Wie Cyberresilienz im Ernährungssektor gestärkt werden kann
Mit der Digitalisierung und Vernetzung technischer Systeme steigt die Verwundbarkeit von Unternehmen der Nahrungsmittelkette in Lebensmittelproduktion, -verarbeitung und -handel gegenüber Bedrohungen aus dem Cyberraum. Die Bedrohungslage für die IT-Sicherheit im Jahr 2023 war höher als je zuvor.
In der Landwirtschaft, die bisher nicht das Hauptziel ausgeklügelter Angriffe auf die Betriebstechnik war, könnten sich durch die rasche Digitalisierung der Betriebe vor allem Supply-Chain-Angriffe auf die Hersteller von Betriebstechnik oder externe Dienstleister künftig auf die Produktion und Lieferung von Lebensmitteln auswirken. In der Verarbeitung, der Logistik und im Handel, die über einen vergleichsweise höheren Digitalisierungsgrad verfügen und eine höhere Konzentration aufweisen, stellen vor allem Angriffe auf zentrale IT-Systeme, wie Warenwirtschaftssysteme, Lagerverwaltungssysteme und digitale Kassensysteme, eine Gefahr für die Versorgungssicherheit dar. Skalierte Angriffe über Softwareaktualisierungen und indirekte Angriffe auf einen externen IT-Dienstleister könnten sich als besonders schwerwiegend erweisen. Bisher sorgte die vergleichsweis hohe Fragmentierung des Ernährungssektors dafür, dass der Ausfall eines Anbieters bzw. eines Betriebs durch Cyberangriffe in den meisten Fällen keine gravierenden Folgen für die Versorgung der Bevölkerung hatte. Dies ändert sich im Zuge der Digitalisierung und weiteren Vernetzung von Systemen.
Der Sektor Ernährung gehört zu den kritischen Infrastrukturen, die besonders zu schützen sind. Im Hinblick auf die Informationssicherheit geschieht dies durch das BSI-Gesetz, das große Unternehmen im Ernährungssektor verpflichtet, ihre IT-Systeme nach dem Stand der Technik abzusichern. Allerdings sind gerade die Landwirtschaft und das Lebensmittelhandwerk stark von kleinen und mittleren Unternehmen geprägt, für welche die Verpflichtungen des BSI-Gesetzes bisher nicht galten. Mit der Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) wird nicht nur der Ernährungssektor auch auf europäischer Ebene als wichtiger Sektor anerkannt. Ihre Umsetzung in deutsches Recht (derzeit im Gesetzgebungsverfahren) bedeutet auch eine stärkere Verantwortung von externen Dienstleistern, Anbietern kritischer IT-Technik und Lieferanten, eine Ausweitung des Anwendungsbereichs der Cybersicherheitspflichten auf mittlere Betriebe und eine stärkere Fokussierung auf Lieferketten. Diese Maßnahmen dürften die identifizierten Risiken verringern.
Um das Risiko von Cyberangriffen auf eine Vielzahl kleinerer Betriebe und ihre Dienstleister zu reduzieren, wäre die Unterstützung freiwilliger Maßnahmen weiter zu fördern und der Wissenstransfer aus der Forschung in die unternehmerische Praxis sicherzustellen. Außerdem könnten Aufklärungs- und Informationskampagnen das Bewusstsein für zunehmende Bedrohungen durch Cyberangriffe in den Kleinst- und kleinen Unternehmen, die bisher weniger exponiert waren, stärken.
Im TAB-Arbeitsbericht Nr. 213 werden die Vulnerabilitäten der Nahrungsmittelversorgung in Deutschland vor dem Hintergrund möglicher Bedrohungen aus dem Cyberraum beleuchtet und Handlungsoptionen zur Stärkung der Cyberresilienz des Sektors skizziert.
Die wichtigsten Ergebnisse sind im vierseitigen TAB-Fokus Nr. 47 und dessen Webversion auf der Projektseite dargestellt.
Zum TAB-Bericht Nr. 213: Aufbauend auf einer kurzen Zusammenfassung der Digitalisierungstrends und einer Skizzierung der aktuellen Bedrohungslage sowie von zentralen künftigen Herausforderungen für die Cybersicherheit in Deutschland untersucht der Bericht, inwiefern von einer Gefährdungslage für die Versorgungssicherheit auszugehen ist und welche Angriffsszenarien eine besondere Bedrohung darstellen. Die Ergebnisse fußen sowohl auf einer empirischen Analyse vergangener Vorfälle als auch auf Expertenbefragungen. Es wurden insbesondere mögliche Risiken berücksichtigt, die sich bei einer Fortsetzung aktueller Digitalisierungstrends zuspitzen könnten. Dabei wurde insbesondere auf mögliche Angriffe mit disruptiven Folgen fokussiert und die Szenarien nach ihrem möglichen Hauptangriffsziel unterschieden: landwirtschaftliche Produktionssysteme, Verarbeitung, Logistik, Handel. Der Bericht leitet aus der Analyse zentrale Faktoren ab, die die Reichweite von Cyberangriffen bestimmen, und skizziert mögliche Handlungsoptionen für die künftige Gestaltung der Cybersicherheitspolitik im Ernährungssektor. |
10.10.2024
Download und weitere Informationen
- TAB-Arbeitsbericht Nr. 213
Cybersicherheit in der Nahrungsmittelversorgung (PDF)
doi:10.5445/IR/1000174915 - TAB-Fokus Nr. 47
Cybersicherheit in der Nahrungsmittelversorgung (PDF)
doi:10.5445/IR/1000174917 - TAB-Fokus no. 47
Cybersecurity in food supply (PDF)
doi:10.5445/IR/1000174918 - Projektseite (mit TAB-Fokus Nr. 47 - Webversion)