- Die Lebensmittelproduktion und -verteilung ist in Anhang I der NIS2-Richtlinie als Teil des Sektors 'Produktion, Herstellung und Handel mit Lebensmitteln' gelistet. Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz sind betroffen.
- Kühlkettenüberwachung, ERP-Systeme und HACCP-Dokumentation sind hochgradig vernetzt und bilden eine Angriffsfläche, die weit über klassische Büro-IT hinausgeht.
- Ein Ausfall der Warenwirtschaft oder Kühlkettenüberwachung kann innerhalb weniger Stunden zu Produktverlusten in Millionenhöhe und im schlimmsten Fall zu einer Gesundheitsgefährdung der Verbraucher führen.
- Lebensmittelhersteller müssen bestehende Qualitätsmanagementsysteme (IFS, BRC, HACCP) mit dem ISMS verzahnen, um Doppelarbeit zu vermeiden und Synergien zu nutzen.
- Ein mittelständischer Lebensmittelhersteller mit 120 Mitarbeitern kann die NIS2-Umsetzung in 12 Monaten schaffen, wenn er die vorhandenen QM-Strukturen als Fundament nutzt.
Warum die Lebensmittelbranche unter NIS2 fällt
Lebensmittel gehören zu den grundlegendsten Gütern einer Gesellschaft. Wenn die Versorgung mit Nahrungsmitteln ins Stocken gerät, betrifft das jeden einzelnen Menschen. Genau deshalb hat der europäische Gesetzgeber die gesamte Lebensmittelkette in der NIS2-Richtlinie als Sektor hoher Kritikalität eingestuft und in Anhang I aufgenommen.
Die Einstufung umfasst die gesamte Wertschöpfungskette: von der Erzeugung über die Verarbeitung und Herstellung bis hin zur Verteilung im Großhandel. Das NIS2-Umsetzungsgesetz greift die EU-Vorgaben auf und definiert den Sektor als "Produktion, Herstellung und Handel mit Lebensmitteln". Konkret betroffen sind:
- Lebensmittelhersteller: Unternehmen, die Lebensmittel produzieren, verarbeiten oder haltbar machen, darunter Molkereien, Fleischverarbeiter, Bäckereien im industriellen Maßstab, Tiefkühlkosthersteller und Getränkeproduzenten
- Großhändler: Unternehmen, die Lebensmittel in großem Umfang vertreiben und lagern, einschließlich Zentrallager und Logistikzentren des Lebensmittelhandels
- Erzeugerbetriebe: Landwirtschaftliche Betriebe, die eine bestimmte Größe überschreiten und direkte Lieferbeziehungen zur weiterverarbeitenden Industrie unterhalten
Die Schwellenwerte sind wie bei allen NIS2-Sektoren: mindestens 50 Mitarbeiter oder mindestens 10 Millionen Euro Jahresumsatz. Das trifft in der Lebensmittelbranche auf eine sehr große Zahl von Unternehmen zu, denn der Sektor ist durch mittelständische Betriebe geprägt, die oft zwischen 80 und 500 Mitarbeiter beschäftigen und Umsätze im zweistelligen Millionenbereich erzielen.
Was viele Unternehmen der Branche überrascht: Auch wenn sie sich selbst nicht als Teil der "kritischen Infrastruktur" betrachten, fallen sie unter NIS2. Ein Fleischverarbeiter mit 150 Mitarbeitern und 40 Millionen Euro Umsatz mag sich als normales mittelständisches Unternehmen sehen, ist aber NIS2-pflichtig und muss die entsprechenden Maßnahmen umsetzen.
Die besondere IT-Landschaft der Lebensmittelbranche
Die Lebensmittelindustrie hat in den vergangenen zwanzig Jahren eine tiefgreifende Digitalisierung durchlaufen. Was früher manuelle Prozesse waren, ist heute hochgradig automatisiert und vernetzt. Diese Vernetzung schafft Effizienz, aber auch eine Angriffsfläche, die branchenspezifische Besonderheiten aufweist.
Kühlkettenüberwachung: Wenn Temperatur zum IT-Risiko wird
Die lückenlose Überwachung der Kühlkette ist in der Lebensmittelbranche eine gesetzliche Pflicht. Die EU-Verordnung (EG) Nr. 852/2004 zur Lebensmittelhygiene und die deutsche Lebensmittelhygieneverordnung verlangen, dass Temperaturwerte entlang der gesamten Lieferkette dokumentiert werden. Bei vielen Unternehmen geschieht das mittlerweile vollständig digital.
