Zielscheibe Energiewerk: Wie machen wir unsere Infrastruktur sicherer?

Auch wenn die Ursache auf der Iberischen Halbinsel kein Cyberangriff war, zeigte sich trotzdem, wie schnell vernetzte Systeme unter Druck geraten können. Welche konkreten Bedrohungen beschäftigen Sie als IT-Leiter aktuell am meisten, wenn es um die Sicherheit der Energieversorgung geht? 

Der Krieg in Europa bleibt für mich die vordringlichste Bedrohung. Er wirkt sich nicht nur auf die Energieversorgung aus, sondern gefährdet auch Versorgungsketten, die gesellschaftliche Stabilität und die politische Sicherheit Europas insgesamt. Ein weiteres wachsendes Risiko ergibt sich aus meiner Sicht aus unserer Abhängigkeit von globalen Cloud-Diensten. Viele zentrale IT-Services laufen über Anbieter, die ausserhalb unseres Rechtsraums agieren und daher kaum von uns beeinflusst werden können.

Können Sie ein Beispiel nennen, das die damit verbundenen Risiken deutlich macht?

Ja. Ein eindrückliches Beispiel ereignete sich in diesem Frühling. Durch einen US-Sanktionsbeschluss unter Präsident Trump wurde der britische Chefankläger des Internationalen Strafgerichtshofs Karim Khan sanktioniert. In der Folge sperrte Microsoft seinen offiziellen E‑Mail-Account und damit praktisch seine gesamte M365-Umgebung.

Was ist dann passiert?

Laut Berichten mussten Khan und seine Mitarbeitenden ohne Vorwarnung auf alternative Dienste wie den schweizerischen Mail-Dienst Proton Mail ausweichen. Auch wenn Microsoft betont, dass der Workflow des Internationalen Strafgerichtshofs insgesamt nicht beeinträchtigt gewesen sei, zeigt der Fall doch deutlich auf, dass ein ausländischer Anbieter aus politischen oder persönlichen Gründen IT-Dienste blockieren und dadurch Organisationen von einem Tag auf den anderen lahmlegen kann.

Wenn wir den Blick von der globalen Ebene auf die Regionalwerke AG Baden richten. Wo sehen Sie aktuell zum Beispiel potenzielle Einfallstore für Cyberangriffe?

Die grössten Schwachstellen sehe ich im Bereich der psychologischen Manipulation, insbesondere bei Methoden wie Phishing und Social Engineering. Dabei handelt es sich um Täuschungstechniken, mit denen Angreifer versuchen, Mitarbeitende dazu zu bringen, sensible Informationen preiszugeben oder unbewusst sicherheitskritische Handlungen vorzunehmen. Gerade in der klassischen Office-IT bleibt der Mensch das entscheidende Sicherheitsrisiko. Aus diesem Grund legen wir grossen Wert auf die gezielte Sensibilisierung und kontinuierliche Schulung unserer Mitarbeitenden.

Wie gehen Sie dabei vor?

Wir nutzen jede Gelegenheit, sei es im Alltag, bei Teammeetings oder bei gezielten Sicherheitsschulungen, um auf die Gefahren von manipulierten E-Mails oder Täuschungsversuchen hinzuweisen. Mitarbeitende werden regelmässig dazu aufgefordert, verdächtige Nachrichten kritisch zu hinterfragen und sich bei Unsicherheiten direkt an den IT-Support zu wenden. Darüber hinaus haben wir intern eine verantwortliche Person, die sich um eLearning-Angebote sowie die Organisation von realitätsnahen Phishing-Simulationen kümmert. Diese Trainings helfen, das Risikobewusstsein zu schärfen und die Reaktionsfähigkeit im Ernstfall zu verbessern.

Eine offene Fehlerkultur ist dabei zentral für den Umgang mit Sicherheitsvorfällen. Wie gelingt es Ihnen, eine solche Kultur im Unternehmen zu etablieren?

