Aufgrund ihres einzigartigen Risikoprofils sind die OT-Systeme von Unternehmen im Bereich der pharmazeutischen Produktion besonders stark von Cyberbedrohungen und den daraus resultierenden Produktionsausfällen gefährdet. Ein branchenerfahrener Sicherheitspartner, der sowohl OT- als auch IT-Sicherheit bietet, ist deshalb für Pharmaunternehmen unerlässlich.

Betriebstechnologie (Operational Technology, OT), also sämtliche Hardware und Software, die für die Überwachung und Steuerung von physischen Prozessen, Geräten und Infrastrukturen verwendet wird, beispielsweise von Robotern in Produktionsanlagen oder Distributionssystemen in zentralen Lagerhäusern, stellt für Cyberkriminelle ein attraktives Ziel dar. OT ist in vielen Fällen essenziell für die sichere Ausführung der entsprechenden Prozesse und ein erfolgreicher Angriff auf sie hat in den meisten Fällen Produktionsausfälle zur Folge, die für das Unternehmen langwierig, kompliziert und kostenintensiv zu beheben sind.

Pharmazeutische Produktion: Eine Branche mit besonderem Risikoprofil. In kaum einer Branche gilt dies mehr als in der pharmazeutischen Produktion, da diese Produktionsprozesse oftmals hochgradig automatisiert und präzise sind. Zudem sind sie in einem stark regulierten Umfeld mit hohen regulatorischen und Compliance-Anforderungen tätig, darunter GxP, FDA 21 CFR Part 11 oder EU Annex 11. GxP (Good x Practices) alleine umfasst beispielsweise eine ganze Reihe an Richt-linien, die hohe Qualität, Sicherheit und Wirksamkeit von pharmazeutischen Produkten gewährleisten sollen, von der Herstellung bis hin zum Vertrieb.

Eine Nichteinhaltung dieser Anforderungen kann zu rechtlichen Folgen sowie zu empfindlichen finanziellen Strafen und Verlusten, beispielsweise aufgrund von Produktrückrufen, nicht mehr verwendbaren Rohstoffen und Materialien oder dem Verlust wichtiger Zertifizierungen führen. Gerade letzteres ist ein großes Risiko, da viele OT-Systeme zertifiziert sind, um zu gewährleisten, dass die strengen regulatorischen und Compliance-Standards der Branche erfüllt sind. Eine Wiederherstellung der entsprechenden Systeme erfordert in vielen Fällen eine erneute Zertifizierung, die zeit- und kostenaufwändig ist und die Produktion noch länger lahmlegt.

Diese strengen Auflagen ergeben sich aus der Kritikalität der Produkte und Prozesse dieser Unternehmen. Produktionsausfälle oder -störungen können zu Engpässen bei essenziellen Medikamenten oder Impfstoffen führen, die für die Behandlung von lebensbedrohlichen Erkrankungen notwendig sind. Damit stellen sie nicht nur ein unternehmerisches Risiko dar, sondern haben direkte Auswirkungen auf Patienten und Gesundheitssysteme – insbesondere während Gesundheitskrisen wie Pandemien, in denen Pharmaunternehmen besonders oft zum Ziel von Angreifern werden.

Ähnlich verhält es sich, wenn ein Angriff zu Änderungen der Produktionsparameter – zum Beispiel hinsichtlich Temperatur oder Druck – und damit zu Qualitätsabweichungen in den Chargen führt, wodurch Medikamente und Impfstoffe möglicherweise fehlerhaft oder kontaminiert und damit unwirksam oder gefährlich werden. Dies gilt vor allem bei hochspezialisierten Medikamenten, die auf einzelne Patienten oder spezifische Zellprofile zugeschnitten sind.

