Die Bedrohung durch Cyberangriffe in Deutschland steigt, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) bekannt gibt. Im Jahr 2023 wurde eine Viertelmillion neuer Schadprogramme pro Tag festgestellt. Für die zunehmend digitalisierte Ernährungsindustrie hat die Cybersicherheit eine hohe Dringlichkeit erlangt:
Wachsende Bedrohung: Cyberangriffe in der Ernährungsindustrie
Denn die Teilbranchen der Ernährungsindustrie setzen immer mehr IKT (Informations- und Kommunikationstechnologie)-Lösungen ein, um die Qualität und Effizienz zu steigern sowie günstige Preise und eine stabile Versorgung zu gewährleisten. Der Einsatz funktionsübergreifender Cloudsoftware und technologischer Fortschritte wie die industrielle künstliche Intelligenz sind bei der Lebensmittelherstellung bereits in Anwendung.
Wenn ein Hacker also auf Software zugreift, die Ventile steuert, Temperaturen überwacht oder die Zusammensetzung von Lebensmittelzutaten regelt, kann dies ernsthafte Sicherheitsprobleme und Betriebsunterbrechungen bei der Lebensmittelproduktion verursachen. Meist drohen die Erpresser nicht nur mit der Veröffentlichung firmeninterner Daten – auch finanzielle Verluste sind bereits vorprogrammiert.
Ransomware und Co.: Welche Risiken bestehen für die Ernährungsindustrie?
Ein typisches Risiko für die Lebensmittelproduktion sind die vielen spezialisierten Industrieanlagen, die im Produktionsprozess zusammenspielen. Hinzu kommen komplexe Lieferantenstrukturen, deren Daten im Betrieb zusammenfließen. „Die industriellen Prozesse in der Ernährungsindustrie sind komplex und hochspezialisiert – es spielen viele Systeme zusammen, die geschützt werden müssen!“ fasst Stefanie Sabet, Geschäftsführerin der BVE, die knifflige Ausgangslage zusammen.
Als kritische Infrastruktur ist die Lebensmittelindustrie daher besonders im Fokus von Cyberangriffen wie bspw. Ransomware-Attacken: Ransomware sind Schadprogramme, mit deren Hilfe ein Eindringling den Zugriff des Computerinhabers auf Daten, deren Nutzung oder auf das ganze Computersystem verhindern kann.
Zu den größten Bedrohungen für Hackangriffe zählen:
• Die Ausnutzung von Schwachstellen wie ältere Softwareplattformen
• offene oder falsch konfigurierte Online-Server
• Cyberangriffe über die Lieferkette (sogenannte Supply-Chain-Angriffe)
Beispielsweise führte ein Angriff mit der Erpressersoftware „Petya“ dazu, dass bei Milka (Mondelez) die Produktion kurze Zeit stillstand. Ein ähnlicher Angriff der russischen Cybergang „Revil“ auf JBS, den weltweit größten Fleischproduzenten, verursachte den Ausfall von fünf der größten US-amerikanischen Fleischfabriken und erzwang die Zahlung von 11 Millionen US-Dollar in Bitcoin, um die Systeme wiederherzustellen.
In Folge des russischen Angriffskriegs auf die Ukraine hat sich nach Einschätzung des BSI die IT-Sicherheitslage insgesamt zugespitzt. Im Schnitt verursachten Cyberangriffe auf Unternehmen in Deutschland einen jährlichen Gesamtschaden von rund 210,7 Milliarden Euro in den letzten drei Jahren. Sabet warnt vor den finanziellen Verlusten, die durch Hackerangriffe entstehen: „Wer kostspielige Schäden vermeiden will, muss sein Unternehmen schützen. Denn die Angriffe auf die Cybersicherheit werden mit der Digitalisierung zunehmen.“
NIS-2-Richtlinie: Neue EU-Vorgaben zur Cybersicherheit
Um dem wachsenden Risiko von Cyberattacken zu begegnen, gilt ab Oktober 2024 die europaweite „Network and Information Security“-Richtlinie (NIS-2-Richtlinie).
Die NIS2 ersetzt die NIS Directive von 2016 und zielt auf ein höheres gemeinsames Cybersicherheitsniveau in der EU ab. Angesichts der steigenden Bedrohung hat die NIS-2-Richtlinie ihren Anwendungsbereich erweitert: Sie erkennt die Lebensmittelproduktion, die Lebensmittelverarbeitung und die mit dem Lebensmittelvertrieb verbundenen Dienstleistungen europaweit als kritische Sektoren an.
Laut NIS2 müssen betroffene Unternehmen eine Vielfalt an Cybersecurity-Maßnahmen umsetzen, um die Risiken für die Sicherheit Ihrer Netz- und Informationssysteme zu beherrschen – und die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.
Für welche Unternehmen gilt die NIS2-Richtlinie?
Für jede Branche gibt es genaue Angaben darüber, welche Art von Einrichtungen betroffen sind. In der Ernährungsindustrie werden Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro als wichtige Einrichtungen erfasst. Allein die Betreiber kritischer Anlagen (bisher geregelt durch BSI-KritisV) in der Ernährungsindustrie zählen zu den besonders wichtigen Einrichtungen. Wichtig ist also zu prüfen, ob Ihr Unternehmen dazu gehört.
