TXOne Networks: Cybersicherheit für die Lebensmittelindustrie
Immer mehr IT-Lösungen werden in der Lebensmittelindustrie eingesetzt, um Produktionslinien zu optimieren, Qualität und Effizienz zu steigern und die hohen Anforderungen der Verbraucher an die Lebensmittelsicherheit zu erfüllen. Im Zuge der digitalen Transformation der Lebensmittelindustrie ist jedoch die Cybersicherheit zu einem dringenden Problem geworden, da Cyberkriminelle zunehmend die Lebensmittellieferkette ins Visier nehmen. OT Cybersecurity-Anbieter TXOne Networks erläutert die Bedeutung der Cybersicherheit und die Rolle der von der Europäischen Union erlassenen neuen EU NIS 2-Direktive für die Lebensmittelbranche.
Cybersicherheit der Lebensmittellieferkette bedroht
Obwohl die nationale Lebensmittellieferkette zu den kritischen Infrastruktursektoren gehört und ein wichtiger Bestandteil der NIS2-Direktive der EU ist, wird die Cybersicherheit in diesem Bereich im Vergleich zu anderen Branchen, wie der Luftfahrt oder den Stromnetzen, oft in den Hintergrund gestellt. Ein Grund für diese geringere Aufmerksamkeit für Schwachstellen und potenzielle Cyberbedrohungen ist die Tatsache, dass die industrielle Automatisierung bisher überwiegend reibungslos verlaufen ist und damit einen Präzedenzfall geschaffen hat. Jetzt aber droht Ungemach.
- Modernisierung der Cybersecurity hinkt der Digitalisierung hinterher
Die Lebensmittel- und Agrarindustrie ist auf ein hohes Maß an Automatisierung angewiesen, um niedrige Preise und eine stabile Versorgung zu gewährleisten. Die Abhängigkeit von dieser Technologie schreitet jedoch schneller voran als die Modernisierung der Cybersicherheit. Somit haben kriminelle Organisationen begonnen, verschiedene Möglichkeiten zu nutzen, um die Lebensmittellieferkette digital anzugreifen und zu infiltrieren. Bei der Cyberabwehr muss beachtet werden, dass IT und Cybersicherheit unterschiedliche Bereiche sind, die unterschiedliche Strategien und Fähigkeiten erfordern. Auch kleine und mittlere Unternehmen (KMU) müssen sich darüber im Klaren sein, dass sie ein Hauptziel für Cyberangriffe sind und sich bei der Cybersicherheit nicht ausschließlich auf externe IT-Dienstleister verlassen sollten. Darüber hinaus führt die Verflechtung moderner und älterer Systeme häufig zu Sicherheitslücken, während Sparmaßnahmen notwendige Systemaktualisierungen und -aufrüstungen behindern können.
- Der Mythos der lückenlosen ICS/OT-Netzwerke
Im Allgemeinen wird angenommen, dass Lebensmittelproduktionssysteme vom Internet isoliert und somit vor der Bedrohung durch Cyberangriffe geschützt sind. Dies hat sich jedoch als falsches Sicherheitsgefühl erwiesen, da Angreifer bestimmte zeitlich begrenzte Gelegenheiten (z. B. Fernwartung) und Fehlkonfigurationen ausnutzen, Mitarbeiter oder Auftragnehmer dazu verleiten, gefälschte Software-Updates und Patches zu installieren, oder bösartige Software über USB-Laufwerke in das industrielle Netzwerk einschleusen können. Wie der REvil-Ransomware-Angriff gezeigt hat, brauchen Angreifer nicht unbedingt direkten Zugang zu diesen Produktionssystemen, um die Produktion anzuhalten. Sie können sich zunächst Zugang zu Unternehmensnetzwerken verschaffen oder Systeme von Serviceanbietern ausnutzen und dann auf OT/ICS-Netzwerke übergreifen, um dieses Ziel zu erreichen.
- Anfälligkeit von Altsystemen
Lebensmittelverarbeitungssysteme stützen sich häufig auf ältere Softwareplattformen, von denen einige über 20 Jahre alt sind und veraltete Codes enthalten, die nicht aktualisiert oder gepatcht werden können. Diese Situation erhöht die Anfälligkeit der Lebensmittelindustrie, da sie Angreifern mehr Möglichkeiten bietet, diese Schwachstellen auszunutzen. Es ist von entscheidender Bedeutung, dass die Akteure der Lebensmittellieferkette diese Herausforderungen anerkennen und angehen, um ein sichereres Umfeld für die Infrastruktur der Lebensmittelindustrie zu schaffen und damit die Sicherheit und Stabilität der Lieferkette zu gewährleisten.