Ein typisches Setup sieht so aus: IoT-Sensoren in Kühlhäusern, Produktionshallen und Transportfahrzeugen erfassen Temperaturen in Echtzeit. Diese Daten werden über ein Gateway an ein zentrales Monitoring-System übermittelt, das automatisch Alarm schlägt, wenn Grenzwerte überschritten werden. Die Daten werden archiviert, weil sie im Rahmen von HACCP-Audits und Rückrufaktionen als Nachweis dienen.
Was passiert bei einem Cyberangriff auf dieses System?
- Manipulierte Temperaturdaten: Wenn ein Angreifer die Sensordaten manipuliert, werden Abweichungen nicht erkannt. Kühlhäuser könnten zu warm sein, ohne dass das System Alarm auslöst. Die Konsequenz: verdorbene Ware, die in den Handel gelangt und Verbraucher gefährdet.
- Ausfall des Monitorings: Ohne funktionierendes Temperatur-Monitoring müssen Mitarbeiter manuell kontrollieren, was bei großen Lagern mit Hunderten von Kühlzonen schlicht nicht lückenlos möglich ist.
- Verlust der Dokumentation: Wenn die gespeicherten Temperaturdaten durch Ransomware verschlüsselt werden, fehlen die Nachweise für die Einhaltung der Kühlkette. Das kann dazu führen, dass ganze Chargen vorsorglich aus dem Verkehr gezogen werden müssen, selbst wenn die Ware tatsächlich korrekt gelagert wurde.
ERP und Warenwirtschaft: Das Herzstück des Unternehmens
In der Lebensmittelbranche ist das ERP-System nicht nur ein kaufmännisches Werkzeug, sondern steuert den gesamten operativen Betrieb. Typische ERP-Systeme in der Branche sind SAP S/4HANA, Microsoft Dynamics 365, CSB-System (branchenspezifisch für die Lebensmittelindustrie) oder GUS-OS (speziell für Fleischverarbeitung).
Das ERP-System verwaltet:
- Wareneingangskontrolle: Prüfung und Freigabe eingehender Rohstoffe
- Chargenrückverfolgung: Zuordnung von Rohstoffen zu Fertigprodukten, um im Rückruffall die betroffenen Chargen identifizieren zu können
- Produktionsplanung: Steuerung der Produktionslinien, Rezepturverwaltung, Materialbedarfsplanung
- Lagerlogistik: Verwaltung von Kühllagern, FIFO-/FEFO-Prinzip (First Expired, First Out), Kommissionierung
- Auslieferungsplanung: Tourenplanung, Lieferscheine, Frachtdokumentation
- Rückverfolgbarkeit: EU-Verordnung (EG) Nr. 178/2002 fordert die Rückverfolgbarkeit "vom Acker bis zum Teller"
Ein Ausfall des ERP-Systems hat in der Lebensmittelbranche deshalb sofortige und massive Auswirkungen. Innerhalb weniger Stunden können keine Aufträge mehr bearbeitet, keine Waren kommissioniert und keine Lieferungen ausgelöst werden. Bei verderblicher Ware tickt die Uhr: Frische Milchprodukte, Fleisch oder vorbereitete Salate haben Haltbarkeiten von Tagen, nicht von Wochen.
HACCP-Schnittstellen: Qualitätssicherung und IT verwoben
Das HACCP-Konzept (Hazard Analysis and Critical Control Points) ist für Lebensmittelhersteller verpflichtend. Es definiert kritische Kontrollpunkte in der Produktion, an denen potenzielle Gefahren für die Lebensmittelsicherheit überwacht werden müssen.
In der modernen Lebensmittelproduktion sind diese Kontrollpunkte digital eingebunden:
- Pasteurisierungstemperaturen werden automatisch erfasst und dokumentiert
- Metalldetektoren an Produktionslinien melden Befunde direkt ans QM-System
- Reinigungsprotokolle (CIP, Clean-in-Place) werden digital gesteuert und archiviert
- Laborwerte (Mikrobiologie, Sensorik, Chemie) fließen aus dem LIMS (Labor-Informations-Management-System) ins ERP
Diese Schnittstellen zwischen Produktionsautomatisierung, Qualitätssicherung und ERP sind typische OT/IT-Übergangspunkte, die bei der NIS2-Risikoanalyse besondere Beachtung verdienen. Ein Angreifer, der Zugriff auf HACCP-relevante Systeme erlangt, könnte Prüfergebnisse manipulieren, was im schlimmsten Fall dazu führt, dass kontaminierte Produkte den Produktionsprozess passieren.
