KRITIS-Prüfung mit dem Fokus Tankstellennetz:

Ziele:

KRITIS-Nachweispflichten prüfen, Ergebnisbericht und BSI-Dokumente erstellen

Die Westfalen AG betreibt mehrere Tankstellen, welche hauptsächlich in den Bundesländern Nordrhein-Westfalen und Niedersachsen lokalisiert sind.

Die von HiSolutions durchgeführte Prüfung sollte die Westfalen AG befähigen, den gesetzlichen Nachweispflichten eines KRITIS-Betreibers (BSIG § 8a Abs. 3) nachzukommen.

Auf Basis der Untersuchungs­ergebnisse sollten ein Ergebnisbericht sowie die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geforderten Nachweisdokumente erstellt werden.

Herausforderungen:

Geografische Verteilung der Tankstellen, heterogenes Prüfungsumfeld durch Dienstleister

Im Rahmen der Prüfung der Tank­stelleninfrastruktur und -prozesse ergeben sich diverse Heraus­forderungen.

Die geografische Verteilung der Tankstellen erschwerte die Prüfung erheblich.

Da viele Standorte primär von Dienstleistern unterstützt werden, gestaltete sich die Informationsbeschaffung und Abstimmung mit den verantwortlichen Parteien oft als Herausforderung. Unterschiedliche interne Prozesse und Qualitätsstandards der Dienstleister führten zu einem heterogenen Prüfungsumfeld.

Die Tatsache, dass viele Tankstellen an unterschiedliche Pächter vergeben sind, führte zu variierenden Betriebsstrukturen. Dies erschwerte es, einheitliche Prüfkriterien anzuwenden, da jeder Pächter individuelle organisatorische und betriebliche Besonderheiten aufwies.

Umsetzung:

Dokumentenprüfung, Interviews, Begehungen, Zweistufiger Prüfplan für effiziente Breitenprüfung

Die Prüfung des Tankstellennetzes bestand aus einer Dokumenten­prüfung, Interviews mit den Verant­wortlichen und Begehungen der Tankstellen und Rechenzentren vor Ort.

Schwerpunkte der Prüfung waren insbesondere die folgenden Themen:

• Zugangsmanagement
• Fernwartung
• Rechenzentrumsbetrieb und Kapazitätsmanagement
• Notfall- und Krisenmanagement (BCM)
• sichere Infrastruktur (Redundanz, Verkabelung, unterbrechungsfreie Stromversorgung etc.)
• technische und organisatorische Risiken
• vorsätzlich herbeigeführte Risiken
• Dokumentation und Regelungen

Im HiSolutions-Team mit Branchenexperten erstellten die Auditoren einen tragfähigen, klassisch zweistufigen Prüfplan.

Der Prüfplan ermöglichte eine effiziente und effektive Breitenprüfung und stellte zugleich eine repräsentative Wahl und Inaugenscheinnahme der Stichproben sicher.

Ergebnis:

Konstruktive Zusammenarbeit, hohe Transparenz, Fristgerecht Erfüllung der Nachweispflichten

Die konstruktive Zusammenarbeit mit den Verantwortlichen der Westfalen AG ermöglichte einen reibungslosen Prüfungsverlauf. Der Prüfansatz von HiSolutions sorgte für eine offene Gesprächskultur und eine hohe Transparenz der Gegebenheiten.

Die Prüfziele wurden durchweg erreicht. Sowohl der Prüfbericht als auch die durch das BSI geforderten Nachweisdokumente konnten wie vereinbart erstellt und übergeben werden.

Nach einer Verifikation der Prüfergebnisse konnte die Westfalen AG einen tragfähigen Umsetzungsplan ableiten und mit der Einsendung an das BSI ihren Nachweispflichten fristgerecht nachkommen.

Das sagt Unser Kunde:

„Wir haben HiSolutions für das Regelaudit gewählt und damit die richtige Entscheidung getroffen.

Da wir 2021 Opfer eines Ransomware-Angriffs geworden waren, war es wichtig, einen breit aufgestellten Dienstleister zu finden, der auch den Blick über den Tellerrand nicht scheut und uns somit ganzheitlich betreuen kann.

Die bei HiSolutions vorhandenen tiefen Fachkenntnisse über die bei uns eingesetzten Systeme und die starke Vernetzung innerhalb der Branche haben aus dem Projekt eine durchweg gewinnbringende und lehrreiche Zeit für uns werden lassen.

Mit HiSolutions macht Audit Spaß!“

Andreas Eckey; Informationssicherheitsbeauftragter, Westfalen AG, Münster

Über die Westfalen AG

Familiär und international.

Als Familienunternehmen mit 100-jähriger Geschichte ist die Westfalen-Gruppe mittlerweile europaweit an zahlreichen Standorten vertreten und unterstützt Kunden dabei, nachhaltiger zu werden. Zu den Geschäftsfeldern von Westfalen zählen Industrial Gases & Services, Energy Solutions und Mobility. Gleichzeitig stellen Wasserstoff und respiratorische Heimtherapie Wachstumsbereiche dar, die das Unternehmen mit Hauptsitz in Münster perspektivisch weiter ausbauen möchte.