The deadline for submission of bids was 30 September 2022.

Cybersicherheit in der Nahrungsmittelversorgung

Gutachter/innen im Rahmen des gleichnamigen TA-Projekts gesucht
Dairy products against the background with safety technologiesRacool_studio & pikisuperstar / freepik.com (Collage)

Das TA-Projekts »Cybersicherheit in der Nahrungsmittelversorgung« zielt darauf ab, die Vulnerabilitäten der Nahrungsmittelversorgung in Deutschland vor dem Hintergrund möglicher Bedrohungen aus dem Cyberraum näher zu beleuchten. Hierfür sollen mögliche Schwachstellen entlang der Herstellungs- und Lieferketten identifiziert sowie die Frage erörtert werden, inwieweit gezielte Angriffe das Potenzial haben, die Nahrungsmittelversorgung zu gefährden.

Inhaltsübersicht

sprungmarken_marker_3462

Thematischer Hintergrund

Nicht zuletzt im Kontext des Krieges in der Ukraine befassen sich Entscheidungsträger/innen europaweit mit der Sicherheit der Nahrungsmittelversorgung. Im Vordergrund stehen bisher die Importabhängigkeit bei bestimmten Produkten und die steigenden Betriebsmittelkosten und Lebensmittelpreise. Darüber hinaus steigt mit der stetigen Digitalisierung und Vernetzung technischer Systeme die Verwundbarkeit von Unternehmen in der Nahrungsmittelkette gegenüber Bedrohungen aus dem Cyberraum. Im Mai dieses Jahres musste der Landtechnikkonzern AGCO infolge eines Ransomwareangriffs die Arbeit in seinen Produktionsanlagen einstellen. Im selben Monat deaktivierte der Hersteller John Deere per Fernsteuerung ukrainische Landmaschinen, die von russischen Truppen gestohlen worden waren. Ein Jahr zuvor wurde der weltweit größte Fleischverarbeiter JBS Foods von einem Cyberangriff betroffen, der zur vorübergehenden Schließung seiner Betriebe führte. Dies verdeutlicht, dass digitale Techniken in der Nahrungsmittelversorgung Ziel hybrider kriegerischer Auseinandersetzungen und Cyberstraftaten sind und es künftig noch stärker werden könnten.

Cyberangriffe auf Unternehmen in der Nahrungsmittelkette könnten gravierende Auswirkungen für die Bevölkerung haben. Folgerichtig gehört der Sektor Ernährung (Nahrungsmittelproduktion, -verarbeitung und -handel) zu den kritischen Infrastrukturen, die es besonders zu schützen gilt. Im Hinblick auf die Sicherheit in der Informationstechnik greift hier das BSI-Gesetz, das große Unternehmen im Ernährungssektor verpflichtet, ihre IT-Systeme nach aktuellem Stand der Technik abzusichern. Allerdings sind vor allem die Landwirtschaft und das Nahrungsmittelhandwerk stark von Familienbetrieben und kleinen und mittleren Unternehmen (KMU) geprägt, für welche die Verpflichtungen des BSI-Gesetzes (bisher) nicht gelten.

Ziel des TAB-Projekts ist es, die Vulnerabilitäten der Nahrungsmittelversorgung in Deutschland vor dem Hintergrund möglicher Bedrohungen aus dem Cyberraum näher zu beleuchten. Dabei soll die Resilienz ausgewählter Wertschöpfungsketten analysiert und deren Bedeutung für die Versorgung der Bevölkerung mit Nahrungsmitteln als Ganzes betrachtet werden. Hierfür sollen mögliche Schwachstellen entlang der gesamten Wertschöpfungs- und Lieferketten identifiziert sowie die Frage erörtert werden, inwieweit gezielte Angriffe das Potenzial haben, die Nahrungsmittelversorgung zu gefährden, und welcher Handlungsbedarf sich ggf. ergibt.

