IT und Automatisierung
Cyberrisiken in der Ernährungsindustrie
Maßnahmen für mehr IT-Sicherheit in der Branche
-
Abb.: Zwei von drei Lebensmittelherstellern setzen heute Technologien wie Cloud-Computing oder Roboter in der Produktion ein. © Feodora - stoc -
Stefanie Sabet, BVE-Geschäftsfüherin | © BVE-Fotograf Christoph Assmann, Berlin
Mit der zunehmenden Digitalisierung nehmen auch Cyberattacken auf die Ernährungsindustrie zu. Die IT-Sicherheitslage in Deutschland ist angespannt. Große Lebensmittelhersteller sind gesetzlich verpflichtet, Maßnahmen für mehr IT-Sicherheit zu ergreifen, aber auch alle anderen sind gut beraten, wenn sie dies tun. Ein guter Zugang zu aktuellen Informationen und Lösungskonzepten, sowie ein Branchenstandard für mehr IT-Sicherheit haben sich bewährt.
Die IT-Sicherheitslage in der Ernährungsindustrie muss stärker in den Fokus rücken. Der internationale Wettbewerbsdruck und die Verbraucheranforderungen an Lebensmittel steigen, die Ernährungsindustrie muss Produkte und Prozesse in immer kürzeren Zyklen optimieren und Kosten senken. Digitale Lösungen für die Ernährungsindustrie setzen bei genau diesen Bedarfen von Verbrauchern und Unternehmen an. Zwei von drei Lebensmittelherstellern setzen heute Technologien wie Cloud-Computing oder Roboter in der Produktion ein, Big Data, das Internet der Dinge, Smart Services, Künstliche Intelligenz und Blockchain sind auf dem Vormarsch [1].
Auch die Arbeitswelt verlagert sich zunehmend in den digitalen Raum, gerade die Corona-Pandemie hat dem mobilen Arbeiten dynamischen Vorschub geleistet und der regelmäßige Remote-Zugang in das Unternehmen ist für mehr Beschäftigte Alltag geworden [2]. Dass der Einsatz digitaler Technologien im Unternehmen viele Vorteile bietet ist unstrittig, dass damit Risiken verbunden sind auch. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht jährlich einen Lagebericht zur IT-Sicherheit in Deutschland. Demzufolge wurden für den Berichtszeitraum 2020 117,4 Millionen neue Schadprogramm-Varianten festgestellt, durchschnittlich 322.000 pro Tag. Damit hat sich das Aufkommen von Schadprogramm-Varianten um mehr als 3 Millionen im Vergleich zum Vorjahr gesteigert. Auch der Diebstahl und Missbrauch von Identitätsdaten nimmt zu [3].
Fast jeder vierte mittelständische Lebensmittelhersteller (23 %) hat bereits eine erfolgreiche Cyberattacke erlebt, 6 % waren schon mehrfach betroffen. Nach einem erfolgreichen Angriff stand die Hälfte der Betriebe zeitweise sogar still. Weitere finanzielle Schäden entstanden durch den hohen Aufwand, mit dem Angriffe analysiert und entwendete oder gesperrte Daten wiederhergestellt werden mussten [4]. Im schlimmsten Fall werden die Produktionsausfälle bspw. durch leere Regale im Supermarkt für den Verbraucher sichtbar und die mediale Aufmerksamkeit ist groß. So geschehen 2017, als ein Angriff der „Petya“-Erpressersoftware das Werk eines bekannten Schokoladenherstellers eine Woche stillstehen ließ [5].
Maßnahmen für mehr IT-Sicherheit
Lebensmittel- und Getränkehersteller sind herausgefordert, ihre informationstechnischen Systeme, Komponenten und Prozesse vor Ausfall und Manipulation zu schützen. Die Branche gehört zum Sektor Ernährung, welche als kritische Infrastruktur (Kritis) durch den Gesetzgeber definiert und mit dem „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (BSI-Gesetz) geschützt ist.
