Kunde
Vor rund 125 Jahren begann für die aufstrebende Industriestadt Tuttlingen mit der Gründung der Stadtwerke ein neues Zeitalter. Strom wurde damals zunächst noch mit Dampfmaschinen und Dieselmotoren erzeugt. Heute setzt der Energieversorger mit rund 160 Mitarbeitern zu 100 Prozent auf Nachhaltigkeit: Die Stadtwerke Tuttlingen produzieren Ökostrom aus Wasserkraft, Windkraft und Fotovoltaik sowie Biogas aus nachwachsenden Rohstoffen. Darüber hinaus beliefern die Stadtwerke Privathaushalte, Industrie- und Gewerbekunden in der Region mit Wasser und Fernwärme.
Download Anwenderbericht Stadtwerke Tuttlingen
Herausforderung
Als Energie- und Wasserversorger tragen die Stadtwerke Tuttlingen eine große Verantwortung für das staatliche Gemeinwesen. Ausfälle oder Beeinträchtigungen im Betriebsablauf könnten Versorgungsengpässe und eine Störung der öffentlichen Sicherheit nach sich ziehen. Gemäß der Verordnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zählen die Stadtwerke deswegen zur sogenannten kritischen Infrastruktur (KRITIS) und müssen unter anderem im Bereich IT Security besonders strenge, gesetzlich vorgeschriebene Sicherheitsanforderungen erfüllen. Die organisatorische Sicherheit gewährleisteten die Stadtwerke mit der Einführung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001. Um die eigene IT- und Informationssicherheit zu prüfen, entschieden sich die Stadtwerke für eine externe Überprüfung ihrer IT-Schutzmaßnahmen durch Allgeier secion.
Lösung
In einem Penetrationstest im Rahmen eines White Box-Audits kam die gesamte technische IT-Infrastruktur der Stadtwerke Tuttlingen auf den Prüfstand. Die IT-Sicherheitsexperten von Allgeier secion führten dazu sowohl einen automatischen Schwachstellenscan als auch eine manuelle Schwachstellenanalyse durch. Außerdem wurden die öffentlich erreichbaren Web-Applikationen, die häufig das Ziel von Angreifern sind, auf mögliche Sicherheitslücken untersucht. Auch die Awareness der Mitarbeiter der Stadtwerke Tuttlingen wurde mittels einer individuellen Phishing-Kampagne getestet. Sensible Daten durch gefälschte, aber täuschend echte E-Mails oder SMS “abzufischen” ist nach wie vor eines der beliebtesten und erfolgversprechendsten Angriffsmittel von Cyberkriminellen. Ohne das Wissen der Mitarbeiter wurden deshalb unternehmensweit fingierte E-Mails versendet. Sie waren in drei Schwierigkeitsstufen konzipiert und unterschiedlich schwer als Phishing-Mails zu identifizieren.
Ergebnis
Die umfassende IT-Sicherheitsüberprüfung durch Allgeier secion lieferte den Projektverantwortlichen der Stadtwerke Tuttlingen eine detaillierte Analyse ihrer IT-Infrastruktur. Weil das Unternehmen intensiv und kontinuierlich an seinen IT-Sicherheitsmaßnahmen arbeitet, zeigten sich in der technischen Überprüfung keine gravierenden Sicherheitslücken. Alle Befunde des White Box-Audits wurden den Verantwortlichen nach Projektabschluss in einem ausführlichen Bericht, inklusive konkreten Handlungsempfehlungen zur Beseitigung der nur kleinen Lücken, präsentiert. Die Phishing-Kampagne unterstrich, dass auch die regelmäßige Schulung aller Mitarbeiter für eine umfassende IT- und Informationssicherheit unerlässlich ist. Durch diese Maßnahme gehen alle Angestellten der Stadtwerke Tuttlingen nun noch kritischer mit empfangenen E-Mails um und binden das IT-Team bei Unsicherheiten verstärkt ein.
„Wir haben uns verschiedene Dienstleister angeschaut und uns schließlich für die Allgeier secion GmbH als fachlich kompetenten Projektpartner entschieden, da uns die Expertise sowie das Preis-Leistungs-Verhältnis überzeugt hat. Die technische Überprüfung hat gezeigt, dass wir hinsichtlich unserer IT-Sicherheit bisher gute Arbeit geleistet haben, da keine kritischen Mängel festgestellt wurden. Die ergänzenden Empfehlungen konnten wir, dank ausführlichem Bericht inklusive möglicher Lösungen, kurzerhand umsetzen. Den positiven Bericht nutzen wir darüber hinaus weiterhin auch als Nachweis in unserem ISO 27001-Audit. Die Zusammenarbeit mit Allgeier secion lief reibungslos ab, und wir haben sehr viel von den Experten gelernt. Aus diesem Grund sind wir aktuell in der Planung des nächsten gemeinsamen Projekts.“