Leistungsbeschreibung der zu vergebenden Gutachten

Im Rahmen des TAB-Projekts sollen bis zu vier Gutachten vergeben werden, in denen der Stand und die Perspektiven der Digitalisierung im Ernährungssektor, die aktuelle und die zukünftige Bedrohungslage sowie mögliche Auswirkungen von Cyberangriffen auf einer oder mehreren Stufen der Wertschöpfungskette von Nahrungsmitteln untersucht werden:

  • Landwirtschaftliche Vorleistungen (v. a. Herstellung von Dünger, Pflanzenschutzmitteln, Saatgut, Futter)
  • Landwirtschaftliche Produktion
  • Nahrungsmittelhandel und -verarbeitung (weitere Erläuterungen siehe unten)
  • Lebensmitteleinzelhandel

Analysiert werden soll, inwiefern die Digitalisierung dieser Wertschöpfungsstufen und der sie verbindenden Logistik zu einer erhöhten Anfälligkeit für Störungen führen kann bzw. bereits geführt hat. Zu diesem Zweck soll neben einer Analyse der wissenschaftlichen Literatur eine empirische Erhebung durchgeführt werden, in welcher der Einsatz von Informations- und Kommunikationstechnik (IKT) entlang der Wertschöpfungskette, IKT-Risikoelemente und mögliche Auswirkungen plausibler Angriffsszenarien ausgewählter Nahrungsmittel erhoben und bewertet werden. Hierfür sollen folgende Analyseschritte durchgeführt werden:

  1. Überblick über die Wertschöpfungsstufe: Beschreibung der betrieblichen Prozesse, der Strukturierung, Organisation und Konzentration (u. a. Marktteilnehmer und Marktanteile, Anzahl Betriebe und Beschäftigte); Analyse der Interdependenzen mit anderen Sektoren.
  2. Bestandsaufnahme des aktuellen und des perspektivischen Einsatzes digitaler Lösungen in der jeweiligen Wertschöpfungsstufe in Deutschland: Beschreibung der Technologien, Verbreitungsgrad und Entwicklungstendenzen.
  3. Abschätzung des Grades der Abhängigkeiten betriebsinterner Prozesse von IKT: Bestimmung der kritischen IKT-Risikoelemente, Identifizierung von konkreten digitalen Anwendungen und Digitalisierungstendenzen, die bei einem Ausfall zu einer Verzögerung oder Unterbrechung der Versorgung führen würden.
  4. Entwicklung plausibler hypothetischer (aber realistischer) Angriffsszenarien auf Wertschöpfungs- bzw. Lieferketten der Nahrungsmittelindustrie und des Handels mit potenziell hohen Auswirkungen (z. B. Cyberangriff auf weit verbreitete Software in Landmaschinen, Ransomwareangriff auf große Einzelhandelsketten oder Molkereien, zeitgleiche Angriffe bzw. Störungen an verschiedenen Stellen in der Wertschöpfungskette) auf der Grundlage der Arbeitsschritte 1 und 2 und durch Auswertung bereits erfolgter Cyberangriffe im In- und Ausland sowie entsprechender Fachliteratur. Dabei sind sowohl erfolgreiche Angriffe als auch sogenannte »near misses« in die Analyse einzubeziehen.
  5. Untersuchungen der Auswirkungen plausibler disruptiver Szenarien auf die Ernährungsversorgung: Abschätzung der potenziellen Folgen und möglichen Reichweite des jeweiligen Cyberangriffs, unter Berücksichtigung von direkten und indirekten Effekten sowie kurz-, mittel- und langfristig auftretenden Wirkungen (z. B. große Lieferverzögerungen, Umsatzrückgänge sowie Produktionsausfälle, die sich auf die Auslastung der Belegschaft, Preise auf dem Weltmarkt oder auf die Wettbewerbsfähigkeit der Firmen auswirken). Verzahnungen mit vorgelagerten Bereichen wie Agrartechnik, Dünger- und Pflanzenschutzmittelproduktion und damit einhergehende mögliche Kaskadeneffekte sind ebenfalls zu berücksichtigen. Durchführung einer Expertenbefragung zur Erfassung der Responsivität auf Unterbrechungen und auf Störungen, Verwundbarkeiten und Bewältigungskapazitäten.

Aus dem Gutachten soll hervorgehen, welche Entwicklungstendenzen eine Bedrohung für die Ernährungssicherheit in Deutschland befördern können. Anhand der Erkenntnisse aus dieser Vulnerabilitätsanalyse sollen abschließend Ansatzpunkte für eine Stärkung der Resilienz des Ernährungssektors abgeleitet werden, die gemeinsam mit dem TAB (sowie voraussichtlich mit weiteren Akteuren) in einem Fachgespräch diskutiert werden. Die Konzeption und die Durchführung des Fachgesprächs sollen in Kooperation mit den Gutachterteams erfolgen.

