Ob AEP in Deutschland, Eisai in Japan oder Cencora in den USA – es vergeht kaum eine Woche, ohne dass ein Pharma-Unternehmen als Opfer eines Ransomware-Angriffs Schlagzeilen macht.
Viele Ransomware-Kollektive sind Opportunisten: Sie greifen die Unternehmen an, die am verwundbarsten sind. Das berichtet unter anderem auch die britische Cybersicherheitsbehörde. Demnach sind innerhalb der Pharma-Branche Großhändler, Distributoren und Anbieter von Spezialsoftware besonders häufig von Angriffen betroffen. Das verleiht Cyberrisiken durch Dritte enorme Brisanz. Laut aktuellen Untersuchungen des Cybersicherheitsunternehmens BlueVoyant erleben beispielweise 98 Prozent der Pharmaunternehmen im Vereinigten Königreich negative Auswirkungen durch Cybervorfälle bei externen Partnern. So kamen durch das Datenleck bei Cencora Patienteninformationen aus den Datenbanken von elf verschiedenen großen Herstellern in den Umlauf.
Im aktuellen geopolitischen Klima müssen sich Pharmahersteller auch auf politisch motivierte Hacker gefasst machen, die andere Ziele als Profit verfolgen. Das ist zum Beispiel der Fall bei VOLTZITE, einer Gruppe, die mit den Interessen des chinesischen Staates in Verbindung gebracht wird – und mit Angriffen auf kritische Sektoren wie Pharmaunternehmen.
Cyberattacken der OT-Ebene auf dem Vormarsch
Mit wachsenden internationalen Spannungen nehmen immer mehr politisch motivierte Hackergruppen die OT-Umgebung von Industrieunternehmen ins Visier – also die Infrastruktur, die physische Prozesse, Geräte und ganze Produktionsumgebungen stürzt. Wie unter anderem das Online-Magazin SecurityWeek berichtet, entwickeln insbesondere Länder wie Iran, China oder Russland zunehmend Malware, die auf industrielle Steuerungssysteme abzielt.
In einer Umfrage von Palo Alto Networks gaben 76 Prozent der befragten Unternehmen an, in den letzten 12 Monaten Opfer von Cyberangriffen geworden zu sein. Und das Cybersicherheitsunternehmen Dragos weist in einem aktuellen Cybersecurity-Report darauf hin, dass selbst HLK-Anlagen oder intelligente Beleuchtung Ziele von Cyberangriffen sein könnten.
Bevor ein Cyberangriff bis in die OT-Ebene dringt, nimmt er in der Regel auf der IT-Ebene seinen Ursprung. Von dort aus versuchen Angreifer, sich Zugang zu verschaffen, um sich anschließend durch das Netzwerk zu arbeiten. Das kann Monate oder Jahre in Anspruch nehmen. Dabei setzen sie alles daran, unentdeckt zu bleiben.
Im Unterschied zu klassischen Hacks, bei denen Skripte auf die betroffenen Systeme installiert werden, infiltrieren einige Angreifer bereits vorhandene, legitime Tools. Diese Vorgehensweise, die unter dem Radar traditioneller Cybersicherheitstools bleibt, bezeichnet man als LOTL („Living off the Land“). Finanzielle Erpressung ist nur eines der möglichen Motive hinter der Infiltrierung der OT-Umgebung – auch der Diebstahl geistigen Eigentums, Spionage oder Prozessmanipulation könnten hinter solchen Hacks stecken.
Dringender Ausbau der OT-Sicherheitskompetenzen vonnöten
Die gute Nachricht: Die Pharma-Industrie weiß um diesen Aufholbedarf. Für 68 Prozent der Verantwortlichen bei europäischen Arzneimittelherstellern haben Investitionen in Cybersicherheit oberste Priorität für die kommenden 12 Monate. Damit ist das Thema sogar höher priorisiert als Zukunftstechnologien wie das Internet of Things oder KI auf Basis natürlicher Sprache. Zu dieser Erkenntnis kam Forrester Consulting bei einer Umfrage im Auftrag von Hexagon. Denn: 67 Prozent sehen Verbesserungspotenzial im Umgang der Unternehmen mit Schwachstellen und Cyberrisiken.
