Sicherheitsrisiken in der Ernährungsindustrie: Dr. Ulrike Lechner im Interview

Ulrike Lechner, Professorin an der Universität der Bundeswehr München, ist eine führende Expertin für Cybersicherheit in der Lebensmittelbranche. Sie untersuchte die wenig erforschte Branche und ihre Ergebnisse geben Grund zur Hoffnung.

Ein Interview von Leo Bareth 

Sie haben einerseits eine Studie über Resilienz und Digitalisierung in der Lebensmittelbranche mit Fokus auf kleinere und mittlere Unternehmen durchgeführt und andererseits eine Fallstudie über verschiedene Branchen erstellt, die noch nicht unter die Kategorie kritische Infrastruktur (KRITIS) fallen. Sie haben in Ihrer Resilienz-Studie darauf hingewiesen, dass im Ernährungssektor die wenigsten Sicherheitsmeldungen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) eingehen. Woran könnte das Ihrer Meinung nach liegen?

Lechner: Als diese Studie 2019 gemacht wurde, war die Zeit noch eine etwas andere als sie heute ist. Im Ernährungssektor gibt es viele Unternehmen und Produktionsanlagen, die nicht besonders bekannt sind und daher möglicherweise nicht im Fokus eines Angreifers liegen, der nach großen prominenten Zielen sucht. Es gibt viele kleinere Unternehmen, die für größere Marken produzieren, jedoch nicht unter eigenem Label. Es ist auch wichtig anzumerken, dass der Digitalisierungsgrad in dieser Branche manchmal nicht so hoch ist wie in anderen Branchen. Darüber hinaus fallen viele Unternehmen nicht unter die KRITIS-Verordnung und sind daher nicht verpflichtet, IT-Sicherheitsvorfälle beim BSI zu melden. Das lässt den Sektor für Angreifer unattraktiv aussehen, die nach Prestige und Unterbrechungen in der öffentlichen Sicherheit und Ordnung suchen. Diese beiden Faktoren sind wahrscheinlich die Hauptgründe für die niedrigen Fallzahlen im KRITIS-Sektor Ernährung.

Laut einer Studie des Versicherungsmaklers Marsh & McLennan sind 65 % der Angreifer Gelegenheitsangreifer ohne fortgeschrittene technische Fähigkeiten. Die Studie ergab auch, dass die Hauptmotivation dieser Angreifer entweder finanzieller Natur ist oder auf Datendiebstahl abzielt. Wie schätzen Sie die Situation für kleinere Unternehmen in dieser Branche ein?

Lechner: Wenn ich den Begriff »Gelegenheitsangreifer« richtig verstehe, handelt es sich um Angreifer, die technische Möglichkeiten ausprobieren und sehen, wo sie Zugang erhalten und dann entsprechend weiter vorgehen. Diese Angreifer haben in den meisten Fällen keine politischen Ziele. Wir können auch beobachten, dass sich die Fähigkeiten der Angreifer nicht maßgeblich verbreitern. Heutzutage kann man bestimmte Schadsoftware oder Angriffsvektoren sogar als Dienstleistung mieten. Dadurch wird das Geschäftsfeld, insbesondere im Bereich Ransomware oder Erpressersoftware, auch für Angreifer attraktiv, die nicht über die erforderlichen technischen Fähigkeiten verfügen. Es ist daher klar damit zu rechnen, dass Gelegenheitsangriffe auf kleine und mittlere Unternehmen zunehmen werden.

Manuel Atug von der AG KRITIS erklärte, dass viele Unternehmen im Ernährungssektor bei der Einführung der KRITIS-Gesetzgebung eher schlecht aufgestellt waren. Sie waren sich nicht bewusst, wie anfällig sie sind, welche Sicherheitslücken existieren und welche Probleme dadurch entstehen können. Gilt das auch für kleinere und mittlere Unternehmen in dieser Branche?

Lechner: Zunächst einmal muss man sagen, dass in den letzten Jahren erhebliche Fortschritte in Bezug auf die Sicherheit bei KRITIS-Unternehmen erzielt wurden, insbesondere beim Schutz wichtiger Komponenten. Es wurden beispielsweise Firewalls installiert, Netzwerke getrennt, Authentifizierungsmechanismen implementiert und Fernwartungszugriffe abgesichert, um nur einige Maßnahmen zu nennen. Es ist viel passiert, und ich denke, dass deutsche KRITIS-Unternehmen ein hohes Sicherheitsniveau in Bezug auf IT-Sicherheit erreicht haben. Dies hat auch den kleinen und mittleren Unternehmen die Möglichkeit gegeben zu lernen, was möglich ist und wie es umgesetzt werden kann. Auch die Hersteller von Maschinen und Produktionsanlagen mussten Sicherheitsmaßnahmen ergreifen, die dann auch in Nicht-KRITIS-Unternehmen umgesetzt wurden. Die großen Unternehmen sind hier Vorreiter und entwickeln Maßnahmen und Strategien, die auch für kleinere Unternehmen greifen.

Dann gab es einen Pull-Effekt durch die Maßnahmen der KRITIS-Unternehmen?

Lechner: Ja, genau. Dadurch lernen nicht nur die KRITIS-Unternehmen, sondern auch die Hersteller der Anlagen und die IT-Dienstleister, die in der Regel einen breiten Kundenstamm mit Unternehmen unterschiedlicher Größe haben. Insbesondere in der IT-Branche verbreiten sich Fortschritte dadurch sehr schnell.

IT-Ausfälle können bei KRITIS-Unternehmen der Lebensmittelbranche einen großen Einfluss auf die Produktion haben, zum Beispiel bei Reifeprozessen. Das kann zu Produktionsausfällen von mehreren Wochen führen. Wie kritisch sind Angriffe bei kleineren Unternehmen?

Lechner: Das kann von Fall zu Fall unterschiedlich sein, aber bei vielen kleineren Unternehmen in der Branche ist es immer noch möglich, viele Dinge manuell zu erledigen, falls die digitale Technik mal ausfällt. Auch wenn die Ausfälle die Verwaltung betreffen, haben diese Unternehmen oft Beziehungen zu Banken oder Finanzdienstleistern, die aushelfen können. Dies ist bei größeren Unternehmen oft nicht mehr der Fall. Interessant bzw. kritisch wird es, wenn es sich um Ransomware handelt, die nicht alles lahmlegt, sondern gezielt Parameter in den Anlagen verändert, was zu einer Veränderung der Produktqualität führt. Das kann zum Beispiel dazu führen, dass Lebensmittel nicht mehr genießbar sind, schneller verderben oder anderweitig anfällig werden. Es sind Mechanismen erforderlich, die solche Eingriffe frühzeitig erkennen und in einigen kleineren Unternehmen sind diese Mechanismen möglicherweise noch nicht so gut implementiert. Das sollte genauer untersucht werden.

Ein modernes Phänomen, auf das viele, auch größere Unternehmen, nicht vorbereitet sind, sind Angriffe von internen Tätern. Die Spaltung der Gesellschaft führt auch hier zu radikalem Verhalten. Während früher die Mitarbeiter bestrebt waren, das Unternehmen zu schützen, gibt es heute vermehrt Fälle, in denen Mitarbeiter mit den Zielen und Positionen des Unternehmens nicht einverstanden sind und so zum Feind im Innern werden.

Seit Jahren wird in den Medien über die Rückständigkeit bei der Digitalisierung gesprochen. Trifft dieses Bild Ihrer Meinung nach auch auf die Cybersicherheit unserer Unternehmen zu?

Lechner: Ich glaube, dass wir in Bezug auf die Cybersicherheit besser aufgestellt sind, als es der Ruf vermuten lässt, insbesondere in der Industrie. Gerade bei Unternehmen, die Maschinen produzieren und Dienstleistungen anbieten, mache ich mir wenig Sorgen.