EU-Direktive NIS2 regelt die Umsetzung der Cybersicherheit
Bisher waren die Regularien der NIS-Direktive auf sieben Sektoren beschränkt: Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasserversorgung und digitale Infrastrukturen. Angesichts der sich verändernden Bedrohungsszenarien hat die NIS2-Richtlinie der EU ihren Anwendungsbereich erweitert, um (i) die Lebensmittelproduktion, (ii) die Lebensmittelverarbeitung und (iii) die mit dem Lebensmittelvertrieb verbundenen Dienstleistungen als wichtige Bereiche anzuerkennen und damit die Lebensmittelindustrie formell als regulierten Sektor aufzunehmen. Im Rahmen der NIS2-Anforderungen werden Lebensmittelunternehmen und andere regulierte Dienstleistungsanbieter die folgenden Sicherheitsmaßnahmen anwenden müssen:
- Registrierung
Unternehmen der Lebensmittelbranche müssen sich innerhalb einer bestimmten Frist bei den nationalen Regulierungsbehörden anmelden und registrieren lassen, nachdem sie die festgelegten Standards erfüllt haben. Im Allgemeinen lassen die EU-Mitgliedstaaten Selbstregistrierungsmechanismen zu, bei denen die Unternehmen Angaben wie Name, Branche, Adresse und aktuelle Kontaktinformationen (einschließlich E-Mail, IP-Bereich, Telefonnummer usw.) machen müssen.
- Maßnahmen zum Cybersecurity-Risikomanagement
Artikel 21 der NIS2-Bestimmungen verlangt von Lebensmittelunternehmen, dass sie Cybersicherheitsrisiken in Bezug auf Netzwerke und Informationssysteme, die zur Erbringung von Dienstleistungen oder zur Aufrechterhaltung des Betriebs verwendet werden, mithilfe geeigneter und verhältnismäßiger technischer, betrieblicher und organisatorischer Maßnahmen verwalten. Die Unternehmen müssen auch die Implementierungskosten und die entsprechenden europäischen und internationalen Cybersicherheitsstandards berücksichtigen und dabei idealerweise den Grundsatz der Verhältnismäßigkeit einhalten, um unangemessene wirtschaftliche Belastungen zu vermeiden.
- Störungsmeldung
Die EU hatte bereits in Artikel 23 der NIS1-Richtlinien eine Meldepflicht für sicherheitsrelevante Vorfälle festgelegt und in Artikel 24 Absatz 1 bekräftigt, dass Betreiber kritischer Dienste (OES - Operators of Essential Services) alle wesentlichen Vorfälle, die die Verfügbarkeit, Vertraulichkeit, Integrität oder Authentizität des Netzes und der Informationssysteme, auf denen diese Services beruhen, beeinträchtigen, unverzüglich melden sollten. Durch die Übernahme der Bestimmungen der NIS1-Regularien sind Lebensmittelunternehmen, die neu als systemkritische Einrichtungen eingestuft werden, nun verpflichtet, alle Vorfälle, die sich erheblich auf ihre Dienstleistungen auswirken, unverzüglich zu melden.
Sichere Lebensmittellieferketten
Wie in der NIS2-Richtlinie festgelegt, muss die Lebensmittelindustrie möglicherweise größere Anstrengungen im Bereich der Cybersicherheit unternehmen. Denn die Unternehmen in diesem Sektor können Maßnahmen ergreifen, um sich vor Bedrohungen zu schützen. So können an der Lebensmittellieferkette beteiligte Unternehmen ihre Cybersicherheitsmaßnahmen verstärken und die NIS2-Konformität durch die folgenden ganzheitlichen Ansätze optimieren:
- Sicherheit der Lieferkette
Eine der größten Bedrohungen in OT (Operational Technology) -Umgebungen geht von externen Lieferanten, Auftragnehmern und Produktionsanlagen aus. Daher ist es von entscheidender Bedeutung, diese regelmäßig zu überprüfen, bevor neue und externe Geräte in die Produktionslinie integriert werden- und dies gilt sogar außerhalb der Produktionslinie. Dank der Unterstützung von Compliance-Prüfungen auf jedem Produktionsgerät vor dessen Bereitstellung, einschließlich der Erkennung installierter Softwareanwendungen auf den Anlagen, des Vorhandenseins von Malware und der Identifizierung offener Internet-Ports im Netzwerk, können Unternehmen Angriffe auf die Lieferkette verhindern, bevor sie beginnen.
- Endgeräte-Erkennung und Abwehrmaßnahmen
Ein speziell auf OT/ICS (Industrial Control System) -Umgebungen zugeschnittener Endgeräteschutz ist entscheidend für die Erkennung bösartiger Cyberaktivitäten und die Sicherstellung der Netzwerkintegrität, um den ununterbrochenen Betrieb von OT/ICS-Geräten und physischen Systemen zu gewährleisten.