Branchenspezifische Risiken
Die Risikolandschaft in der Lebensmittelindustrie unterscheidet sich in mehreren Punkten von anderen Sektoren.
Zeitdruck durch Verderblichkeit
Lebensmittel sind verderblich, und das unterscheidet die Branche fundamental von der Produktion langlebiger Güter. Ein Maschinenbauer kann seinen Betrieb für drei Tage einstellen und die Aufträge anschließend nacharbeiten. Ein Hersteller frischer Backwaren, Molkereiprodukte oder Fleischwaren kann das nicht. Wenn die Produktion einen Tag stillsteht, ist die Ware unverkäuflich.
Das bedeutet für die NIS2-Umsetzung: Die Recovery Time Objectives (RTOs) für produktionsnahe Systeme müssen extrem kurz sein. Für das ERP-System eines Frischelogistikers sind 24 Stunden Ausfallzeit oft schon zu viel. Die Wiederherstellung kritischer Systeme muss in Stunden gelingen, nicht in Tagen.
Saisonale Schwankungen und Spitzenzeiten
Die Lebensmittelbranche unterliegt starken saisonalen Schwankungen. In der Vorweihnachtszeit, vor Ostern oder während der Grillsaison laufen Produktion und Logistik auf Hochtouren. Ein Cyberangriff während einer solchen Spitzenzeit richtet überproportional hohen Schaden an und trifft auf eine Belegschaft, die ohnehin unter Zeitdruck steht und weniger aufmerksam gegenüber Phishing oder Social Engineering sein könnte.
Komplexe Lieferketten
Die Lebensmittelindustrie ist durch besonders komplexe und verzweigte Lieferketten gekennzeichnet. Ein mittelständischer Fleischverarbeiter bezieht Rohstoffe von Dutzenden Landwirten, Gewürze von internationalen Lieferanten, Verpackungsmaterial von spezialisierten Herstellern und liefert an Hunderte von Einzelhändlern und Gastronomiebetrieben. Jede dieser Beziehungen ist potenziell ein Einfallstor für Angreifer, und jede erfordert einen Datenaustausch, der abgesichert werden muss.
NIS2 fordert explizit die Bewertung und Absicherung der Lieferkettensicherheit. Für die Lebensmittelbranche bedeutet das eine besondere Herausforderung, weil die Zahl der Geschäftspartner typischerweise sehr hoch ist.
Regulatorische Überschneidungen
Lebensmittelhersteller unterliegen bereits einer dichten Regulierung, die sich mit den NIS2-Anforderungen teilweise überschneidet:
| Regelwerk | Anforderung | Überschneidung mit NIS2 |
|---|---|---|
| EU-VO 178/2002 | Rückverfolgbarkeit | Integrität und Verfügbarkeit der Rückverfolgungsdaten |
| EU-VO 852/2004 | Lebensmittelhygiene, Temperaturüberwachung | Schutz der Monitoring-Systeme |
| IFS Food | Auditiertes QM-System | Managementsystem-Strukturen nutzbar für ISMS |
| BRC Global Standard | Lebensmittelsicherheit | Dokumentationsanforderungen übertragbar |
| HACCP | Kritische Kontrollpunkte | Schutz der CCP-Dokumentation und -Systeme |
| DSGVO | Schutz personenbezogener Daten (Mitarbeiter, Kunden) | Datenschutz als Teil des ISMS |
Der große Vorteil: Unternehmen, die bereits IFS oder BRC zertifiziert sind, verfügen über etablierte Managementsystem-Strukturen, Audit-Erfahrung und eine Dokumentationskultur, die als Grundlage für das ISMS dienen kann.
Besondere NIS2-Anforderungen für die Lebensmittelbranche
Die zehn Mindestmaßnahmen aus Artikel 21 der NIS2-Richtlinie gelten vollständig. Einige davon erfordern in der Lebensmittelbranche eine branchenspezifische Ausprägung.