Als Kritische Infrastrukturen gelten Anlagen, deren Ausfall kritische Versorgungsengpässe mit sich bringen würden. Die BSI-Kritis-Verordnung legt fest, welche Einrichtungen im Sektor Ernährung als kritische Infrastruktur im Sinne des BSI-Gesetzes gelten und damit gegenüber dem BSI seit dem 3. Mai 2018 meldepflichtig und zum Nachweis des aktuellen Standes der Technik verpflichtet sind. In der Ernährungsindustrie sind Anlagen betroffen, die einen Schwellenwert von 434.500 t Speisen oder 350 Mio. l Getränke im Jahr erreichen oder überschreiten (vgl. BSI-KritisV). Darüber hinaus empfiehlt das BSI auch Lebensmittel- und Getränkeherstellern, die nicht oder noch nicht unter die BSI-KritisV fallen, sich dringend mit dem Thema IT-Sicherheit auseinanderzusetzen und geeignete Maßnahmen zum Schutz ihrer IT-Infrastruktur zu ergreifen.
Eine mögliche Maßnahme für eine bessere Vernetzung und mehr Wissen rund um das Thema IT-Sicherheit ist die kostenlose Mitgliedschaft in der öffentlich-privaten Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen – dem UP Kritis. Die Plattform UP Kritis wurde aufgebaut, um die im „Nationalen Plan zum Schutz der Informationsinfrastrukturen“ von der Bundesregierung festgelegten Ziele „Prävention, Reaktion und Nachhaltigkeit“ mittels konkreter Maßnahmen und Empfehlungen für den Bereich der Kritischen Infrastrukturen auszugestalten. Ziel der UP Kritis ist es, die Versorgung mit kritischen Infrastrukturdienstleistungen, darunter auch die Versorgung mit Lebensmitteln vor IT-Sicherheitsvorfällen zu schützen. Die am UP Kritis beteiligten Organisationen arbeiten auf Basis gegenseitigen Vertrauens zusammen und tauschen Erfahrungen und Lösungskonzepte aus. Auch die Ernährungsindustrie ist im UP Kritis mit einem eigenen Branchenarbeitskreis aktiv und arbeitet an branchenspezifischen Lösungen für mehr IT-Sicherheit. Hier sind nicht nur Betreiber Kritischer Infrastrukturen verankert, sondern auch Unternehmen, welche die relevanten Schwellenwerte noch nicht erreicht haben.
Allen Unternehmen steht die Allianz für Cybersicherheit offen. Sie erhalten aktuelle Cyber-Sicherheitswarnungen des BSI mit zahlreichen technischen Indikatoren und profitieren vom Know-how des BSI und allen anderen Teilnehmern. Schließlich hat die Definition als kritische Infrastruktur sowie die Melde- und Nachweispflicht für einige große Anlagen in der Ernährungsindustrie die Standardisierung bei der Prävention und im Umgang mit IT-Sicherheitsvorfällen vorangetrieben und verbessert. So hat der UP Kritis Branchenarbeitskreis Ernährungsindustrie einen spezifischen Sicherheitsstandard für die Ernährungsindustrie (b3s) erarbeitet, dem in seiner mittlerweile zweiten aktualisierten Fassung (2.0) das BSI die Eignungsfeststellung ausgesprochen hat. Demnach ist der b3s 2.0 zur Gewährleistung der Anforderungen nach § 8 a Absatz 1 BSIG geeignet. Der b3s 2.0 kann von allen Unternehmen der Ernährungsindustrie angewendet werden. Der Branchenarbeitskreis Ernährungsindustrie evaluiert den b3s 2.0 fortlaufend und führt aller zwei Jahre die gesetzlich vorgeschriebene Aktualisierung nach dem aktuellen Stand der Technik durch.
