Es ist bereits tägliche Realität, dass Unternehmen, die IT- und Industriesysteme betreiben, mit ausgeklügelten Angreifern konfrontiert sind, die den Kampf um die Cybersicherheit auf die Spitze treiben. Diese Vorfälle haben ein großes Potenzial, die Glaubwürdigkeit zu mindern, enormen Schaden anzurichten und den über Jahre aufgebauten Ruf von Unternehmen zu zerstören. Diejenigen, die die Risiken frühzeitig erkennen und in Gegenmaßnahmen investieren, sind im Vorteil.
Auch Unternehmen, die im Bereich der Cybersicherheit gesetzlich reguliert sind, sind den Hackern einen Schritt voraus. Zu ihnen gehört Liptovská vodárenská společnost, a.s., das unter dem Takt eines externen Cybersicherheitsmanagers ein überdurchschnittliches Niveau in diesem Sektor erreicht hat.
Willkommen in der Online-Welt
Wir wissen bereits, dass der Unternehmenssektor ein attraktives Ziel für Angreifer ist, umso mehr im Bereich der grundlegenden Dienstleistungen wie der Trinkwasser- und Energieversorgung. Auch die Liptovská vodárenská společnost ist sich bewusst, dass sie heutzutage nicht mehr ohne Cybersecurity-Management auskommt. Außerdem wird im Jahr 2020 die ganze Welt von der Pandemie COVID-19 betroffen sein, wenn die Informations- und Kommunikationstechnologien einen noch größeren Teil des täglichen Lebens eingenommen haben. „Die elektronische Kommunikation wird immer mehr genutzt, Geschäftstreffen haben sich von der realen Welt in die Online-Welt verlagert. Die Notwendigkeit der elektronischen Kommunikation brachte ein erhöhtes Risiko von Sicherheitsvorfällen mit sich. Deshalb legt Liptovská vodárenská společnost, a.s. großen Wert darauf, nicht nur das Niveau seiner Informationssysteme zu erhöhen, sondern auch die Cybersicherheit zu gewährleisten“, erklärt Juraj Ivan, Leiter der Informationstechnologieabteilung des Unternehmens. Liptovská vodárenská společnost gehört nicht zu den Unternehmen, die sich der Cyber-Bedrohungen nicht bewusst sind. Deshalb hat das Unternehmen die Aufnahme in die nationale Sicherheitsbehörde im Rahmen des Gesetzes 69/2018 Coll. über Cybersicherheit als natürlichen Teil seiner Entwicklung akzeptiert. „Weltweit haben wir Cyberangriffe auf Wasserunternehmen registriert, die eine direkte Bedrohung für die Sicherheit der Produktion und Versorgung mit Trinkwasser darstellten. Wie in anderen Branchen auch, setzen wir zunehmend intelligente Steuerungen ein, die Ziel von Cyberangriffen sein können. Ein erfolgreich durchgeführter Angriff kann zu einer Veränderung der Wasserqualität oder zu einer Unterbrechung der Trinkwasserversorgung führen“, sagt Matej Géci, CEO von Liptovská vodárenská společnost, a.s.
Externe Experten
Das Unternehmen hat in jeder Phase der Implementierung des Cybersicherheitsmanagementsystems mit externen Experten zusammengearbeitet. Der Grund dafür ist, dass es für eine wirksame Umsetzung dieses Systems unerlässlich ist, über Fachwissen und vor allem über Erfahrung bei der Umsetzung zu verfügen. Nur Experten mit einer Ausbildung und Erfahrung im Bereich des Informationssicherheitsmanagements gemäß ISO 27000 können das System erfolgreich implementieren. Da solche Experten in der Slowakei rar und relativ teuer sind, muss jedes Unternehmen selbst entscheiden, ob es einen solchen Experten fest einstellen oder auf andere Weise mit ihm zusammenarbeiten möchte.
„Die Cybersicherheit hat uns, bildlich gesprochen, einen erholsamen Schlaf beschert, was den Betrieb der Informationsinfrastruktur und die Technologie der Trinkwassergewinnung selbst betrifft. Unsere Kunden wiederum haben die Gewissheit, dass das Wasser aus den öffentlichen Hähnen sicher für ihre Gesundheit ist.“
Matej Géci, Generaldirektor, Liptovská vodárenská společnost a.s.