Risikoanalyse: Lebensmittelsicherheit als Dimension
In der klassischen IT-Risikoanalyse bewertest du Risiken nach Vertraulichkeit, Integrität und Verfügbarkeit. In der Lebensmittelbranche kommt eine vierte Dimension hinzu: die Lebensmittelsicherheit. Ein IT-Ausfall, der bei einem Bürodienstleister lediglich Produktivitätsverluste verursacht, kann bei einem Lebensmittelhersteller die Gesundheit von Verbrauchern gefährden.
Tools wie ISMS Lite helfen dabei, die branchenspezifische Risikobewertung strukturiert durchzuführen und die Lebensmittelsicherheitsdimension als eigenes Bewertungskriterium abzubilden. Die Risikoanalyse muss deshalb folgende Fragen beantworten:
- Welche IT- und OT-Systeme sind direkt an der Sicherstellung der Lebensmittelsicherheit beteiligt?
- Was passiert, wenn die Kühlkettenüberwachung für vier Stunden ausfällt? Welche Produktmengen sind betroffen?
- Können HACCP-Kontrollpunkte bei einem IT-Ausfall manuell überwacht werden?
- Wie schnell können wir bei einem ERP-Ausfall auf manuelle Chargenrückverfolgung umstellen?
Netzwerksegmentierung: Produktion und Office trennen
Die IT-Architektur eines Lebensmittelherstellers umfasst typischerweise drei Bereiche, die durch Netzwerksegmentierung voneinander getrennt werden müssen:
Produktionsnetzwerk (OT): SPS-Steuerungen der Produktionslinien, Pasteurisierungsanlagen, Abfüllanlagen, Verpackungsmaschinen, CIP-Anlagen. Diese Systeme laufen oft auf proprietären Betriebssystemen und können nicht oder nur eingeschränkt gepatcht werden.
Monitoring- und QM-Netzwerk: Temperaturüberwachung, HACCP-Datenerfassung, LIMS, Waagen und Metalldetektoren. Dieses Netzwerk bildet die Brücke zwischen OT und IT und muss in beide Richtungen kontrolliert werden.
Office-Netzwerk (IT): ERP-System, E-Mail, Verwaltung, Internetzugang. Hier gelten die üblichen IT-Sicherheitsmaßnahmen.
Zwischen den Segmenten dürfen nur definierte Datenflüsse stattfinden. Die Produktionssteuerung darf nicht direkt aus dem Office-Netz erreichbar sein, und die Temperaturdaten fließen über definierte Schnittstellen ins ERP, nicht über offene Netzwerkverbindungen.
Supply-Chain-Sicherheit: Lieferanten und EDI-Verbindungen
Der elektronische Datenaustausch (EDI) ist in der Lebensmittelbranche Standard. Bestellungen, Lieferscheine, Rechnungen und Qualitätszertifikate werden automatisiert zwischen den Geschäftspartnern ausgetauscht. Diese EDI-Verbindungen sind ein potenzielles Einfallstor, wenn sie nicht ausreichend abgesichert sind.
NIS2 fordert die Bewertung der Lieferkettensicherheit. In der Lebensmittelbranche bedeutet das konkret:
- EDI-Verbindungen absichern: Verschlüsselung, Authentifizierung, Monitoring auf ungewöhnliche Transaktionsmuster
- Lieferantenportal härten: Wenn Lieferanten über ein Webportal Daten einspeisen (Qualitätszertifikate, Analyseberichte), muss dieses Portal gegen unbefugten Zugriff geschützt sein
- Kritische Lieferanten bewerten: Für die 20 wichtigsten Lieferanten sollte eine Sicherheitsbewertung vorliegen, die mindestens grundlegende Fragen zur IT-Sicherheit abdeckt
Incident Response: Rückrufmanagement einbeziehen
Der Incident-Response-Plan eines Lebensmittelherstellers muss über die reine IT-Wiederherstellung hinausgehen und das Rückrufmanagement einbeziehen. Wenn ein Cyberangriff die Integrität der Produktionsdaten gefährdet hat, stellt sich die Frage: Können wir sicher ausschließen, dass die in diesem Zeitraum hergestellten Produkte einwandfrei sind?
Wenn diese Frage nicht mit einem klaren Ja beantwortet werden kann, muss möglicherweise ein Produktrückruf eingeleitet werden. Der Incident-Response-Plan muss deshalb folgende Elemente enthalten:
- Integritätsprüfung der Produktionsdaten: Wie können wir nach einem Vorfall feststellen, ob Produktionsdaten manipuliert wurden?
