT-Systemen anzumelden. Dies erhöht die Sicherheit erheblich, weil Angreifer, selbst wenn sie das Passwort kennen, keinen Zugang erhalten, wenn sie nicht auch über den zweiten Faktor verfügen.
MFA bietet zahlreiche Vorteile für Versorgungsunternehmen. Zum einen wird die Sicherheit der IT-Systeme deutlich erhöht und unbefugte Zugriffe erschwert. Gleichzeitig unterstützt die Einführung von MFA die Erfüllung der Anforderungen der NIS-2-Richtlinie. Darüber hinaus trägt MFA zu einem verbesserten Risikomanagement bei, indem das Risiko von Cyberangriffen und deren Auswirkungen reduziert wird. Nicht zu vernachlässigen ist auch die Kostenersparnis, die sich ergibt, wenn MFA mit Single-Sign-On kombiniert wird, das dafür sorgt, dass die Anmeldung am IT-System lediglich einmal und nicht für jede Anwendung einzeln erfolgen muss. In der Regel amortisiert sich die Anschaffung eines SSO-Systems mit MFA in etwa zwölf Monaten.
Trotz der offensichtlichen Vorteile bringt die Einführung von MFA auch Herausforderungen mit sich. Die Integration in bestehende IT-Systeme kann technisch komplex sein. Außerdem ist es wichtig, dass die Benutzerfreundlichkeit der Systeme durch MFA nicht beeinträchtigt wird. Schließlich können Kosten für Soft- und Hardware anfallen.
Managed Open Source als Lösung
Die Vorteile von Open-Source-Lösungen sind gerade für Entscheidungsträger in der öffentlichen Verwaltung kein Geheimnis. Vielerorts gibt es bereits Ansätze, Open Source stärker zu nutzen. Leider fehlen – wie an vielen Stellen – die Administratoren, die die Lösungen verwalten können. Bei Lösungen wie der Open-Source-Security-Lösung Keycloak sind üblicherweise rund 20 Updates pro Jahr durchzuführen. Allein der Prüfungsaufwand und der Prozess, die Updates auf allen Systemen umzusetzen, schafft genug Arbeit für eine Vollzeitkraft in einem Stadtwerk.
Eine kostengünstige und flexible Alternative bieten Managed-Open-Source-Lösungen. Sie kombinieren die Vorteile von Open Source Software mit professionellen Dienstleistungen für Management, Wartung und Sicherheit. Managed Open Source ermöglicht Kosteneinsparungen durch den Wegfall von Lizenzgebühren und geringere Betriebskosten. Die Flexibilität und Anpassbarkeit des Quellcodes erlaubt die Anpassung an die spezifischen Bedürfnisse der Stadtwerke. Während Open Source im Eigenbetrieb mit hohem Wartungsaufwand verbunden ist, übernimmt im Falle von Managed Open Source der Anbieter die Wartung und bietet die Option, kritische Sicherheitslücken schon vor einem offiziellen Patch selbstständig zu schließen.
Managed Open Source bietet ferner umfassenden Service und Support für Installation, Patching und andere Belange, sodass die IT- und Security-Verantwortlichen der Stadtwerke in ihrer täglichen Arbeit entlastet werden. Kommerzielle Anbieter, die auf dieser Open-Source-Basis aufbauen, können diese auch eine benutzerfreundliche Admin-Oberfläche sowie zumeist benötigte zusätzliche Features ergänzen – ohne dabei einen Vendor Lock-in zu erzeugen. Denn sollte es zu Unstimmigkeiten mit dem Anbieter kommen, kann problemlos auf die Open-Source-Basis zurückgewechselt werden.
Ein weiterer wichtiger Vorteil von Open-Source-Lösungen liegt in ihrer Transparenz: Da sie unabhängig entwickelt und kontrolliert werden, bieten sie ein Höchstmaß an Sicherheit. Die Verantwortlichen in den Stadtwerken sollten zudem darauf achten, dass der Anbieter ihrer Wahl die Wahrung von Datenschutzstandards sicherstellt – Stichwort digitale Souveränität. Zumeist dürften dazu nur europäische bzw. deutsche Anbieter in der Lage sein.
Große Chancen durch sichere Digitalisierung
Die Digitalisierung bietet Stadtwerken große Chancen, ihre Dienstleistungen zu verbessern und effizienter zu gestalten. Gleichzeitig steigen die Sicherheitsrisiken. Die NIS-2-Richtlinie verpflichtet die Stadtwerke zu umfassenden Sicherheitsmaßnahmen. Gerade die Einführung von MFA ist ein wichtiger Schritt zur Erhöhung dieser IT-Sicherheit.
Um MFA sicher und für die Benutzer möglichst einfach zu implementieren, bieten Managed-Open-Source-Lösungen eine kostengünstige und flexible Möglichkeit, die NIS-2-Anforderungen zu erfüllen. Durch die Kombination von Open-Source-Software mit professionellen Dienstleistungen können Stadtwerke ihre IT-Sicherheit verbessern und die Kosten unter Kontrolle halten.
