Energieversorgungsunternehmen (EVU) für Strom, Gas, Wärme und Wasser sind das Rückgrat unserer Gesellschaft. Die kontinuierliche und sichere Bereitstellung dieser essenziellen Güter ist von höchster Bedeutung. Eine Manipulation oder Unterbrechung durch Cyberangriffe hätte verheerende Folgen. Daher ist Cyber-Sicherheit für EVU nicht nur wichtig, sondern absolut notwendig. Eine Erfolgsgeschichte in diesem Bereich ist die Zusammenarbeit mit der StWZ Energie AG, die bereits im August 2022 die Weitsicht besass, sich auf den damals noch nicht verbindlichen IKT-Minimalstandard vorzubereiten.

Die Herausforderung: Aufbau eines umfassenden ISMS und Erfüllung neuer Anforderungen

Als Redguard im August 2022 das CISO-Mandat bei der StWZ Energie AG übernahm, war das Hauptziel klar definiert: der Aufbau eines robusten Informationssicherheits-Managementsystems (ISMS) und die konsequente Umsetzung des IKT-Minimalstandards, sowie die Anpassung an das neue Datenschutzgesetz (nDSG). Ein solcher Aufbau ist ein Marathon, kein Sprint – er erfordert Zeit, Engagement und Expertise.

Unser 20%-Mandat bei StWZ umfasste ein breites Spektrum an Aufgaben, die essenziell für den Aufbau eines resilienten Cyber-Sicherheits-Fundaments sind:

• Aufbau eines effektiven IT- & OT-Risikomanagements: Wir haben gemeinsam ein massgeschneidertes Risikomanagement-Framework etabliert, um potenzielle Bedrohungen und Schwachstellen systematisch zu identifizieren und zu bewerten.
• Regelmässiges Risiko-Reporting an Geschäftsleitung und Verwaltungsrat: Die Führungsebene wurde regelmässig über die aktuelle Risikolage informiert, was fundierte Entscheidungen zur Risikominderung ermöglichte.
• Durchführung von Awareness-Kampagnen: Sensibilisierung der Mitarbeitenden ist ein Schlüssel zur Cyber-Sicherheit. Durch gezielte Kampagnen wurde das Bewusstsein für Bedrohungen geschaffen und die Bedeutung sicheren Verhaltens unterstrichen.
• Erstellung von Richtlinien & Vorgaben: Wir entwickelten massgeschneiderte Richtlinien und verbindliche Vorgaben, die den Rahmen für ein sicheres Informationsmanagement bei StWZ bilden.
• Durchführung interner Audits: Regelmässige interne Überprüfungen stellen sicher, dass die etablierten Prozesse und Richtlinien wirksam sind und kontinuierlich verbessert werden.
• Technische Überprüfungen: Punktuelle Sicherheitsprüfungen in Form von Penetration-Tests, Schwachstellenscans oder Compromise-Assessments sorgen für Sicherheit auf technischer Ebene.
  
• Unterstützung bei BCM und Notfallplänen: Die Entwicklung von Business Continuity Management (BCM) und Notfallplänen ist entscheidend, um im Falle eines Cyber-Vorfalls handlungsfähig zu bleiben und den Betrieb schnell wieder aufzunehmen.

Der Redguard-Vorteil: Branchen Know-How und unkomplizierter Zugriff auf Fachexperten

Zwei wesentliche Erfolgsfaktoren der Zusammenarbeit sind unser Branchenwissen und die Möglichkeit für StWZ, jederzeit unkompliziert auf weitere Fachexperten von Redguard zurückzugreifen. Ob es um spezifische Fragen zu Penetration Testing, detaillierte datenschutzrechtliche Auslegungen oder die Unterstützung bei einem Incident Response Compromise Assessment ging – StWZ erhielt stets schnell und kompetent die benötigten Antworten und Klärungen. Diese Flexibilität und die breite Expertise waren entscheidend, um den komplexen Anforderungen gerecht zu werden und das ISMS kontinuierlich zu optimieren. Ergänzt wird das Erfolgsrezept zudem durch ein eingespieltes IT-Team der StWZ, welches die operative Umsetzung der Sicherheitsvorgaben durch ihr Fachwissen vorantreibt und den CISO durch ihr breites Fachwissen unterstützt.

«Einen Security-Experten mit Branchen Know-how für einen Tag in der Woche macht einen enormen Unterschied aus. Wir sind strukturiert und zügig weitergekommen und sind unserem Ziel, den Sicherheitsstandard nach IKT-Minimalstandard zu erfüllen, schon sehr nahe.» Paul Marbach, Geschäftsführer der StWZ

Das Ergebnis: StWZ Energie AG ist bereit für die Zukunft

Nach dreijähriger enger Zusammenarbeit ist die StWZ Energie AG nicht nur den gesetzlichen Anforderungen vollumfänglich gewappnet, sondern hat ihre Cyber-Maturität signifikant gesteigert. Der proaktive Ansatz, bereits 2022 mit dem Aufbau des ISMS zu beginnen, hat sich ausgezahlt. StWZ ist heute ein Paradebeispiel dafür, wie Weitsicht und eine strategische Partnerschaft die Cyber-Resilienz eines Unternehmens nachhaltig stärken können.

Haben Sie Fragen oder benötigen Sie Unterstützung beim Aufbau oder der Weiterentwicklung Ihrer Cyber-Sicherheit? Haben Sie mehr vor als Sie selbst managen können? Wollen Sie Cyber Security Projekte schneller abschliessen? Wir freuen uns über Ihre Kontaktaufnahme und helfen Ihnen gerne, Ihr Unternehmen sicherer und weniger verwundbar zu machen.