Die GEVAG, Betreiber einer Kehrichtverbrennungsanlage und Fernwärmeversorgungsanbieter in Graubünden, steht für kritische Infrastruktur. Ein Ausfall oder die Fremdsteuerung der Verbrennungsanlage kann schwerwiegende Folgen für betroffene Gemeinden oder Fernwärmebezieher bedeuten. Um die Resilienz gegenüber Angriffen sowie ihre Cyber-Sicherheit zu stärken, beauftragte die GEVAG Redguard mit der Durchführung eines Penetration Tests ihrer internen sowie extern exponierten Systeme.

Offene Zusammenarbeit und effizientes Vorgehen

Die Zusammenarbeit mit der GEVAG war von Anfang an geprägt von einer offenen Zusammenarbeit, einer Hands-on-Mentalität und einer hohen Testeffizienz. Uns war klar, dass wir mit einem für die Unternehmensgrösse angemessenen Aufwand klare, umsetzbare Ergebnisse liefern mussten, welche die Sicherheit real erhöht. Die Mitarbeiter der GEVAG, vom Betriebsleiter bis zum Techniker, zeigten sich äusserst kooperativ und aufgeschlossen gegenüber dem Thema, wodurch eine konstruktive Zusammenarbeit entstand.

Wir starteten mit einer technischen Standortbestimmung, um allfällig vorhandene Schwachstellen und Sicherheitsrisiken der IT-Infrastruktur der GEVAG zu identifizieren. Dabei arbeiteten wir eng mit den internen IT-Verantwortlichen sowie den externen IT-Dienstleistern der GEVAG zusammen. So konnten wir ein umfassendes Bild der Systemlandschaft und internen Prozessen erhalten, was uns ermöglichte Massnahmen zu empfehlen, welche die Sicherheit spürbar und in einem verhältnismässigen Aufwand schrittweise noch weiter erhöht.

«Die Zusammenarbeit mit Redguard war sehr angenehm und professionell. Die Analysen wurden speditiv und zielorientiert durchgeführt. Dank des daraus resultierenden Vorgehensplans können wir nun unsere IT-Sicherheit gezielt weiter optimieren.» Otmar Bärtsch, Betriebsleiter bei der GEVAG

Sensibilisierung durch «Live Hacking»

Ein Highlight für die Mitarbeitenden der Gevag war das «Live Hacking» für alle Mitarbeitenden. Hierbei demonstrierten unsere Experten vor Ort, wie einfach es sein kann, durch Phishing oder unachtsames Verhalten Zugänge zu erlangen. Dies öffnete den Mitarbeitern im wahrsten Sinne des Wortes die Augen und erhöhte das Bewusstsein für Cyber-Risiken immens. Positiv war, dass die Mitarbeitenden beim anschliessenden gemeinsamen Lunch interessiert weiter über das Thema Cybersicherheit gesprochen haben. Es war eine eindrückliche und sehr effektive Methode, um zu zeigen, dass Cyber-Sicherheit alle angeht und jeder mithelfen kann.

Ganzheitliche Überprüfung der IT-Umgebung

Die Penetration Tests umfassten sowohl die externe Angriffsfläche, die von Extern aus dem Internet erreichbar ist, als auch das interne Netzwerk, um potenzielle Schwachstellen nach einem initialen Zugriff durch Angreifende zu identifizieren. Ein besonderer Fokus lag dabei auf dem Übergang von IT-Netzwerken zu Operational Technology (OT) Netzwerken, da entsprechende Systeme eine zentrale Rolle in Kernprozessen einer Kehrichtverbrennungsanlage und Fernwärmebetreibers einnehmen. Obwohl die OT-Systeme selbst nicht direkt Teil des Scopes dieser Überprüfungen waren, war es entscheidend zu bewerten, inwiefern diese kritischen OT-Bereiche von der IT-Infrastruktur ausgehend abgesichert sind.

Die Ergebnisse der Penetration Tests wurden der GEVAG in einem detaillierten Bericht präsentiert. Dieser zeigte die gefundenen Risiken auf und schlug konkrete, priorisierte Massnahmen zur Behebung der Risiken vor.

Haben Sie Fragen oder benötigen Sie Unterstützung bei der Stärkung Ihrer Cyber-Sicherheit? Wir freuen uns über Ihre Kontaktaufnahme.