Stadtwerke Tübingen GmbH nutzt zertifizierte IT-Sicherheit Firewall-Projekt beim Energieversorger

Autor / Redakteur: Felix Blank / Peter Schmitz

In der Energiewirtschaft sind Netzwerkinfrastrukturen weitgehend dezentral organisiert. Energieerzeuger wie die Stadtwerke Tübingen setzen oft redundant ausgelegte Firewalls ein; aber was ist zu tun, wenn dem IT-Verantwortlichen ein System vorschwebt, dass schneller und leichter zu administrieren sein soll?

IT-Prozesse bei Energieversorgern sind komplex und führen große und sensible Datenbestände zusammen. Sollen Sicherheitssysteme wie Firewalls optimiert werden ist ein Sicherheitsaudit wichtiger Bestandteil und ein echter Wettbewerbsvorteil.
IT-Prozesse bei Energieversorgern sind komplex und führen große und sensible Datenbestände zusammen. Sollen Sicherheitssysteme wie Firewalls optimiert werden ist ein Sicherheitsaudit wichtiger Bestandteil und ein echter Wettbewerbsvorteil.
(Bild: VBM)

Energie, Trinkwasser, Telekommunikation, Badevergnügen oder Mobilität: die Stadtwerke Tübingen (swt) schaffen und unterhalten die dafür notwendige Infrastruktur. Die dahinterliegenden IT-Prozesse sind komplex und führen große und sensible Datenbestände zusammen.

Informationsnetze, Netzwerkinfrastrukturen in der Energiewirtschaft sind weitgehend dezentral organisiert. Das gilt sowohl für die Steuerung, den Betrieb und die Wartung als auch für die verschiedenen Datenerfassungen und Abrechnungssysteme. Diese Kontrollfunktionen beziehen sich auf eine ausgesprochene heterogene Systemstruktur aus physischen Geräten (wie beispielsweise Zählern und anderen Geräten) und IT-basierten Systemen im Backend und beim Informationsmanagement sowie auf unterschiedliche, miteinander verknüpfte Netze.

Die swt setzten zwar eine redundant ausgelegte Firewall ein, allerdings schwebte dem IT-Verantwortlichen ein System vor, dass schneller und leichter zu administrieren sein sollte.

Gerd Quauka, IT-Leiter der Stadtwerke Tübingen: „Dabei ging es uns vor allem darum, die Bedienungssicherheit zu erhöhen und effizienter arbeiten zu können. Wenn man sich die Oberflächen von Firewall-Systemen ansieht

ist das oft mehr Wunsch als Realität.“

Mehr Überblick, mehr Struktur, effizienter arbeiten

Zum Anforderungsprofil gehörte es, eine ausfallsichere Hardware-Lösung mit hohen Durchsatzraten zu finden. Dies unter der Prämisse „Bedienungssicherheit“ für die Administratoren.

„Die sogenannte eGUI-Administrationsoberfläche der Appliance von Gateprotect erfüllte unsere Vorgaben dahingehend am besten. Sie orientiert sich durchgängig an den ISO 9241-Vorgaben zur Ergonomie. Das hat sämtliche Arbeitsvorgänge beschleunigt“, so Gerd Quauka weiter.

Um ein Unternehmensnetzwerk zu schützen, entscheidet die Firewall anhand der festgelegten Regeln, welche Datenpakete sie ins Netzwerk hinein- und welche sie wieder herauslässt. Die Mehrzahl der Firewall-Systeme unterstützt eine proxy-basierte Authentifizierung, womit nur die Dienste, die mit Proxies (wie HTTP oder FTP) arbeiten, benutzerspezifisch vergeben werden können.

Es ist allerdings durchaus sinnvoll die Authentifizierung regelbasiert zu erweitern. Dann kann der Administrator einem Benutzer oder einer Benutzergruppe beliebig viele Dienste individuell zuordnen und diese Dienste mit allen bekannten Zusatzoptionen wie Proxy oder Webfilter versehen.

Meldet sich ein Benutzer dann von seinem Rechner aus bei der Firewall an, werden alle zugeordneten Dienste für den betreffenden Rechner freigeschaltet. Ein Admin kann also nach sehr fein abgestimmten Regeln filtern und unerlaubten Netzwerkverkehr verhindern.

Die IT-Profis der Stadtwerke und ihr Partner EnTeCo waren gut vorbereitet, um die ausgewählte Lösung in die Praxis umzusetzen: Innerhalb von etwa einer Woche analysierten und modifizierten sie die bestehen Firewall-Richtlinien und richteten die notwendigen Schnittstellen zu allen Systemen und Anwendungen der IT-Infrastruktur ein.

Anforderungen an die Risikoanalyse

Die Anforderungen an die Risiko- und Schwachstellenanalyse sind auch und gerade im kommunalen Umfeld stetig gewachsen. Zu den ursprünglich weitgehend technischen Fragestellungen sind weitere hinzugekommen. Sie ergeben sich aus den gesetzlichen Datenschutz-grundlagen, Verordnungen, Verwaltungsvorschriften, internen Policies und nicht zuletzt den Richtlinien für bestimmte Branchen wie beispielsweise der Energiewirtschaft.

