Case Study

IT und OT Security für einen städtischen Versorgungskonzern im KRITIS-Umfeld

San Francisco bei Nacht
  • Case Study
  • 3 Minuten Lesezeit
  • 04 Aug 2023

Die Situation: Die Zahl der Cyberangriffe in Deutschland steigt rasant. Insbesondere Betreiber Kritischer Infrastrukturen (KRITIS) sind beliebte Angriffsziele. Vor diesem Hintergrund haben wir ein Versorgungsunternehmen einer deutschen Großstadt dabei unterstützt, seine Cyber-Resilienz zu stärken und die neuen regulatorischen Vorgaben der EU umzusetzen.
Dem Unternehmen mit Tochtergesellschaften in den Bereichen Energieversorgung, Telekommunikation, Entsorgung und öffentlicher Nahverkehr fehlten das Wissen und die Kenntnisse zu den Anforderungen der neuen europäischen Richtlinien (EU NIS 2) und den aktuellen Bedrohungen für IT und OT.

Die Anforderung: Das Ziel des Projekts bestand darin, das bestehende Sicherheitsniveau unseres Kunden in den verschiedenen Organisationseinheiten zu bewerten sowie eine Übersicht zur aktuellen Bedrohungslage und den anstehenden Gesetzesänderungen zu erstellen. Die Aufgabe des PwC-Teams war es, Handlungsfelder zur konzernweiten Planung und Steuerung von IT- und OT-Security-Aktivitäten zu definieren.

Unser Ansatz

Im Rahmen des viermonatigen Projekts haben wir die anstehenden regulatorischen Vorgaben, die aktuelle Bedrohungslage und die derzeit noch bestehende Intransparenz in Sachen IT und OT Security aufgearbeitet und für den Kunden angepasste Handlungsfelder abgeleitet.

Unser Vorgehen basierte auf fünf Schritten

Im ersten Schritt haben wir die derzeit bestehenden organisatorischen, personellen und technischen Sicherheitsmaßnahmen des Konzerns analysiert. Dafür haben wir vorhandene Dokumentationen gesichtet und relevante Ansprechpartner interviewt.

Im zweiten Schritt haben wir die neuen EU-Vorgaben (EU NIS2-Direktive) und deren Auswirkungen auf den Kunden genau beschrieben. Ein Schwerpunkt war die Analyse der identifizierten Auswirkungen auf die Schwellenwerte der KRITIS-Verordnung. 

Im nächsten Schritt haben wir die Bedrohungslandschaft des Versorgungsunternehmens modelliert und die konkreten Konsequenzen eines Angriffs beschrieben. Dafür haben wir unter anderem vergangene Angriffe in der gleichen Branche aufgelistet ebenso wie aktuelle Trends und Akteure.

Auf dieser Basis haben wir das IT- und OT-Sicherheitsniveau unseres Kunden quer durch alle Organisationseinheiten bewertet. Dafür haben wir gängige Standards und Reifegradmodelle berücksichtigt.

Im letzten Schritt haben wir Vorschläge für verschiedene Organisationsmodelle von IT und OT Security im Konzern erarbeitet. Dazu gehörte auch die Definition und Abgrenzung der Security-Rollen und Verantwortlichkeiten sowie die Kompetenzbeschreibungen.

„Wer sich in Sachen IT und OT Security zukunftssicher aufstellen will, muss erstmal seine Schwachstellen kennen. Auf dieser Basis lassen sich dann passende Maßnahmen ableiten, um die Resilienz gegenüber Angriffen zu stärken.“

Dr. Oliver Hanka,Partner, Cyber Security & Privacy bei PwC Deutschland

Sie haben Fragen?

Kontaktieren Sie unsere Experten

Der Mehrwert

Am Ende des Projekts hatte unser Kunde einen transparenten Überblick, wie gut er in Sachen IT und OT Security aufgestellt ist – und wo Verbesserungen nötig sind. Mit dem Wissen, welche gesetzlichen Vorgaben künftig umgesetzt werden müssen und wie die Bedrohungslandschaft aktuell aussieht, konnte das Versorgungsunternehmen das Sicherheitsbewusstsein konzernweit erhöhen.

Das PwC-Team hat zudem konkrete Handlungsfelder und Empfehlungen erarbeitet, damit sich der Kunde in den Bereichen IT und OT Security zukunftssicher aufstellen kann. Dafür wurde organisationsübergreifend ein Security-Programm etabliert. Das Unternehmen hat bereits damit begonnen, ein Security-Managementsystem aufzubauen und dieses in die bestehenden Systeme zu integrieren.

Sie haben Fragen?

Kontaktieren Sie unsere Experten

So berät Sie PwC in ähnlichen Themen

Sicherheit in Kritischen Infrastrukturen

Follow us

Contact us

Dr. Oliver  Hanka

Dr. Oliver Hanka

Partner, Cyber Security & Privacy, PwC Germany

Tel.: +49 160 5105836

Hide