In Deutschland finden Sie die relevanten Informationen im NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Anhang 1 und 2. Das NIS2UmsuCG ist die deutsche Antwort auf die europäische NIS-2-Richtlinie und liegt aktuell als Regierungsentwurf vor.
So setzen Unternehmen die NIS-2-Richtlinie um
Lebensmittelhersteller können sich mit gezielten Anpassungen ihrer Prozesse und Abläufe auf die Einführung der NIS-2-Richtlinie vorbereiten. Die Planung schließt dabei ein:
• Maßnahmen zum Risikomanagement für Cybersicherheit
IT-Systeme und deren physische Umwelt muss geschützt werden („All-Gefahren-Ansatz“). Wieviel genau angemessen ist, sollten Sie nach einem risikobasierten Ansatz für sich festlegen. Dazu können auch branchenspezifische Sicherheitsstandards herangezogen werden. Für Betreiber kritischer Anlagen gelten zusätzlich Nachweispflichten.
• Verantwortung der Geschäftsführung
Maßnahmen umsetzten, für Verstöße haften, Schulungen besuchen
• Meldepflicht von Sicherheitsvorfällen
erhebliche Sicherheitsvorfälle müssen der nationalen Behörde und ggf. den eigenen Dienstempfängern gemeldet werden.
• Registrierung
Wenn NIS2 für Sie gilt, müssen Sie sich bei der nationalen Behörde registrieren
Zuerst hört sich das nach einem bedeutenden Aufwand für ein vielleicht doch geringes Risiko an. Aber mit der Ausführung dieser Maßnahmen können Sie nicht nur ihre Systeme schützen, sondern auch erhebliche wirtschaftliche Schäden vermeiden. Schätzungen zufolge könnten durch die Umsetzung dieser Vorschriften jährlich bis zu 250.000 Euro pro Unternehmen an Schäden abgewendet werden.
Unterstützung durch die BVE: Sicherheit in der Lebensmittelproduktion gewährleisten
Trotz der klaren Vorteile stellt die Umsetzung des Gesetzes die Branche vor einige Herausforderungen:
Die Unternehmer müssen geeignete, wirksame technische und organisatorische Maßnahmen ergreifen, die den Stand der Technik einhalten. Oft scheuen Sie sich vor der Herangehensweise oder der kostspieligen Anschaffung und Aktualisierung von Angriffserkennungssoftware.
Sabet, die auch Mitglied im Branchenarbeitskreis UP KRITIS ist, versteht die Lage der Unternehmer: „Die Ernährungsindustrie gehört zur kritischen Infrastruktur, ist aber deutlich kleiner strukturiert als andere Versorger und daher auch mit weniger Ressourcen ausgestattet. Ein effizienter Schutz vor Cyberattacken erfordert aber kontinuierliche Investitionen, da sich der Stand der Technik ständig weiterentwickelt. In der schwachen Konjunkturlage ist dies eine Herausforderung für viele Unternehmen.“
Die Bundesvereinigung der Deutschen Ernährungsindustrie e.V. (BVE) bietet Ihnen daher wertvolle Unterstützung an:
In dem UP KRITIS Branchenarbeitskreis der Ernährungsindustrie erarbeitet die BVE zusammen mit den Unternehmen einen regelmäßig aktualisierten und vom BSI als geeignet festgestellten IT Sicherheitsstandard (B3S), um die Unternehmen der kritischen Infrastruktur zu schützen. Der Fokus liegt besonders darauf, die Ausgewogenheit zwischen wirtschaftlichen Schutzmaßnahmen sowie den Schutzzielen und Ansprüchen der Gesetzgeber zu erhalten.
Mit dem „B3S“ wurde ein IT-Sicherheitsstandard entwickelt, der eine branchengerechte Anleitung gibt, die dem geforderten aktuellen Stand der Technik entspricht. Der Branchenstandard B3S hat bereits 50 zufriedene Anwender gefunden und kann über eine Nutzungsvereinbarung bei der BVE erstanden werden.
Zusätzlich bietet die BVE regelmäßige Netzwerkveranstaltungen und Seminare für alle Unternehmen der Branche an, die über die Anforderungen und Maßnahmen in der IT-Sicherheit informieren.
Fazit: Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz ist ein entscheidender Schritt, um die Resilienz gegenüber Cyberbedrohungen zu stärken. Für eine sichere digitale Zukunft sind die Unternehmen der deutschen Ernährungsindustrie gut beraten, die Umsetzung nicht auf die lange Bank zu schieben. Die BVE steht Ihnen mit vielseitigen Ressourcen dabei zur Seite!
Bei Interesse am IT- Sicherheitsstandard kontaktieren Sie uns gerne!
Ihre Anprechpartnerin hierfür ist BVE-Geschäftsführerin Stefanie Sabet: sabet@ernaehrungsindustrie.de
Weiterführende Links:
BSI zur Lage der It-Sicherheit
Bundesministerium der Justiz zum BSI-Kritis