Customer Success Story

Dank dem schnellen Abruf eines Information-Security-Experten können wir rasch und flexibel auf spezialisiertes Sicherheits-Know-how zugreifen. Rent-a-CISO hat uns überzeugt.
Peter Salzmann
CIO, EKZ

RENT-A-CISO: Security Know-how auf Abruf

Die Ausgangslage und Anforderungen

Im Frühjahr 2016 standen die Elektrizitätswerke des Kantons Zürich (EKZ) vor einem Problem: Der Informationssicherheitsbeauftragte, intern CISO genannt, hatte gekündigt. Mit internen Ressourcen konnten die vielfältigen Tätigkeiten eines CISO nicht abgedeckt werden. Das erforderliche, hoch spezifische Know-how stand nach der Kündigung nicht mehr zur Verfügung und Spezialisten auf dem Gebiet der Informationssicherheit sind schwer zu finden.

Die Sicherheit der Daten, IT-Systeme und der IT-unterstützten Prozesse ist gerade für ein Unternehmen im Energieversorgungssektor von entscheidender Bedeutung – Störungen und Ausfälle aufgrund von IT-Sicherheitsproblemen kann man sich nicht leisten. Dies umso mehr, als der Aufbau, die Überwachung und Instandhaltung der Elektrizitäts-Infrastruktur zunehmend von IT-Systemen abhängt. Der Betrieb von «kritischen Infrastrukturen» erfolgt durch Leitsysteme, die zunehmend mit weniger gut geschützten Umsystemen kommunizieren müssen. Dabei ist fundiertes Sicherheits-Expertenwissen unerlässlich.

Die EKZ mussten also so rasch wie möglich eine Lösung finden, um die Aktivitäten des nicht mehr verfügbaren CISO durch einen externen Spezialisten abzudecken. Das Servicepaket «Rent-a-CISO» von Avectris erfüllte die Anforderungen der EKZ optimal.

Die Lösung

In der Person von Michael Plüss, Senior Consultant bei Avectris, steht den EKZ eine auf Informationssicherheit spezialisierte Fachkraft auf Abruf zur Verfügung. Michael Plüss ist einen Tag pro Woche vor Ort, kann die CISO-Aufgaben aber auch zu anderen Zeiten übernehmen, wenn spontane Anfragen oder dringende Probleme vorliegen. Der Spezialist kennt sich zudem mit den Herausforderungen eines Energieversorgers gut aus, besitzt Know-how über die Systemumgebung, kann Bedrohungslage und Schwachstellen einschätzen und ist mit den regulatorischen Rahmenbedingungen vertraut.

Der «gemietete CISO» berät den CIO der EKZ in sämtlichen Belangen der Informationssicherheit. Er unterstützt die Umsetzung von Massnahmen wie etwa die Abwehr von DDoS Attacken und bearbeitet Abweichungen, die aus Audits und Revisionen hervorgehen. Er überprüft die Sicherheitsanforderungen in den energiewirtschaftlichen Betriebsprojekten, erstellt Analysen im Hinblick auf die geltenden Gesetze und fungiert als Schnittstelle zum Rechtsdienst. Michael Plüss klärt beispielsweise die Gesetzeslage bezüglich der geplanten Nutzung von Cloud-Services ab. Er erstellt zudem Risikoeinschätzungen – wie z. B. Umgang mit lokalen Administratorenrechten oder Fernwartungssoftware.

Die Vorteile auf einen Blick

  • Spezialisiertes Informationssicherheits-Know-how auf Abruf
  • Unabhängigkeit dank neutralem Dienstleister
  • Langjährige Branchenerfahrung von Avectris
  • Sicht von externem Spezialisten hilft Betriebsblindheit zu vermeiden
  • Fachgerechte Umsetzung von Informationssicherheits-Massnahmen
  • Regulatorische und gesetzliche Rahmenbedingungen im Griff
  • Mehr Freiräume für die Entwicklung des Kerngeschäfts

Die EKZ versorgen rund eine Million Menschen über ein Verteilnetz von fast 15’000 Kilometer Länge mit Strom und gehören damit zu den grössten Energieversorgern der Schweiz. Für das öffentlich-rechtliche Unternehmen, das zu 100 Prozent dem Kanton Zürich gehört, sind rund 1400 Mitarbeitende tätig.

EKZ
8002 Zürich
www.ekz.ch