RheinEnergie: Mehr Power für die IT-Sicherheit
Die RheinEnergie AG, integriertes Energie- und Wasserversorgungsunternehmen mit Sitz in Köln, stand vor der Herausforderung, ihre IT-Sicherheitsvorkehrungen zu erweitern und ein Security Operations Center (SOC) zu integrieren, ohne den gesamten Prozess vollständig auszulagern. In enger Zusammenarbeit mit Materna wurde ein individuelles Konzept entwickelt, das die Sicherheitsanforderungen des Unternehmens in Einklang mit den verfügbaren Ressourcen brachte.
Erfolgreiche Implementierung einer SIEM-Lösung
Die Bedeutung der IT-Sicherheit nimmt in Zeiten zunehmender Cyberbedrohungen immer weiter zu. Gerade für mittelständische Unternehmen, die sich in einem komplexen digitalen Umfeld bewegen, ist es unerlässlich, gezielte Sicherheitsstrategien zu verfolgen, die Bedrohungen rechtzeitig erkennen und abwehren. Die RheinEnergie hat erfolgreich eine SIEM-Lösung (Security Information and Event Management) implementiert, die sich als wegweisend für die Unternehmenssicherheit erwiesen hat. Ein SIEM nimmt automatisch generierte, systembezogene Berichte (Logs) auf, qualifiziert, korreliert und meldet die Einträge in den Logos, die bei der Sichtung auffällig waren. Die weiterführende Meldung kann eine Alarmierung oder eine Aufnahme als Sicherheitsvorfall bedeuten sowie in regelmäßigen Abständen als Report abgerufen oder versendet werden.
Ausgangslage und Entscheidung für die Lösung
Das Unternehmen betreut etwa 4.500 Arbeitsplätze im eigenen sowie bei Partnerunternehmen und verfügt über eine umfassende IT-Struktur, die regelmäßige Sicherheitsaktivitäten erfordert. Trotz der beachtlichen Größe war die Einführung eines eigenen SOCs nicht wirtschaftlich. Björn Friedrich, Leiter Operations & Service Integration bei der RheinEnergie, erinnert sich:
„Schon 2019 war klar, dass wir externe Unterstützung für die IT-Sicherheit benötigen werden. Die zentrale Frage lautete: Welche Bereiche können sinnvoll ausgelagert werden und welche sollten im eigenen Haus verbleiben?“
Nach einer sorgfältigen Analyse entschied sich das Unternehmen, den Bereich „Security Information and Event Management“ (SIEM) an einen Dienstleister zu übergeben. Dabei wurde nur der SIEM-Bereich abgegeben, während die tiefergehende Analyse und das Incident-Management weiterhin vom internen IT-Team betreut werden. Dadurch ist es möglich, Bedrohungen rund um die Uhr zu überwachen und Angriffe frühzeitig zu erkennen.
Auslagerung des SIEM-Betriebs
Die klare Definition der Zuständigkeiten stellt einen wesentlichen Erfolgsfaktor der neuen Lösung dar: Sobald ein Sicherheitsvorfall durch das SIEM-System auf Basis von Elastic vorqualifiziert wird, übernimmt das interne Netzwerk- und Security-Team des Unternehmens die tiefergehende Analyse. Die Kommunikation und Koordination läuft dabei über ein angebundenes Ticketsystem. Alle relevanten Tickets werden direkt bei Materna erzeugt und zur Bearbeitung an die Analysten im eigenen Security Operations Center (SOC) sowie an die Fachabteilung bei RheinEnergie übergeben. Diese Struktur sorgt für reibungslose Abläufe und schnelle Reaktionen. Bei Hochrisikofällen steht zudem ein Bereitschaftsmodell zur Verfügung, das eine 24/7-Betreuung ermöglicht. So behält das interne IT-Team die Kontrolle über das Ticketing-System und die zentrale CMDB (Configuration Management Database), während Materna als Dienstleister den reibungslosen Betrieb sicherstellt.
„Die zentralen Bestandteile geben wir nie aus der Hand“,
berichtet Friedrich.
„Wir haben ein spezielles Team, das sich um die Integration verschiedener Anbieter in einen konsolidierten Service kümmert. Das geschieht über ein sogenanntes SIAM-Framework (Service Integration and Management), was die Integration und auch spätere Reportings für uns sehr effizient und intelligent gestaltet.“
Zusammenarbeit auf Augenhöhe
Der Auswahlprozess für den passenden Dienstleister verlief durchdacht und detailliert. Das IT-Team hat Wert daraufgelegt, einen Partner zu finden, der nicht nur eine Standardlösung anbietet, sondern die spezifischen Anforderungen des Unternehmens versteht. Materna überzeugte durch eine flexible Herangehensweise, die genau auf die Bedürfnisse des Unternehmens zugeschnitten war.
„Das passte einfach gut zusammen“,
meint Friedrich.