Mehrere Faktoren verschärfen diese prekäre Lage. 77 Prozent der Befragten in der Forrester-Studie sehen den Mangel an Qualifikationen an erster Stelle. Darunter leidet besonders die industrielle Cybersicherheit. Zwei Drittel der befragten Unternehmen im europäischen Gesundheitswesen geben an, dass sie keine klaren Zuständigkeiten für diese Thema haben, während ein Drittel kein Budget dafür allokiert hat.
In der Praxis führt dies häufig dazu, dass Cybersicherheitsverantwortliche ohne OT-Kompetenzen das Thema ausschließlich von der IT-Seite adressieren, indem sie beispielsweise das Inventar auf IP-ansprechbare Geräte beschränken. Dabei übersehen sie jedoch kritische Steuerungssysteme und Sicherheitslücken. Dies belegt auch die entsprechende Studie von Dragos: 61 Prozent der untersuchten Unternehmen hatten kaum oder gar keinen Überblick über ihre IT-Umgebung, was den Umgang mit Cyberrisiken signifikant erschwert. Das Sicherstellen der umfassenden Sichtbarkeit ist der essenzielle erste Schritt auf dem Weg zu einem soliden Sicherheitskonzept.
Prävention und Reaktion – kein „Entweder-Oder“
Wie kann ein solches Sicherheitskonzept aussehen? Das SANS-Institute, das die grundlegenden „Five Critical Controls for ICS/OT Cybersecurity“ erarbeitet hat, gibt zu bedenken: Allzu oft sind gängige Cybersicherheits-Frameworks darauf ausgerichtet, einen Angriff zu verhindern, anstatt darauf zu reagieren: Bei den bekanntesten und meistgenutzten Frameworks sind zwischen 60 und 95 Prozent aller Anleitungen präventiver Natur. Infolgedessen investieren viele Unternehmen nur 5 Prozent ihrer Ressourcen in die Erkennung von Angriffen, die Reaktion darauf, die Bewältigung von Angriffen und die Wiederherstellung nach Kompromittierungen.
Gegen Hacker, die sich vertraute Tools zunutze machen und sich direkt im System verstecken, stößt der rein präventive Ansatz an seine Grenzen. Deshalb empfehlen Palo Alto Security und Hexagon einen ganzheitlichen Ansatz, der auf drei Säulen fußt:
Sichtbarkeit schaffen: Überblick darüber verschaffen, welche OT-Assets im Unternehmen vorhanden sind, wie sie miteinander vernetzt sind und mit welchen Systemen sie sonst kommunizieren. Neu hinzugekommene Assets sollten sofort auffallen und identifizierbar sein.
Schwachstellen prüfen: Über welche Schwachstellen verfügen die OT-Assets, wo befinden sie sich, wer verwaltet sie? Welche Patches sind aktuell und welche müssen noch aktualisiert werden – und von wem? Auch die Entwicklung der Schwachstellen über die Zeit muss fachkundig beobachtet werden.
OT-Security systematisieren: Es muss ein unternehmensübergreifendes OT-Cyberrisikoprofil erstellt werden, das auch die wirksamsten Gegenmaßnahmen entdeckt. Auch Compliance-Fragen und Themen wie Autorisations- und Konfigurationsmanagement müssen umfassend geklärt werden.
Kurzum: Um der immer komplexeren Bedrohungslage gewachsen zu sein, müssen die höchst vulnerablen Pharma-Unternehmen einen umfassenden, systematischen Sicherheitsansatz verfolgen, der das Zusammenspiel zwischen der IT- und OT-Ebene nicht außer Acht lässt.
