Damit die Strom- und Trinkwasserversorgung auch in Ausnahmesituationen gewährleistet ist, hat die EW Rothrist AG eine Situationsanalyse der Cyber-Risiken durchgeführt, Systeme und Prozesse verbessert, Mitarbeiter geschult und Informationssicherheit als strategisches Thema in der Geschäftsleitung verankert. Den IKT-Minimalstandard haben sie pragmatisch und innert kurzer Frist umgesetzt. Das ist dem grossen Engagement der Verantwortlichen bei EW Rothrist mit der Unterstützung von Redguard zu verdanken.

Ein Ausfall der Leitsysteme in der Wasserversorgung kann dazu führen, dass Trinkwasser verunreinigt oder die Versorgung unterbrochen wird. Um Cyber-Risiken richtig zu adressieren, hat die EW Rothrist AG, der Strom- und Wasserversoger für Industrie- und Gewerbekunden sowie alle Haushalte in der Gemeinde Rothrist und Vordemwald, eine Situationsanalyse ihrer Informationssicherheit durchgeführt. Diese zeigte, dass sie technisch gut aufgestellt sind, aber gerade organisatorisch noch Verbesserungsbedarf besteht.

“Informationssicherheit ist ein wichtiger Erfolgsfaktor, um unsere Ziele und Aufgaben der Wasser- und Stromversorgung langfristig und möglichst ohne Unterbruch zu gewährleisten. Darum haben wir Informationssicherheit als strategisches Thema verankert und mit Unterstützung von Redguard den IKT-Minimalstandard umgesetzt.” Roberto Romano, Geschäftsleiter EW Rothrist

Branchenempfehlung: IKT-Minimalstandard

Die Abhängigkeit von ICT-Systemen in der Wasser- und Stromversorgung, der Lebensmittelindustrie sowie im öffentlichen Strassen-, Bahn- und Luftverkehr ist sehr hoch und die Digitalisierung schreitet schnell voran. Darum hat der Bund zusammen mit den Branchenverbänden den IKT-Minimalstandard verfasst.

“Das Regelwerk betrachtet Informationssicherheit ganzheitlich, vom Identifizieren von Risiken, Schützen von Systemen, Erkennen von Angriffen, die Reaktion auf diese, bis zum Wiederherstellen des Geschäftsbetriebs. Jeder dieser Bereiche wird anhand eines Kriterienkatalogs eingestuft.” Dario Walder, Experte für den IKT-Minimalstandard bei Redguard

Aufgabenaufteilung und Vorgehen

Basierend auf der Standortbestimmung ernannte die Geschäftsleitung der EW Rothrist einen internen Verantwortlichen für Informationssicherheit und holte Redguard als unabhängige, externe Unterstützung ins Projekt. Zusammen wurden die Aufgaben effizient aufgeteilt und koordiniert.

“Viele Verbesserungen konnten wir selbst umsetzen. Redguard hat uns fachlich und bei Ressourcenengpässen unterstützt.” René Hürzeler, Leiter Strom und Verantwortlicher für Informationssicherheit EW Rothrist

“Es ist bemerkenswert, wie viel die EW Rothrist in kurzer Zeit umsetzen konnte. Die Arbeitsweise war pragmatisch und sehr effizient.” Dario Walder, Projektleiter seitens Redguard

ISMS, Notfallkonzept & Awareness-Kampagne

Ein zentraler Punkt bei der Umsetzung des Standards war das Informationssicherheits-Management-System (ISMS), in dem Cyber Security systematisch angegangen wird. Dazu hat das EW Rothrist unter anderem eine Sicherheitsstrategie, Weisungen und Konzepte verfasst sowie Rollen und Verantwortliche definiert. Sie folgten dabei dem empfohlenen Vorgehen von Redguard und liessen alle Dokumente von den Informationssicherheits-Experten prüfen und ergänzen.

In enger Zusammenarbeit wurde zudem ein Notfallkonzept für den Ausfall des Prozessleitsystems ausgearbeitet und Notfallszenarien klar definiert: Wer ist verantwortlich, was ist im Krisenfall zu tun und welche Backup-Systeme und-Prozesse sind vorhanden? Nun ist das EW Rothrist für zukünftige Herausforderungen gewappnet.

Um das Wissen und das Bewusstsein der Mitarbeitenden zu verbessern, hat das EW Rothrist mit der Unterstützung von Redguard eine Awareness-Kampagne durchgeführt – für alle Mitarbeitenden vom Sachbearbeiter bis zur Geschäftsleitung.

“Jeder Mitarbeitende ist eine potenzielle Schwachstelle. Wenn wir die Menschen aufklären und sensibilisieren, werden aus diesen Schwachstellen Sensoren, die Auffälligkeiten erkennen und frühzeitig auf Risiken hinweisen.” Dario Walder, Experte für den IKT-Minimalstandard bei Redguard

Cyber Security ist ein kontinuierlicher Prozess

Durch die gezielte, pragmatische und effiziente Aufgabenteilung konnte die EW Rothrist den IKT-Minimalstandard in kürzester Zeit erreichen.

“Durch die Umsetzung des IKT-Minimalstandards und die Unterstützung durch Redguard haben wir Gewissheit, dass wir die richtigen und wichtigen Sachen umsetzen und unsere Ressourcen bestmöglich einsetzen. Wir haben Verantwortlichkeiten und Informationssicherheitsprozesse bestimmt. Einmal pro Jahr prüfen die Informationssicherheitsverantwortlichen und die Geschäftsleitung, dass diese auch täglich gelebt werden.” Roberto Romano, Geschäftsleiter EW Rothrist

Unsere Unterstützung

Der IKT-Minimalstandard bietet einen umfassenden Ansatz, um Ihre Organisation gegenüber Cyber-Risiken zu schützen. Gerne unterstützen wir Sie bei der Erhebung des Maturitätsniveaus (Reifegrad) Ihrer Organisation. Durch eine Standortbestimmung in Sachen IKT-Minimalstandard evaluieren wir, ob Sie diesen bereits einhalten oder ob noch Schwachstellen vorhanden sind. Für Letztere erarbeiten wir einen pragmatischen Umsetzungsplan, welcher es Ihnen erlaubt, in Ihrer Organisation einen Sicherheitsprozess zu etablieren und dadurch den IKT-Minimalstandard auch längerfristig einzuhalten.

“Redguard hat uns fachlich und bei Ressourcenengpässen unterstützt.” René Hürzeler, EW Rothrist