Cyberkrise in der Lebensmittelindustrie? Eine Branche im IT-Sicherheitscheck

Die Lebensmittelindustrie sieht sich neuen Cybersicherheitsherausforderungen, wie neuer Hackersoftware oder einfach einsetzbarer Schadsoftware gegenübergestellt. Experten sehen die Branche als gut vorbereitet, Kritik üben sie aber an der Gesetzgebung zur Cybersicherheit in kritischen Infrastrukturen. Eine Bestandsaufnahme der IT-Sicherheit in der Lebenmittelindustrie.

Ein Gastbeitrag von Leo Bareth

Im Jahr 2022 überfällt Russland die Ukraine und startet damit einen Angriffskrieg, der bis heute andauert. Kurz vor Beginn des Angriffs fallen europaweit KaSat-Modems des Satelliten-Internetdienstleisters Viasat aus. Die Folgen sind weitreichend. Allein in Deutschland waren 3000 Windkraftanlagen nicht mehr über das Internet erreichbar. Stromanbieter nutzen solche Satellitenmodems für die Fernwartung der Windkraftanlagen, die Stromproduktion der Anlagen wurde dadurch jedoch nicht beeinträchtigt. Wenige Wochen nach dem Angriff berichtete der Spiegel über die Hintergründe des Vorfalls und erklärte, dass ein großer Teil des ukrainischen Militärs die Modems von Viasat zur Koordination einsetze. Der Angriff hätte durchaus Auswirkungen auf die Wehrhaftigkeit der ukrainischen Streitkräfte haben können, die ihre Manöver über dieses System koordinierten. Die betroffenen Windkraftanlagen in Deutschland waren somit offenbar nicht das eigentliche Ziel, sondern »nur« ein Kollateralschaden, was auch die Bundesregierung so einordnet. Dennoch führte der Angriff zu einer breiteren Debatte über die Cybersicherheit der kritischen Infrastruktur (KRITIS), bis hinein in die Lebensmittelindustrie und Ernährungswirtschaft.

In Deutschland gelten Akteure als kritische Infrastruktur, die mehr als 500.000 Menschen betreffen und in den Sektoren Energie, IT und TK, Transport und Verkehr, Gesundheit, Medien und Kultur, Wasser, Finanzen und Versicherungswesen, Abfallwirtschaft, Staat und Verwaltung sowie Ernährung tätig sind. Diese etwa 2000 betroffenen Akteure müssen besondere Auflagen in Bezug auf die IT-Sicherheit erfüllen. Sie müssen Sicherheitsmaßnahmen umsetzen und Sicherheitsvorfälle melden. Der Sektor Ernährung hat in den letzten Jahren die geringste Anzahl von gemeldeten Cybersicherheitsvorfällen. Dies hat jedoch nicht unbedingt etwas damit zu tun, dass die Unternehmen sich besonders gut schützen, meint Manuel Atug von der Arbeitsgruppe Kritische Infrastrukturen (AG KRITIS) welche sich für den Schutz kritischer Infrastruktur einsetzt. »Im Gegenteil. Vielen Unternehmen der Branche wurde erst mit der Einführung des IT-Sicherheitsgesetzes im Jahr 2015 richtig bewusst, wie schlecht sie in dieser Hinsicht teilweise aufgestellt sind«, so Atug. Diese Aussage wird auch von Ulrike Lechner bestätigt, die als Professorin an der Universität der Bundeswehr in München zu diesem Thema forscht.