Sollten Cyberkriminelle durch ihren Angriff zudem in der Lage sein, Forschungsdaten, klinische Studienergebnisse oder anderes geistiges Eigentum zu entwenden, kann auch dies erhebliche finanzielle und Reputationsfolgen nach sich ziehen. Aufgrund des hohen Wertes ihres geistigen Eigentums werden Angriffe auf Pharmaunternehmen außerdem oft von erfahrenen und technisch versierten Angreifern ausgeführt – von organisierten kriminellen Gruppen, Industriespionen und selbst nationalstaatlichen Akteuren.

Und auch Insider-Bedrohungen, beispielsweise durch Mitarbeiter oder Auftragnehmer mit Zugang zu OT-Systemen sind aus diesem Grund nicht zu vernachlässigen, egal ob diese absichtlich oder versehentlich die Sicherheit der Systeme gefährden. Mit Blick auf dieses einzigartige Risikoprofil müssen Pharmaunternehmen verschiedene zusätzliche Aspekte bei der Absicherung ihrer OT beachten, die über die Standards in vielen anderen Branchen hinausgehen.

Die spezifischen OT-Sicherheitsanforderungen von Pharmaunternehmen. Zunächst ein Blick auf die abzusichernden Systeme selbst. Wie bereits erwähnt sind viele davon kritisch für die Produktion und können deshalb nicht über einen längeren Zeitraum hinweg ausfallen. Angreifer sind sich dessen bewusst, und nutzen bei Angriffen auf Pharmaunternehmen teilweise gezielt Angriffsmethoden wie Ransomware, die das Potenzial haben, besonders lange Ausfallzeiten zu verursachen, um die Unternehmen dazu zu bringen, die Lösegeldforderungen der Angreifer eher zu erfüllen.

Die Tatsache, dass viele dieser Systeme zur Daten-analyse, Produktionsüberwachung oder Fernsteuerung eng in die IT der jeweiligen Unternehmen integriert sind, vergrößert die potenzielle Angriffsfläche noch einmal. Wenn also beispielsweise zentrale ERP- oder MES-Systeme durch herkömmliche Cyberbedrohungen wie Phishing, Malware oder DDoS-Angriffe kompromittiert werden, können einerseits für die Produktionsprozesse notwendige Prozessdaten nicht dokumentiert und abgelegt werden und andererseits können diese Systeme den Angreifern als Einfallstor in die oftmals vergleichsweise weniger geschützten Bereiche der OT dienen.

Bei vielen OT-Umgebungen handelt es sich zudem um Altsysteme, die nicht mit Hinblick auf die Anforderungen moderner Cybersicherheit entwickelt wurden und die dementsprechend anfälliger für solche Angriffe sind. Wenn in diesen Bereichen moderne Sicherheitslösungen verwendet werden sollen, müssen für die Implementierung und Nutzung also oftmals kreative und ressourcenintensive Strategien zum Einsatz kommen, die zudem die bereits zertifizierten Produktionsprozesse nicht unterbrechen oder beeinträchtigen.

Dies ist einerseits essenziell, um die Produktionskontinuität zu gewährleisten, aber auch da alle Änderungen an OT-Systemen, einschließlich Sicherheits-Patches oder -Upgrades erneut zertifiziert werden müssen. Nicht zuletzt müssen die entsprechenden Sicherheitsmaßnahmen deshalb auch gewährleisten können, dass für alle OT-Systeme vollständige und manipulationssichere Audit- und Prüfprotokolle erstellt und kontinuierlich aktualisiert werden.

Wie Pharmaunternehmen ihre OT optimal schützen können. Genau wie beim Schutz der IT gilt auch beim Schutz der OT, dass dafür idealerweise ein erfahrener Partner an Bord geholt werden sollte, der nicht nur die dafür notwendige Technologie, sondern auch die Erfahrung in der Implementierung und Beratungskompetenz mitbringt. Einen entsprechenden Partner zu identifizieren, sollte also der erste Schritt für Pharmaunternehmen sein.

Das wichtigste Merkmal, das ein solcher Partner mitbringen sollte, ist umfassende Erfahrung in stark regulierten Branchen wie der pharmazeutischen Produktion. Dies umfasst ein Bewusstsein für die Wichtigkeit der verschiedenen bereits erwähnten Aspekte wie die Gewährleistung der Integrität von elektronischen Aufzeichnungen, die Implementierung zuverlässiger Audit- und Prüfpfade und die Sicherstellung der Rückverfolgbarkeit von automatisierten Produktionsprozessen.

Ebenso sollte ein Sicherheitspartner in der Lage sein, OT- und IT-Sicherheit gleichermaßen abzudecken. Vor allem die Integration von OT-Systemen in IT-Netzwerke unter Einhaltung aller relevanten regulatorischen und Compliance-Anforderungen sollte dabei eine Priorität darstellen. Da sich die Sicherheitsherausforderungen in diesen Bereichen teilweise erheblich unterscheiden, sollte ein Sicherheitspartner deshalb über ein multidisziplinäres Team verfügen, das Fachwissen aus beiden Bereichen vereint.

Der Partner sollte beispielsweise die technische Implementierung und Orchestrierung von Systemen zur Erkennung von Angreifern und Endpunktschutzlösungen ebenso beherrschen wie auch den Schutz von OT-Altsystemen, SCADA-Umgebungen und industriellen Steuerungssystemen (ICS). So lässt sich sicherstellen, dass die OT-Sicherheitsmaßnahmen mit den IT-Sicherheitsrichtlinien des Unternehmens übereinstimmen, ohne dass letztere die Produktionseffizienz beeinträchtigen.

Konkret sollte ein zuverlässiger OT-Sicherheitspartner die folgenden Leistungen anbieten können:

Cybersicherheitsbewertungen: Ermittlung des aktuellen Reifegrads der Cybersicherheit auf Grundlage relevanter Branchenstandards und -anforderungen.
Cybersicherheitsstrategie: Gestaltung einer Strategie zur Verbesserung der Cybersicherheit auf Basis der vorhergehenden Analyse.
Technische Implementierung: Koordination der Implementierung der beschlossenen Maßnahmen zur Verbesserung der Cybersicherheit.
Überprüfung der Architektur: Überprüfung der Architektur wichtiger Dienste wie beispielsweise der Netzwerk- oder Domain-Segmentierung.
Laufender Betrieb und kontinuierliche Updates: Betrieb ausgewählter Cybersicherheitsmaßnahmen für die Produktion, zum Beispiel PKI-Umgebungen oder Überwachungslösungen.

Fazit. In der pharmazeutischen Produktion muss umfassende OT-Sicherheit eine Priorität darstellen. Denn gerade in diesem Bereich mit seinem einzigartigen Risikoprofil stellt sie nicht nur ein Garant für Geschäftskontinuität und Compliance mit allen relevanten regulatorischen Standards dar, sondern auch für die Erfüllung der ethischen Verantwortung gegenüber Patienten und damit gegenüber der Gesellschaft als Ganzes.

Marcel Fischer,
Co-Gründer von
BxC Security

Illustration: © Seamartini | Dreamstime.com

2947 Artikel zu „OT Cyberangriff“

News | Trends Security | Industrie 4.0 | Infrastruktur | IT-Security

Cybersicherheit : OT-Systeme als Einfallstor für Cyberangriffe

26. Dezember 2024

Betriebe unternehmen viele Anstrengungen für die OT-Sicherheit, die meisten setzen zudem auf die Unterstützung externer Fachleute. Die Mehrheit glaubt, dass OT-Systeme auch in Zukunft beliebte Ziele für Cyberangriffe sein werden, insbesondere im Bereich der Kritischen Infrastrukturen. Maschinen, Anlagen und Systeme arbeiten zunehmend vernetzt, der Entwicklungsprozess ist dabei höchst dynamisch. Industry 4.0 und »Intelligente Fabriken«…

Marcel Fischer, Co-Gründer von BxC Security

2947 Artikel zu „OT Cyberangriff“

Marcel Fischer,
Co-Gründer von
BxC Security