Von Felix Hüll
Eberbach. Reichte den Stadtwerken früher, dass Zäune, gut verschließbare Türen oder vergitterte Fenster ihre Quellfassungen und die Wasser, Elektrizität und Gas transportierenden Anlagen schützen, ist dies heute anders. Im Zeitalter von Cyberangriffen müssen sich "kritische Infrastrukturen" wie auch die Stadtwerke Eberbach um ihre Informationssicherheit kümmern. Der TÜV Hessen bestätigt jetzt, dass die Truppe von Günter Haag hier ihre Sache gut macht.
Wie immer hat alles bereits eine lange Vorgeschichte: 2015 drangen Hacker ins Rechnersystem des Bundestags ein. Es war zwar nur einer von vielen Versuchen, sich unberechtigt Zugriff auf nicht öffentliche Computersysteme zu verschaffen. Aber der Fall gehörte zu den öffentlichkeitswirksameren.
Bereits im März 2013 hatte die Bundesregierung ein IT-Sicherheitsgesetz auf den Weg gebracht. 2015 trat es in Kraft. Es verpflichtet Betreiber "kritischer Infrastrukturen" wie Gesundheitssysteme, Lebensmittel- und Energieversorgung oder Verkehrssysteme zu Maßnahmen. Sie müssen technische und organisatorische Mindestvorkehrungen treffen, um Cyberangriffe zu verhindern. Ferner gelten Meldepflichten und Dokumentationsvorgaben. Das trifft nicht nur auf Institutionen wie die Bundeswehr zu, die mit "CIR" (Kommando "Cyber- und Informationsraum") inzwischen eine neue Teilstreitkraft hat, sondern auch für Einrichtungen wie lokale Energieversorger vom Format der Stadtwerke Eberbach.
"Wir haben gesehen, wie gut, schnell und mit Bravour das hier umgesetzt werden kann, ohne dass dabei die Kosten explodieren", lobt bei der Zertifikatsübergabe der Prüfer Marcus Ackermann vom TÜV Hessen. Er bestätigt dem Team von Stadtwerkeleiter Günther Haag, dass es "mit Augenmaß" alle Vorgaben (über 144) erfüllt hat oder speziell beschriebene Wege festlegte, um diesen Anforderungen Genüge zu tun. Zu diesem Team gehören Projektleiter Andreas Schaab, der Informationssicherheitsbeauftragte Ronald Schenk, Petra Hilbert vom Risikocontrolling und letztlich die Stadtwerkeleitung, Günter Haag.
Egal, ob nun Kupfersucher mit "analoger" Diebstahlsabsicht sich an SWE-Anlagen zu schaffen machen oder ob ein Computer-Straftäter digital versucht, unberechtigt Zugriff auf SWE-Daten zu erhalten, Schadsoftware zu installieren oder gar versuchen sollte, Arbeitsprozesse bei der Versorgung der Stadtwerkekunden mit Trinkwasser, Gas, Strom oder auch bei der Abwasserentsorgung steuern zu wollen - für alle diese Fälle haben die Stadtwerke entsprechende Vorkehrungen getroffen, Abwehr- und Anzeigemechanismen eingerichtet und sind auf Gegenmaßnahmen vorbereitet. Partner der Stadtwerke, etwa bei der Energielieferung, sind ebenfalls in diesen nun ständig ablaufenden Prozess von Überwachung, Alarmschlagen und Gegenmaßnahmen-Einleiten eingebunden.
Prüfer Ackermann: "Wir kommen ja in viele Organisationen. Man wird nicht überall so warmherzig empfangen wie hier in Eberbach." Aber weniger der menschliche Umgang sondern die nachgeprüfte Gewissheit, dass auch nach Abzug der Prüfer die gesetzlichen Bestimmungen in Sachen Informationssicherheit eingehalten werden, habe beim Zuerkennen der Zertifikate den Ausschlag gegeben. Künftig wird der TÜV einmal im Jahr nachsehen, ob bei den Stadtwerken Eberbach diese Schutzprozesse bei allen Prozessen, Systemen und Bestandteilen der Kundenversorgung mit Strom, Wasser und Gas weiter so eingehalten werden wie jetzt bestätigt.
Das "jetzt" gilt eigentlich schon - termingerecht nach der gesetzlich festgelegten Frist - seit 1. Januar; die Prüfung erfolgte bereits 2017, aber weil ein Übergabetermin nicht früher möglich gewesen sei, habe man mit diesem offiziellen Bekanntgabetermin bis Juni ein halbes Jahr gewartet, erklärten Ackermann (TÜV) und Haag (Stadtwerke) die Verzögerung.