18.11.2024
Interview zur Cybersicherheit im Wandel: Wie NIS-2 Unternehmen herausfordert und stärkt
Cyberangriffe auf die Agrar- und Ernährungswirtschaft nehmen spürbar zu und bedrohen zunehmend Produktions- und Lieferketten. Jüngste Analysen zeigen, dass bereits über zwei Drittel der Unternehmen in diesem Sektor Ziel solcher Angriffe waren, was zu ersten Engpässen in der Versorgung führte. Die fortschreitende Digitalisierung und Vernetzung entlang der gesamten Wertschöpfungskette eröffnen dabei immer neue Angriffsflächen, die Cyberkriminelle zunehmend mit KI-gestützten Strategien ausnutzen. Vor diesem Hintergrund wurde die europäische NIS-2-Richtlinie Anfang 2023 eingeführt, um die Widerstandsfähigkeit der Branche zu stärken. Die Umsetzung ins deutsche Recht, die für das Frühjahr 2025 erwartet wird, soll das Cybersicherheitsniveau nun entscheidend anheben und die Branche wirksam schützen.
Luise Niebisch, AFC Risk & Crisis Consult befragt Daniel Schaetzler, CIO der Bonn Consulting Group darüber, welche Anforderungen auf die Agrar- und Lebensmittelbranche zukommen und worauf sich Unternehmen einstellen können. In einem exklusiven Interview teilt Schaetzler seine Einschätzungen zur neuen NIS-2-Richtlinie und gibt wertvolle Einblicke in die Herausforderungen, die diese für die Ernährungswirtschaft mit sich bringt.
Niebisch: Was kommt mit der NIS-2-Richtlinie auf die Agrar- und Lebensmittelbranche zu und welche Hauptveränderungen bringt die NIS-2-Richtlinie im Vergleich zur bisherigen Gesetzgebung?
Schaetzler: Unternehmen der Agrar- und Lebensmittelbranche ab einer bestimmten Größe unterliegen durch NIS-2 einer erweiterten Pflicht zur Wahrung, Dokumentation und Meldung von Cybersicherheits-Themen. Dies ist neu. Während zuvor (unter „NIS-1“ bzw. dem KritisDG) vor allem Energieversorger erhöhten Sicherheits- und Melderegularien unterworfen waren, wurde der Kreis der betroffenen Branchen durch NIS-2 deutlich erweitert.
NIS-2 unterscheidet zwischen „besonders wichtigen Infrastrukturen“ (wie beispielsweise Energieversorgern) und „wichtigen Infrastrukturen“, zu denen auch die Agrar- und Lebensmittelbranche gehört. Für letztere sind die Anforderungen deutlich geringer als für die „besonders wichtigen“. Energieversorger sind beispielsweise durch die Regulierung von „NIS-1“/KritisDG bereits sehr gut vorbereitet, während die Regulierung für die Agrar- und Lebensmittelbranche nahezu komplett neu ist. Auch in unserer Branche gab es in der Vergangenheit Bestrebungen seitens der Verbände, die Cybersicherheit zu standardisieren – jedoch ohne verpflichtenden Charakter. Das hat sich durch NIS-2 nun geändert.
Nunmehr muss der eigene Stand der Cybersicherheit im Unternehmen dokumentiert werden, einschließlich der Zusammenarbeit mit anderen Unternehmen sowie der genutzten Verfahren und Software. Ferner sind Meldeketten zu etablieren, sowohl für die Übermittlung als auch den Empfang. Die genaue Umsetzung von NIS-2 in Deutschland ist derzeit noch nicht abschließend geklärt, das Inkrafttreten ist jedoch für März 2025 vorgesehen.
Die EU-Verordnung stellt zudem eine Haftung der Geschäftsleitung für die Nichteinhaltung der Vorgaben in Aussicht. Die entsprechende Rechtsverordnung für Deutschland liegt jedoch noch nicht vor. Voraussichtlich wird die Haftung vor allem die Dokumentations- und Meldepflichten betreffen. Eine Haftung für systemische Risiken wird voraussichtlich nicht Bestandteil der Regelungen sein. So wird beispielsweise eine durch einen Angreifer ausgenutzte Schwachstelle eines Software-Anbieters nicht zum Haftungsfall führen.