Indem wir Fehler ausdrücklich als Chance zum Lernen und zur Weiterentwicklung begreifen. Unsere Mitarbeitenden werden ermutigt, Vorfälle, Unsicherheiten oder potenzielle Sicherheitsrisiken frühzeitig zu melden – ohne Angst vor Schuldzuweisungen oder negativen Konsequenzen. So schaffen wir ein Umfeld, in dem Offenheit, gegenseitiges Vertrauen und kontinuierliche Verbesserung im Vordergrund stehen und wir gemeinsam aus Fehlern lernen und unsere Prozesse nachhaltig stärken können.

Und wie erkennen Sie potenzielle Sicherheitsvorfälle innerhalb dieser Architektur?

Wir setzen auf ein spezialisiertes Monitoring, das relevante Systemwerte, Kommunikationsmuster und Konfigurationsänderungen kontinuierlich überwacht. Ergänzt wird dies durch ein Security Operations Center, dass unsere Umgebung rund um die Uhr auf Anomalien und verdächtige Aktivitäten analysiert. Auffälligkeiten werden nach definierten Prozessen klassifiziert, dokumentiert und im Rahmen unseres Incident-Managements bearbeitet. Diese mehrstufige Architektur, bestehend aus technischer Segmentierung, restriktiver Netzkommunikation, kontinuierlicher Überwachung und definierten Meldeprozessen, ermöglicht es uns, Bedrohungen frühzeitig zu erkennen und gezielt einzugreifen.

Haben Sie bereits solche Angriffe und Bedrohungen auf Ihre Infrastruktur erlebt? 

Nein, bislang wurden wir von solchen Vorfällen verschont.

Sie erwähnen die ISO 27001. Welche Rolle spielt diese Norm für Ihre Sicherheitsstrategie? 

Die ISO 27001 ist für uns ein wichtiger Orientierungsrahmen, um unsere Sicherheitsprozesse systematisch weiterzuentwickeln und zu überprüfen. Viele der bei uns etablierten Massnahmen, etwa im Bereich Zugriffskontrollen, Backup-Strategien, Schulungen oder Risikomanagement, sind eng an die Anforderungen der Norm angelehnt oder lassen sich gut darin verorten.
 
 

Wie genau unterstützt Sie die Norm dabei im Alltag?

Der Nutzen der ISO 27001 liegt für uns vor allem in ihrer strukturierten Herangehensweise. Die Norm unterstützt uns dabei, Risiken methodisch zu analysieren, klare Verantwortlichkeiten festzulegen und unsere Prozesse regelmässig auf ihre Wirksamkeit hin zu überprüfen und weiterzuentwickeln. So entsteht ein lebendiges Managementsystem für Informationssicherheit, das nicht nur auf dem Papier existiert, sondern aktiv im Alltag gelebt wird.

Welche Vorteile bringt das im Krisenfall oder bei Angriffen?

Gerade als Betreiber kritischer Infrastrukturen profitieren wir davon, dass die ISO 27001 hilft, Schwachstellen frühzeitig zu erkennen, Sicherheitsmassnahmen gezielt zu priorisieren und im Ernstfall strukturiert reagieren zu können. Darüber hinaus sorgt die Norm für eine gemeinsame Sprache – sowohl innerhalb des Unternehmens als auch im Austausch mit Partnern, Behörden oder der Öffentlichkeit. Nicht zuletzt stärkt sie auch unser Vertrauen in die eigene Widerstandsfähigkeit. Sie stellt sicher, dass wir im Fall einer Cyberattacke vorbereitet sind und handlungsfähig bleiben.

Wie gelingt es Ihnen, dass die jeweiligen Sicherheitsvorgaben verstanden und umgesetzt werden und nicht als bürokratische Pflicht verstanden werden? 

