Zur Übersicht

Damit das Regal voll bleibt – Schutz von kritischer Infrastruktur wie Lebensmittelketten, -produktion, Logistik und Handel

Martin Schönau | January 25, 2022 | NAC, Netzwerksicherheit, Cyber Security, Hacking, ZTNA, KRITIS, IT-Alltag, Datenschutz
  • Ungeschützte oder unsichere IT-Netzwerke von Nahrungsmittelkonzernen, in der Logistik und im Handel können im Ernstfall zu leeren Einkaufsregalen führen.
  • Digitalisierung in Form von Vernetzung der Produktion generiert einen Modernisierungsschub und steigert die Effizienz, darf jedoch nicht zu Lasten der IT-Sicherheit gehen.
  • Cyber-Resilienz: Null-Vertrauen-Ansatz, der Netzwerksicherheit um Schutz für alle Cloud-Dienste erweitert, kann modernen Anforderungen an IT-Sicherheit gerecht werden

IMG_0155

Seit dem Corona-Lockdown und einigen Hamsterkäufen sind leere Regale bei einigen Produkten nicht mehr nur Erinnerung an längst vergangene Zeiten. Was bis dahin als unvorstellbar galt, ist auch ein Szenario, das uns durch Cyberangriffe auf Logistikketten oder Nahrungsmittelerzeugung ereilen kann. So bereits geschehen bei der Lebensmittelkette Tegut. Der Händler hatte im Mai 2021 mit einem Hackerangriff zu kämpfen, was für ausgedünnte Regale sorgte. Ein jüngeres Beispiel ist der Cyberangriff auf Kernbereiche der IT der Handelskette MediaMarktSaturn, bei dem Daten bis auf weiteres unbrauchbar gemacht wurden. Gegen Hackerangriffe möchte sich die Supermarktketten Lidl und Kaufland zukünftig besser schützen. Europas größter Einzelhändler, die Schwarz-Gruppe, hat deshalb die Mehrheit an einer israelischen IT-Sicherheitsfirma übernommen.

 

Seit Ausbruch der Corona-Krise sind solche Unternehmen vermehrt Ziel solcher Angriffe. Warum?

Nicht nur im Handel und der Logistik, auch in der industriellen Produktion schreitet die Digitalisierung in Form von Nutzung von Netzwerk- und Cloud-Technologien voran. Dort ist nahezu jedes Unternehmen auf eine offene und vernetzte Umgebung und Infrastruktur angewiesen. Dies stellt die IT-Abteilung vor große Herausforderungen: Zum einen muss sie die reibungslosen Prozesse abbilden können, sodass Arbeitsabläufe digital und auch in Krisenzeiten funktionieren und gleichzeitig die Performance des Unternehmensnetzwerks stabil bleibt. Zum anderen müssen Daten jederzeit sicher und geschützt sein und das unter Einhaltung von Security-Richtlinien auch außerhalb des Unternehmensnetzwerks, in der Cloud. Keine leichte Aufgabe. 

Mit der wachsenden Zahl unterschiedlichster Geräte in der Produktion, die aufs Netzwerk zugreifen, erhöhen sich die Sicherheitsrisiken, während die Übersicht im Netzwerk zunehmend verloren geht. Hinzu kommt mobiles Arbeiten in den Bereichen wie z. B. Produktionsplanung und Verwaltung, bei der ein oder mehrere Cloud-Anwendungen zum Einsatz kommen und extern auf Unternehmensressourcen zugegriffen wird. Die Nutzung von Cloud-Diensten generiert zwar einen Modernisierungsschub, erlaubt mobiles Arbeiten und steigert die Effizienz. Das darf jedoch nicht zu Lasten der IT-Sicherheit gehen.

 

Produktionsausfall oder leere Regale durch unzureichend geschütztes IT-Netzwerk

Gelangt ein Angreifer mit Hilfe einer Sicherheitslücke in diesem unübersichtlichen Geflecht ins Unternehmensnetzwerk, kann daraus Schaden entstehen. Es kommt zum Stillstand in der Produktion und damit zu Ausfällen. Ein Produktionsausfall beim Hersteller, der nicht schnell behoben oder abgefangen werden kann, führt daraufhin zur Verknappung der Ware, steigenden Preisen oder sogar zu leeren Regalen. Ein komplexes Logistiknetz, das Just-in-Time funktioniert, kann somit empfindlich gestört werde. Von einem anfänglichen lokalen Schaden in der IT sind auf diese Weise schnelle die Verbraucher und Kunden betroffen, wenn sie den alltäglichen Einkauf erledigen. „Üben Sie den Angriffsfall“ ist daher eine der zehn Botschaften vom Deutschen Logistik-Kongress. Dieser plädiert für ein – hoffentlich vorher festgelegtes – Notfallkonzept, um den Schaden zu begrenzen.

 

Lebensmittelversorgung als ein Teil kritischer Infrastruktur nach dem BSI-Gesetz

Um wichtige Bereiche unserer Gesellschaft zu Schützen gibt es eine Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz. Neben Energie, Wasser, Telekommunikation, Gesundheit, Transport und Verkehr, Finanz- und Versicherungswesen fällt auch der Sektor Ernährung unter diese Kritisverordnung.

„Wegen ihrer besonderen Bedeutung für das Funktionieren des Gemeinwesens ist im Sektor Ernährung die Versorgung der Allgemeinheit mit Lebensmitteln (Lebensmittelversorgung) kritische Dienstleistung im Sinne des § 10 Absatz 1 Satz 1 des BSI-Gesetzes. […] Die Lebensmittelversorgung wird in den Bereichen Lebensmittelproduktion und -verarbeitung sowie Lebensmittelhandel erbracht.“

Cyber-Resilienz: Dem Angriff standhalten

Um Cyberbedrohungen zu begegnen erfordert es ein anpassungsfähiges IT-Sicherheitssystem mit dynamischen Sicherheitsprozessen zu betreiben und falls doch mal etwas passiert, den Schaden möglichst einzudämmen. Diese Cyber-Resilienz als zentrales Leitbild innerhalb der IT-Strategie beschreibt die Fähigkeit eines Unternehmens, trotz widriger Umstände und Ereignisse in der Sicherheit ihrer Informations- und Kommunikationstechnik, kontinuierlich die beabsichtigten Ergebnisse zu erzielen. Gefahren und unerwünschte Ereignisse sollten bewusst akzeptiert werden, sodass auf Grundlage einer Security-Strategie Lösungen aufgebaut werden, die im Ernstfall schnell reagieren, um wieder zur vollen Leistung zurückkehren zu können.

Das kann beispielsweise dadurch geschehen, indem einem nicht konformen Gerät der Zugriff verweigert wird oder unbekannte oder verdächtige Endgeräte unter Quarantäne gestellt, also isoliert werden. Dadurch bleibt der Rest des Netzwerks und damit die Produktionsnetze geschützt. Andere, sichere Geräte dürfen weiterhin auf Unternehmensdaten und vorher definierte Ressourcen zugreifen. Die Produktion und Logistik kommen nicht zum Erliegen.

LAN- und WLAN-Zugänge werden mit dieser Funktion einer Netzwerkzugangskontrolle (Network Access Control = NAC) geschützt und mit dem Zero-Trust-Network-Access (ZTNA) erweitert. Dieser Zero-Trust, also Null-Vertrauen-Ansatz entspricht dem Grundgedanken, kein Vertrauen für Benutzer und Endgeräte, egal von wo aus und wohin sie zugreifen – lokal oder der Cloud.

 

Weiterführende Informationen und Links