Die generellen Anforderungen an die Dokumentationspflicht lassen sich in § 30 des NIS2UmsuCG-Entwurfs (20/13184) nachlesen. Wie diese Dokumentations-, Registrierungs- und Meldepflichten konkret umzusetzen sind und in welchem Umfang, bleibt jedoch bislang unklar. Dafür ist das BSI verantwortlich.
Es lässt sich also feststellen, dass trotz der großen Aufmerksamkeit für NIS-2 weder die konkreten Anforderungen noch die Mittel zu ihrer Umsetzung oder ein belastbarer rechtlicher Rahmen vorliegen.
Welche Arten von Cyber-Bedrohungen sind Ihrer Ansicht nach besonders relevant für die Agrar- und Lebensmittelbranche?
Grundsätzlich gibt es zwei verschiedene Motivationen für Angriffe:
- 1. Kriminelle Organisationen mit dem Ziel einer Lösegeld-Erpressung (sog. Ransomware-Angriffe)
- 2. Politisch-motivierte Angriffe mit dem Ziel der Sabotage kritischer Infrastrukturen. Diese Angriffe tarnen sich oft als Ransomware-Angriffe.
Beide Szenarien führen, grob gesagt, zu den gleichen Ergebnissen: Das Unternehmen ist entweder nicht mehr oder nur noch in begrenztem Maße in der Lage, seine Aufgaben innerhalb der Wertschöpfungskette zu erfüllen. Während bei kriminellen Angriffen die (rechtlich umstrittene) Zahlung eines Lösegeldes eine gewisse, wenn auch begrenzte, Chance bieten kann, wieder in den „Besitz“ der eigenen IT zu kommen, wird die Zahlung bei Sabotage-Akten in der Regel nichts an der Situation verändern.
Doch was sind nun die speziellen Herausforderungen der Agrar- und Lebensmittelbranche?
Die Agrar- und Lebensmittelbranche als produzierende Branche setzt zahlreiche OT-Komponenten ein, beispielsweise zur Prozessautomatisierung und Maschinensteuerung. Obwohl die Hersteller dieser Anlagen in den letzten Jahren viel in die Absicherung investiert haben, sehe ich in diesem Bereich nach wie vor das größte Risiko. Für ein KMU als Nutzer dieser Komponenten ist es nahezu unmöglich, die daraus entstehenden Risiken zu mitigieren. Wir sind in dieser Hinsicht nahezu vollständig auf die Hersteller angewiesen.
NIS-2 erzwingt den Dialog mit den Herstellern in Bezug auf Cybersecurity. Es bleibt zu hoffen, dass durch NIS-2 die IT- und OT-Sicherheit bei den Herstellern (noch) höher priorisiert wird.
Einen weiteren Angriffsvektor möchte ich nicht unerwähnt lassen: Die Sabotage von Anlagen vor Ort. Klassische Sabotageakte, wie etwa die Herbeiführung eines Brandes, lassen sich relativ schnell erkennen. Cyber-Sabotage, die auf dem Firmengelände stattfindet, ist hingegen deutlich schwieriger zu identifizieren beziehungsweise forensisch nachzuvollziehen.
An diesem Beispiel erkennt man, wie wichtig das Zusammenspiel von Objektschutz und IT-Schutz ist.
Wie könnte die NIS-2-Richtlinie die Sicherheit und Resilienz der Lieferketten in der Agrar- und Lebensmittelbranche verbessern?
Die Intension von NIS-2, Lieferketten resilienter gegenüber Cyber-Angriffen zu gestalten, ist ganz klar eine gesamtgesellschaftliche Aufgabe.
Das bedeutet, dass potenzielle Bedrohungen frühzeitig erkannt werden, um die betroffenen Lieferkettenteilnehmer rechtzeitig zu warnen. Daraus lässt sich die Gesamtbedrohungslage für die Volkswirtschaft ableiten, im konkreten Fall auch für die Daseinsvorsorge im Lebensmittelbereich. Auf dieser Grundlage können dann entsprechende Maßnahmen vor und während der Krise entwickelt werden.
