Cybersicherheit in der Nahrungsmittelproduktion

Thematischer Hintergrund

Nicht zuletzt im Kontext des Krieges in der Ukraine befassen sich Entscheidungsträger/innen europaweit mit der Sicherheit der Ernährungsversorgung. Im Vordergrund stehen Importabhängigkeit bei bestimmten Produkten und die steigenden Betriebsmittelkosten und Lebensmittelpreise. Mit der Digitalisierung und Vernetzung technischer Systeme steigt aber zugleich die Verwundbarkeit von Unternehmen der Ernährungswirtschaft gegenüber Bedrohungen aus dem Cyberraum. Im Mai dieses Jahres musste der Landtechnikkonzern AGCO infolge eines Ransomware-Angriffs die Arbeit in seinen Produktionsanlagen einstellen. Im selben Monat deaktivierte der Hersteller John Deere per Fernsteuerung ukrainische Landmaschinen, die von russischen Truppen gestohlen worden waren. Dies verdeutlicht, dass digitale Techniken in der Lebensmittelversorgung Gegenstand hybrider kriegerischer Auseinandersetzungen und Cyberstraftaten sind und es künftig noch stärker werden könnten.

Cyberangriffe auf Unternehmen der Lebensmittelversorgung könnten gravierende Auswirkungen für die Bevölkerung haben. Folgerichtig gehört der Sektor Ernährung und Landwirtschaft (agrarische Erzeugung, Lebensmittelproduktion, -verarbeitung und -handel) zu den kritischen Infrastrukturen, die es besonders zu schützen gilt. Im Hinblick auf die Informationssicherheit erfolgt dies durch das BSI-Gesetz, nach welchem große Unternehmen im Ernährungssektor verpflichtet sind, ihre IT-Systeme nach aktuellem Stand der Technik abzusichern. Allerdings sind vor allem die Landwirtschaft und das Lebensmittelhandwerk stark von KMU geprägt, für welche die Verpflichtungen des BSI-Gesetzes nicht gelten.

Zwar wurde die Vulnerabilität des Ernährungssystems in den letzten Jahren intensiv erforscht. Allerdings lag der Schwerpunkt der meisten Studien auf den Folgen der Corona-Pandemie und den Anpassungen an den Klimawandel. Die Vulnerabilität und die Resilienz gegenüber IT-Störungen bzw. Cyberangriffen wurden bislang nur wenig beleuchtet.

Ziel und Vorgehensweise

Ziel der Untersuchung ist es, die Vulnerabilitäten der Lebensmittelversorgung in Deutschland vor dem Hintergrund möglicher Bedrohungen aus dem Cyberraum näher zu beleuchten. Hierfür sollen mögliche Schwachstellen entlang der Herstellungs- und Lieferketten identifiziert sowie die Frage erörtert werden, inwieweit gezielte Angriffe das Potenzial haben, die Nahrungsmittelversorgung zu gefährden.

Im ersten Schritt soll die aktuelle Bedrohungslage für den Ernährungssektor analysiert werden. Dabei wird untersucht, inwiefern die Digitalisierung von Produktion, Logistik und Handel in Deutschland zu einer erhöhten Anfälligkeit für Störungen führen kann bzw. bereits geführt hat. Hierfür muss der Grad der Abhängigkeiten betriebsinterner Prozesse von IKT abgeschätzt werden. Dafür kann die KRITIS-Sektorstudie zum Thema Ernährung (BSI 2015) aktualisiert und weiterentwickelt werden. Zu diesem Zweck soll eine empirische Erhebung durchgeführt werden, in welcher der Einsatz von IKT entlang der Wertschöpfungskette ausgewählter Nahrungsmittel untersucht wird. Auf dieser Grundlage und durch die Auswertung bereits erfolgter Cyberangriffe sowie entsprechender Fachliteratur werden kritische IKT-Risikoelemente identifiziert und plausible hypothetische (aber realistische) Angriffsszenarien auf Wertschöpfungs- bzw. Lieferketten der Lebensmittelindustrie (z. B. Cyberangriff auf weit verbreitete Software in Landmaschinen, Ransomware-Angriff auf große Einzelhandelskette oder Molkerei) erarbeitet.

Im zweiten Schritt sollen die Auswirkungen plausibler disruptiver Szenarien auf die Ernährungsversorgung untersucht werden. Dabei sollen die ausgewählten Wertschöpfungsketten auf der Grundlage einer Befragung der Akteure analysiert werden. Um die Ergebnisse zu konkretisieren, bietet es sich an, wichtige Grundnahrungsmittel sowie besonders kritische Produkte vertieft zu untersuchen (z. B. Weizen, Milch, Tomaten, Fleisch). Dabei sollen u. a. folgende Dimensionen berücksichtigt werden:

  • Länge der Wertschöpfungskette und Vielfalt der Akteure
  • Responsivität: Wie verhalten sich die Akteure im Falle einer Störung? Liegen Notpläne und -infrastrukturen vor? Wie schnell können alternative Mittel mobilisiert werden?
  • Abhängigkeit: Wie abhängig voneinander sind die Akteure innerhalb jeder Wertschöpfungskette?

Auf Basis der Szenarioanalysen können dann die potenziellen Folgen und die Reichweite von Cyberangriffen charakterisiert werden. Mögliche Effekte können direkt, aber auch indirekt sein und kurz-, mittel- und/oder langfristig auftreten. Zu den indirekten Effekten zählen beispielsweise große Lieferverzögerungen, Umsatzrückgänge sowie Produktionsausfälle, die sich auf die Auslastung der Belegschaft und auf die Wettbewerbsfähigkeit der Firmen auswirken. Zudem sollen die Verzahnungen mit vorgelagerten Bereichen wie Agrartechnik, Dünger- und Pflanzenschutzmittelproduktion und damit einhergehende mögliche Kaskadeneffekte berücksichtigt werden.

Anhand der Erkenntnisse aus dieser Vulnerabilitätsanalyse sollen abschließend Ansatzpunkte für eine Stärkung der Resilienz des Sektors Ernährung und Landwirtschaft abgeleitet und mit beteiligten Akteuren diskutiert werden.