Die Bedrohung im Cyberraum ist so hoch wie nie zuvor. Zu diesem Fazit kommt das BSI in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2023. In Unternehmen und Behörden gehören IT-Sicherheitsvorfälle zum Alltag und sind doch keineswegs wie Bagatellen zu behandeln. Um den gesetzlichen Auflagen für Audits von Sicherheitsvorfällen nachzukommen, nutzten die Stadtwerke Speyer jahrelang einen manuellen Ansatz, der auf Tabellenkalkulationssoftware basierte – ein weitgehend intransparentes und fehleranfälliges Prozedere. Derweil verfolgt das Unternehmen als einer der führenden Energieversorger in Rheinland-Pfalz das Ziel, die Digitalisierung und die regionale Energiewende mithilfe wegweisender Konzepte vom Glasfaserausbau bis hin zur Kombination von Strom, Wärme und Mobilität voranzutreiben.
 
Als Teil der kritischen Infrastruktur in Speyer und im Umland versorgen die nahezu 300 Mitarbeitenden des kommunalen Unternehmens ihre Kunden mit Strom, Erdgas, Wasser, Wärme und weiteren Dienstleistungen, beispielsweise der Entsorgung von Abfall und Abwasser. Hinzu kommt, dass der Energieversorger über eine breite Expertise als IT-Dienstleister verfügt und als Internet Service Provider die Infrastruktur für andere deutsche Energieversorger hostet. Ein Grund mehr, das Auditing von Sicherheitsvorfällen auf die aktuellen technologischen Anforderungen zuzuschneiden und die Weichen für die Zukunft zu stellen. Bei der Suche nach einer automatisierten und transparenten Lösung legten die Verantwortlichen Wert darauf, dass diese die gesetzlichen und betrieblichen Anforderungen flexibel abbilden konnte.
 
Auflagenkonforme Audits ohne manuell gepflegte Tabellen
Die Verantwortung und der Aufwand für das Auditing der Managementsysteme sind beträchtlich. Jedes System verlangt eine sachgemäße Dokumentation und ist an festgeschriebene Normen gebunden. Daher ist ein lückenloses Inventar der eingesetzten IT-Hardware und -Software für die Stadtwerke Speyer unverzichtbar. Um den Anlagenbestand einheitlich zu verwalten, sind die einzelnen Assets nach Typen wie Server und Computer kategorisiert. Zur vollumfänglichen Audit-Konformität gehören zudem Berichte und Risikoanalysen, die das Unternehmen selbst erstellen und den Verantwortlichen nahtlos zugänglich machen muss.
 
Bis zum Jahr 2015 erfolgten Bestandsverwaltung und Reporting bei den Stadtwerken Speyer auf Basis von Tabellen, die manuell gepflegt wurden. Dabei erwies es sich als problematisch, dass sich Abhängigkeiten zwischen einzelnen Assets mit Spreadsheets allein nicht abbilden ließen. Auch ein Nachweis der Korrektheit und Aktualität der Datenblätter war nicht effizient zu realisieren. Ein Beispiel: Wurde beispielsweise eine IT-Richtlinie nicht eingehalten, mussten die Mitarbeiter zunächst die entsprechenden Tabellen öffnen und Einträge für die betroffenen Assets identifizieren sowie filtern. Anschließend galt es, die entsprechende Dokumentation zu erstellen, eine Risikoanalyse durchzuführen, einen Vorfall zur Informationssicherheit in einer separaten Tabelle zu hinterlegen und dafür zu sorgen, dass er behoben wird – inklusive dokumentierter Kontrolle und Bestätigung. Nicht nur der Prozess erwies sich als aufwendig, sondern auch der Anlagenbestand selbst wurde immer komplexer, sodass die Stadtwerke Speyer die Suche nach einer moderneren, automatisierten Lösung aufnahmen.
 
