CIO-Interview: «Wir sind vom Vertrauen der Bevölkerung abhängig»
Quelle: Kernkraftwerk Gösgen

CIO-Interview: «Wir sind vom Vertrauen der Bevölkerung abhängig»

Das Kernkraftwerk Gösgen (KKG) deckt rund 13 Prozent des Stromverbrauchs des Landes ab und ist damit hochrelevant für die hiesige Stromversorgung. Domenico Aversa, Leiter Informatik beim KKG, zu seinen Aufgaben und den speziellen Sicherheitsanforderungen in kritischen Infrastrukturen.

Artikel erschienen in Swiss IT Magazine 2023/11

     

"Swiss IT Magazine": Herr Aversa, Sie haben schon vor Ihrem Start als Leiter Informatik beim Kernkraftwerk Gösgen im Energiesektor – als Leiter IT Service Management und Operations bei Eniwa – gearbeitet. War der Schritt ins Kernkraftwerk nur der nächste logische Karriereschritt, oder haben Sie eine besondere Liebe zur Energiebranche oder zum KKG?
Domenico Aversa
: Meine letzte Stelle hat mir einen Einblick verschafft, welche Relevanz die IT für einen Energieversorger hat und wie wichtig sie für die Branche ist. Aber ich bin eben auch hier in der Region – in der Nähe von Olten – aufgewachsen. Das Kernkraftwerk war über all die Jahre allgegenwärtig und imposant für mich. Als sich die Chance ergeben hat, meine heutige Position zu übernehmen, war es für mich klar, dass ich hier Verantwortung übernehmen und mich einbringen will. Nicht zuletzt auch aufgrund meiner Faszination für die Energiebranche und das Kernkraftwerk selbst.

Wo ist Ihre Rolle im Unternehmen angesiedelt?
Unsere Organisation unterscheidet sich etwas von einer traditionellen Firmen­struktur. Ich rapportiere als Abteilungsleiter direkt an die operative Führung des Kraftwerks, den Kraftwerksleiter. Damit ist die IT gleichgestellt mit anderen Abteilungen wie der Maschinentechnik, Elektrotechnik oder Sicherheit. In meiner Rolle bin ich in diesem Sinn ein Unikat in der Schweizer Kernkraftwerkslandschaft. In den anderen Anlagen ist die IT in der Regel ein Ressort unter der Elektrotechnik.


Und welche Aufgabenbereiche übernehmen Sie heute in dieser Rolle?
Unsere Informatik ist in drei Ressorts unterteilt. Erstens die IT-Infrastruktur, hier geht es etwa um die Basis-Services wie die Hardware, den Virtualisierungs-­Layer, die Betriebssysteme und das Netzwerk. Zweitens die Betriebsinformatik – bei anderen Unternehmen heisst das meist Application- und Projektmanagement –, dort betreiben und managen wir unsere Hauptapplikationen und leiten gemeinsam mit anderen Fachabteilungen die IT-Projekte. Das dritte Ressort ist die Prozessinformatik, sprich alles, was nahe an der OT-Welt ist, etwa Teile der Anlagensicherung wie die Videoüberwachung und die Zutrittskon­trolle. In letzterem ist auch das Prozessdateninformationssystem angesiedelt, welches viele Daten aus der Anlage erfasst und in geeigneter Form anzeigt oder überwacht. Zudem betreiben wir ­einen Anlagensimulator – also eine virtuelle Abbildung dieser gesamten Anlage inklusive einer physischen Replika unseres Kommandoraums.

Wie kann man sich das vorstellen? Wird hier 24/7 der gesamte Betrieb der Anlage gespiegelt und mitsimuliert?
Nein, dort werden vor allem die Operateure für den Betrieb ausgebildet. Man kann etwa spezifische kritische Zustände simulieren und an einem beliebigen Punkt das Training starten. Beispielsweise kann man simulieren, dass eine Pumpe ausgefallen ist und sowohl der Schichtleiter wie auch die Operateure lernen dann, entsprechend zu reagieren. Die Ausbilder sind aber keine Informatiker – die IT ist nur für den Betrieb des Simulators verantwortlich. Ich habe im Kommandoraum selbst mal ein ein­wöchiges Praktikum absolviert, um zu verstehen, wie die Leute dort genau arbeiten.