Der b3s für die Ernährungsindustrie kann von allen Lebensmittelherstellern über den Branchendachverband Bundesvereinigung der Deutschen Ernährungsindustrie – BVE erworben werden. Die Anwendung des b3s in der Branche hat zur Verbesserung der IT-Sicherheit beigetragen. In seinem jährlichen Lagebericht wertet das BSI auch die Nachweisführungen der Betreiber kritischer Infrastrukturen sowie deren Vorfallsmeldungen aus. Im Berichtszeitraum 2020 wurden 419 kritische Vorfälle dem BSI von den Betreibern kritischer Infrastrukturen gemeldet, neun davon stammen aus dem Sektor Ernährung. Insgesamt stellte das BSI in seinem Lagebericht fest, dass die Betreiber in der Lebensmittelproduktion „technisch gut aufgestellt“ sind: „Die erkennbaren organisatorischen Mängel wie Schwächen in Prozessen, Richtlinien oder Zuständigkeiten sind in neu eingeführten Managementsystemen begründet. Eine besondere Herausforderung ist die Absicherung industrieller IT-Komponenten. Die Branche benötigt zudem Konzepte, um Notfallpläne auch im 24/7-Schichtbetrieb ohne größere Schwierigkeiten umsetzen zu können.“ [6]
Die Politik ist EU-weit gefordert
Wenngleich Deutschland mit seinem gesetzlichen Rahmen bereits zur Verbesserung der IT-Sicherheitsmaßnahmen in der Ernährungsindustrie beigetragen hat, so fehlt jedoch nach wie vor ein EU-weit harmonisierter Ansatz in der Bekämpfung von Cyberrisiken. Viele der von der BSI-KritisV betroffenen Unternehmen der Ernährungsindustrie sind auch in anderen EU-Ländern mit Lieferungen oder Standorten aktiv. Insofern muss sichergestellt werden, dass das Engagement der Unternehmen im Rahmen der Umsetzung der nationalen Regelungen nicht unterlaufen wird und nicht auf europäischer Ebene weitere Zertifizierungs- oder Meldepflichten für die Anwender von IT-Lösungen und Anlagen mit integrierter IT eingeführt werden. Vielmehr muss über eine Anerkennung von bestehenden Lösungskonzepten gesprochen werden. Der Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union und zur Aufhebung der Richtlinie (EU) 2016/1148, EU-Dok. COM (2020) 823 final (sog. „NIS-Richtlinie 2.0“) kann hier der richtige Rahmen sein, dies endlich EU-weit zu lösen und die Netz- und Informationssicherheit im EU-Binnenmarkt zu stärken und zu harmonisieren.
____________________________________________________________________________________________ Literatur [1] „Ernährung 4.0 – Status Quo, Chancen und Herausforderungen“, Bitkom und BVE, 2019 [2] “HR Trends 2020 in der Food and Consumption Value Chain”, AFC und ANG, 2021 [3] Die Lage der IT-Sicherheit in Deutschland 2020, BSI, 2021 [4] „Cyberrisiken in der Lebensmittelindustrie“, Forsa-Umfrage im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV), 2020 [5] „Milka-Fabrik steht seit einer Woche still“ – tagesspiegel.de, 3.7.2017 [6] Die Lage der IT-Sicherheit in Deutschland 2020, BSI, 2021
Die IT-Sicherheitslage in der Ernährungsindustrie muss stärker in den Fokus rücken. Der internationale Wettbewerbsdruck und die Verbraucheranforderungen an Lebensmittel steigen, die Ernährungsindustrie muss Produkte und Prozesse in immer kürzeren Zyklen optimieren und Kosten senken. Digitale Lösungen für die Ernährungsindustrie setzen bei genau diesen Bedarfen von Verbrauchern und Unternehmen an. Zwei von drei Lebensmittelherstellern setzen heute Technologien wie Cloud-Computing oder Roboter in der Produktion ein, Big Data, das Internet der Dinge, Smart Services, Künstliche Intelligenz und Blockchain sind auf dem Vormarsch [1].
Auch die Arbeitswelt verlagert sich zunehmend in den digitalen Raum, gerade die Corona-Pandemie hat dem mobilen Arbeiten dynamischen Vorschub geleistet und der regelmäßige Remote-Zugang in das Unternehmen ist für mehr Beschäftigte Alltag geworden [2]. Dass der Einsatz digitaler Technologien im Unternehmen viele Vorteile bietet ist unstrittig, dass damit Risiken verbunden sind auch. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht jährlich einen Lagebericht zur IT-Sicherheit in Deutschland. Demzufolge wurden für den Berichtszeitraum 2020 117,4 Millionen neue Schadprogramm-Varianten festgestellt, durchschnittlich 322.000 pro Tag. Damit hat sich das Aufkommen von Schadprogramm-Varianten um mehr als 3 Millionen im Vergleich zum Vorjahr gesteigert. Auch der Diebstahl und Missbrauch von Identitätsdaten nimmt zu [3].