Zum Gutachten zur Wertschöpfungsstufe »Nahrungsmittelhandel und -verarbeitung«

Die Analyse der Wertschöpfungsstufe »Nahrungsmittelhandel und -verarbeitung« sollte bevorzugt auf Beispiele aus folgenden Produktgruppen fokussieren:

  • Backwaren
  • Fleisch- und Fleischprodukte
  • Obst und Gemüse
  • Milch- und Milchprodukte

Kriterien für die Auswahl der zu untersuchenden Produkte sollten sein:

  • Grundnahrungsmittel: hoher Anteil am Gesamtkonsum der jeweiligen Produktgruppe/-sparte
  • empfindlich und zeitkritisch: bereits eine kurzzeitige Störung der Wertschöpfungskette gefährdet die (Weiter-)Verarbeitbarkeit und damit die Verfügbarkeit des Produkts für Endverbraucher/innen
  • wirtschaftliche Bedeutung für Deutschland: bedeutsame inländische Produktion oder große Teile der Wertschöpfungskette in Deutschland verortet
  • (vergleichsweise) hoher Grad der Digitalisierung betriebsinterner Prozesse

Bearbeitungsaufwand und Termine

Der vergütbare Bearbeitungsaufwand beträgt ca. 3 bis 5 Personenmonate pro (Teil-)Gutachten je Wertschöpfungsstufe. Angebote können für einzelne Gutachten je Wertschöpfungsstufe oder für die kombinierte Analyse mehrerer Wertschöpfungsstufen abgegeben werden.

Änderungen oder Konkretisierungen der Untersuchungsaspekte sind möglich und sollten ggf. zwischen TAB und potenziellen Auftragnehmer/innen im Rahmen der Angebotserstellung abgestimmt werden.

  • Abgabetermin für die Angebote ist der 30. September 2022.
  • Mit der Bearbeitung der Gutachten soll (voraussichtlich) am 14. November 2022 begonnen werden. Bis zum 28. Februar 2023 sind ausgearbeitete Szenarien vorzulegen. Die Gutachten sind bis zum 14. April 2023 fertigzustellen.
  • Ein Auftakttreffen mit allen Gutachtenteams soll voraussichtlich Ende November/Anfang Dezember 2022 im TAB stattfinden (je nach Pandemiesituation ggf. als Videokonferenz).

Das gemeinsame Fachgespräch ist für Mai 2023 vorgesehen.

Gutachtenvergabe und -erstellung zu den genannten Terminen erfolgen vorbehaltlich der rechtzeitigen Zustimmung bzw. Mittelbewilligung durch den Deutschen Bundestag.

Hinweise zur Angebotserstellung

Bei der Erarbeitung der Angebote sind die Hinweise für Gutachter/innen zu beachten. Insbesondere muss die Kompetenz der Anbieter/innen aus den Angeboten hervorgehen und es müssen die beabsichtigte Vorgehensweise und der erforderliche Bearbeitungsaufwand verdeutlicht werden. Die wissenschaftlichen Methoden zur Erarbeitung der behandelten Fragestellungen sowie ein Zeitplan sollen dargestellt werden.

Die Bereitschaft zur intensiven Diskussion und engen Kooperation mit dem TAB wird vorausgesetzt ebenso wie bei mehreren Auftragnehmern die Bereitschaft zur Zusammenarbeit untereinander.

Senden Sie uns zunächst eine elektronische Version Ihres Angebots zusammen mit dem ausgefüllten Formblatt (Word-Dokument zum Ausfüllen) an unsere E-Mail-Adresse buero does-not-exist.tab-beim-bundestag de. Nach unseren Erfahrungen müssen die eingehenden Angebote häufig inhaltlich, formal und kalkulatorisch überarbeitet werden. Sollten wir Ihr Angebot nach Prüfung durch uns in die engere Wahl ziehen und dem Deutschen Bundestag zur Vergabe vorschlagen wollen, werden wir Sie um eine entsprechende Modifizierung bitten.

Weitere Informationen und Downloads