_{Manuel Atug – Gründer der AG KRITIS und Sachverständiger des Bundestags. Quelle: Manuel Atug}

Das ist auch dringend notwendig, da Ausfälle solcher großer Unternehmen und Versorger weitreichende Folgen haben können. »Mit dem Argument; Na ja, wenn einer weg ist, sind noch viele andere da, macht man es sich zu einfach. Denn die Standortabhängigkeit spielt in diesem Sektor eine große Rolle. Rohmilch kann nicht einfach quer durch Deutschland transportiert werden und gerade bei einem Unternehmen, das groß genug ist, um als KRITIS-Unternehmen eingestuft zu werden, reichen die Kapazitäten anderer Unternehmen nicht aus, um einen solchen Ausfall in kurzer Zeit zu kompensieren. Die Ernährungsbranche, wie viele andere Industrien heutzutage auch, ist von Just-in-Time-Belieferung und geringer Lagerhaltung geprägt, da Lebensmittel eine begrenzte Haltbarkeit haben. Es funktioniert also nicht einfach nach dem Motto: Die anderen werden das schon auffangen«, erklärt Atug.

Es ist also von zentraler Bedeutung, dass diese Akteure gut geschützt sind. Dies soll das IT-Sicherheitsgesetz gewährleisten, doch genau das wird in Expertenkreisen kritisiert. Das IT-Sicherheitsgesetz deckt zum Beispiel in keinem Fall die physische Sicherheit von IT-Technik ab. Damit sind Gefährdungen wie Feuer, Wasser, Diebstahl, Vandalismus oder Naturgewalten gemeint. Physische Sicherheit ist eine Kernkomponente der IT-Sicherheit, da Angriffe oder Vorfälle dieser Art oft weitaus größeren Schaden anrichten als klassische digitale Vorfälle, die bei guter Resilienz in wenigen Stunden durch das Aufspielen von Backups gelöst werden können. Außerdem gab es große Kritik an der Reform des Gesetzes im Jahr 2021. Der im Januar 2021 vorgestellte Gesetzentwurf sollte dem Bundesministerium für Inneres (BMI) erlauben, den Einsatz kritischer Komponenten zu untersagen, wenn dies öffentlichen Interessen, insbesondere sicherheitspolitischen Belangen, entgegensteht. Sämtliche an der Gesetzgebung beteiligte Sachverständige kritisierten diesen Gesetzentwurf scharf. Der von der damals regierenden Unionsfraktion berufene Professor für Staatsrechts Klaus Gräditz sprach in der FAZ sogar von einem Anti-Sicherheitsgesetz und bezeichnete die Regelung für »nicht verfassungskonform und inoperabel«. Das Gesetz wurde trotzdem, inklusive dieser Klausel, beschlossen.

Abhilfe soll nun das geplante KRITIS-Dachgesetz leisten, welches auch die physische Sicherheit berücksichtigt und allgemeine Verbesserungen im Schutz von KRITIS- Akteuren vorsieht.
Von der KRITIS-Verordnung sind insgesamt jedoch nur rund 2000 Akteure betroffen. Gerade die Lebensmittelindustrie ist jedoch von kleineren bis mittelständischen Unternehmen geprägt. Diese Unternehmen müssen sich also nicht an die Vorschriften der großen Akteure halten. Es stellt sich deshalb die Frage: Wie gut sind diese Akteure geschützt?

Kleinere und mittlere Unternehmen ziehen nach

Am 06. Mai 2022 berichtete das Nachrichtenportal Business Insider »Russische Truppen stahlen in der Ukraine teure Landmaschinen – doch der Hersteller John Deere legte sie per Fernsteuerung still«. Was auf den ersten Blick wie eine gute Nachricht klingt, wirft auf den zweiten Blick einige Fragen auf. Wenn John Deere die Landmaschinen lahmlegen kann, kann das auch jemand anderes? Manuel Atug von der AG KRITIS sieht den Fall ebenfalls kritisch. »Mit den fortschreitenden technologischen Entwicklungen gehen auch Dual-Use-Funktionen einher. Es stellt sich die Frage, was andere Akteure wie organisierte Kriminalität, Cyberkriminelle oder auch staatliche Akteure davon abhält, diesen Killswitch zu aktivieren, sobald sie herausgefunden haben, wie er funktioniert. Es besteht auch die Möglichkeit, dass solche Akteure John Deere selbst kompromittieren und den Killswitch nicht nur gezielt, sondern flächendeckend einsetzen, was erheblichen Schaden anrichten könnte.« So kann aus einer ursprünglich als Diebstahlschutz gedachten Funktion eine echte Gefahr werden.