„Unser Unternehmen hat sich auf eine externe Zusammenarbeit verlassen, weil es keinen qualifizierten Mitarbeiter mit ausreichender Erfahrung für die Position des Cybersicherheitsmanagers hat. Wir haben die Dienste eines Managers ausgeschrieben, der je nach den gesetzlichen Anforderungen die Aktivitäten des für die Informationssicherheit zuständigen Mitarbeiters des Unternehmens leitet, die Einhaltung der einschlägigen Gesetze zur Cybersicherheit für unser Unternehmen sicherstellt und Beratung zu den Gesetzen und einschlägigen Verordnungen anbietet“, begründet CEO Matej Géci seine Entscheidung.
Über das Unternehmen
Liptovská vodárenská společnost, a. s., Liptovský Mikuláš, wurde am 7. September 2006 als Nachfolgeorganisation der verschwundenen Severoslovenská společnost vodárenská společnost, a. s., Žilina, gegründet, als diese nach dem Regionalprinzip aufgeteilt wurde. Die Priorität der Liptovská vodárenská společnost besteht darin, den Einwohnern der Region Liptov zuverlässige Dienstleistungen im Zusammenhang mit der Versorgung ihrer Kunden mit hochwertigem Trinkwasser und der Abwasserentsorgung und -aufbereitung auf dem von der slowakischen und europäischen Gesetzgebung geforderten Niveau zu bieten.
Große Veränderungen
Zwischen April und Juni 2020 wurden bedeutende Änderungen in der Cybersicherheit des Unternehmens vorgenommen. Es wurde eine vollständige Sicherheitsdokumentation mit Richtlinien und Anweisungen erstellt, ein Vertrag für die Dienste eines externen Sicherheitsmanagers abgeschlossen und ein internes Cybersicherheitsteam gebildet. Von Anfang an arbeitete dieses Team in regelmäßigen operativen Sitzungen mit klar definierten Rollen und Verantwortlichkeiten für jede Aufgabe. Zu Beginn war ein gründliches Verständnis der Prozesse des Unternehmens erforderlich. In der Praxis bedeutete dies stundenlanges Studium der einschlägigen Richtlinien sowie stundenlange Gespräche über die bestehenden Verfahren.
Einzigartiges Know-how
Das Unternehmen hinter den bedeutenden Veränderungen ist GAMO, das im Rahmen seiner Dienstleistungen für den Kunden auch eine Infrastrukturanalyse mit einer Lösung des israelischen Unternehmens Claroty durchgeführt hat. „Wir haben sehr gute Erfahrungen damit und auch ein einzigartiges Know-how bei der Bereitstellung in einer hybriden IT/OT-Umgebung. Eine solche technische Analyse ist in der Regel das Argument, das die Kunden sozusagen von der Notwendigkeit einer Cybersicherheitslösung überzeugt. Wenn die Kunden bis zur technischen Analyse der Meinung waren, dass sich die Umgebung nicht in einem idealen Zustand befindet, sprechen wir nach einer solchen Analyse normalerweise von einer Katastrophe. In der Welt der Cybersicherheit passieren manchmal unerwartete Dinge, und zufälligerweise haben wir bei Liptovská vodárenská společnost keine Katastrophe erlebt. Wir haben gesehen, dass wir noch Reserven haben, aber wir haben keine fatalen Ausfälle festgestellt“, analysiert der Cybersicherheitsmanager Ľubomír Kopáček. Die Liptovská vodárenská společnost hat noch eine Reihe von Aufgaben vor sich und einige größere technische Änderungen. Nach deren Umsetzung wird sie zu einem Vorzeigeunternehmen in ihrem Segment werden und das externe Cybersicherheitsaudit, das in diesem Jahr auf sie wartet, ohne Vorbehalte bestehen.
„Man kann sagen, dass das Niveau der Cybersicherheit im Unternehmen im Vergleich zu den üblichen Standards in der Branche bereits überdurchschnittlich hoch ist. Ich muss jedoch betonen, dass nichts von dem, was wir erwähnt haben, hätte umgesetzt werden können, wenn das Unternehmen als solches nicht von Anfang an darauf eingestellt gewesen wäre, in diesem Bereich mit aufrichtigem Interesse voranzukommen“, fügt der Cybersecurity-Experte Ľubomír Kopáček hinzu.
