Gesetzliche Auflagen abbilden

Stadtwerke Speyer verbessern das Auditing

Um sämtlichen Audit-Anforderungen gerecht zu werden, haben die Stadtwerke Speyer den bislang eingesetzten Service Desk weiter ausgebaut.

  • Stromleitung über Land

    Die Stadtwerke Speyer gehören zu den führenden Energieanbietern in Rheinland-Pfalz.

  • Hauptsitz der Stadtwerke Speyer

    Das kommunale Unternehmen versorgt die Kunden mit Strom, Erdgas, Wärme und anderen Dienstleistungen wie der Abwasser- und Müllentsorgung.

Die Stadtwerke Speyer GmbH gehört zu den führenden Energieanbietern in Rheinland-Pfalz. Mit fast 300 Mitarbeitern versorgt das kommunale Unternehmen seine Kunden in Speyer und außerhalb der Domstadt mit Strom, Erdgas, Wasser, Wärme und anderen Dienstleistungen und ist Betriebsführer für die Entsorgungsbetriebe Speyer. Ein aktuelles Projekt der Stadtwerke ist der Ausbau des Glasfasernetzes in der Region Speyer mit dem Ziel der flächendeckenden Bereitstellung von Hochgeschwindigkeits-Internet. Darüber hinaus tritt man als IT-Dienstleister auf und hostet Infrastrukturen für andere deutsche Energieversorger.

Jahrelang nutzten die Stadtwerke zur Verwaltung ihrer IT und zum Auditing von Sicherheitsvorfällen einen manuellen, auf einer Tabellenkalkulations-Software basierenden Ansatz. Dieser Prozess sollte automatisiert und transparenter gestaltet werden. Dabei wurde besonders Wert darauf gelegt, dass die gesuchte Lösung flexibel neue Normen, gesetzliche Auflagen und Auditvorgaben abbilden konnte.

Anstatt Zeit, Kosten und Aufwand in die Einführung einer völlig neuen Lösung zu investieren, entschieden sich die Verantwortlichen, die Möglichkeiten vom bereits implementierten Matrix42 Service Desk und Workspace Management zu nutzen und so den umfassenden Audit-Anforderungen gerecht zu werden.

Das Ziel: Audit-Konformität

Die Aufgaben der Stadtwerke Speyer gehen mit einer großen Verantwortung einher, die sich auch auf das Auditing der eingesetzten Managementsysteme erstreckt, wie der Informationssicherheitsbeauftragte Stephan Dambach erklärt. „Jedes Managementsystem muss sachgemäß dokumentiert werden und ist an bestimmte Normen gebunden. Deshalb benötigen wir ein lückenloses Inventar der eingesetzten IT-Hardware und -Software, kategorisiert nach Typ wie etwa Server, Computer und so weiter. Dieser Anlagenbestand muss auch einheitlich verwaltet werden. Darüber hinaus müssen wir regelmäßig Berichte erstellen und Risikoanalysen durchführen, wobei die Ergebnisse den verantwortlichen Personen umgehend verfügbar gemacht werden müssen.“

Früher wurden Bestandsverwaltung und Berichterstattung mittels manuell gepflegter Tabellen realisiert. Auch wenn die Lösung prinzipiell funktionierte, führte sie zu einigen Problemen, wie sich Dambach erinnert: „Mit den Spreadsheets konnten wir Abhängigkeiten zwischen einzelnen Assets nicht visualisieren. Zudem ließ sich nur schwer feststellen, ob ein Datenblatt inhaltlich korrekt und auf dem neuesten Stand war. Ein derart manueller Prozess hatte unweigerlich Fehler und ineffiziente Arbeitsabläufe zur Folge. Wenn wir etwa feststellten, dass eine IT-Richtlinie nicht eingehalten wurde, mussten wir die Tabellen öffnen, die Einträge für die betroffenen Assets identifizieren und filtern, die entsprechende Dokumentation erstellen, eine Risikoanalyse durchführen, einen Vorfall zur Informationssicherheit in einer separaten Tabelle erstellen und sicherstellen, dass dessen Behebung kontrolliert und bestätigt wird.“ Angesichts des zunehmend komplexeren Anlagenbestands wurde Dambach und seinen Kollegen klar, dass die Zeit reif war für eine automatisierte Lösung.

Jenseits von Tabellenkalkulation

Zu Beginn der Suche nach einer zentralisierten Alternative zum tabellenbasierten Ansatz wurde eine maßgeschneiderte Lösung für ein Jahr getestet. Der Erfolg ließ jedoch zu wünschen übrig, wie Dambach ausführt: „Das getestete System war komplex, unflexibel und teuer. Außerdem ließ es sich nicht ausreichend an unsere Anforderungen anpassen.“ Deshalb überlegte Dambach, ob nicht vielleicht die vorhandenen Lösungen erweitert werden könnten, um die Audit-Auflagen des Unternehmens zu erfüllen. Schnell war klar: Ja, sie können.

Dambach berichtet weiter, wie man sich mithilfe des Service Desk neu aufstellen konnte: „Mir wurde klar, dass es sinnvoller wäre, unsere bestehende Matrix42-Lösung umfangreicher zu nutzen und zu erweitern, als die Integration von etwas komplett Neuem in Angriff zu nehmen. So lassen sich mit der Software u.a. Datendefinitionen leichter im System einrichten. Außerdem ist sie flexibel und lässt sich an unsere spezifischen Anforderungen, Workflows und Meldepflichten anpassen. Das war für uns ein zentraler Punkt, da sich unsere Audit-Anforderungen so häufig ändern. Neue Normen und Gesetzesvorschriften müssen beachtet werden, oder die Wichtigkeit einzelner Einflussfaktoren verändert sich.“

Der Prüfprozess gestaltet sich nun gänzlich anders als in der Spreadsheet-Ära, wie Dambach erklärt: „Tritt heute ein Incident auf, wähle ich die Incident-Kategorie und betroffenen Assets aus, erstelle die Dokumentation, generiere das Ticket und führe die Risikoanalyse durch – all das geschieht im vollständig dokumentierten und leicht verständlichen Workflow der Lösung. Wir können auf potentielle Risiken hinweisen und diese mit direktem Link zu den dazugehörigen Tickets rechtfertigen. So erhalten geschäftliche Entscheidungsträger einen Einblick, worin Risiken bestehen und warum sie bei Nichtbeachtung mehrmals pro Jahr auftreten könnten.“

Dambach hat viel Zeit und Energie in den Ausbau der Funktionalität der Lösung gesteckt. Aktuell arbeiten die Stadtwerke und der Software-Hersteller gemeinsam daran, die Benutzerfreundlichkeit und Flexibilität weiter zu verbessern, damit die zusätzliche Funktionalität von anderen ISO-27001-konformen Unternehmen genutzt werden kann. Und damit ist das Ende der Geschichte noch nicht erzählt, wie Dambach betont: „Ich habe viele Ideen, wie man das System weiter ausbauen und optimieren könnte.“

Bildquellen: iStock/Getty Images Plus, Stadtwerke Speyer GmbH

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok