Nicht zuletzt im Kontext des Krieges in der Ukraine befassen sich Entscheidungsträger/innen europaweit mit der Sicherheit der Nahrungsmittelversorgung. Im Vordergrund stehen bisher Importabhängigkeit bei bestimmten Produkten und die steigenden Betriebsmittelkosten und Lebensmittelpreise. Mit der Digitalisierung und Vernetzung technischer Systeme steigt aber zugleich die Verwundbarkeit von Unternehmen in der Nahrungsmittelkette gegenüber Bedrohungen aus dem Cyberraum. Im Mai dieses Jahres musste der Landtechnikkonzern AGCO infolge eines Ransomware-Angriffs die Arbeit in seinen Produktionsanlagen einstellen. Im selben Monat deaktivierte der Hersteller John Deere per Fernsteuerung ukrainische Landmaschinen, die von russischen Truppen gestohlen worden waren. Dies verdeutlicht, dass digitale Techniken in der Lebensmittelversorgung Gegenstand hybrider kriegerischer Auseinandersetzungen und Cyberstraftaten sind und es künftig noch stärker werden könnten.

Cyberangriffe auf Unternehmen in der Nahrungsmittelkette könnten gravierende Auswirkungen für die Bevölkerung haben. Folgerichtig gehört der Sektor Ernährung  (Lebensmittelproduktion, -verarbeitung und -handel) zu den kritischen Infrastrukturen, die es besonders zu schützen gilt. Im Hinblick auf die Informationssicherheit erfolgt dies durch das BSI-Gesetz, nach welchem große Unternehmen im Ernährungssektor verpflichtet sind, ihre IT-Systeme nach aktuellem Stand der Technik abzusichern. Allerdings sind vor allem die Landwirtschaft und das Lebensmittelhandwerk stark von KMU geprägt, für welche die Verpflichtungen des BSI-Gesetzes nicht gelten.

Zwar wurde die Vulnerabilität des Ernährungssystems in den letzten Jahren intensiv erforscht. Allerdings lag der Schwerpunkt der meisten Studien auf den Folgen der Corona-Pandemie und den Anpassungen an den Klimawandel. Die Vulnerabilität und die Resilienz gegenüber IT-Störungen bzw. Cyberangriffen wurden bislang nur wenig beleuchtet.

Ziel und Vorgehensweise

Ziel der Untersuchung ist es, die Vulnerabilitäten der Nahrungsmittelversorgung in Deutschland vor dem Hintergrund möglicher Bedrohungen aus dem Cyberraum näher zu beleuchten. Hierfür sollen mögliche Schwachstellen entlang der Herstellungs- und Lieferketten identifiziert sowie die Frage erörtert werden, inwieweit gezielte Angriffe das Potenzial haben, die Nahrungsmittelversorgung zu gefährden.

Dabei soll die aktuelle Bedrohungslage für den Ernährungssektor analysiert werden. Es wird untersucht, inwiefern die Digitalisierung von Produktion, Logistik und Handel von Nahrungsmitteln in Deutschland zu einer erhöhten Anfälligkeit für Störungen führen kann bzw. bereits geführt hat. Hierfür muss der Grad der Abhängigkeiten betriebsinterner Prozesse von IKT abgeschätzt werden. Zu diesem Zweck wird eine empirische Erhebung durchgeführt, in welcher der Einsatz von IKT entlang der Wertschöpfungskette untersucht wird. Auf dieser Grundlage und durch die Auswertung bereits erfolgter Cyberangriffe sowie entsprechender Fachliteratur werden kritische IKT-Risikoelemente identifiziert und plausible hypothetische (aber realistische) Angriffsszenarien auf Wertschöpfungs- bzw. Lieferketten der Lebensmittelindustrie erarbeitet.

Auf dieser Grundlage werden die Auswirkungen plausibler disruptiver Angriffsszenarien auf die Ernährungsversorgung untersucht. Auf Basis der Szenarioanalysen können dann die potenziellen Folgen und die Reichweite von Cyberangriffen charakterisiert werden. Mögliche Effekte können direkt, aber auch indirekt sein und kurz-, mittel- und/oder langfristig auftreten. Zu den indirekten Effekten zählen beispielsweise große Lieferverzögerungen, Umsatzrückgänge sowie Produktionsausfälle, die sich auf die Auslastung der Belegschaft, Preise auf dem Weltmarkt oder auf die Wettbewerbsfähigkeit der Firmen auswirken. Zudem sollen die Verzahnungen mit vorgelagerten Bereichen wie Agrartechnik, Dünger- und Pflanzenschutzmittelproduktion und damit einhergehende mögliche Kaskadeneffekte berücksichtigt werden.

Anhand der Erkenntnisse aus dieser Vulnerabilitätsanalyse sollen abschließend Ansatzpunkte für eine Stärkung der Resilienz des Ernährungssektors abgeleitet und mit beteiligten Akteuren diskutiert werden.

Stand der Projektbearbeitung

Es wurden zwei Gutachten vergeben: eines zur Cybersicherheit im Bereich Nahrungsmittelverarbeitung- und -handel sowie der Kühllogistik von Milch- und Milchprodukten und eines zur Cybersicherheit mit Schwerpunkt Landwirtschaft. Die Gutachten werden derzeit ausgewertet und gemeinsam mit den Ergebnissen der weiteren Recherchen für die Erstellung des Abschlussberichts genutzt, der im Frühjahr 2024 vorgelegt werden soll.