Der Cyberangriff gegen Fleury Michon in Frankreich scheint alle Befürchtungen zu bestätigen: Die Unternehmen der Lebensmittelindustrie sind die neuen Ziele für Hacker. Das ist kein Zufall, denn es handelt sich dabei um strategische Unternehmen. Lagebeurteilung zu Herausforderungen, Risiken und Abwehr.
Am 15. April 2019, einem noch recht kühlen Montag im Frühling, kann Fleury Michon nach einem Cyberangriff, der seine Produktion fünf Tage lang lahmgelegt hatte, allmählich wieder durchatmen. „In der Nacht vom 10. auf den 11. April wurden die IT-Systeme von Fleury Michon von einem Computervirus angegriffen. Als Vorsichtsmaßnahme trennten wir alle Systeme vom Netzwerk, um eine Ausbreitung zu verhindern. Die Produktionsstätten und unser Logistikzentrum wurden am letzten Donnerstag, 11. April, um 14:00 Uhr abgeschaltet“, gab die Gruppe in einer Pressemitteilung bekannt.
Mehr konnte man weder über die Herkunft dieses Virus noch über die Art und Weise, wie er in das IT-System von Fleury Michon eindringen konnte, in Erfahrung bringen. Und auch nicht über die Schadenshöhe, nachdem die Betriebe fünf Tage lang stillstanden. „Die Auswirkungen, die derzeit noch beziffert werden, sind begrenzt und von einer entsprechenden Versicherung gedeckt“, wich die Gruppe Nachfragen aus. War damit die Geschichte beendet? Nicht ganz. Dieser Cyberangriff bestätigt das, wovor Kaspersky am Jahresanfang gewarnt hatte: Die Nahrungsmittelunternehmen könnten die neuen Ziele der Cyberangreifer sein. Und das ist sehr beunruhigend.
Professionell arbeitende und gut organisierte Cyber-Kriminelle
Das sind keine Script Kiddies! Die Cyberangreifer, die die Nahrungsmittelindustrie im Visier haben, agieren auf einem ganz anderen Level. „Diejenigen, die diese Branche angreifen, sind keine Anfänger. Angesichts der auf dem Spiel stehenden wirtschaftlichen und sanitären Interessen und der Governance-Herausforderungen haben wir es eher mit einer Gruppe von gut koordinierten Hackern oder gar einer mafiösen oder staatlichen Organisation zu tun“, warnt Robert Wakim, Offers Manager bei Stormshield.
Mit ganz präzisen Zielen. „Die Auswirkungen eines Angriffs können auf mehreren Ebenen zum Tragen kommen: Störung der betrieblichen Kontinuität, Schwächung des Verbrauchervertrauens, Schädigung des Images des Unternehmens, finanziell nachteilige Folgen für die Rentabilität, Hemmung der Innovation und direkte Einflussnahme auf die Wettbewerbsfähigkeit“, erläutert Tiphaine Leduc, die Leiterin der Mission Cybersicherheit bei Bretagne Développement Innovation, in einem Artikel, der in der „Revue de l’Observatoire des Industries AgroAlimentaires“ veröffentlicht wurde.
Da, wo früher ein Mensch mit eigenen Augen kontrollierte, wacht nun eine Maschine. Wenn man den Messsensor eines Silos ausreichend verstellt, kann man zum Beispiel dafür sorgen, dass er falsche Informationen über die enthaltene Weizenmenge weitergibt. Daraus folgt eine Kettenreaktion, die in mehrere Richtungen gehen kann: Ein Silo, von dem man annimmt, dass es leer ist – auch wenn es de facto voll ist –, wird eine Drosselung der Produktion auslösen, bis die Weizenlieferung eintrifft. Es kann aber auch Folgen für die Lieferungen haben, weil der LKW, der nicht entladen werden kann, voll wieder wegfährt und seine Tour nicht fortsetzen kann. Im umgekehrten Fall kann es dazu kommen, dass die Produktionsanlagen wegen eines Silos, das zu Unrecht als voll angenommen wird, leer laufen und dadurch beschädigt werden, weil sie ohne zu verarbeitendes Produkt überhitzen und eine Blockierung der gesamten Produktionskette droht. Das Ergebnis: Ertragseinbußen, aber auch ein Verlust von Glaubwürdigkeit.
Ganz zu schweigen von Angriffen, mit denen die Kontrolle über Automaten übernommen werden soll, um Rezepturen oder die Qualität eines Produkts zu verändern. „Wenn morgen jemand das Rezept meiner Limonade ändert und sie nicht schmeckt, wie sie soll, werden die Leute sie nicht mehr kaufen. Wenn jemand einen Sensor ändert und er nicht mehr in der Lage ist, ein Allergen oder ein gesundheitsschädliches Produkt zu erkennen, bringe ich meine Verbraucher in Gefahr. Und wenn meine Produktionskette verlangsamt ist oder stillsteht, kann ich die Nachfrage nicht mehr bedienen“, erklärt Robert Wakim.