- Schnittstelle zum Rückrufteam: Wer entscheidet über einen Rückruf? Welche Informationen braucht das QM-Team?
- Kommunikation mit Behörden: Neben der BSI-Meldung (24 Stunden) kann bei einer Gesundheitsgefährdung auch eine Meldung an die zuständige Lebensmittelüberwachungsbehörde erforderlich sein
- Benachrichtigung der Handelspartner: Wenn ein Rückruf droht, müssen Großhändler und Einzelhändler schnell informiert werden
Praxisbeispiel: Lebensmittelhersteller mit 120 Mitarbeitern
Um die NIS2-Anforderungen greifbar zu machen, schauen wir uns ein konkretes Beispiel an.
Ausgangslage:
Die FrischWerk GmbH (fiktives Beispiel) ist ein Hersteller von Feinkostsalaten und Frischeprodukten mit Sitz in Nordrhein-Westfalen. 120 Mitarbeiter, 35 Millionen Euro Jahresumsatz. Die Produkte werden an vier große Einzelhandelsketten, zahlreiche regionale Einzelhändler und Caterer geliefert. Das Unternehmen ist IFS-Food-zertifiziert (Higher Level).
Die IT- und OT-Infrastruktur:
- ERP-System: CSB-System (branchenspezifisch, On-Premise, zwei Server im Cluster)
- Produktionssteuerung: Drei Produktionslinien mit SPS-Steuerung (Siemens S7-1500), automatisierte Abfüll- und Verpackungsanlagen
- Kühlkettenüberwachung: 85 Temperatursensoren in drei Kühlhäusern, zwei Tiefkühllagerräumen und 12 Kühl-LKWs, zentrales Monitoring über ein Cloud-System
- LIMS: Laborinformationssystem für mikrobiologische Untersuchungen und Sensorikprüfungen
- Waagen und Metalldetektoren: An jeder Produktionslinie, direkte Anbindung ans ERP
- EDI-Verbindungen: Automatisierter Datenaustausch mit 35 Geschäftspartnern
- Server-Infrastruktur: 6 physische Server (ERP-Cluster, Fileserver/AD, LIMS, Backup, Monitoring)
- Arbeitsplätze: 40 PCs (Produktion, Labor, Verwaltung, Disposition)
- Cloud-Dienste: Microsoft 365, Temperatur-Monitoring (SaaS), GPS-Tracking der LKW-Flotte
Die IT wird von einem IT-Leiter und zwei Systemadministratoren betreut. Ein externes Systemhaus übernimmt die Netzwerkbetreuung und den Second-Level-Support. Ein ISMS existiert nicht, aber das IFS-QM-System ist gut etabliert und auditiert.
Phase 1: Bestandsaufnahme und regulatorische Einordnung (Monat 1-2)
Betroffenheitsanalyse: FrischWerk fällt mit 120 Mitarbeitern und 35 Millionen Euro Umsatz unter NIS2. Lebensmittelherstellung ist in Anhang I gelistet. Einstufung: wichtige Einrichtung.
Regulatorische Bestandsaufnahme: FrischWerk unterliegt neben NIS2 folgenden Regelwerken: EU-VO 178/2002 (Rückverfolgbarkeit), EU-VO 852/2004 (Lebensmittelhygiene), IFS Food 8 (Zertifizierung), HACCP (verpflichtend), DSGVO (Mitarbeiter- und Kundendaten), Verpackungsgesetz.
ISB benennen: Der IT-Leiter übernimmt die ISB-Rolle mit 50 Prozent Zeitanteil. Entscheidend ist die enge Zusammenarbeit mit der QM-Leitung, denn viele NIS2-relevante Systeme sind gleichzeitig IFS-/HACCP-relevant.
Asset-Inventar erstellen:
| Kategorie | Anzahl | Kritischstes Asset |
|---|---|---|
| Produktionsanlagen (OT) | 3 Linien, 15 Steuerungen | Hauptproduktionslinie (60 % der Kapazität) |
| Server | 6 | ERP-Cluster (CSB-System) |
| Temperatursensoren | 85 | Kühlhaus 1 (Hauptlager Fertigprodukte) |
| Arbeitsplätze | 40 | Dispositionsplätze (Tourenplanung) |
| EDI-Verbindungen | 35 | Verbindung zu REWE/EDEKA (70 % des Umsatzes) |
| Cloud-Dienste | 3 | Temperatur-Monitoring (SaaS) |
| Laborgeräte | 8 | Mikrobiologie-Analysegeräte |
Besondere Feststellung: Die Kühlkettenüberwachung läuft über einen Cloud-Dienst eines Startups mit 25 Mitarbeitern. Die SLA-Vereinbarung enthält keine expliziten Sicherheitsanforderungen. Das ist ein kritisches Lieferantenrisiko, das priorisiert adressiert werden muss.
