tischen Infrastrukturen wie Heizkraftwerken, U-Bahn-Schächten, OmnibusDepots oder Bauhöfen. Stärker im Verbund Glücklicherweise lasse sich eine steigende Sensibilität für IT-Sicherheit auch unabhängig von Unternehmensgrößen und den zur Verfügung stehenden Budgets beobachten, so Experte Faulhaber. Bei kleineren Wasserversorgungsunternehmen ohne Ressourcen trügen vielerorts bereits Erfahrungsaustausche zur IT-Sicherheit oder die Schaffung unternehmensübergreifender Beauftragtenstrukturen zu einer Verbesserung der IT-Sicherheit bei. Bei dem Projekt „450 MHz“ der 450connect nutzen bundesweit angesiedelte regionale und lokale Versorger sogar eine gemeinsame Infrastruktur, und zwar für eine Digitalisierung ihrer Verteilnetze. Damit lassen sich eine Vielzahl an digitalen Steuerungs- und Beobachtungfunktionen über sichere 450-MHz-Funknetze realisierenundbei Bedarf auch physische Sicherheitstechniken an eine Alarmzentale anschließen. „Das System gewährleistet eine höchste Verfügbarkeit der Netze und garantiert im Fall eines Falles eine sichere und schwarzfallfeste Kommunikation“, so Theo Waerder, Geschäftsführer der Bonn-Netz GmbH, die sich an dem Projekt beteiligt. W Literatur [1] Neuerer, D.: Cyberattacken: Großteil der Wasserversorger nur unzureichend geschützt, online unter www.handelsblatt.com/politik/deutschland/ sicherheit-der-wasserversorgung-cyberattackengrossteil-der-wasserversorger-nur-unzureichendgeschuetzt/26219428.html, abgerufen am 26. Dezember 2021. [2] Geier, W.: So schützen Kommunen kritische Infrastrukturen, online unter www.kommunal.de/ kommunen-kritischen-infrastrukturen-schuetzen, abgerufen am 26. Dezember 2021. Manfred Godek ist freier Journalist für Wirtschafts- und Management-Themen. Kontakt: Manfred Godek Presse- und Redaktionsbüro Turmstr. 12 40789 Monheim Tel.: 02173 690-611 E-Mail: godek@godek.onmicrosoft.com Der Autor den Aufsichtsrat wird einmal im Halbjahr ein Risikobericht erstellt. Dazu werden die Risiken in den einzelnen Gesellschaften abgefragt und bestehende Risiken aktualisiert. Darüber hinaus besteht unterjährig die Pflicht, neue Risiken umgehend an den Risikomanager zu melden. Die einzelnen Risiken werden anhand des potenziellen finanziellen Schadens sowie der Eintrittswahrscheinlichkeit bewertet. Auf dieser Basis wird eine konzernweite Liste aller Risiken und eine sogenannte „Risk Map“ der zehn größten Risiken erstellt. Dabei unterstützt uns ein Risikomanagementtool. Im technischen Bereich werden dabei u. a. die im Rahmen des ISMS (Information Security Management System) definierten Risiken berücksichtigt, hinzu kommen technische Risikoanalysen für einzelne Sparten, beispielsweise Trinkwasser. Die erfassten technischen Risiken werden erst ab Überschreiten einer bestimmten Schadenshöhe an das Konzern-Risikomanagement gemeldet; auf Nachfrage hat das zentrale Risikomanagement aber vollen Zugriff auf die Risikodokumentation der technischen Gesellschaft. Existieren eine umfassende, regelmäßig aktualisierte Analyse und eine Bewertung von Risiken? Frings: Ja, sie wird für den Konzern einmal im Quartal der Geschäftsführung vorgelegt sowie im Aufsichtsrat vorgestellt. Darin enthalten sind auch die Risiken der technischen Gesellschaft. Für die technische Gesellschaft finden die Aufsichtsratssitzungen halbjährlich statt, der zentrale Risikomanager berichtet dort dem Aufsichtsrat direkt. Gibt es ein Risikofrüherkennungssystem? Frings: Das Unternehmen scannt regelmäßig und kontinuierlich das Umfeld nach neuen Bedrohungen. Die dabei erkannten Risiken werden in das Risikomonitoring aufgenommen, sobald sich eine konkrete Bedrohung ergibt. Welche Risiken definieren Sie – unabhängig von Ihrer konkreten Situation – für Versorgungswerke allgemein? Frings: Wir orientieren uns im technischen Bereich an den folgenden sechs Kriterien; darüber hinaus sollte jedes Unternehmen seine Risikokategorien selbst definieren: • G efährdung für Leib und Leben (Arbeitsausfälle, Verletzte) • Beeinträchtigung der Versorgungssicherheit • monetäre Auswirkung • A uswirkung auf die Umwelt • A uswirkung auf die Reputation • G efährdung von Datensicherheit/Datenschutz Welche Best-Practice-Tipps können Ihre Expertinnen und Experten anderen (kleineren) Versorgern geben, die das Thema neu in Angriff nehmen? Frings: Das Risikomanagement sollte bei der Geschäftsführung aufgehängt sein. Zudem empfiehlt es sich, die Einführung durch eine Kommunikation zu flankieren, welche die Meldung von Risiken positiv bewertet. Das nimmt Ängste und dient somit der Früherkennung. Inwieweit nutzen Sie für das Risikomanagement externe Expertise? Frings: Bei der Einführung des Risikomanagementtools wurde externe Expertise eingebunden. Zudem werden die Wirtschaftsprüfer regelmäßig nach ihrer Einschätzung zu potenziellen Risiken befragt. Damit machen wir uns deren Branchenerfahrung zunutze. Informationen von den Industrieverbänden sowie einschlägige Publikationen werden ebenfalls zur Risikoerkennung herangezogen. Das Informationssicherheitssystem wird regelmäßig auditiert. 47 energie | wasser-praxis 04/2022
RkJQdWJsaXNoZXIy ODQwNjM=