Domenico Aversa
Domenico Aversa (39) ist seit August 2022 beim Kernkraftwerk Gösgen als Leiter Informatik engagiert. Seinen Hintergrund hat er in der IT als System Engineer und bringt damit knapp 20 Jahre Erfahrung aus der Schweizer IT-Branche mit. Karrierestationen waren unter anderem MTF Data, wo er auf Seite eines IT-Dienstleisters arbeitete, wie auch Amag und der Energiedienstleister Eniwa, wo er Erfahrungen in der Unternehmens-IT als auch in der Energiebranche sammeln konnte. Aufgewachsen im Kanton Solothurn war das Kernkraftwerk Gösgen für ihn stets allgegenwärtig und die perfekte Herausforderung für den IT-Spezialisten. Aversa verfügt über einen Master of Advanced Studies in Information System Management und mehrere CAS-Abschlüsse der FHNW.
Wir gross sind die Teams in Ihren drei IT-Ressorts?
Total sind es 33 Personen. Das Infrastruktur-Team ist am grössten, weil hier das breiteste Spektrum abgedeckt werden muss – das sind dreizehn Personen. In der Betriebsinformatik sind es zehn und in der Prozessinformatik neun. Es gibt aber auch noch eine IT-Assistenz, welche bei den administrativen und organisatorischen Aufgaben die Führungskräfte in der IT unterstützt.

Sie haben vorhin auch OT und Sensorik angesprochen. Betreiben Sie in der IT auch die ganze OT?
Nein. Die Informatik ist nicht zuständig für die Leittechniksysteme. Alles, was mit der Steuerung und Regelung der Anlage zu tun hat, ist bei der Elektrotechnik angesiedelt.


Dann überschneiden sich die beiden Fachbereiche offenbar ein bisschen und ich mutmasse mal, dass sich das in der Sicherheit ähnlich verhält. ­Wo ist denn Ihre Cybersecurity angesiedelt?
Diese ist im Ressort IT-Infrastruktur untergebracht. Das Team kümmert sich nicht nur um die Infrastruktur, sondern überwacht auch die Applikationen und unseren Footprint in Richtung Internet. Aber ja, das geht selbstverständlich über die Abteilungen hinaus – auch in die erwähnte Elektrotechnik.

Wie findet dieser Austausch statt?
Es gibt Gremien, die sich regelmässig austauschen und bei Implementationen zusammenarbeiten. Wir müssen jedes Mal, wenn wir ein System in Betrieb nehmen, eine Schutzbedarfs- und Bedrohungsanalyse zuhanden des Eidgenössischen Nuklearsicherheitsinspektorats (ENSI) erstellen. Hier wird etwa dokumentiert, wie man auf allfällige Bedrohungsszenarien reagieren würde, respektive sicherstellt, dass kein solches entsteht. Das geschieht immer Hand in Hand mit unserem IT-Sicherheitsbeauftragten und Datenschutzberater, der über alle Abteilungen hinweg mitarbeitet.


Die IT ist in der Geschäftswelt ja heute in fast allen Fachbereichen sehr relevant. In Ihrem Fall müssen Sie aber schon sehr stark interdisziplinär zusammenarbeiten, wie es mir scheint. Etwa am Beispiel Social Engineering: Das ist in einem Kernkraftwerk im Hinblick auf den potenziellen Schaden sowohl in der IT-Security als auch beim Sicherheitspersonal aussergewöhnlich wichtig.
Es gibt hier im Kernkraftwerk jährlich einen Sicherheitstag, der für alle Mitarbeitenden und in Zukunft auch für externe Fachleute eine obligatorische Veranstaltung ist. Im Rahmen dessen gibt es Sicherheitsschulungen über alle Facetten der ­Sicherheit hinweg. Zum Beispiel werden Chemiesicherheit, Zugangssicherheit, Strah­lenschutz, Gesundheitsschutz, wie auch IT-Sicherheit vermittelt. Letzteres beinhaltet auch Wissen zu Methoden von Social Engineering. Wir sind sehr darauf bedacht, die Awareness bei allen Mitarbeitern hoch zu halten. Denn wir sind vom Vertrauen der Bevölkerung abhängig. Das ist enorm wichtig für uns. Wichtig zu sagen ist dabei noch eines: Alles, was mit dem Betrieb der Anlage zu tun hat, ist über unsere klassische IT, die sogenannte Büroinformatik, nicht erreichbar.

Hier gibt es also eine harte Trennung?
Absolut, ja. Ein Vorfall in der IT-Security wäre kein gutes Zeichen nach aussen.


Wie sieht Ihre IT-Umgebung aus? Wie viele Clients, Server und Sensoren betreiben Sie im KKG?
Über Zahlen zur Sensorik, Sicherung und dem Prozessdateninformationssystem sprechen wir aus Sicherheitsgründen nicht.

Verständlich und wohl auch besser so.
Unsere Büroinformatik besteht derweil aus 40 Inhouse-Servern, 210 VMs, 320 Desktop-Clients, 380 Notebooks und 400 Smartphones, dazu kommt die Netzwerkinfrastruktur. Wir zählen aber nur 600 Mitarbeiter – es gibt also einige, die mehrere Rechner haben. Einige Leute in der Sicherheit haben sogar drei Rechner.