Phase 2: Risikoanalyse (Monat 3-4)
Die Risikoanalyse berücksichtigt neben IT-Risiken auch die Auswirkungen auf Lebensmittelsicherheit und Rückverfolgbarkeit.
| Risiko | Auswirkung auf Betrieb | Auswirkung auf Lebensmittelsicherheit | Bewertung |
|---|---|---|---|
| Ransomware verschlüsselt ERP | Produktion, Logistik und Abrechnung stehen still | Chargenrückverfolgung nicht möglich | Kritisch |
| Manipulation der Temperaturdaten | Falsche Kühlketten-Dokumentation | Verdorbene Ware gelangt in den Handel | Kritisch |
| Ausfall der Produktionssteuerung | Produktionsstopp aller Linien | Direkte Auswirkung auf Versorgungssicherheit | Kritisch |
| Kompromittierung der EDI-Verbindungen | Falsche Bestellungen, Lieferscheine | Falsche Produkte an falsche Empfänger | Hoch |
| Ausfall des LIMS | Keine Laborfreigaben, Produktionsstau | Produkte ohne Qualitätsfreigabe | Hoch |
| Manipulation der Waagen/Metalldetektoren | Falsche Gewichte, übersehene Fremdkörper | Direkte Verbrauchergefährdung | Kritisch |
| Cloud-Monitoring-Ausfall | Keine Echtzeit-Temperaturüberwachung | Manuelle Kontrolle nötig, Lücken möglich | Hoch |
Besonders kritisch identifiziert: Die Integrität der Produktions- und Qualitätsdaten. Wenn ein Angreifer Laborergebnisse, Temperaturwerte oder Metalldetektor-Protokolle manipuliert, können unsichere Produkte in den Handel gelangen. Dieses Risiko wird mit höchster Priorität behandelt.
Phase 3: Technische Maßnahmen (Monat 5-8)
Netzwerksegmentierung (Monat 5-6):
Das Netzwerk wird in vier Sicherheitszonen aufgeteilt:
- Produktionszone: SPS-Steuerungen, Abfüllanlagen, Verpackungsmaschinen. Strikt isoliert, nur Kommunikation mit dem Prozessleitrechner.
- Monitoring-Zone: Temperatursensoren, Waagen, Metalldetektoren, LIMS. Kontrollierte Verbindungen zum ERP und zum Cloud-Monitoring.
- Business-Zone: ERP, E-Mail, Office-Anwendungen, Arbeitsplätze.
- DMZ: EDI-Gateway, Lieferantenportal, Webserver.
Die SPS-Steuerungen der Produktionslinien erhalten keinen Zugang zum Internet und keinen direkten Zugang zum Business-Netzwerk. Datenflüsse zwischen Produktion und ERP laufen über definierte Schnittstellen und Gateways.
Absicherung der Kühlkettenüberwachung (Monat 6):
Für das Cloud-basierte Temperatur-Monitoring werden folgende Maßnahmen umgesetzt:
- Vertragsergänzung mit dem Cloud-Anbieter: SLA um Verfügbarkeit (99,5 %), Datensicherung und Incident-Notification erweitert
- Lokales Backup: Alle Temperaturdaten werden zusätzlich lokal gespeichert, damit bei einem Cloud-Ausfall die Dokumentationspflicht erfüllt bleibt
- Integritätsschutz: Temperaturdaten werden mit einem Hashwert versehen, um nachträgliche Manipulation erkennbar zu machen
MFA und Zugriffskontrolle (Monat 6-7):
Multi-Faktor-Authentifizierung wird für alle externen Zugänge (VPN, Cloud-Dienste, EDI-Portal-Administration) und für alle privilegierten Accounts eingeführt. Für die Produktionsarbeitsplätze im Reinraumbereich, an denen Handschuhe getragen werden, wird eine chipkartenbasierte Authentifizierung implementiert.
