Aufbau von IT-Sicherheitsstrukturen – Online-Veranstaltung der VKU-Landesgruppe Sachsen
Kommunale Unternehmen sehen sich einem zunehmenden Risiko von Cyberattacken ausgesetzt. In Zusammenarbeit mit dem Sicherheitsnotfallteam des Freistaates Sachsen SAX.CERT bot die VKU-Landesgruppe Sachsen im Rahmen einer Online-Veranstaltung die Möglichkeit an, sich entlang unterschiedlicher Prozessstufen über den Aufbau von IT-Sicherheitsstrukturen zu informieren.
Für kommunale Unternehmen ist IT-Sicherheit kein Zustand, sondern ein Prozess. Unternehmen der Daseinsvorsorge rüsten sich gegen Cyberbedrohungen, jedoch ist kein IT-System „unhackbar“. Mit der nunmehr zweiten Veranstaltung lud die VKU-Landesgruppe Sachsen am 27. April 2022 erneut ein, um sich über das Thema IT-Sicherheitsstrukturen auszutauschen. In Kooperation mit dem SAX.CERT, dem Sicherheitsnotfallteam des Freistaates Sachsen sowie dem Institut für Angewandte Informatik ging es dieses Mal um das Thema „Vorfallmeldung, Notfallmanagement und Aufbau von IT-Sicherheitsstrukturen in kommunalen Unternehmen“.
Der Geschäftsführer der VKU-Landesgruppe Sachsen, Florian Gräßler, sensibilisierte eingangs die rund 50 Teilnehmerinnen und Teilnehmer in seinem Grußwort für die Wichtigkeit eines stetigen Austausches zum Thema digitale Sicherheit. In erster Linie sei eine enge Koordination und Zusammenarbeit zwischen den zuständigen Aufsichts- und Sicherheitsbehörden, der IT-Branche und den Unternehmen erforderlich. Ein frühzeitiger und umfassender Informationsaustausch zwischen allen Akteuren gewährleiste eine bessere Vorbeugung vor Cyberattacken.
Im Anschluss referierte der Leiter des SAX.CERT, Karol Kozak. Zunächst informierte er in Gestalt des Open-Source-Webserver und Webcontainer Apache Tomcat beispielhaft über ein aktuelles Cyber-Angriffsszenario. Im Falle eines Cyberangriffes verfügt das SAX.CERT über einen festen Ablaufplan mit insgesamt zehn Stufen. Dennoch käme der Etablierung einer insbesondere präventiven Cyberabwehr große Bedeutung zu. Verbesserungsprozesse zur Vermeidung seien ebenso wichtig wie ein Schwachstellenmanagement, Risikoanalysen, Audits/Revisionen sowie Schulungen und Fortbildungen für Personal.
Anschließend erläuterte Herr Kozak den Aufbau von IT-Sicherheitsstrukturen strukturiert nach vier Phasen: Zu allererst sei unter dem Schritt „Planen“ eine Strukturanalyse durchzuführen, im Unternehmenskontext die Notwendigkeit für IT-Sicherheitsprozessen herauszustellen sowie Kosten und Aufwände für deren Etablierung zu evaluieren. In einer zweiten Phase, der Umsetzung, seien Leitlinien zur Informationssicherheit zu etablieren, Schutzbedarfsfeststellungen durchzuführen, Verantwortungen und Rollen festzulegen und schließlich Maßnahmen umzusetzen, welche den Unternehmensanforderungen genügen. Daran anschließend gelte es schließlich, in einer dritten Phase Reviews und Audits zur kontinuierlichen Verbesserung durchzuführen und regelmäßig mit Lieferanten und Dienstleistern zu evaluieren. Viertens seien Verbesserungsmaßnahmen festzulegen und umzusetzen sowie Dokumentationsprozesse sicherzustellen. In dieser Reihenfolge sei eine nachhaltige IT-Sicherheitsstruktur in kommunalen Unternehmen aufzubauen bzw. zu „screenen“, so Kozak.
Daran anschließend widmete sich der Vortrag dem spezifischen – wie kontrovers diskutierten – Thema „Datenbanken“. Die Zusammenstellung von Informationen zu Antivirus-Software, Hardware-Angaben sowie deren Software und Notfallmanagement-Kontakten in kommunalen Unternehmen könne staatlicherseits für eine schnelle Koordination im Falle eines Cyberangriffes genutzt werden. Durch zentral abgelegte Daten in einer Datenbank sei die Betroffenheit einzelner Unternehmen schnell ausfindig zu machen, so. Kozak. Außerdem würden Datenbanken regelmäßige Status-Überprüfungen einzelner Programme und Anwendungen erlauben. Sebastian Witte vom Institut für Angewandte Informatik demonstrierte den Teilnehmerinnen und Teilnehmern in Form einer DEMO die Funktionsweise einer solchen Datenbank.
Die Teilnehmerinnen und Teilnehmer können auf einen spannenden Austausch zurückblicken. Die Landesgeschäftsstelle Sachsen wird sich weiterhin für eine stetige Vernetzung ihrer Mitgliedsunternehmen zum Thema IT-Sicherheit einsetzen und weitere Akteure und Steakholder einbinden.
In Sachsen sind rund 60 Stadtwerke und kommunale Unternehmen im VKU organisiert. Sie sind in den Bereichen Energie, Wasser/Abwasser, Abfallwirtschaft sowie Telekommunikation tätig, leisten jährlich Investitionen in Höhe von über 600 Millionen Euro, erwirtschaften einen Umsatz von mehr als 6,7 Milliarden Euro und sind wichtiger Arbeitgeber für über 16.000 Beschäftigte.