Warum denn das?
Das hat den Hintergrund, dass sie sehr komplexe Berechnungen machen – etwa Simulationen, wie sich ein Feuer innerhalb eines Raumes ausbreiten würde. Diese Berechnungen können sehr lange dauern, daher haben diese Leute starke PCs, die wir dann tagelang rechnen lassen. Ihre nächste Frage wird nun sein, warum wir das nicht in der Cloud machen, wo man doch beliebig skalieren könnte… (lacht)

…wer sich ein bisschen mit IT-Security auskennt, weiss die Antwort wohl schon.
Ja – die einfache Antwort ist natürlich, dass wir diese Daten auf keinen Fall in der Cloud haben wollen.


Und darum betreiben Sie auch noch das ganze erwähnte Server-Blech, was für die meisten IT-Abteilungen kaum mehr zeitgemäss wäre.
Genau. Aber der Aufwand hat bei uns seine Berechtigung. Wir müssen für das ENSI beispielsweise einmal jährlich einen Inselbetriebsfähigkeitstest durchführen, welcher neben dem Anlagenbetrieb auch die Informatikmittel betrifft, die für den Betrieb gebraucht werden. Das sind Systeme, die beispielsweise auch laufen müssten, wenn der Strom von aussen abgeschaltet wäre, wir auf Eigenbedarf umschalten müssten und wir keinen Zugang zum Internet mehr hätten. Das ist mitunter ein Grund, warum wir hier nicht auf Cloud-Produkte setzen.

Und wie Sie erwähnt haben, ist ein Teil Ihrer Server komplett von der Aussenwelt abgeschnitten?
Richtig.


Damit ist nur der Teil der Server-Infrastruktur, die Sie für den Bürobetrieb brauchen, gegen aus­sen offen?
Für diese nutzen wir eine kommerziell erwerbliche Web-Isolation-Proxy-­Lösung, die gerade im Bereich kritische Infrastrukturen des Öfteren international in Gebrauch ist, und arbeiten mit externen IT-Security-Unternehmen zusammen. Zusätzlich geben wir regelmässig Penetration Tests und Bug Bounties in Auftrag.

Sie sagen, dass die IT der Anlage komplett von der Aussenwelt abgeschnitten ist. Können Sie einen Hacker-Angriff damit wirklich ausschliessen oder ist die Antwort nach absoluter Sicherheit eher ein «Jein»?
Falls Ihnen irgendjemand einmal gesagt hat, dass es in der IT-Security hundertprozentige Sicherheit gibt, hat er gelogen. (lacht) Was ich aber sagen kann: Alle Steuerungen, die für den Anlagenbetrieb laufen, arbeiten entweder in einem isolierten Netzwerk, oder ganz ohne Netzwerkkabel. Aber einmal pro Jahr wird eine Revision gemacht. Da machen unsere eigenen Leute mit, aber beispielsweise auch externes Personal der Hersteller. Diese führen Wartungen aus, welche allerdings nur mit dedizierten Servicegeräten durchgeführt werden, welche bei uns unter Verschluss gelagert werden. Fremdgeräte, welche bei uns auf das Sicherungsareal gebracht werden, werden registriert und entsprechend gekennzeichnet mittels einer nummerierten Markierungsplakette.


Sie markieren und inventarisieren jedes Gerät aller Personen, die für die Revision kommen?
So gut als möglich. Sie müssen sich den Aufwand mal vorstellen: In dieser Zeit kommen zu den 600 Angestellten nochmal zusätzliche 1000 externe Fachleute.

Was für ein Menschenauflauf. Was machen denn 1000 zusätzliche Menschen auf dem Gelände?
Das ist so, damit die Revision möglichst schnell vonstattengeht. Aber viele von ihnen bringen natürlich keine IT-Gerätschaften mit, sondern sind zum Beispiel in der Reinigung, im Strahlenschutz oder für den Gerüstbau hier tätig.


Wir können aber beruhigt festhalten: IT und OT sind so gut wie es nur geht voneinander getrennt.
Richtig.

Haben Sie Erfahrung oder Einblicke in die IT anderer kritischer Infrastrukturen? Falls ja – registrieren Sie tragende Unterschiede zwischen denen und Ihrem Kernkraftwerk?
Meine letzte Arbeitsstelle hat mir bereits Einblicke in andere Stromversorgungsanlagen verschafft – konkret war es da ein Wasserkraftwerk. Entsprechend hatte diese IT-Strategie einen anderen Fokus.