Fast jeder vierte mittelständische Lebensmittelhersteller (23 %) hat bereits eine erfolgreiche Cyberattacke erlebt, 6 % waren schon mehrfach betroffen. Nach einem erfolgreichen Angriff stand die Hälfte der Betriebe zeitweise sogar still. Weitere finanzielle Schäden entstanden durch den hohen Aufwand, mit dem Angriffe analysiert und entwendete oder gesperrte Daten wiederhergestellt werden mussten [4]. Im schlimmsten Fall werden die Produktionsausfälle bspw. durch leere Regale im Supermarkt für den Verbraucher sichtbar und die mediale Aufmerksamkeit ist groß. So geschehen 2017, als ein Angriff der „Petya“-Erpressersoftware das Werk eines bekannten Schokoladenherstellers eine Woche stillstehen ließ [5].
Maßnahmen für mehr IT-Sicherheit
Lebensmittel- und Getränkehersteller sind herausgefordert, ihre informationstechnischen Systeme, Komponenten und Prozesse vor Ausfall und Manipulation zu schützen. Die Branche gehört zum Sektor Ernährung, welche als kritische Infrastruktur (Kritis) durch den Gesetzgeber definiert und mit dem „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (BSI-Gesetz) geschützt ist.
Als Kritische Infrastrukturen gelten Anlagen, deren Ausfall kritische Versorgungsengpässe mit sich bringen würden. Die BSI-Kritis-Verordnung legt fest, welche Einrichtungen im Sektor Ernährung als kritische Infrastruktur im Sinne des BSI-Gesetzes gelten und damit gegenüber dem BSI seit dem 3. Mai 2018 meldepflichtig und zum Nachweis des aktuellen Standes der Technik verpflichtet sind. In der Ernährungsindustrie sind Anlagen betroffen, die einen Schwellenwert von 434.500 t Speisen oder 350 Mio. l Getränke im Jahr erreichen oder überschreiten (vgl. BSI-KritisV). Darüber hinaus empfiehlt das BSI auch Lebensmittel- und Getränkeherstellern, die nicht oder noch nicht unter die BSI-KritisV fallen, sich dringend mit dem Thema IT-Sicherheit auseinanderzusetzen und geeignete Maßnahmen zum Schutz ihrer IT-Infrastruktur zu ergreifen.
Eine mögliche Maßnahme für eine bessere Vernetzung und mehr Wissen rund um das Thema IT-Sicherheit ist die kostenlose Mitgliedschaft in der öffentlich-privaten Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen – dem UP Kritis. Die Plattform UP Kritis wurde aufgebaut, um die im „Nationalen Plan zum Schutz der Informationsinfrastrukturen“ von der Bundesregierung festgelegten Ziele „Prävention, Reaktion und Nachhaltigkeit“ mittels konkreter Maßnahmen und Empfehlungen für den Bereich der Kritischen Infrastrukturen auszugestalten. Ziel der UP Kritis ist es, die Versorgung mit kritischen Infrastrukturdienstleistungen, darunter auch die Versorgung mit Lebensmitteln vor IT-Sicherheitsvorfällen zu schützen. Die am UP Kritis beteiligten Organisationen arbeiten auf Basis gegenseitigen Vertrauens zusammen und tauschen Erfahrungen und Lösungskonzepte aus. Auch die Ernährungsindustrie ist im UP Kritis mit einem eigenen Branchenarbeitskreis aktiv und arbeitet an branchenspezifischen Lösungen für mehr IT-Sicherheit. Hier sind nicht nur Betreiber Kritischer Infrastrukturen verankert, sondern auch Unternehmen, welche die relevanten Schwellenwerte noch nicht erreicht haben.