„Materna hat sich auf eine Reise in ein Segment gemacht, was sie ausbauen möchte, während RheinEnergie sich auf die Reise gemacht hat, genau in dem Bereich Unterstützungsleistung zu bekommen.“
Das Besondere an dieser Ausschreibung war der partnerschaftliche Umgang von Anfang an. Zunächst ging es darum, die harten Kriterien zu erfüllen und sich in der Topklasse der Anbieter zu positionieren. Doch darüber hinaus entstand durch viele Gespräche und die Ausgestaltung der Lösung eine Art Entwicklungspartnerschaft. Beide Unternehmen konnten in das Projekt hineinwachsen, was die Zusammenarbeit so erfolgreich gemacht hat, wie sie heute ist.
„Die Zusammenarbeit mit RheinEnergie haben wir als Win-Win-Situation empfunden“,
sagt Torsten Kahlmann, Cyber Security-Experte bei Materna.
„Auf dieser partnerschaftlichen Basis konnten wir uns gemeinsam weiterentwickeln.“
Das konnte auch der Sicherheitsvorfall nicht trüben, der während des Projekts bei Materna stattfand. Überraschend war dabei, wie offen und transparent der Anbieter mit der Situation umging.
„Diese Kommunikation stärkte das Vertrauen in die Zusammenarbeit und bestätigte, dass wir den richtigen Partner gewählt haben“,
erzählt Friedrich. Solche Vorfälle sind besonders in sicherheitskritischen Projekten potenziell heikel, doch hier führte das professionelle Krisenmanagement zu einer gestärkten Beziehung zwischen beiden Unternehmen.
Erste Ergebnisse
Rund zehn Monate nach der Einführung der Lösung zeigen sich bereits deutliche Verbesserungen. Die Anzahl der Fehlalarme (False Positives) konnte erheblich reduziert werden, was auf die stetige Optimierung des Systems zurückzuführen ist. Das interne IT-Team kann sich nun auf die tiefergehende Analyse der vorqualifizierten Sicherheitsvorfälle konzentrieren, wobei monatlich etwa drei bis zehn ernsthafte Übergabepunkte entstehen. Ein weiterer positiver Effekt der Zusammenarbeit liegt in der proaktiven Bedrohungserkennung. Durch die kontinuierliche Überwachung des Netzwerks und die integrierte Analyse von Bedrohungsindikatoren konnte bereits mehrfach verhindert werden, dass Angriffe auf die IT-Infrastruktur durchdringen. Dies ist vor allem durch die Integration moderner SIEM-Technologien möglich, die übergreifende Angriffsvektoren und ungewöhnliche Aktivitäten, wie etwa verdächtiges Nutzerverhalten, erkennen können.
Die RheinEnergie ist grundsätzlich nach dem BSI-Standard 200-1 aufgestellt. Nach der Norm sind gewisse Informationen (Audits, Effektivitätsmessungen, Sicherheitsvorfälle) detailliert zu dokumentieren. Es müssen Maßnahmen sowie organisatorische Regelungen getroffen werden, um einen geeigneten Informationsfluss herzustellen. Diese Kommunikation und Dokumentation kann idealerweise durch ein SIEM unterstützt werden. Die Implementierung der SIEM-Lösung hat nicht nur die Sicherheitslage des Unternehmens verbessert, sondern auch die Reaktionsfähigkeit bei sicherheitsrelevanten Vorfällen erhöht. Durch die Kombination von technologischen Lösungen und menschlicher Expertise wird es möglich, Bedrohungen frühzeitig zu erkennen und Maßnahmen rechtzeitig zu ergreifen.
„Ich bin wirklich froh, dass wir dieses System jetzt haben und nicht erst in einer Notsituation feststellen müssen, dass wir es vielleicht doch besser früher implementiert hätten“,
resümiert Friedrich.
Fazit und Ausblick
Für die Zukunft sieht das Unternehmen Potenzial in der verstärkten Nutzung Künstlicher Intelligenz (KI) und maschinellen Lernens, um die Bedrohungserkennung weiter zu automatisieren. Langfristig wird jedoch der menschliche Faktor weiterhin eine entscheidende Rolle spielen, da auch KI-Modelle in dynamischen Sicherheitsumgebungen eine menschliche Kontrolle und Anpassung erfordern. Entscheidend bleibt, sowohl technologisch als auch organisatorisch gut aufgestellt zu sein und den Mitarbeitenden die notwendigen Werkzeuge und Schulungen an die Hand zu geben, um in Krisensituationen schnell und effizient reagieren zu können. Die RheinEnergie ist nun bestens gerüstet, um auf künftige Bedrohungen schnell und effektiv zu reagieren – und das mit einem optimalen Verhältnis von Kosten und Nutzen.
Diese erfolgreiche Umsetzung der Sicherheitsstrategie zeigt, dass eine Balance zwischen interner Expertise und externer Unterstützung entscheidend für den Schutz vor IT-Bedrohungen ist. Sie beweist, dass durch eine partnerschaftliche Zusammenarbeit mit einem qualifizierten Dienstleister auch in einem komplexen Umfeld wie der IT-Sicherheit maßgebliche Verbesserungen erreicht werden können.
Über die RheinEnergie AG