Aber das ist noch nicht alles. Die Hacker können auch Börsenspekulationen zu Nahrungsmittelaktien oder Rohstoffen ausnutzen. „Es ist nicht auszuschließen, dass gewisse Personen gegen Eurofin gewettet hatten, deren Aktienkurs nach dem Cyberangriff deutlich zurückging“, fährt er fort. „Dies ist eine neue Form von Insidergeschäft.“
Der Nahrungsmittelsektor ist eine äußerst strategische Industrie
„Der Versuch, mittels Landwirtschaft oder Lebensmitteln Schaden anzurichten, ist nicht neu. Seit Jahrzehnten werden Angriffe durch biologische oder chemische Kontamination auf Vieh, Pflanzungen, Obst oder Gemüse aufgedeckt“, gibt Florian Bonnet, der Leiter des Produktmanagements bei Stormshield, zu bedenken. „Doch weil sie nicht besonders spektakulär ausfielen, waren diese Angriffe lange kein Anlass zu Sorge.“
Bis die Alliierten Tausende von wissenschaftlichen Dokumenten zur Landwirtschaft in den USA entdeckten, im Versteck eines gewissen… Osama Bin Laden. Nach den Anschlägen vom 11. September verstand Amerika sofort, dass Angriffe auf den Nahrungsmittelsektor schreckliche Folgen für das Leben der Menschen und die Wirtschaft des Landes haben können. Die WHO veröffentlichte daraufhin 2003 Empfehlungen für die Regierungen und die Akteure der Nahrungsmittelindustrie, und der damalige US-Präsident Barack Obama unterzeichnete 2011 das Gesetz „Food Safety Modernization Act“, das für die gesamte Ernährungskette gilt. Der Agro-Terrorismus, der vor fast einem Jahrhundert geboren wurde, tritt nun in die Ära des Cyber-Terrorismus ein.
Durch Angriffe auf seine Nahrungsmittelindustrie kann man ein ganzes Land schwächen.
Robert Wakim, Offers Manager Stormshield
Gewisse Lebensmittel werden sogar als „kritische“ Produkte betrachtet. In Frankreich gehören deshalb die Verwaltung des Wassers und die Nahrungsmittel zu den 12 Sektoren von grundlegender Bedeutung, die im Gesetz zum Verteidigungshaushalt aufgeführt sind. Und wer weiß, ob sich nicht auch bestimmte Landwirte unter den gelisteten 249 Akteuren von entscheidender Bedeutung (Opérateurs d’Importance Vitale/OIV) befinden? Wenn man weiß, dass der Gesundheitsbereich einen hohen Verbrauch von Stärke (aus Kartoffeln) hat, ist alles möglich.
„Diese Industrie ist fundamental für unser Überleben. Aber es ist auch eine globalisierte Industrie mit extremem Wettbewerb, die in den Händen von wenigen multinationalen Konzernen konzentriert ist, wobei es um eine Menge Geld geht. Diese Kennzeichen machen sie anfälliger als viele andere“, betont Robert Wakim. Wenn man diese Industrie angreift, greift man auch ein Land an. „Man kann ein Land schwächen, indem man seine Produktionskapazitäten zum Beispiel für ein bestimmtes Lebensmittel einschränkt. Dies trägt dazu bei, die gesamte Gesundheit des Landes zu schwächen, zuallererst die Ernährungssicherheit, aber auch die wirtschaftliche Gesundheit, vor allem wenn der anvisierte Landwirtschaftszweig für die Bevölkerung oder das BIP wesentlich ist.“
Zwangsläufig muss man bei diesen Feststellungen tief durchatmen. Ja, die Herausforderungen der Branche hinsichtlich der Cybersicherheit sind schwindelerregend. Was können wir also tun, um diese Industrie zu schützen, ohne ihre Aktivitäten zu bremsen?
Die gesamte Wertschöpfungskette sicher machen
Wie alle Industriezweige muss die Nahrungsmittelindustrie mit ihren eigenen Problemen fertig werden: „Eine wettbewerbsfähige Industrie bleiben, auf einem globalisierten Markt, auf dem die Innovation zum Alltag gehört und die Ernährungssicherheit absolute Priorität hat“, erinnert Tiphaine Leduc.
Wie alle Industrien ist sie durch ihre Kettenorganisation anfällig. Vom Erzeuger bis zum Verbraucher kreuzen sich verschiedene Akteure (von der Ernte über die Verarbeitung bis zum Vertrieb), die unterschiedliche Niveaus von Cybersicherheit haben. Das Problem: Jedes Glied der Kette gewährleistet seine eigene Cybersicherheit. Wenn ein einziges Glied ausfällt, kann die ganze Kette gefährdet sein.
