Informationssicherheit

Zweckverband für Abfallwirtschaft Kempten setzt auf ISA+

Um in puncto Informationssicherheit gewappnet zu sein, setzt der Zweckverband für Abfallwirtschaft Kempten (ZAK) auf die Informations-Sicherheits-Analyse ISA+. Das Verfahren besteht im Wesentlichen aus einem speziellen Fragenkatalog und dazugehörigen Handlungsempfehlungen. Durch eine übersichtliche und leicht verständliche Herangehensweise erleichtert es vor allem KMU den Einstieg in die Informationssicherheit. Als Nachweis für die Wirksamkeit ihrer Prozesse wurde das ZAK von der DQS nach ISA+ zertifiziert.

Der Zweckverband für Abfallwirtschaft Kempten (ZAK) wurde im Jahr 1972 gegründet, um die abfallwirtschaftlichen Aufgaben „Abfall vermeiden, Wertstoffe verwerten und Restmüll entsorgen“ gemeinsam zu bewältigen und ein zukunftsfähiges Konzept zu erstellen. Der als innovativ bekannte Verband verfügt heute über hochmoderne Anlagen, die trotz niedriger Gebühren wirtschaftlich betrieben werden können und damit für eine langfristige Entsorgungssicherheit sorgen.

Penetrationstest: Wie wurde der Handlungsbedarf identifiziert?

Die Idee, ein für die Bedürfnisse des ZAK angemessenes Regelwerk für Informationssicherheit einzuführen, nahm konkrete Formen an, nachdem für die IT des Verbandes ein sog. Penetrationstest (ein Sicherheitstest von Rechnern bzw. Netzwerken) durchgeführt wurde und einen Handlungsbedarf mit entsprechenden Sofortmaßnahmen ergab. Man entschied sich in Kempten für ISA+, nicht nur, weil das Regelwerk für die Unternehmensgröße gut geeignet und leicht verständlich ist, sondern auch, da es mit Blick auf die Definition des Anwendungsbereichs für die Struktur des Verbandes optimal anwendbar ist.

Was genau ist ISA+?

ISA+ besteht im Kern aus einem speziellen Fragenkatalog und dazugehörigen Handlungsempfehlungen. Deren Abgleich mit den Antworten des Unternehmens dient sowohl dem akkreditierten Berater als auch dem Auditor als Grundlage für die Einstufung in die Reifegrade 0 (niedrig) bis 3 (hoch). Wie DQS-Auditor Johann Grünauer mit Anerkennung feststellte, waren die Mitarbeiter von der Informationssicherheitsbeauftragten des Unternehmens, Stefanie Beck, so gut vorbereitet, dass er im Zuge seiner Interviews und anhand seiner Beobachtung – zusammen mit der vollzogenen Akteneinsicht – einen sehr guten Reifegrad von 3 ermitteln konnte.

Aufwand ist angemessen

Wie nicht anders zu erwarten, lag der größte Aufwand bei der Einführung des Regelwerks in der Schulung der Mitarbeiter, in der Beschreibung des Schutzbedarfes und im Aufstellen der Leitlinien. Beim Verband wird dieser Aufwand mit Blick auf das Ergebnis jedoch als absolut angemessen empfunden. Das Zertifikat nach ISA+ ist ein Jahr gültig. Danach steht ein erneutes Zertifizierungsaudit zur Begutachtung des Reifegrads an.

Die Rezertifizierung ist jedoch nicht die einzige Option. Eine Aufstockung mit Blick auf ISIS12  oder – noch einen Schritt weiter – auf ISO 27001  ist durchaus möglich. Auch der ZAK hält solche Überlegungen nicht für vollkommen utopisch, da die ZAK Energie GmbH als Energielieferant durchaus einmal unter die BSI-Kritisverordnung fallen könnte. Diese Situation könnte eintreten, wenn mit dem für Ende 2019 erwarteten IT-SiG 2.0  die Schwellenwerte gesenkt werden. Sorgen muss sich der Verband deswegen aber nicht machen: Denn mit ISA+ wurde bereits ein stabiler Grundstein gelegt, auf dem ein vollumfängliches Informationssicherheits-Managementsystem gut aufsetzen kann.

Der Verband und seine Struktur

Dem Verband gehören die Stadt Kempten sowie die Landkreise Oberallgäu und Lindau an. Die Struktur besteht aus dem öffentlich-rechtlichen ZAK, der u. a. für Haushalt, Gebühren und Satzungsrecht zuständig ist, und der privatrechtlichen Gesellschafterversammlung mit der ZAK Holding GmbH, unter der die ZAK Abfallwirtschaft GmbH und die ZAK Energie GmbH zusammengefasst sind. Die Betriebsstätten des Verbandes bestehen neben der Verwaltung in Kempten aus 39 Wertstoffhöfen, dem Müllheizkraftwerk mit Müllumladestationen, der Vergärungsanlage und dem Kompostwerk mit Kompostplätzen. Insgesamt sind beim ZAK 120 Mitarbeiter beschäftigt. Die IT verfügt über zahlreiche Server, Work Stations und Thin Clients und wurde in eine „Steuer-IT“ für den Bereich Energie und eine „Office-IT“ für die Verwaltung aufgeteilt, womit den unterschiedlichen Sicherheits-, aber auch technischen Anforderungen Rechnung getragen wurde.