Sjoerd van Agtmael arbeitet als Experte im Bereich Cybersicherheit und in einem Finanzprojekt für Rijkswaterstaat (RWS). Der verantwortliche Ingenieur bei FMI ImProvia ist für die optimale digitale Sicherheit der Infrastruktur verantwortlich. „Wir testen die Arbeiter, die mit den Arbeitern arbeiten.“
Sjoerd, der für die Geschäftseinheit Smart Industry Solutions arbeitet, wurde Ende 2021 zu ÆVO abgeordnet. Das Schwesterunternehmen von FMI ImProvia hatte gerade eine Ausschreibung der niederländischen Generaldirektion für öffentliche Arbeiten und Wasserwirtschaft (RWS) gewonnen. Die Ausschreibung betraf die Verwaltung und Wartung tunneltechnischer Anlagen. Der Spezialist für intelligente Brücken, Tunnel und Schleusen war bei beiden Projekten mit veralteten Anlagen konfrontiert. „Daher mussten wir technisch einen Schritt nach vorne machen, um die Sicherheit weiter zu verbessern“, sagt Sjoerd über seine Arbeit.
Entscheidender Teil
Cybersicherheit ist dabei ein entscheidender Aspekt. Aufgrund der sich schnell ändernden Zeiten und der immer strengeren Anforderungen und aktualisierten Vorschriften erfordert sie einen hohen Managementaufwand. Sjoerd und sein Team ermitteln beispielsweise die Schwachstellen. Teil dieser Bestandsaufnahme ist die Prüfung der Cybersicherheitsanforderungen. Sjoerd: „Das System muss so konfiguriert sein, dass wir ein hervorragendes Paket haben, das wir warten können. Rijkswaterstaat hat dafür eine Richtlinie, die auf strengen Standards basiert. Aber auch intern legen wir die Messlatte technisch und organisatorisch sehr hoch, um sicher mit Rijkswaterstaat zusammenarbeiten zu können.“ Das ist sinnvoll, da es sich um kritische Infrastruktur handelt. Ein Ausfall oder eine Störung des Objekts muss um jeden Preis verhindert werden. „Wenn der Verkehr aufgrund einer Störung unterbrochen wird, verursacht das Staus und erzeugt unerwünschte Publicity“, erklärt der beratende Ingenieur.
Bleiben Sie vorne
Rijkswaterstaat ist sich der Notwendigkeit guter digitaler Sicherheit bewusst und möchte in Sachen Cybersicherheit eine Vorreiterrolle einnehmen. „Früher galt sie nicht als essenziell. Heute erkennt die OT-Welt (die industrielle Seite der IT, Anm. d. Red.) ihre Notwendigkeit, da industrielle Umgebungen angegriffen werden. Das hört man immer häufiger.“ Um die Sicherheit und Wirksamkeit etablierter Verfahren zu überwachen, führen ÆVO und Rijkswaterstaat jährlich ein Audit durch. Auch Risiko- und Auswirkungsanalysen werden regelmäßig durchgeführt, um die Systemsicherheit zu überprüfen. „Ist die Kette noch sicher oder hat eine technische Anpassung ein Risiko geschaffen, mit dem wir nicht gerechnet haben?“ Im Wesentlichen gehe es darum, diese Risiken so weit wie möglich zu minimieren, sagt er. „Dazu besprechen wir mit Rijkswaterstaat, welche Risiken wir identifiziert haben. Wir wollen sie technisch absichern, sodass sie kein Risiko mehr darstellen. Wenn das aufgrund der Technologie des Objekts nicht möglich ist, gehen wir das verfahrenstechnisch an.“
Detaillierter Plan
ÆVO arbeitet an einem detaillierten Plan mit technischen und verfahrenstechnischen Maßnahmen, der von RWS genehmigt werden muss. Dazu gehören Fragen wie: Wie werden Personen registriert, die auf das Objekt zugreifen, wer hat wann Zugriff und auf welches System? Der Plan umfasst außerdem die Überwachungsmethode für die Objekte, die Verbindung zum Objekt sowie das Dokumenten- und Backup-Management. Und: Was ist mit was verbunden? „Man muss also die Landschaft (die Architektur des Objekts, Anm. d. Red.) sehr gut kennen.“ Was die Cybersicherheit der RWS-Objekte angeht, weiß Sjoerd, dass alles bereits gut organisiert ist. ÆVO geht über die reine Hardware hinaus. „Wir testen auch das Bewusstsein der Mitarbeiter, die mit den Objekten arbeiten. Beispielsweise versenden wir mehrmals im Jahr eine gefälschte Phishing-E-Mail und führen mindestens einmal im Jahr eine Cybersicherheitsschulung durch. Damit wollen wir das Bewusstsein für die mit der Cybersicherheit verbundenen Risiken schärfen. Wir wollen die Mitarbeiter wachsam halten.“
Letztendlich kommt es auf das Risikomanagement an. Wenn dieses sowohl für Mensch als auch Maschine optimal umgesetzt wird, weiß Sjoerd, dass Infrastrukturobjekte digital optimal gesichert sind.
