Seit einigen Monaten werden Stimmen laut, die die Unternehmen vor der Zunahme von Sicherheitsvorfällen in der Lebensmittelindustrie warnen. In einer sich schnell verändernden Branche übernehmen landwirtschaftliche Betriebe das Konzept der Präzisionslandwirtschaft, wenn Lebensmittelfabriken hochautomatisierte Verarbeitungs- und Produktionsketten einsetzen. Angesichts dieser Fülle an vernetzten Geräten ist die Cybersicherheit zu einer lebenswichtigen Herausforderung für die Lebensmittelbranche geworden. Rückblick auf ein nicht alltägliches Jahr 2021 für die Agrar- und Ernährungswirtschaft.
In Sachen Lebensmittelindustrie und Cybersicherheit waren die ersten Cyberangriffe bereits präsent seit mehreren Jahren.
Was, wenn wir schwache Signale übersehen haben?
Doch inmitten des Lärms und der Verwirrung der Gesundheitskrise gingen die Erfahrungsberichte und Appelle zur Vorsicht unter. Und das aus gutem Grund: In der Landwirtschaft von heute werden viele vernetzte Werkzeuge eingesetzt. Feuchtigkeitssonde, GPS-Sender, vernetzter Traktor ... Der Landwirt steuert heute die Produktion seiner Smart Farm mithilfe von Daten, die von verschiedenen Tools gesammelt werden, wie jedes andere Technologieunternehmen auch. Die Lebensmittelkonzerne stehen dem in nichts nach; die Produktions- und Verarbeitungsketten sind heute automatisiert und kommunizieren Daten innerhalb eines Unternehmens aus allen Ecken der Welt. Eine Vielfalt an Geräten und ebenso viele potenzielle Ziele für Cyberkriminelle. Dies gilt umso mehr im Zusammenhang mit betriebsbereiten, vernetzten, aber allzu oft nicht gemeldeten und vor allem nicht kontrollierten Geräten; willkommen in der Shadow OT.
Die NSA (National Security Agency) und die CISA (Cybersecurity and Infrastructure Security Agency) haben bereits im Juli 2020 eine Empfehlung an die Industriezweige von vitalem Interesse (darunter die Lebensmittelindustrie) herausgegeben, in der sie darauf hinweisen, „dass die Exposition gegenüber Remote-Management-Tools sofort reduziert werden muss“, weil sie zu „schwerwiegenden Auswirkungen auf kritische Infrastrukturen“ führen könnten. Diese Empfehlung bezog sich insbesondere auf alle Betriebsmittel der älteren Generation, vor allem ICS/SCADA-Systeme, d. h. Überwachungssysteme, die vor allem in der Lebensmittelverarbeitung eingesetzt werden und daher unbedingt geschützt werden müssen. In demselben Dokument listeten die NSA und CISA auch eine Reihe von Taktiken und Verfahren für Angriffe auf:
- Einsatz von Spear Phishing, um Zugänge aus dem traditionellen Unternehmensnetzwerk (IT) zu stehlen und dann das Produktionsnetzwerk des Unternehmens (OT) zu infiltrieren
- Verbindung zu internetfähigen Automaten ohne vorherige Authentifizierung über die in der Industrie verwendeten Ports und Protokolle
- Korruption des Updatesystems des Softwareherstellers
- alles mit dem Ziel, Malware zu verbreiten (z. B. in Form von Ransomware in beiden Netzwerken, um die Produktionsanlagen durch Verschlüsselung der Unternehmensdaten lahm zu legen).
Dieses Dokument ist wichtig, weil es von einer Entwicklung in den Methoden der Angreifer berichtet, die nun komplexer sind als die zufälligen und vorprogrammierten Verbreitungen. Dies führte zu feineren, gezielteren und ausgeklügelteren Cyberangriffen, die die Lebensmittel- und Getränkeindustrie besonders hart trafen.