„Die Supply Chain führt zu einer Konzentrierung der Risiken: Durch die Automatisierung entstehen neue Einfallstore, die, wenn sie nicht von Anfang an eindeutig identifiziert wurden, zu Hintertüren werden können“, betont Robert Wakim weiter. Laut ihrem Beauftragten für digitale Sicherheit Ile de France, Patrice Bigeard, stellte die französische Behörde für Informationssicherheit ANSSI 2018 bei einer Veranstaltung des Anbieters von Virenschutz-Programmen ESET einen Rückgang der Angriffe auf die Akteure von entscheidender Bedeutung (OIV) und einen Anstieg der Angriffe auf... ihre Dienstleister fest!
Um dem vorzubeugen, wurden zahlreiche Kontrollen eingeführt und Empfehlungen umgesetzt. 2017 veröffentlichte die französische Normungsbehörde AFNOR eine Aktualisierung des „Methodologischen Leitfadens der Food Defense“ in einer Partnerschaft mit zahlreichen Akteuren des Nahrungsmittelsektors einschließlich der Versicherer. Anzuführen sind auch der Leitfaden für IT-Hygiene „Guide d’hygiène informatique“ und die Empfehlungen zur Cybersicherheit für Industriesysteme „La cybersécurité des systèmes industriels“, die von der ANSSI herausgegeben werden.
Stärkung der Schutzsysteme an den Arbeitsstationen
Schutzsysteme an den Arbeitsplätzen, für die Netzwerke oder auch für die Daten sind unentbehrlich. Für die Akteure von entscheidender Bedeutung (OIV) gibt es sogar eine besondere Schutzpflicht. „Der erste Schutz ist die Verbesserung seiner digitalen Hygiene“, betont Robert Wakim. „Dies umfasst insbesondere die Aktualisierungen aller Tools und gute Gewohnheiten intern. Außer dem Aufbau einer Cybersicherheitskultur im Unternehmen müssen auch die Schutzsysteme der Arbeitsstationen – vor allem der Stationen, zu denen nicht zur Abteilung gehörende Personen wie Dienstleister Zugang haben, – verstärkt werden. Und natürlich braucht man einen Netzwerkschutz rund um Funktionen wie Segmentierung, Filterung oder Steuerungen ...“
Einige Akteure haben sich entschlossen, mit gutem Beispiel voranzugehen. Nachdem sie ein Ziel von „Zwischenfällen“ war, die rechtzeitig gestoppt werden konnten, hat die landwirtschaftliche Genossenschaft Triskalia kürzlich eine Präventionsstrategie zur Cybersicherheit eingeführt, die alle ihre Mitarbeiter, alle Aktivitäten und alle Betriebe umfasst. „Alle Mitarbeiter, die Mitglieds-Landwirte der Genossenschaft, die Lieferanten und die Kunden sind sensibilisiert“, präzisiert Denis Saout, Gesamtverantwortlicher für Informationssicherheit (CISO) der Genossenschaftsgruppe, die 4.800 Mitarbeiter hat.
Denn man darf die allgemeine Problematik der Cybersicherheit nicht vergessen: Ein Angriff wird immer auf das schwächste Glied zielen. „Alle Sicherheitsniveaus müssen ungefähr mit derselben Geschwindigkeit erhöht werden“, betont Robert Wakim. „Es nützt nichts, wenn man an einem Zaun um ein Feld eine gepanzerte Tür anbringt. Cyberschutz besteht in der Fähigkeit, seine Verteidigung nach allen Seiten zu stärken.“
Auch wenn das Thema Unruhe oder Angst erzeugt, müssen die Unternehmen sich mit dem Gedanken auseinandersetzen, dass sie eines Tages das Ziel eines Hackerangriffs sein könnten. Für Florian Bonnet gilt: „Der nächste Schritt ist dann, an seine Cyber-Resilienz zu denken, das heißt die Fähigkeit, nach einem Angriff wieder aufzustehen, um seine Tätigkeit so schnell wie möglich wieder aufzunehmen. Dafür sind umfangreiche und grundlegende Arbeiten zur Kontrolle der laufenden Anlagen erforderlich (Zustand, Alter, internes Sicherheitsniveau). Das bedeutet, dass man grundsätzlich davon ausgeht, dass man eines Tages Ziel eines Angriffs sein wird und dessen Folgen antizipieren muss (keine, geringe, weitgehende oder kritische Folgen). Ein Unternehmen muss in der Lage sein, jede dieser Folgen zu managen. Bewertet werden sie nicht in Ausfalltagen, sondern in Umsatzverlusten.“
Und vergessen Sie nicht, Ihr gesamtes Ökosystem einzubeziehen und von Ihren Dienstleistern zu verlangen, dass sie für denselben Grad von Cybersicherheit sorgen wie Sie. Denn in einer Kette zum Schutz der Cybersicherheit wird immer das schwächste Glied zuallererst angegriffen.