Die heterogene Systemstruktur trifft hier zusätzlich auf eine IT-Landschaft mit offenen Marktplätzen für Anbieter und Kunden. Daraus entstehen mit Blick auf die Informationssicherheit ein entsprechend komplexes Anforderungsprofil mit neuartigen Bedrohungsszenarien und –potentialen. Diese resultieren zum einen aus den neu im Netz entstandenen Angriffspunkten wie beispielsweise offenen Zugangspunkten für die Fernwartung und den Remote-Zugriff von Dienstleistern. Immer mehr Netze sind IP-basiert, nicht selten in einer Monokultur angelegt. Hier kann sich Malware der aktuellen Generation besonders schnell und schadenseffektiv ausbreiten. Zudem kommt bei Energieversorgern oftmals die eigentliche Business-IT mit den Versorgungsnetzen und -systemen zusammen. Bedrohungen einer als eher anfällig einzustufenden Business-IT können potentiell auf andere Netze übergreifen. Nicht gerade ein wünschenswertes Szenario.

Ein Sicherheitsaudit bietet an dieser Stelle die Möglichkeit, nach innen und außen zu dokumentieren, dass das Unternehmen den Datenschutzrichtlinien entsprechend agiert.

Tamo Stöver, Gateprotect-Datenschutzauditor (TÜV): „Die höheren Anforderungen an IT-Sicherheit und Risikomanagement, der Druck auch im kommunalen Umfeld immer effizienter zu arbeiten sowie das unübersichtlich gewordene Angebot an IT-Sicherheitslösungen haben Gateprotect dazu bewogen, einen solchen Zertifizierungsprozess anzubieten.“

Check für die IT-Sicherheit

Ein Sicherheitsaudit wie das des Hamburger Sicherheitsspezialisten Gateprotect, analysiert technische und organisatorische Parameter und setzt sie in punkto Sicherheitsrelevanz zueinander in Beziehung. Die eingesetzten Internet- und Netzwerkanwendungen, die Kommunikationszugänge und –wege und die Grundsätze der Datensicherung werden mittels gezielter Fragen eingeordnet und bewertet. Ein besonderes Augenmerk liegt dabei auf dem Umgang mit sensiblen Informationen. Auch eventuell bereits dokumentierte Sicherheitsvorfälle und das Umsetzen von Compliance-Regelungen nimmt das Audit unter die Lupe.

Die Sicherheitsimplikationen sind vielfältig und reichen beispielsweise vom Einschleusen falscher Daten über das Manipulieren von Überwachungsgesetzen bis hin zu ambitionierten Formen von Cyberkriminalität; und nicht zuletzt können Denial of Service-Attacken hier besonders fatale volkswirtschaftliche Schäden anrichten. Aber auch Social Engineering-Angriffe beispielsweise um mittels gefälschter Links eine Malware einzuschleusen sind schon vor einigen Jahren bekannt geworden.

Gerd Quauka: „Für uns als Energieversorgungsunternehmen ist die Bundesnetzagentur zuständig. Mit der Teilnahme am Sicherheitsaudit belegen wir, dass wir die komplexen Vorgaben vollständig erfüllen. Gleichzeitig schützen wir unsere Daten und beugen möglichen Folgekosten durch einen Verlust von Daten vor. Das Siegel eines TÜV-zertifizierten Auditors schafft dabei zusätzliches Vertrauen.“

Die Probleme sind äußerst vielschichtig, so dass Schutzmaßnahmen auf unterschiedlichen Ebenen und übergreifend gedacht werden müssen.

Ein Prüf- und Zertifizierungsprozess hilft die Schutzbedarfe für ein Unternehmen zu ermitteln. Und Maßnahmen umzusetzen: in Form von Schutzmaßnahmen auf allen Ebenen, übergreifenden Kontrollsystemen wie beispielsweise beim Filtern der Daten und beim Rechtemanagement, und beim Risikomanagement im Sinne eines Frühwarnsystems.

Fazit

„Von der Auftragserteilung, über die Analyse, die Umsetzung und schließlich das Vergeben des Zertifikats, haben wir gemeinsam mit drei weiteren Mitarbeitern der IT-Abteilung der Stadtwerke Tübingen genau sieben Tage benötigt, und innerhalb des Audits haben wir sämtliche Compliance-Anforderungen überprüft und berücksichtigt“, sagt uns Tamo Stöver. “Der Auditor ermittelt, zu welcher Schutzbedarfsklasse, gemäß den Vorgaben des BSI-Grundschutzes, ein Unternehmen oder eine Behörde gehören. Daraus ergeben sich individuelle Gefährdungspotenziale, die man dann sehr gut quantifizieren und entsprechenden Schutzmaßnahmen gegenüberstellen kann. Bei den Stadtwerken Tübingen haben wir beispielsweise ein Change-Management für die Änderungsanforderungen umgesetzt.“

Gerd Quauka abschließend: „Mit einem Audit sind wir im wahrsten Sinne des Wortes „auf der sicheren Seite“. Zusätzlich sind wir inzwischen sehr viel mehr dafür sensibilisiert, dass Risikomanagement ein Prozess ist, an dem wir kontinuierlich weiter arbeiten müssen. Dass wir jetzt mit dem Sicherheitsaudit zertifiziert sind hat eine extrem positive Außenwirkung und ist ein echter Wettbewerbsvorteil.

Felix Blank leitet seit 2004 den Bereich Quality Assurance bei Gateprotect und überwacht in dieser Funktion alle technischen Produkte der Firma.

(ID:38836640)