Lebensmittel- und Getränkeindustrie 2021 – ein beliebtes Ziel von Cyberangriffen
Und bereits zu Beginn des Jahres 2021 wurden große Unternehmen der Branche Ziel von Cyberangriffen. Im Februar, April und Mai 2021 gaben das französische Unternehmen Lactalis, der französische Champagnerhersteller Laurent Perrier und das amerikanische Unternehmen Molson Coors, die zweitgrößte Brauerei der USA, bekannt, dass sie Opfer geworden waren. Im selben Monat Mai erregte ein anderer Cyberangriff besondere Aufmerksamkeit: der Angriff auf den brasilianischen Lebensmittelkonzern JBS Foods. In Zahlen ausgedrückt handelt es sich hier um den weltweit größten Produzenten von Rindfleisch und Geflügel sowie den weltweit zweitgrößten Produzenten von Schweinefleisch. Am 30. Mai 2021 entdeckte das IT-Sicherheitsteam von JBS Foods, dass Server in Nordamerika und Australien Ziel von Cyberkriminellen geworden waren. Als Opfer einer Ransomware, zu der sich die Gruppe REvil bekannte, war das Unternehmen gezwungen, seine Geschäftstätigkeit in den USA, Kanada und Australien vom 31. Mai bis zum 9. Juni 2021 einzustellen. Einige Zeit später enthüllte das Unternehmen, dass es ein ein Lösegeld in Höhe von 11 Millionen US-Dollar bezahlt hatte, um den Zugang zu ihren Daten wiederzuerlangen. Ein historischer Betrag für einen Akteur der Lebensmittelbranche dieser Größe und eine prägende Episode, die gezeigt hat, dass Unternehmen der Lebensmittelbranche für Cyberrisiken anfällig sind.
Im September 2021 wurde die Liste der Opfer um die 51. US-amerikanische Getreidekooperative New Cooperative erweitert, Opfer der Ransomware BlackMatter. Zur gleichen Zeit gab der französische Wein- und Spirituosenhändler La Martiniquaise an, Opfer eines Cyberangriffs mit Datendiebstahl geworden zu sein. Und nur wenige Tage später meldete eine weitere US-amerikanische Genossenschaft, Crystal Valley, ebenfalls, dass sie Opfer von Ransomware geworden sei. Die Ransomware wurde mit einer ähnlichen Methode wie die New Cooperative eingesetzt. Einige Wochen später betraf ein Doppelangriff in Frankreich den bretonischen Lebensmittelkonzern Jean Floc'h und den Pariser Feinkosthändler Dalloyau, die beide Opfer der Conti-Ransomware wurden. Innerhalb weniger Tage wurde auch der französische Lebensmittelkonzern Avril Opfer eines Cyberangriffs, der offenbar auf eine Phishing-Attacke zurückzuführen war. Das Unternehmen hätte daraufhin sofort den E-Mail-Zugang für alle Mitarbeiterinnen und Mitarbeiter sowie den Zugang zu allen digitalen Werkzeugen gesperrt. In den USA gab der Kühlhausriese Americold bekannt, dass er im November 2021 Opfer eines Cyberangriffs gewesen sei.
Angesichts eines solchen Hypes alarmierten britische Experten öffentlich über die Anfälligkeit der Lebensmittelkette des Landes. Da es bei der Nahrungsmittelproduktion nur zu 50 % selbstversorgend ist, ist es auf Importe angewiesen. Ein gezielter Cyberangriff auf ein Glied der Lieferkette könnte dann die gesamte Kette desorganisieren und sehr schwerwiegende Folgen haben; ausreichend um einen Aufruf zur Neugestaltung der britischen Politik in diesem Bereich zu starten. Und die Cyberangriffe, denen die Lebensmittel- und Getränkeindustrie ausgesetzt ist, werden sich in den kommenden Monaten und Jahren wahrscheinlich noch weiterentwickeln. Im Blickpunkt stehen die vielen vernetzten Werkzeuge, die die Landwirtschaft heute wie jedes andere Technologieunternehmen zunehmend einsetzt. Während der Konferenz DEFCON 29, demonstrierte ein Cybersicherheitsexperte seine Fähigkeit, die Fernsteuerung eines Traktors der Marke John Deere zu übernehmen. Eine Fernsteuerung, die bis heute eine Demonstration während einer Veranstaltung bleibt, aber die Tür zu neuen Sicherheitsvorfällen morgen einen Spalt breit öffnet ...