- Netzwerk-Segmentierung
Durch die Trennung von Produktions- und Geschäftsnetzwerken und die Aufteilung des Produktionsnetzwerks in kleinere Teile können Cybersecurity-Manager die Sicherheit erhöhen und kritische Produktionsvorgänge schützen. Logischerweise ermöglicht diese Unterteilung eine teilweise Isolierung der kritischen Infrastruktur des Unternehmens, wenn in einem anderen Teil des Netzwerks verdächtige Aktivitäten festgestellt werden. Wie bereits erwähnt, kann auch eine segmentierte Infrastruktur von Malware betroffen sein, die in einen Teil des Netzwerks eingeschleust wird, z. B. bei einem Software-Update. Durch die Segmentierung kann jedoch verhindert werden, dass sich die Malware im gesamten Unternehmen ausbreitet. Die Netzwerkschutzlösungen von TXOne unterstützen die Netzwerksegmentierung und -abtrennung, indem sie das Netzwerk in verschiedene Kontrollzonen unterteilen.
- Netzwerk-Überwachung
Klare Sichtbarkeit bzw. Transparenz ist entscheidend für eine starke ICS-Sicherheit. Eine zentralisierte Netzwerküberwachungs- und -steuerungslösung ermöglicht ein Management der Verteidigungslinien und einen klaren Überblick über alle installierten ICS-Anlagen, einschließlich ihrer Konnektivität und ihres Sicherheitsstatus, mit Echtzeitwarnungen und Störungsmeldungen.
- Sicherer Fernzugriff
Viele Cyberangriffe erfolgen möglicherweise über Fernzugriff. Daher wird Unternehmen empfohlen, alle nicht genutzten RDP-Ports (Remote Desktop Protocol) zu deaktivieren, um Sicherheitslücken zu verringern, und Fernzugriffs- und RDP-Protokolle ständig zu überwachen, um verdächtige Aktivitäten sofort zu erkennen und darauf zu reagieren. Darüber hinaus sollten Unternehmen nur sichere Netzwerkverbindungen nutzen und zum Beispiel die Installation und Nutzung von Virtual Private Networks (VPNs) in Betracht ziehen, um einen sicheren Fernzugriff zu gewährleisten. So kann etwa die EdgeFire Lösung von TXOne sichere Site-to-Site-VPNs mit Fernzugriffsfunktionen einrichten und so OT-Netzwerke vor unbefugtem Zugriff oder Abhören schützen.
- Schwachstellen-Management
Wenn Sicherheitslücken in Computersystemen und Software festgestellt werden, bieten die Anbieter regelmäßig Patches und Updates an, um ihre Kunden zu schützen. Es ist wichtig, Updates/Patches für Betriebssysteme, Software und Firmware sofort nach ihrer Veröffentlichung zu installieren. Wenn das Unternehmen die Systeme aus Gründen der Produktionsverfügbarkeit nicht sofort aktualisieren kann, empfiehlt es sich, stattdessen virtuelle Patches zu implementieren.
- Berechtigungsmanagement und Passwortstrategie
Lebensmittelunternehmen sollten in allen möglichen Bereichen eine Multifaktor-Authentifizierung (MFA) einsetzen, die durch robuste Passwortstrategien ergänzt wird, um die Kontosicherheit zu erhöhen. Darüber hinaus ist es von entscheidender Bedeutung, administrative Privilegien sorgfältig zuzuweisen und zu kontrollieren. So sollten beispielsweise nur Benutzer mit administrativen Rechten neue Software installieren dürfen und bei den Zugriffsrichtlinien das Prinzip der geringsten Privilegien angewandt werden, um die Risiken interner und externer Bedrohungen zu verringern.
- Sicherstellung der Geschäftskontinuität
In der Lebensmittelbranche haben sich Ransomware-Angriffe zu einem ernsten Problem entwickelt. Sie werden von Cyberkriminellen vorangetrieben, die speziell entwickelte bösartige Software einsetzen, um Unternehmen am Zugriff auf ihre wichtigen Datenressourcen zu hindern. Diese Angreifer untergraben die Betriebskapazität von Lebensmittelherstellern, indem sie ihren Zugang zu den wichtigsten Geschäftssystemen einschränken und so die Wahrscheinlichkeit erhöhen, Lösegeldzahlungen zu erhalten. Um solche Angriffe abzuwehren, müssen Unternehmen verstärkte Strategien zum Schutz und zur Wiederherstellung von Daten anwenden. Ein Eckpfeiler dieser Strategie ist die Einrichtung einer Backup-Lösung, bei der regelmäßig aktuelle Datenkopien erstellt und isoliert werden, damit sie nicht zur Zielscheibe von Angreifern werden. Diese Backups sollten von den Originaldateien strikt isoliert sein, damit sie bei einem Ransomware-Angriff nicht beschädigt werden. Darüber hinaus sollte während der Datensicherungs- und -übertragungsprozesse ein sicherer Mechanismus vorhanden sein, um eine durchgehende Datenintegrität zu gewährleisten.