„Die größte Herausforderung ist, das Bewusstsein für IT-Sicherheit in der gesamten Organisation zu verankern.“
„Die größte Herausforderung ist, das Bewusstsein für IT-Sicherheit in der gesamten Organisation zu verankern.“
Ein Gespräch mit Mario D'Auria, Informationssicherheitsmanagement-Beauftragter bei RheinEnergie
IT-Sicherheit ist ein Dauerthema – besonders für kritische Infrastrukturen wie die Wasserversorgung. Mario D'Auria, Informationssicherheitsmanagement-Beauftragter bei RheinEnergie, gibt Einblicke in seine Arbeit, die Herausforderungen und die Bedeutung von IT-Sicherheit für Unternehmen und Gesellschaft.
In Zeiten von steigenden Cyberangriffen auf kritische Infrastrukturen ist das sicher eine anspruchsvolle Aufgabe. Welche Bedeutung hat IT-Sicherheit für RheinEnergie insgesamt?
Eine enorme! Wir versorgen rund 2,5 Millionen Menschen mit Energie, Wasser und Wärme – wir sind also eine kritische Infrastruktur. Ein Cyberangriff auf unsere IT-Systeme könnte weitreichende Folgen haben. Deshalb arbeiten wir ständig daran, unsere Schutzmaßnahmen zu verbessern und uns gegen neue Bedrohungen zu wappnen. IT-Sicherheit ist kein Zustand, sondern ein fortlaufender Prozess.
Ein wichtiger Punkt! IT-Sicherheit ist ja auch eine Mischung aus Technik und Mensch. Was ist wichtiger – technische Lösungen oder Schulungen für die Mitarbeitenden?
Ohne Frage – der Mensch ist das größte Sicherheitsrisiko. Technik kann vieles abfangen, aber wenn Mitarbeitende unachtsam sind oder eine Phishing-Mail nicht erkennen, kann das schwerwiegende Folgen haben. Deswegen setzen wir stark auf Schulungen und Sensibilisierung. Wir haben beispielsweise eine E-Learning-Plattform eingeführt, die genau hier ansetzt.
Apropos E-Learning – Sie nutzen ja unsere speziell für die Wasserwirtschaft entwickelte Plattform „WasserWissenDigital“. Was hat Sie überzeugt?
Zum einen die einfache und verständliche Aufbereitung der Inhalte. IT-Sicherheitsthemen werden oft sehr technisch erklärt, aber hier gelingt es, das Wissen kompakt und alltagsnah zu vermitteln. Außerdem gibt es interaktive Elemente wie Quizzes, die das Ganze spielerischer gestalten. So bleibt das Wissen besser im Kopf.
Infografik RheinEnergie | Bild: RheinEnergie & KDW
Und wie ist die Resonanz bei den Mitarbeitenden?
Sehr gut! Viele sind überrascht, wie praxisnah die Schulungen auf Ihrer Plattform sind. Und wenn jemand nach dem dritten Versuch ein Quiz besteht und sein Teilnahmezertifikat bekommt, dann ist das auch ein kleiner Erfolg, der motiviert. IT-Sicherheit darf nicht als Belastung empfunden werden – das ist mir wichtig.
Sie sind auch Lead Auditor für ISO 27001. Was bedeutet das für Ihre tägliche Arbeit?
Es bedeutet, dass wir ständig überprüfen müssen, ob unsere Sicherheitsmaßnahmen noch dem aktuellen Stand entsprechen. Jedes Jahr führen wir Audits durch – intern und extern. Wenn ein Auditor am Ende eines Audits sagt: „Ich habe nichts gefunden“, dann ist das für mich und das gesamte Team ein großer Erfolg. Aber das bedeutet nicht, dass wir uns zurücklehnen. IT-Sicherheit ist ein dynamisches Feld.
Welche Entwicklungen erwarten Sie in den nächsten Jahren in Ihrem Bereich?
Es wird immer anspruchsvoller. Besonders durch das neue NIS-2-Umsetzungsgesetz und das Kritis-Dach-Gesetz werden die Anforderungen an kritische Infrastrukturen steigen. Unternehmen müssen sich darauf vorbereiten, auch wenn noch nicht alle Details klar sind. Mein Tipp an alle Verantwortlichen: Warten Sie nicht auf das endgültige Gesetz – setzen Sie sich jetzt schon mit den Anforderungen auseinander!
Das ist ein guter Rat. Würden Sie die E-Learning-Plattform, die Sie nutzen, anderen Unternehmen empfehlen?
Definitiv! Besonders für Wasser- und Abwasserverbände ist sie eine große Bereicherung. Viele haben zwar eigene Schulungen, aber eine zusätzliche Maßnahme zur Sensibilisierung schadet nie. Und da IT-Sicherheit ein laufender Prozess ist, brauchen wir alle Werkzeuge, die uns dabei unterstützen.
Zum Abschluss noch eine letzte Frage: Möchten Sie anderen Unternehmen oder Fachkollegen noch etwas mit auf den Weg geben?
Was ich von meiner Seite aus mitgeben kann, ist: Zum einen sollten wir als Verantwortliche niemals den Spaß an dieser Arbeit verlieren, auch wenn es manchmal langweilig oder trocken wirkt.
Zudem gibt es auch Dinge, die wir nicht verstehen, weil Sie so komplex sind und es auch eine schnelllebige Branche ist, aber man darf dann auch ruhig einmal sagen “Ich verstehe es nicht“ ich muss andere um Rat oder Unterstützung fragen.
Und ein ganz wichtiger Punkt ist: Wir sind die Menschen, die auch den anderen das Bewusstsein für die Informationssicherheit vermitteln. Dabei sollten wir auch die Menschen im Blick haben die nicht das technische Know-How für die IT haben. Folglich sollten wir diesen auch nicht mit Deutschen oder sogar englischen Fachbegriffen etwas erklären. Sondern einfach und verständlich.
Herr D'Auria, vielen Dank für Ihre Zeit und die spannenden Einblicke!
Sehr gerne! Man könnte jetzt noch abschließend Dinge sagen wie zum Beispiel „Seien Sie wachsam“, oder „die Wasserver- und Entsorgung ist wichtig“, aber ich denke das wissen alle.
Mario D'Auria
Mario D'Auria ist seit Mai 2024 wieder bei der RheinEnergie AG als Informationssicherheitsmanagementbeauftragter tätig. Er verfügt über langjährige Erfahrung in der Wasserwirtschaft und hat in verschiedenen Unternehmen gearbeitet. Neben seiner Rolle als ISMB ist er Lead Auditor für ISO 27001. Sein Fokus liegt hierbei auf der Sensibilisierung der Mitarbeitenden, der Risikominimierung und der nachhaltigen Verbesserung der IT-Sicherheitsstrategie. Mit seiner praxisnahen Herangehensweise trägt er maßgeblich zur Stärkung der Sicherheitskultur bei RheinEnergie bei.