Allen Unternehmen steht die Allianz für Cybersicherheit offen. Sie erhalten aktuelle Cyber-Sicherheitswarnungen des BSI mit zahlreichen technischen Indikatoren und profitieren vom Know-how des BSI und allen anderen Teilnehmern. Schließlich hat die Definition als kritische Infrastruktur sowie die Melde- und Nachweispflicht für einige große Anlagen in der Ernährungsindustrie die Standardisierung bei der Prävention und im Umgang mit IT-Sicherheitsvorfällen vorangetrieben und verbessert. So hat der UP Kritis Branchenarbeitskreis Ernährungsindustrie einen spezifischen Sicherheitsstandard für die Ernährungsindustrie (b3s) erarbeitet, dem in seiner mittlerweile zweiten aktualisierten Fassung (2.0) das BSI die Eignungsfeststellung ausgesprochen hat. Demnach ist der b3s 2.0 zur Gewährleistung der Anforderungen nach § 8 a Absatz 1 BSIG geeignet. Der b3s 2.0 kann von allen Unternehmen der Ernährungsindustrie angewendet werden. Der Branchenarbeitskreis Ernährungsindustrie evaluiert den b3s 2.0 fortlaufend und führt aller zwei Jahre die gesetzlich vorgeschriebene Aktualisierung nach dem aktuellen Stand der Technik durch.
Der b3s für die Ernährungsindustrie kann von allen Lebensmittelherstellern über den Branchendachverband Bundesvereinigung der Deutschen Ernährungsindustrie – BVE erworben werden. Die Anwendung des b3s in der Branche hat zur Verbesserung der IT-Sicherheit beigetragen. In seinem jährlichen Lagebericht wertet das BSI auch die Nachweisführungen der Betreiber kritischer Infrastrukturen sowie deren Vorfallsmeldungen aus. Im Berichtszeitraum 2020 wurden 419 kritische Vorfälle dem BSI von den Betreibern kritischer Infrastrukturen gemeldet, neun davon stammen aus dem Sektor Ernährung. Insgesamt stellte das BSI in seinem Lagebericht fest, dass die Betreiber in der Lebensmittelproduktion „technisch gut aufgestellt“ sind: „Die erkennbaren organisatorischen Mängel wie Schwächen in Prozessen, Richtlinien oder Zuständigkeiten sind in neu eingeführten Managementsystemen begründet. Eine besondere Herausforderung ist die Absicherung industrieller IT-Komponenten. Die Branche benötigt zudem Konzepte, um Notfallpläne auch im 24/7-Schichtbetrieb ohne größere Schwierigkeiten umsetzen zu können.“ [6]
Die Politik ist EU-weit gefordert
Wenngleich Deutschland mit seinem gesetzlichen Rahmen bereits zur Verbesserung der IT-Sicherheitsmaßnahmen in der Ernährungsindustrie beigetragen hat, so fehlt jedoch nach wie vor ein EU-weit harmonisierter Ansatz in der Bekämpfung von Cyberrisiken. Viele der von der BSI-KritisV betroffenen Unternehmen der Ernährungsindustrie sind auch in anderen EU-Ländern mit Lieferungen oder Standorten aktiv. Insofern muss sichergestellt werden, dass das Engagement der Unternehmen im Rahmen der Umsetzung der nationalen Regelungen nicht unterlaufen wird und nicht auf europäischer Ebene weitere Zertifizierungs- oder Meldepflichten für die Anwender von IT-Lösungen und Anlagen mit integrierter IT eingeführt werden. Vielmehr muss über eine Anerkennung von bestehenden Lösungskonzepten gesprochen werden. Der Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union und zur Aufhebung der Richtlinie (EU) 2016/1148, EU-Dok. COM (2020) 823 final (sog. „NIS-Richtlinie 2.0“) kann hier der richtige Rahmen sein, dies endlich EU-weit zu lösen und die Netz- und Informationssicherheit im EU-Binnenmarkt zu stärken und zu harmonisieren.
____________________________________________________________________________________________ Literatur [1] „Ernährung 4.0 – Status Quo, Chancen und Herausforderungen“, Bitkom und BVE, 2019 [2] “HR Trends 2020 in der Food and Consumption Value Chain”, AFC und ANG, 2021 [3] Die Lage der IT-Sicherheit in Deutschland 2020, BSI, 2021 [4] „Cyberrisiken in der Lebensmittelindustrie“, Forsa-Umfrage im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV), 2020 [5] „Milka-Fabrik steht seit einer Woche still“ – tagesspiegel.de, 3.7.2017 [6] Die Lage der IT-Sicherheit in Deutschland 2020, BSI, 2021
Contact
Bundesvereinigung der Deutschen Ernährungsindustrie (BVE)
Claire-Waldoff-Straße 7
10117 Berlin
Deutschland
+49 30 200786 122
