Als Organisationen der Kritischen Infrastruktur stellen Stadtwerke ein besonders vulnerables Ziel dar – sowohl im Rahmen staatlich gesteuerter Cyberangriffe als auch für zunehmend professionalisierte, weltweit agierende kriminelle Netzwerke. Um die Einhaltung der Compliance- und Sicherheitsrichtlinien in ihrem Unternehmen zu verstärken, haben die Stadtwerke Velbert gemeinsam mit der OEDIV SecuSys GmbH und anderen externen Dienstleistern ihre IT-Infrastruktur und Applikationslandschaft modernisiert.
Marcus Berghaus, Prokurist/Bereichsleiter der Stadtwerke Velbert GmbH, istzufrieden mit dem Projekterfolg: „Durch die neudefinierte Verwaltung ersparen wir uns erheblichen Administrationsaufwand und können Risiken im Vorfeld vermeiden und stets compliant handeln.“
Stadtwerke Velbert
Unter dem Motto „Wir für Velbert“ steht der in Nordrhein-Westfalen verwurzelte, sozial engagierte Regionaldienstleister seit nunmehr 130 Jahren für eine nachhaltige und sichere Wasser- und Energieversorgung sowie Infrastrukturbereitstellung und -pflege. Die Stadtwerke Velbert beschäftigen etwa 260 Mitarbeitende und verfügen über ein Netz aus insgesamt 85.515 Lieferstellen.
IT-Sicherheitsgesetz 2.0 verschärft Anforderungen an KRITIS-Unternehmen
Mit der Einführung des IT-Sicherheitsgesetzes 2.0 im Mai 2021 sind die Anforderungen an KRITIS-Unternehmen hinsichtlich der umzusetzenden Schutzmaßnahmen deutlich gestiegen. Dazu gehört unter anderem, die eigenen IT-Sicherheitsstrategien kritisch zu hinterfragen und geeignete, zielgerichtete Maßnahmen einzuleiten, um die Compliance-Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) vollumfänglich zu erfüllen.
Nach einer intensiven Projekt- und Prüfphase gaben die Stadtwerke Velbert im Dezember 2021 die Zusammenarbeit mit OEDIV SecuSys bekanntgegeben. Für das Softwareentwicklungs- und Beratungsunternehmen, das zudem eine Tochter der OEDIV Oetker Daten- und Informationsverarbeitungs KG ist, sprachen demnach insbesondere die langjährige Fach- und Branchenexpertise. Die OEDIV SecuSys GmbH entwickelt seit 1998 branchenneutrale Softwarelösungen für das Identity & Access Management.
Zentrale Ressourcenverwaltung anhand eines leistungsfähigen Regelwerks
Projektziel war es, für die Stadtwerke Velbert unter Einhaltung der Compliance ein übergeordnetes Konzept zur User-Verwaltung zu entwickeln, die Nutzer- und Berechtigungsverwaltung zu automatisieren, das Sicherheitsniveau zu erhöhen, kritische Berechtigungen zu monitoren und ein revisionssicheres Reporting einzuführen.
Bestandteile des gemeinsamen Projekts waren eine sichere Datenverwaltung, eine automatische Daten-Provisionierung, eine Modellplanung und -einführung sowie eine Richtlinienverwaltung. Den Stadtwerken Velbert war es dabei unter anderem wichtig, die HR-Daten automatisiert einzulesen sowie verschiedene Prozesse und Freigabeworkflows abzubilden. In Zusammenarbeit mit weiteren Dienstleistern der Stadtwerke habe man in kurzer Zeit eine Lösung gemäß der zugrundeliegenden Anforderungen entwickelt und nutzbringend umgesetzt, so dass nunmehr die Ressourcen der Stadtwerke anhand eines leistungsfähigen Regelwerks zentral verwaltet werden können.
Herausforderungen für KRITIS
Eine wesentliche Rolle bei Betreibern Kritischer Infrastrukturen spielt die Sicherstellung authentifizierter Zugriffsrechte, um sensible Daten zu schützen. MIt einem leistungsstarkem Identity & Access Management (IAM) lassen sich die Zugriffsberechtigungen und -voraussetzungen ihrer Mitarbeitenden managen.
Nahezu ebenso häufig betrifft dies externe Zugriffe durch Partner-, Lieferanten- oder Kundenunternehmen. Kurzum: IAM sorgt für die Autorisierung und Authentisierung, hilft beim Einhalten von Compliance-Vorgaben und gilt als Basis für Verwaltung und Monitoring aller digitalen Identitäten.
Zentrales Schnittstellenmanagement
In SecuIAM – so heißt die Software der OEDIV SecuSys – werden Identitäten beim Eintritt ins Unternehmen mit Rollen und Rechten ausgestattet, die bei Wechsel- oder Austrittsprozessen automatisch angepasst werden. Aus den dort vordefinierten Zugriffsrechten von Identitäten auf Systeme und Daten in Verbindung mit definierten Regeln und Automatismen resultiert ein leistungsfähiges Regelwerk. Dieses legt sich zentral über sämtliche Systeme und verwaltet Identitäten und Zugriffsberechtigungen unter Berücksichtigung vorprogrammierter Regeln und Bedingungen.
„Wir kennen die besonderen Sicherheitsanforderungen des BSI-Gesetzes an KRITIS-Organisationen“, sagt Fabian Neumann, Geschäftsführer der OEDIV SecuSys: „SecuIAM kann das Schutzlevel der komplexen IT-Systeme erhöhen, um so eine 24/7-Betriebsbereitschaft zu ermöglichen.“ Die Stadtwerke Velbert haben nach eigenen Angaben nicht nur von der Sicherstellung der Compliance und vielen Möglichkeiten zur Erstellung von Reports profitert, sondern auch von einer zielgerichteten Daten-Migration mithilfe von Connectoren, neu geschaffenen Kapazitäten in verschiedenen Bereichen sowie einer deutlichen Kostenersparnis durch die Automatisierung und ein ausgefeiltes Rollenmanagement. (sg/as)