Mit einer zeitgemässen IT-Security haben Sie vermutlich massenhaft Daten zur Security – hatten Sie schon einmal einen Cyber-Vorfall?
In meiner Zeit nicht und ich weiss auch von der Zeit vor meinem Start von keinem Vorfall oder Angriffsversuch. Aber wir machen natürlich auch in der IT Notfallübungen, falls so etwas passieren sollte, und bauen die IT-Sicherheit ständig aus. Und wie bereits erwähnt: Unser Footprint in Richtung Internet ist sehr schmal, mit einer DMZ isoliert und extra abgesichert. Und je kleiner der Footprint bleibt, desto einfacher ist es natürlich, die verbleibenden Elemente gut zu schützen.

Lassen Sie uns zum Schluss noch auf die Digitalisierung im KKG eingehen. Was waren und sind die wichtigsten Schritte in der Weiterentwicklung der IT des Kernkraftwerks?
Da ich erst seit August 2022 hier arbeite, kann ich über die Vergangenheit nicht allzu viel sagen. Aber ich kann gerne einen Ausblick geben. Als die Anlage 1979 in Betrieb ging, war enorm viel analog. Vor allem in der «kontrollierten Zone», sprich in der Sicherheitshülle um den Reaktor herum, wird bis heute noch viel Papier genutzt. Beispielsweise die Reports der täglichen Inspektionen, die dann wieder ins digitale System eingepflegt werden.

Das würde schneller gehen, wenn man es auf einem Tablet machen könnte.
Und es wäre in Echtzeit einsehbar.


Die Fehleranfälligkeit sinkt ebenfalls mit einer digitalen Lösung.
Exakt – sowohl beim Übertragen als auch schlicht die Leserlichkeit der Dokumente betreffend. Ein solches Projekt geht natürlich auch in die Konnektivität, denn heute hat man innerhalb der Anlage überhaupt keinen Empfang mit mobilen Geräten. Man müsste also ein WLAN einrichten, dafür sind wir gerade in der Planung eines Proof of Concept. Hierfür arbeiten wir einmal mehr sehr eng mit dem Regulator zusammen und klären gerade, ob wir das in dieser Form umsetzen dürfen. Wir erhoffen uns weniger Medienbrüche, schlankere Prozesse und mehr Effizienz.

…und mehr Sicherheit dank weniger Fehlern. Da sind Sie gerade in der Konzeptphase?
Ja, da arbeiten wir ebenfalls sehr interdisziplinär mit der Elektrotechnik und dem Betrieb. Denn die nutzen das System letztlich. Aktuell suchen wir einen guten Standort in der Anlage, wo eine gewisse Verkabelung bereits vorhanden ist.

Gibt es weitere aktuelle Digitalisierungsprojekte?
Ein weiteres hat mit Dokumentenmanagement zu tun. Viele Dokumente aus der Bauzeit der Anlage sind nur auf Papier vorhanden und enthalten gar handschriftliche Notizen. Aktuell wird das alles gescannt – das ist nicht so spannend. Spannend ist aber, die Metadaten aus diesen Dokumenten auslesen zu können und nutzbar zu machen. Das Komplizierte dabei ist, dass die Dokumente sehr unterschiedlich sind und wir daher versuchen wollen, diese mithilfe von KI zu kategorisieren und ins Dokumentenmanagement-System einzupflegen. Und da sind wir wieder: KI braucht Rechenpower und das können wir nicht in der Cloud machen (lacht).

Das heisst: Noch mehr Blech!
Ja, noch mehr Blech. Wir haben kurz leer geschluckt, als wir die Anforderungen des Herstellers gesehen haben. Hier starten wir ebenfalls mit einem Proof of Concept.

Und was bringt die Zukunft für die KKG-IT?
Mein Ziel ist es, die Digitalisierung weiter voranzutreiben und mitzuprägen. Natürlich unter Berücksichtigung der Auflagen und Normen. Und entgegen dem weit verbreiteten Glauben vieler: Digitalisierung geht auch, ohne alles in die Cloud zu stellen.

Zum Unternehmen

Das Kernkraftwerk Gösgen (KKG) liegt zwischen Olten und Aarau in der Nähe grosser Verbraucherschwerpunkte des nördlichen Mittellandes. Das KKG erzeugt mit seinen rund 600 Mitarbeiterinnen und Mitarbeitern pro Jahr rund acht Milliarden Kilowattstunden Strom und deckt damit etwa 13 Prozent des schweizerischen Stromverbrauchs. Nach fünf Jahren Bauzeit nahm es 1979 den Betrieb auf und hat seit da mehrere Modernisierungsprojekte zur weiteren Erhöhung der Sicherheit durchlaufen. Die Aktionäre des Kraftwerks sind Alpiq (Geschäftsleitung), Axpo Power, die Stadt Zürich, die Centralschweizerischen Kraftwerke (CKW) sowie Energie Wasser Bern (EWB).


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER