Die NIS-2 und ihre Auswirkungen
Was die NIS-2-Richtlinke für die Lebensmittelindustrie bedeutet
Obwohl die Lebensmittelversorgungskette im Rahmen der NIS-2-Richtlinie der EU eine wichtige Rolle spielt, steht das Thema Cybersecurity dort immer noch oft im Hintergrund. Dies muss sich ändern – doch wo genau liegen die Risiken, und welche Gegenmaßnahmen sind erforderlich?
Die moderne Lebensmittelindustrie geht den Weg in Richtung Industrie 4.0 und setzt zunehmend auf eine intelligente Produktion. Sie nutzt immer mehr Informations- und Kommunikationstechnik, um Produktionslinien zu optimieren, Qualität und Effizienz zu steigern sowie die hohen Anforderungen der Verbraucher an die Lebensmittelsicherheit zu erfüllen. Im Zuge der tiefgreifenden digitalen Transformation der Lebensmittelindustrie ist jedoch die Cybersecurity zu einem drängenden Problem geworden. Sollten Computersysteme manipuliert werden, die Ventile steuern, die Temperatur überwachen oder Mischungen von Lebensmittelzusatzstoffen anpassen, würde dies zu schwerwiegenden Problemen bei der Lebensmittelsicherheit führen.
Cybersecurity-Vorfälle in der Lebensmittelindustrie
In den letzten Jahren gab es zahlreiche Ereignisse, die die Anfälligkeit dieser Branche besonders deutlich gemacht haben und aufzeigen, dass Cyberkriminelle zunehmend die Lebensmittelversorgungskette ins Visier nehmen. Im Juni 2022 wurden beispielweise der Hersteller von Tiefkühlkostmischungen Apetito und sein Eigentümer Wiltshire Farm Foods Opfer eines Hive-Ransomware-Angriffs, der den Zugriff auf die IT-gestützten Systeme unmöglich machte. Dadurch wurden Bestellvorgänge behindert und Auslieferungen unterbrochen, was sich auf die Lieferung von Fertiggerichten an viele Krankenhäuser und Pflegeheime auswirkte. Ein anderer Fall in Europa betraf KP Snacks. Das britische Unternehmen wurde von der Ransomware »Conti« angegriffen. Dies führte zu Unterbrechungen der Herstellungs- und Transportprozesse, die nicht nur die Produktionsprozesse des Unternehmens behinderten, sondern auch zahlreiche große Supermärkte beeinträchtigten, die dessen Produkte vertrieben. In Belgien kam bei der Brauerei Duvel Moortgat letztes Jahr die Produktion zum Stillstand. Grund war hier ebenso ein Ransomware-Angriff.
Diese Beispiele zeigen deutlich, welche Dringlichkeit der IT- und OT-Sicherheit auch in der Lebensmittelindustrie zukommen sollte, um Geschäftskontinuität und damit Lebensmittel- und Versorgungssicherheit zu gewährleisten. Wenn ein Problem in einem einzelnen Versorgungsglied der Lieferkette auftritt, kann es sich auf das gesamte Ecosystem auswirken. Beim Thema Cybersecurity geht es deshalb nicht nur darum, einzelne Unternehmen vor Angriffen zu schützen, sondern auch darum, die Stabilität und die nachhaltige Entwicklung der gesamten Lebensmittelindustrie zu gewährleisten. Zu diesem Zweck muss jedes Unternehmen der Branche seine Cybersecurity-Vorkehrungen verstärken und die Mitarbeiter für dieses wichtige Thema sensibilisieren.
Herausforderungen für die Cybersecurity in der Lebensmittelversorgungskette
Obwohl die Lebensmittelversorgungskette im Rahmen der NIS-2-Richtlinie der EU eine wichtige Rolle spielt, steht die Cybersecurity dort im Vergleich zu anderen Sektoren wie der Luftfahrt oder den Stromnetzen oft im Hintergrund. Die Lebensmittel- und Landwirtschaftsindustrie ist auf ein hohes Maß an Automatisierung angewiesen, um niedrige Preise und eine gleichmäßige Verteilung zu gewährleisten. Doch das Zusammenwachsen von IT und OT zum IIoT im Zuge der digitalen Transformation führt zu Sicherheitslücken und bringt daher auch Risiken für die OT-Security mit sich. Längst haben kriminelle Organisationen begonnen, verschiedene Möglichkeiten zu nutzen, um die Lebensmittelversorgungskette anzugreifen und zu infiltrieren. Deshalb müssen Unternehmen dringend verstehen, dass IT- und OT-Sicherheit trotz der zunehmenden IT/OT-Konvergenz unterschiedliche Bereiche sind, die unterschiedliche Strategien und Fähigkeiten erfordern. Außerdem müssen sich kleine und mittlere Unternehmen (KMU) darüber im Klaren sein, dass sie ein Hauptziel für Cyberangriffe sind und sich beim Thema Cybersecurity nicht ausschließlich auf externe IT-Dienstleister verlassen sollten. Darüber hinaus führt die Verflechtung moderner und älterer Systeme häufig zu Sicherheitslücken, während Sparmaßnahmen notwendige Systemaktualisierungen und -aufrüstungen behindern können.
Anfälligkeit von Altsystemen
Lebensmittelverarbeitungssysteme stützen sich häufig auf ältere Softwareplattformen, von denen einige über 20 Jahre alt sind und auf altem Code beruhen, der nicht aktualisiert oder gepatcht werden kann. Diese Situation erhöht die Anfälligkeit der Lebensmittelindustrie, weil sie Angreifern mehr Möglichkeiten bietet, die Schwachstellen auszunutzen. Entscheidend ist nun, dass Unternehmen diese Herausforderungen erkennen und angehen, um ein sichereres Umfeld für die Infrastruktur der Lebensmittelindustrie zu schaffen und damit die Sicherheit und Stabilität der Lebensmittelversorgung der Bevölkerung zu gewährleisten.
Air-Gap bei ICS/OT-Netzwerken – ein Irrtum
Im Allgemeinen wird angenommen, dass Lebensmittelproduktionssysteme vom Internet isoliert und somit vor der Gefahr von Cyberangriffen sicher sind. Dies hat sich jedoch als falsches Sicherheitsgefühl erwiesen, weil Angreifer bestimmte zeitlich begrenzte Kanäle (z.B. Fernwartung) und Fehlkonfigurationen ausnutzen können, Mitarbeiter oder Auftragnehmer dazu verleiten können, gefälschte Software-Updates und Patches zu installieren, oder bösartige Software über USB-Laufwerke in das industrielle Netzwerk einschleusen können. Wie der REvil-Ransomware-Angriff gezeigt hat, brauchen Angreifer nicht unbedingt direkten Zugang zu den Produktionssystemen, um die Produktion anzuhalten. Sie können sich zunächst Zugang zu Unternehmensnetzwerken verschaffen oder Systeme von Anbietern ausnutzen und dann auf ICS/OT-Netzwerke ausweichen, um dieses Ziel zu erreichen.
Veränderte Anforderungen mit NIS-2
Bisher waren die Anforderungen der NIS-Richtlinie auf sieben Sektoren beschränkt: Energie, Verkehr, Banken, Finanzdienstleistungen, Gesundheit, Trinkwasserversorgung und digitale Infrastruktur. Die Mitgliedsstaaten waren nicht verpflichtet, die Voraussetzungen für die Cybersecurity in der Lebensmittelversorgungskette durchzusetzen. Mit NIS-2 reagiert die EU auf die sich verändernden Bedrohungsszenarien und erweitert den Anwendungsbereich um die Lebensmittelproduktion, die Lebensmittelverarbeitung und die mit dem Lebensmittelvertrieb verbundenen Dienstleistungen. Die Lebensmittelindustrie wird also formell als regulierter Sektor einbezogen. Infolgedessen können alle mittleren und großen Unternehmen der Lebensmittelversorgungskette in Zukunft potenziell mit Risikomanagement- und Meldepflichten in der gesamten EU konfrontiert werden. Kleine Unternehmen sind jedoch weiterhin von den NIS-2-Anforderungen ausgenommen - es sei denn, sie werden von den Mitgliedstaaten als entscheidend für die öffentliche Sicherheit, die öffentliche Ordnung oder die öffentliche Gesundheit angesehen.
Im Rahmen der NIS-2-Anforderungen werden Lebensmittelunternehmen und andere regulierte Dienstleistungsanbieter die folgenden Verantwortlichkeiten übernehmen:
1. Registrierung
Unternehmen des Lebensmittelsektors müssen sich innerhalb einer bestimmten Frist bei den nationalen Regulierungsbehörden melden und registrieren lassen. Im Allgemeinen erlauben die EU-Mitgliedstaaten Selbstregistrierungsmechanismen, bei denen die Unternehmen Angaben wie Name, Branche und Teilbranche, Anschrift und aktuelle Kontaktinformationen (einschließlich E-Mail, IP-Range, Telefonnummer u.a.) machen müssen.
2. Maßnahmen zum Management von Cybersecurity-Risiken
Artikel 21 der NIS-2 verlangt von Lebensmittelunternehmen, dass sie Cybersecurity-Risiken in Bezug auf Netzwerke und Informationssysteme, die für die Erbringung von Dienstleistungen oder die Aufrechterhaltung des Betriebs verwendet werden, durch geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen verwalten. Die Unternehmen müssen auch die Implementierungskosten und die einschlägigen europäischen und internationalen Cybersecurity-Standards berücksichtigen und idealerweise den Grundsatz der Verhältnismäßigkeit einhalten, um unangemessene wirtschaftliche Belastungen für die wesentlichen Unternehmen zu vermeiden. Dies umfasst zumindest die Umsetzung der folgenden Sicherheitsmaßnahmen:
a) Risikoanalyse und Security Policy für Informationssysteme
b) Umgang mit Zwischenfällen planen
c) Geschäftskontinuität
d) Sicherheit der Lieferkette
e) Sicherheit bei Beschaffung, Entwicklung und Wartung
f) Policy und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Management von Cybersecurity-Risiken
g) Grundlegende Computerhygiene und -schulung
h) Angemessene Strategien für die Verwendung von Passwörtern und Verschlüsselung
i) Sicherheit der Mitarbeiter
j) Einsatz von Multi-Faktor-Authentifizierung, sicherer Sprach-/Video-/SMS-Kommunikation und gegebenenfalls sicherer Notfallkommunikation
3. Meldung von Zwischenfällen für Lebensmittelunternehmen
Die EU hatte bereits in Artikel 23 der NIS-1 Meldepflichten für Vorfälle festgelegt und in Artikel 24 Absatz 1 erklärt, dass Betreiber wesentlicher Dienste (Operators of Essential Services) unverzüglich alle wichtigen Vorfälle melden sollten, die die Verfügbarkeit, Vertraulichkeit, Integrität oder Authentizität der Netze und Informationssysteme betreffen, auf die ihre wesentlichen Dienste angewiesen sind. Durch die Übernahme der Bestimmungen der NIS-1 sind Lebensmittelunternehmen, die neu als wesentliche Einrichtungen eingestuft wurden, nun verpflichtet, alle Vorfälle, die erhebliche Auswirkungen auf die von ihnen erbrachten Dienstleistungen haben, unverzüglich zu melden.
Durchsetzung in der Lebensmittelindustrie
Die Durchsetzungsmaßnahmen umfassen Inspektionen durch nationale Cybersecurity-Management-Agenturen und Auditoren, gefolgt von anschließenden Korrekturmaßnahmen, die Folgendes umfassen: (1) Erteilung von Verwarnungen bei Nichteinhaltung der Vorschriften, (2) Erlass verbindlicher Richtlinien, (3) Anordnung der Beendigung nicht konformer Verhaltensweisen oder andere Maßnahmen zur Reaktion auf Vorfälle. Neben den reaktiven Ansätzen zur Überwachung und Durchsetzung können gemäß Artikel 31 auch Bußgelder verhängt werden. Die Bußgelder stellen einen Sanktionsmechanismus dar, der bei Verstößen gegen die gesetzlichen Verpflichtungen greift. Bedeutende Unternehmen können mit Bußgeldern in Höhe von bis zu 1,4 Prozent des Gesamtumsatzes des Vorjahres oder mindestens sieben Millionen Euro belegt werden, je nachdem, welcher Betrag höher ist. Unter bestimmten Umständen können zusätzliche Verwaltungssanktionen wie die Aussetzung von Zertifizierungen oder die Einstellung von Führungsaufgaben verhängt werden, um Verbesserungen bei den regulierten Dienstleistern im Rahmen des Verpflichtungssystems zu erreichen.
Fazit
Die Lebensmittelbranche ist ein zentrales Segment der Wirtschaft, das zunehmend auf digitale Systeme angewiesen ist - ähnlich wie das Gesundheitswesen, der Energiesektor, das Transportwesen und die Finanzdienstleistungen. Daher wird der Schutz vor Cyber-Bedrohungen immer wichtiger. Mit der NIS-2-Richtlinie soll sichergestellt werden, dass kritische Branchen moderne Cybersecurity-Maßnahmen zum Schutz der globalen Lebensmittelversorgungskette einsetzen. Darüber hinaus muss die Netzwerksicherheit bei der Entwicklung neuer automatisierter Systeme unbedingt in den Vordergrund gestellt werden. Die neuen Vorschriften sind in der zweiten Hälfte des Jahres 2024 in Kraft getreten. Unternehmen sollten sich schnellstmöglich mit den Implikationen von NIS-2 auf ihr Geschäft befassen und sich professionell beraten lassen.
Lesen Sie mehr zum Thema