Durch diese zentral orchestrierten Aufgaben wird die Resilienz der Lieferkette gestärkt und somit auch die Sicherheit ihrer Teilnehmer. In Bezug auf die IT-Sicherheit werden Lieferketten „top-down“ transparent, sodass (potenzielle) Schäden und deren Ausmaß schnell erfasst und bewertet werden können. Einzelne Unternehmen in der Lieferkette werden durch die Umsetzung von NIS-2 frühzeitig gewarnt und können daher zügig schadensminimierende Maßnahmen initiieren.
Eine (in Kauf zu nehmende) Schwachstelle von NIS-2 besteht darin, dass die Richtlinie als solche zwar EU-Gesetz ist, die konkrete Umsetzung jedoch den einzelnen Mitgliedstaaten überlassen wurde. Im Einzelfall kann dies dazu führen, dass ich als deutscher Lebensmittelhersteller in Bezug auf meine Meldekette gut aufgestellt bin, während mein EU-Zulieferer – je nach länderspezifischer Umsetzung der Richtlinie – erhebliche Defizite aufweist.
Welche Herausforderungen sehen Sie bei der Umsetzung der NIS-2-Richtlinie in kleinen und mittelständischen Unternehmen der Agrar- und Lebensmittelbranche?
NIS-2 bedeutet vor allem einen erhöhten Dokumentationsaufwand und verlangt zudem die Einrichtung strukturierter Meldeketten. Für kleinere Unternehmen stellt die Umsetzung von NIS-2 daher eine nicht zu unterschätzende Herausforderung dar. Unternehmen, die bereits belastbare Prozessmodelle sowie Notfall- und Geschäftsfortführungspläne implementiert haben, dürften hier klar im Vorteil sein.
Wir hoffen, dass die Umsetzung der Gesetzgebung durch das BSI die Einführung von NIS-2 so einfach wie möglich gestaltet. Gleichzeitig bietet das Gesetz aber auch eine Chance, sich auf strukturierte Weise mit den Themen Cybersecurity und Resilienz auseinanderzusetzen.
Wie schätzen Sie die zukünftige Entwicklung der Cybersicherheitslandschaft in der Agrar- und Lebensmittelbranche in den nächsten fünf bis zehn Jahren ein?
Die Agrar- und Lebensmittelbranche wurde nicht ohne Grund im Rahmen von NIS-2 als KRITIS anerkannt. Angesichts der aktuellen (global-)politischen Lage müssen wir in Zukunft mit verstärkten Angriffen auf die Wertschöpfungskette der Branche rechnen – eine Bedrohung, die durch die zunehmende Digitalisierung noch kritischer wird. Angriffe werden dabei stets am schwächsten Glied der Kette ansetzen. Das bedeutet, dass sich auch kleine und mittlere Unternehmen mit dem Thema Cybersicherheit auseinandersetzen müssen.
Obwohl NIS-2 sinnvolle Anforderungen stellt, wünsche ich mir an dieser Stelle auch Unterstützung bei der Umsetzung der Anforderungen seitens staatlicher Stellen. Wie bereits erwähnt, ist NIS-2 eine gesamtgesellschaftliche Aufgabe, und es sollte nicht sein, dass die Verantwortung vollständig auf die ohnehin bereits belasteten Wirtschaftsteilnehmer abgewälzt wird.
Aus dem Interview mit Daniel Schaetzler wird deutlich, wie unverzichtbar es ist, Cybersicherheit in der Agrar- und Lebensmittelbranche als integralen Bestandteil der Unternehmensstrategie zu verstehen. Es bleibt abzuwarten, inwieweit die Unternehmen in der Lage sind, die notwendigen Anpassungen zügig und effektiv umzusetzen, um sich nachhaltig gegen die zunehmenden Bedrohungen abzusichern.
AnsprechpartnerIn
- Luise Niebisch
Analyst, luise.niebisch@afc.net - Daniel Schaetzler
Chief Information Officer, daniel.schaetzler@bonnconsulting.group