Neuaufstellung mit bewährter Lösung
Zunächst testete das Unternehmen für ein Jahr eine maßgeschneiderte Software, die alle bis dato gebräuchlichen Tabellen ersetzen sollte. Diese fiel jedoch aufgrund ihrer enormen Komplexität, hoher Kosten sowie mangelnder Flexibilität durch. Schnell reifte dann die Idee, die Werkzeuge Matrix42 Service Desk und Workspace Management, die bereits im Einsatz waren, zu erweitern und damit die Auditauflagen zu erfüllen. Die Software für Digital Workspace Experience verwaltet Geräte, Anwendungen, Prozesse und Services einfach, sicher und konform und integriert physische, virtuelle, mobile und cloudbasierte Arbeitsumgebungen nahtlos in vorhandene Infrastrukturen.
 
"Mir wurde klar, dass es viel sinnvoller wäre, unsere bestehenden Tools umfangreicher zu nutzen und zu erweitern, als die Integration von etwas komplett Neuem in Angriff zu nehmen", erklärt Stephan Dambach, Informationssicherheitsbeauftragter bei den Stadtwerke Speyer. "Die Matrix42-Software bietet viele Vorteile. Unter anderem lassen sich damit Datendefinitionen leichter im System einrichten. Außerdem können wir das Werkzeug extrem flexibel an unsere spezifischen Anforderungen, Workflows und Meldepflichten anpassen." Flexibilität macht sich vor allem bezahlt, wenn sich Audit-Anforderungen häufig ändern und neue Normen zu berücksichtigen sind. Das gesuchte System sollte daher in der Lage sein, derlei Veränderungen innerhalb der Auditzyklen und Iterationsphasen widerzuspiegeln.  
 
Erweiterter Funktionsumfang mit Mehrwert
Durch die neue Plattform hat der Prüfprozess bei einem Sicherheitsvorfall deutlich an Usability hinzugewonnen. Kommt es zu einem Incident, wählt ein damit betrauter Mitarbeiter im vollständig dokumentierten und leicht verständlichen Workflow der Software die Incident-Kategorie sowie die betroffenen Assets aus, erstellt die Dokumentation, generiert das Ticket und führt die Risikoanalyse durch. Beim Ansatz von Matrix42 liegen alle relevanten Informationen in einem zentralen System vor. Dadurch versetzt das Werkeug die Stadtwerke Speyer in die Lage, Risiken leichter zu identifizieren und einzudämmen. Das Ergebnis: Compliance-Verstöße lassen sich wirksam verhindern. Durch konsistente und transparente Workflow-Ansichten können die Beteiligten jeden Prozess transparent überblicken.

Der Aufwand für die Funktionserweiterung des bestehenden Ansatzes hat sich gelohnt: 2018 erhielten die Stadtwerke Speyer dafür den begehrten Customer Innovation Award. Seither stehen die Zeichen auf ein breiter angelegtes Roll-out des Konzepts. Die beiden Partner optimieren die Benutzerfreundlichkeit und Flexibilität in gemeinsamer Anstrengung weiter. Ziel ist es, die hinzugewonnene Funktionalität anderen ISO-27001-konformen Unternehmen zur Verfügung zu stellen. An Ideen mangelt es dabei weder auf Hersteller- noch auf Anwenderseite.

Fazit
Rechtskonforme Audits von IT-Sicherheitsvorfällen in immer komplexeren Systemlandschaften sind ein zentraler Faktor, um gesetzliche Vorgaben zu erfüllen und die Verfügbarkeit von Systemen der kritischen Infrastruktur langfristig zu sichern. Die Zusammenarbeit der Stadtwerke Speyer mit Matrix42 zeigt, dass Unternehmen zukunftsfähige, anwenderfreundliche Konzepte so realisieren können, dass sie wertvolles Potenzial erschließen – so wertvoll, dass es sich in größerem Rahmen ausrollen lässt.

ln/Piradeep Sathiya, Account Manager bei Matrix42