Wir schaffen den Praxisbezug, indem wir Sicherheitsanforderungen immer dann thematisieren, sobald sich im Tagesgeschäft eine passende Gelegenheit dazu bietet. In den Teams diskutieren wir die Prozesse gemeinsam, erläutern ihre Bedeutung und passen Details bei Bedarf so an, dass sie optimal zu unseren Abläufen passen – ohne dabei die Anforderungen der ISO 27001 zu vernachlässigen.

Die Implementierung von Sicherheitsmassnahmen betrifft meist mehrere Bereiche im Unternehmen. Wie koordinieren Sie das?

Die bereichsübergreifende Koordination von Sicherheitsmassnahmen ist anspruchsvoll und lässt sich nicht durch eine einzelne Person allein bewältigen. Seit Juni 2025 werden wir daher durch einen externen Chief Information Security Officer unterstützt – also eine Fachperson, die das übergeordnete Sicherheitsmanagement verantwortet und bereichsübergreifend koordiniert. Zusätzlich haben wir intern Rollen etabliert, die sich gezielt mit Themen wie dem Informationssicherheits-Managementsystem, der ISO 27001 und der operativen Umsetzung von Sicherheitsmassnahmen befassen. Diese Personen arbeiten eng mit dem Chief Information Security Officer zusammen, so dass Fachwissen aus verschiedenen Unternehmensbereichen gezielt zusammengeführt und in konkrete Massnahmen überführt werden kann.

Regionalwerke Baden AG Luftbild Verwaltungsgebäude, Bild: zvg

Nach welchen Kriterien priorisieren Sie generell Risiken, und wie fliesst diese Bewertung in Ihre Entscheidungsprozesse ein?

Die Bewertung und Priorisierung von Risiken bezieht sich bei uns in der IT aktuell ausschliesslich auf den Bereich der IT-Services und nicht auf das gesamte Unternehmensrisikomanagement der Regionalwerke AG Baden. Als Grundlage dient dabei das international anerkannte Rahmenwerk ISO 31000, das wir schlank und praxisorientiert auf unsere IT-Landschaft anwenden.

Wie konkret sieht dieser Bewertungsprozess in der Praxis aus?

Im Zentrum steht eine zweistufige Bewertung: einerseits die Kritikalität eines IT-Services für den Geschäftsbetrieb, andererseits der potenzielle Kundenimpact bei einem Ausfall. Zur Bewertung nutzen wir eine Business Impact Analyse mit strukturierten Fragekatalogen. Dabei werden beispielsweise Wiederanlaufzeiten, Datenverlusttoleranz, externe Abhängigkeiten, regulatorische Anforderungen sowie potenzielle Auswirkungen auf Kunden und Öffentlichkeit, systematisch erfasst und bewertet.

Wie nutzen Sie diese Ergebnisse für Ihre Entscheidungen?

Die resultierenden Werte werden in einer Heatmap visualisiert und dienen als Entscheidungsgrundlage für technische und organisatorische Massnahmen wie Backupfrequenz, Hochverfügbarkeit, Wartungsfenster oder Supportzeiten und IT-Pikett. So stellen wir sicher, dass Ressourcen dort eingesetzt werden, wo sie den grössten Beitrag zur Resilienz leisten und nicht nach Bauchgefühl oder historisch gewachsenen Strukturen. Langfristig sollen diese Erkenntnisse dann in das unternehmensweite Risikomanagement überführt werden. Schon jetzt schaffen sie eine solide Basis für ein nachvollziehbares, priorisiertes und wirtschaftlich optimiertes IT-Risikomanagement. Das Gesamtrisikomanagement der Regionalwerke Baden wird zusammen mit unserem neuen Chief Information Security Officer in den kommenden Jahren noch stärker ausgebaut.

Und wie stellen Sie sicher, dass Ihre Sicherheitsvorkehrungen immer auf dem neusten Stand sind? 

