Sichere Lieferketten in der Pandemie: Kann das BSI von der CISA lernen?

KRITIS: Wie sinnvoll sind Schwellenwerte?

Nicht alle Einrichtungen dieser Bereiche gelten als kritische Infrastrukturen. Die BSI-KritisV definiert hier bekanntlich Schwellenwerte, etwa die viel diskutierten 30.000 vollstationären Fälle pro Jahr für Krankenhäuser. Im Bereich der Arzneimittel liegt der Schwellenwert aktuell etwa bei 4.650.000 in Verkehr gebrachten, umgeschlagenen oder transportierten Packungen pro Jahr.

Emblem der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA)

Bildquelle: Department of Homeland Security - Cybersecurity and Infrastructure Security Agency, CISA Logo, als gemeinfrei gekennzeichnet, Details auf Wikimedia Commons

Um die Stabilität einer Volkswirtschaft gegenüber Cyberattacken sicherzustellen, ist das Konzept der Schwellenwerte allerdings nach Meinung von US-Experten zu kurz gesprungen. Die seit drei Jahren bestehende US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) – annäherungsweise die Entsprechung des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) – hat im Zuge der Pandemie eine Task Force für die Covid-19-Impfstoffproduktion eingerichtet. Diese hat sich eben nicht nur mit großen Herstellern oberhalb bestimmter Schwellenwerte befasst, sondern im Gegenteil: Die Task Force unter Leitung des IT-Sicherheitsexperten Josh Corman suchte aktiv die kleinsten und schwächsten Glieder in den Impfstoff-Lieferketten auf.

Kleine Unternehmen mit großem Einfluss auf Lieferketten

Während der Covid-Pandemie sind weltweit zahlreiche neue Schwachstellen im Bereich der Cybersicherheit offengelegt worden. Die Bedrohungen machen nicht an Ländergrenzen halt. Daher luden das US-Generalkonsulat Düsseldorf und die US-Botschaft in Wien Anfang Oktober zum Cybersecurity Healthcare Briefing ein, unter dem Titel „Cybersicherheit im Gesundheitswesen in der D-A-CH-Region“. In diesem Rahmen berichtete Josh Corman als Leiter der oben genannten Task Force und Chief Strategist der CISA für die Bereiche Covid, Healthcare und Public Safety über die Aktivitäten der Agentur. 

Im Mai 2020 hatte die US-Regierung die sogenannte Operation Warp Speed auf den Weg gebracht. Hierbei handelte es sich um eine Public-Private-Partnership der USA im Umfang von insgesamt 10 Milliarden US-Dollar, mit der die Entwicklung von Corona-Impfstoffen beschleunigt werden sollte. 

mNRA-Komponenten: die Kugellager der Impfstoffherstellung

In diesem Rahmen erging an die CISA der Auftrag, die 30 wichtigsten und größten in der Impfstoffentwicklung tätigen Unternehmen in Bezug auf ihre Cybersicherheit zu prüfen und zu beraten. So sollte vermieden werden, dass Cyberattacken die Impfstoffentwicklung empfindlich zurückwerfen oder wertvolles Spezialwissen abgezogen wird. Als Corman und seine Mitarbeiter – wie etwa der Arzt Reuben Pasternak – sich in das Thema Logistik und Lieferketten für die Impfstoffentwicklung einarbeiteten, stellten sie allerdings fest, dass viele kleine Unternehmen in den Prozessen unverzichtbar waren. 

So hätte beispielsweise eine erfolgreiche Cyberattacke auf ein kleines Unternehmen, das mRNA-Komponenten herstellt, desaströse Auswirkungen auf die Entwicklung der Impfstoffe gehabt. Corman verglich dies in seinem Vortrag mit der Rolle der Hersteller von Kugellagern im Zweiten Weltkrieg: Um die Hersteller von Kugellagern als wichtig für den Kriegserfolg zu identifizieren, musste man sich erst mal in die Lieferketten einarbeiten, der Zusammenhang sei nicht offensichtlich. Aber wenn man erst einmal darüber nachdenke, würde klar, dass ohne die Verfügbarkeit von Kugellagern die ganze Rüstungsindustrie (und viele andere Industrien) stillgestanden hätten. 

Die meisten dieser kleinen Unternehmen hätten nur wenige IT-Mitarbeiter und gar keine auf IT-Sicherheit spezialisierten Mitarbeiter gehabt. Die CISA sei aktiv auf sie zugegangen, habe sie zu ihrer individuellen Cybersicherheit beraten und ihnen Tools zur Verfügung gestellt, um sie zu verbessern.

CISA analysiert Wirkung der Pandemie auf KRITIS

Corman stellte auch einen von der CISA veröffentlichten Bericht vor, der den Effekt der Pandemie auf kritische Infrastrukturen in den USA behandelt. In diesem Bericht ist zu lesen, wie sich die Covid-bedingte Übersterblichkeit von Fachkräften im Gesundheitswesen auf dessen Stabilität auswirkt, und es wird modelliert, wie die Überlastung zuerst weniger Krankenhäuser in einem Domino-Effekt schließlich zum Zusammenbruch aller Krankenhäuser führen kann – und was dagegen zu tun ist. Der Bericht ist zugänglich auf der CISA-Webseite.

Die CISA fasst ihre Zuständigkeit also weiter als das deutsche BSI, wie ihr Name vielleicht schon andeutet: die „Cybersecurity and Infrastructure Security Agency“ ist eben für Cybersecurity und Infrastrukturen und nicht nur für die Cybersecurity von Infrastrukturen zuständig.

Aktivere Rolle der Behörden

Auch in Deutschland sind laut Corman viele Schwachstellen in den Lieferketten im Gesundheitswesen und anderen Bereichen denkbar, die von dem sehr formelhaften Schwellenwertsystem der BSI-KritisV nicht erfasst werden. Das ist nicht unbedingt der Fehler der KritisV – auch die Covid-19 Task Force der CISA sollte ja zunächst nur die 30 größten Player untersuchen. Die Eigeninitiative der IT-Sicherheitsforscher führte schließlich dazu, dass auch die nicht offensichtlichen Schwachstellen entdeckt und geschlossen wurden. Zumindest dieses aktive Rollenverständnis soll wohl auch das BSI in Zukunft übernehmen – so wurden ihm im IT-Sicherheitsgesetz 2.0 bereits zusätzliche Kompetenzen bei der Ermittlung von Schwachstellen erteilt.

12.10.2021

• IT (709)
• Management (196)
• Sicherheit (229)