Energieversorger «Verbund» 07.12.2020, 07:00 Uhr

Holistischer Ansatz für SAP-Sicherheit

Der Energieversorger «Verbund» nutzt Schweizer Technologie für eine holistische Umsetzung der Compliance- und Sicherheitskonzepte seines zentralen SAP-Systems.
«Verbund»-Mitarbeiter auf Kontrollgang an Europas grösstem Stadt-Kraftwerk in Wien Freudenau
(Quelle: Verbund)
Die Erwartungen an Betreiber kritischer Infrastruktur wie Energieversorger stehen in einem aussergewöhnlichen Spannungsfeld: Die Öffentlichkeit erwartet eine ressourcenschonende und umweltfreundliche Produktion, die sich durch Innovation und Verwendung neuer Technologien verwirklichen lässt. Mit der Digitalisierung lassen sich solche Freiräume schaffen – und dabei gleichzeitig die Sicherheit der IT erhöhen.
«Verbund» ist Österreichs führendes Stromunternehmen und einer der grössten Wasserkraft-Stromerzeuger in Europa. Bei dem Konzern stehen Innovation und Nachhaltigkeit zuoberst auf der Agenda. Das Thema Sicherheit bedeutet in diesem Kontext mehr als nur IT-Security, denn bei «Verbund» gibt es auch viele physische Sicherheitsthemen. Neben der Stromerzeugung durch Wasserkraft mit dem Unterhalt von Stauseen gibt es weitere Anlagen wie Photovoltaik und Windkraft. Daraus ergeben sich zahlreiche Interdependenzen, einerseits zwischen den Abteilungen innerhalb des Unternehmens und andererseits mit externen Partnern. Eine der wichtigsten Grundlagen für dieses Zusammenspiel ist das SAP-System, das im hoch regulierten Geschäftsumfeld hohe Anforderungen sowohl an Compliance als auch bezüglich Sicherheit zu erfüllen hat.

Holistische SAP-Sicherheit

«Wir sind uns der Verantwortung bezüglich Compliance und IT-Sicherheit sehr bewusst. Zusätzlich bestehen zahlreiche Abhängigkeiten und Verbindungen zu Abteilungen bei ‹Verbund›, die natürlich in einem Rollenkonzept berücksichtigt werden müssen», sagt Thomas Zapf, Director Digitalization and Information Security bei «Verbund». Aus diesem Grund wurde das SAP-Basis-Sicherheitskonzept erweitert.
Das neue Konzept erfüllt nicht nur die sicherheits-, sondern auch die Compliance-technischen Anforderungen und Massnahmen. Die Zielsetzung konnte durch die schrittweise Projektentwicklung, die organisatorische und technische Elemente beinhaltete, erfüllt werden.

Langjährige Kooperation

Ein ganzheitliches SAP-Basis-Sicherheitskonzept umfasst nicht nur ein Sicherheitsrahmenwerk und entsprechende Dokumentation, sondern verfügt ebenso über eine leistungsfähige, technische Komponente. Bei «Verbund» ist die Software dazu neu evaluiert worden. Bei dieser Evaluation hat «mesaforte», die Governance-/Risk- & Compliance-Suite des Schweizer Anbieters wikima4, am meisten gepunktet, entsprachen sie doch auch den hohen Sicherheitsanforderungen, die es bei dem Vorhaben zu berücksichtigen galt. Inzwischen ist die Software auch im «Verbund»-Rechenzentrum implementiert, nachdem sie zuvor bei einem Partner gehostet wurde.
Der guten Grundlage und den Zielsetzungen für das Projekt geht eine lange Zusammenarbeit von «Verbund» mit den SAP-Sicherheitsexperten von wikima4 voraus. Die erste Version der Software «mesaforte» ging vor über zehn Jahren in Betrieb. Inzwischen haben sich nicht nur die regulatorischen Anforderungen an die Governance, sondern auch die Software weiterentwickelt. Die regelmässige Evaluation der Zusammenarbeit und der technischen Komponenten schafft auf beiden Seiten eine solide Vertrauensbasis.
Die bestehenden Dokumentationen von «Verbund» sind im Rahmen des Projekts in ein Sicherheitsrahmenwerk integriert worden. Dafür sind bei dem Stromkonzern gemeinsam mit wikima4 verschiedene Workshops zur Risikobewertung und deren Migration durchgeführt worden. «Die Unterstützungsprozesse zwischen den beiden Unternehmen sind etabliert», erklärt Priska Altorfer, Managing Partner von wikima4. «Dabei steht die Optimierung bestehender Konzepte und deren Umsetzung im Fokus.» Die Betriebsunterstützung, die eine laufende Anpassung der Sicherheitsmassnahmen ermöglicht, beträgt je nach Aufgabenintensität ein paar Tage im Monat. Die Projektkosten sind bei diesem Vorgehen klar kalkulierbar.

Autor(in) Salomé Wagner



Das könnte Sie auch interessieren