Wir pflegen den aktiven Austausch mit Fachgremien und sind in mehreren Branchennetzwerken engagiert. Unser Security Officer nimmt wöchentlich am BACS Cyberbriefing teil, dort werden aktuelle Bedrohungslagen besprochen und Trends erkannt. Ergänzt wird dieses Wissen von Informationen von Herstellern und Lieferanten, einschlägigen Security-Newsportalen, sowie Beiträge und Analysen auf Plattformen wie Twitter, LinkedIn und weiteren Fachquellen. Dieser Informations-Mix erlaubt es uns, Risiken frühzeitig zu erkennen und Massnahmen rasch anzupassen.

Wenn es zu einem Sicherheitsvorfall kommen sollte, wie ist Ihr Notfallmanagement organisiert?

Im Falle eines Sicherheitsvorfalls greifen bei uns klar definierte Prozesse aus dem Krisenmanagement. Dazu gehören ein strukturiertes Incident-Management, technische und organisatorische Notfallmassnahmen sowie abgestufte Eskalations- und Kommunikationspfade. Die ISO 27001 gibt uns dabei den notwendigen Rahmen vor – sie fordert verbindliche Abläufe für den Umgang mit Sicherheitsvorfällen. Zusätzlich führen wir einmal jährlich eine Krisenstabsübung durch, um uns auf den Ernstfall vorzubereiten. 

Künstliche Intelligenz hält zunehmend Einzug in technische Prozesse. Könnte die ISO 42001 in Zukunft für Ihr Werk wichtig sein? 

Aktuell setzen wir bei der Regionalwerke Baden keine produktiven Systeme ein, die im engeren Sinne unter künstliche Intelligenz fallen. Entsprechend ist die ISO 42001 für uns derzeit noch kein Thema. Wir nutzen jedoch bereits heute sehr spezialisierte und technisch ausgereifte Simulations- und Berechnungswerkzeuge – unter anderem auch in Form von Digital Twins, etwa für Netzsimulationen, Lastflussanalysen oder Versorgungsmodelle. Diese Systeme arbeiten mit präzisen mathematischen Modellen, berücksichtigen reale Anlagenparameter, georeferenzierte Netzdaten und dynamische Lastprofile. Sie ermöglichen es uns, Szenarien in Echtzeit zu bewerten und vorausschauend zu planen. Trotz ihrer hohen Komplexität und Leistungsfähigkeit handelt es sich dabei nicht um lernende oder autonome Systeme im Sinne einer KI, sondern um fachlich kontrollierte Anwendungen. Sollten wir künftig vermehrt auf KI-basierte Systeme setzen, werden wir die Anforderungen der ISO 42001 selbstverständlich prüfen.

Zum Abschluss würden wir gerne von Ihnen erfahren, welche technologischen Trends Sie besonders im Blick behalten, da sie möglicherweise Auswirkungen auf die Sicherheitslage haben.

Ich beobachte insbesondere zwei Entwicklungen mit grosser Aufmerksamkeit: Erstens die zunehmende Cloudifizierung von IT-Services. Sie bringt neue Abhängigkeiten und geopolitische Risiken mit sich, die insbesondere aus Sicht von Sicherheit und Verfügbarkeit sorgfältig bewertet werden müssen. 

Und Zweitens?

Die immer stärkere Vernetzung von IT- und OT-Systemen. Während IT-Umgebungen mittlerweile gut mit gängigen Sicherheitsmechanismen abgesichert sind, bringen OT-Systeme, etwa in der Anlagen- oder Netzsteuerung, oft andere Voraussetzungen mit. Die Schnittstellen zwischen beiden Welten werden damit zu sensiblen Punkten, an denen klassische IT-Bedrohungen plötzlich direkten Einfluss auf physische Infrastrukturen nehmen könnten. Das macht eine enge Zusammenarbeit zwischen IT- und OT-Verantwortlichen sowie gezielte Schutzmassnahmen an den Übergängen umso wichtiger.