Doch wie gefährdet ist die Branche wirklich? Dazu gibt es kaum Daten, die vorhandenen Erkenntnisse aber stimmen etwas optimistisch. Ulrike Lechner hat dazu geforscht und sieht die Branche in Bezug auf kleinere bis mittlere Unternehmen relativ gut vorbereitet. »Durch die Sicherheitsmaßnahmen der KRITIS-Unternehmen lernen nicht nur diese Unternehmen selbst, sondern auch die Hersteller von Anlagen und die IT-Dienstleister, die oft eine breite Kundenbasis mit Unternehmen unterschiedlicher Größen haben. Es entsteht eine Art “Pull-Effekt”, bei den Unternehmen, die nicht direkt unter die KRITIS-Gesetzgebung fallen, jedoch von den Sicherheitsmaßnahmen und Strategien der KRITIS-Unternehmen profitieren und sie für ihre eigenen Belange adaptieren können.« erklärt die IT-Sicherheitsexpertin. Dennoch kann ein Angriff auf diese Unternehmen problematisch werden.

_{Ulrike Lechner – Professorin an der Universität der Bundeswehr München, forscht im Bereich Cybersicherheit in der Lebensmittelbranche Quelle: Universität der Bundeswehr München}

Gefahrenlage in starkem Wandel

Auch die Gefahrenlage für diese Unternehmen ändert sich. Laut einer Studie des Versicherungsmakler Marsh & McLennan werden 65 % der weltweiten Cyberangriffe von Angreifern ohne fortgeschrittene technische Kenntnisse durchgeführt. Diese enorm hohe Zahl hat den Hintergrund, dass man Ransomware oder bestimmte Angriffsvektoren als Dienstleistungen kaufen kann, die dann auch von unerfahreneren Angreifern einfach eingesetzt werden können. Diese Entwicklung führt neben anderen Faktoren dazu, dass die Zahl der Cyberangriffe in den letzten Jahren massiv zugenommen haben. Laut einer Studie des Bundesministeriums für Inneres in Österreich hat sich die Zahl der gemeldeten Fälle von Cybercrime im Zeitraum 2019 bis 2022 mehr als verdoppelt. Für Deutschland sind ähnliche Zahlen zu erwarten. Das deutsche BSI gab bekannt, dass sich die Anzahl der Schadsoftware-Varianten im Jahr 2021 im Vergleich zu 2020 um 22 % erhöht hat. Dementsprechend wurde das Risiko Cyberkriminalität und Cyberunsicherheit im Jahr 2023 in die Liste des World Economic Forum für die 10 größten globalen Risiken in einem Zeitraum von 10 Jahren aufgenommen. Dies hat auch Auswirkungen auf kleine und mittlere Unternehmen in der Ernährungsbranche und wird auch dort die Anzahl der Vorfälle erhöhen und die Situation verschärfen.

Doch nicht nur dieser Faktor ist eine Gefahr. »Ein modernes Phänomen, auf das viele Unternehmen, einschließlich größerer Unternehmen, nicht vorbereitet sind, sind Angriffe von internen Tätern. Die gesellschaftliche Spaltung führt auch hier zu radikalem Verhalten, und während früher das Bestreben der Mitarbeiter darin bestand, das Unternehmen zu schützen, gibt es heute vermehrt Fälle, in denen Mitarbeiter mit den Zielen und Standpunkten des Unternehmens nicht einverstanden sind.« erklärt Ulrike Lechner. Die Expertin äußert sich dennoch optimistisch: »Ich glaube, dass wir in Bezug auf die Cybersicherheit besser aufgestellt sind, als es oft dargestellt wird, insbesondere in der Industrie. Gerade bei Unternehmen, die Maschinen produzieren und Dienstleistungen anbieten, mache ich mir wenig Sorgen.«