Aber wie können Lebensmittelunternehmen, die von Natur aus kritisch und lebenswichtig sind, auf diese Cyberbedrohungen reagieren? Ein Teil der Antwort liegt in der Netzwerksegmentierung und in den Technologien IPS (Intrusion Prevention System) und EDR (Endpoint Detection and Response), die Teil des Cybersicherheitsschutzes mehrerer kritischer Lebensmittelunternehmen sind. EDR wiederum erkennt abnormales oder böswilliges Verhalten auf den Rechnern, wie z. B. die Erweiterung von Rechten oder die Installation von Malware. Und in Verbindung mit Netzwerksegmentierung und IPS werden sie zusammen einen wirksamen Schutz vor Entdeckungsversuchen und Ausweichbewegungen bieten.
Eine Industrie im Angesicht von Cyberangriffen ... und der globalen Erwärmung
Der Hackerangriff auf die Unternehmen Kaseya RMM und SolarWinds hat Cyberkriminellen eine neue Möglichkeit eröffnet, nämlich Virenladungen direkt an jeden Kunden dieser Unternehmen zu verteilen. Falls Ihnen das Akronym RMM (für Remote Monitoring and Management) nichts sagt: Dieser Begriff bezeichnet ein Tool zur Fernüberwachung und -verwaltung von IT-Infrastrukturen. Tools, die heute massiv von IT-Dienstleistungsunternehmen eingesetzt werden, die Flexibilität und Einfachheit bei der Verwaltung von Infrastrukturen bieten und die vor allem von Cybersicherheitslösungen als vertrauenswürdige Tools anerkannt werden. Die Kompromittierung dieser beiden Marktführer hat es Cyberkriminellen ermöglicht, unter dem Radar zu fliegen, da die Aktionen dieser Lösungen aufgrund ihres Vertrauensstatus und der Ähnlichkeit zwischen Malware-„Installations“-Aktionen und ihren üblichen Aktionen von Cybersicherheitsbehörden kaum kontrolliert werden. Im Jahr 2021 waren mehrere Tausend Unternehmen von diesen Supply-Chain-Angriffen mit Ransomware-Kampagnen betroffen. Im Juli 2021 wurden in Schweden alle 800 Lebensmittelgeschäfte der Coop-Kette zu Kollateralopfern eines Vorfalls, der Kaseya RMM betraf. Insgesamt sollen nicht weniger als 130 IT-Dienstleister, die Kunden des Unternehmens sind, von demselben Cyberangriff betroffen gewesen sein.
Angesichts dieser Cyberangriffe sind mehrere Konsequenzen für die Zukunft der Agrar- und Ernährungswirtschaft denkbar. Die erste Konsequenz, die uns in den Sinn kommt, ist die der wirtschaftlichen Einmischung. Indem die Produktion oder Verteilung von Nahrungsmitteln außer Kraft gesetzt wird, könnte eine Knappheit entstehen, die zu höheren Preisen führt (im Extremfall zu einer Hungersnot). Und auch wenn dieses Szenario wie aus einem reißerischen Film klingt, könnten die Auswirkungen der globalen Erwärmung die Folgen solcher Angriffe (zusätzlich) verstärken. Nach den Prognosen von Experten der NASA und des IFAD (International Fund for Agricultural Development) wird sich der Klimawandel auf wichtige Rohstoffe wie Weizen, Mais und Reis auswirken, deren Erträge und Produktion bis 2030 drastisch sinken werden.
Die drastische Beschleunigung der Fälle von Cyberangriffen auf die Lebensmittelindustrie in den letzten Monaten lässt daher vermuten, dass eine systemische Krise möglich ist. Wie im Gesundheitswesen ist es auch in der Land- und Ernährungswirtschaft (kleine und große Unternehmen) zwingend erforderlich, sich des Phänomens und der damit verbundenen Herausforderungen bewusst zu werden und bei der Verbesserung ihrer Cybersicherheit unterstützt zu werden.