EDI-Härtung (Monat 7):
Die EDI-Verbindungen werden auf aktuelle Verschlüsselungsstandards (TLS 1.3 oder AS4) migriert. Für die automatisierte Verarbeitung eingehender EDI-Nachrichten wird eine Plausibilitätsprüfung implementiert, die ungewöhnliche Bestellmengen oder unbekannte Artikelnummern flaggt.
Backup und Recovery (Monat 7-8):
Die Backup-Strategie wird um folgende Elemente erweitert:
- ERP: RTO 4 Stunden, tägliches Backup, wöchentliches Offline-Backup
- Produktionssteuerung: Sicherung aller SPS-Programme und Parametrierungen, vierteljährlich
- Temperaturdaten: Tägliche lokale Sicherung zusätzlich zum Cloud-Backup
- LIMS: Tägliches Backup, RTO 8 Stunden
Phase 4: Organisatorische Maßnahmen (Monat 8-10)
Integration von ISMS und IFS-QM-System:
FrischWerk nutzt die vorhandene IFS-Struktur als Fundament für das ISMS – in ISMS Lite lassen sich die IFS-Dokumentenstruktur und die ISMS-Controls parallel verwalten, sodass Doppelarbeit vermieden wird. Konkret bedeutet das:
- Die IFS-Dokumentenstruktur wird um ISMS-Dokumente erweitert, statt ein paralleles System aufzubauen
- Bestehende IFS-Verfahren (Korrekturmaßnahmen, interne Audits, Management-Review) werden um IT-Sicherheitsaspekte ergänzt
- HACCP-Kontrollpunkte, die IT-gestützt überwacht werden, erhalten im ISMS eine eigene Risikobewertung
- Der jährliche IFS-Audit und der ISMS-interne-Audit werden koordiniert, um Doppelbelastungen zu vermeiden
Schulungsprogramm:
- Alle Mitarbeiter: 30-Minuten-Online-Modul zu Cyberhygiene, integriert in die jährliche Pflichtunterweisung (die ohnehin für Hygiene, Arbeitsschutz und HACCP stattfindet)
- Produktionsmitarbeiter: Zusatzschulung zum Erkennen und Melden von ungewöhnlichem Systemverhalten an den Produktionslinien
- IT-Team und QM-Leitung: Vertiefung zu OT-Sicherheit, Incident Response und dem Zusammenspiel von NIS2 und IFS
- Geschäftsführung: NIS2-Pflichten, persönliche Haftung, Freigabe von Risikoakzeptanz
Lieferantenbewertung:
| Lieferant | Besondere Anforderungen |
|---|---|
| Cloud-Temperaturmonitoring (SaaS) | Verfügbarkeit, Datensicherung, Incident-Notification, Datenlöschung |
| CSB-System (ERP-Anbieter) | Patch-Zyklen, Security-Response-Zeiten, Remote-Zugriff |
| Siemens (SPS-Steuerungen) | Firmware-Updates, Sicherheitsempfehlungen, Lebenszyklusplanung |
| Externes Systemhaus | NIS2-Klauseln im Vertrag, Sicherheitszertifizierung |
| EDI-Dienstleister | Verschlüsselung, Zugriffskontrollen, Monitoring |
| Microsoft (M365) | Compliance-Dokumentation vorhanden (SOC 2, ISO 27001) |
Business-Continuity-Plan:
| System | RTO | Manuelles Verfahren |
|---|---|---|
| ERP (CSB) | 4 Stunden (Cluster-Failover) / 12 Stunden (Backup-Restore) | Lieferscheine manuell erstellen, Chargenrückverfolgung über Papierprotokolle |
| Produktionssteuerung | Anlagenabhängig (1-4 Stunden) | Manuelle Steuerung eingeschränkt möglich bei 2 von 3 Linien |
| Temperatur-Monitoring | 1 Stunde (lokales Backup), 8 Stunden (Cloud-Restore) | Manuelle Temperaturmessung alle 2 Stunden |
| LIMS | 8 Stunden | Laborergebnisse auf Papier dokumentieren, manuelle Freigabe durch QM-Leitung |
Der Plan wird in einer Tabletop-Übung getestet. Szenario: Ransomware-Angriff am Montagmorgen, ERP nicht verfügbar, 8 LKW-Touren müssen manuell disponiert werden, 40 Tonnen Fertigprodukte im Kühlhaus warten auf Auslieferung. Ergebnis: Die manuelle Disposition funktioniert für einen Tag, aber die Chargenrückverfolgung auf Papier ist fehleranfällig. Konsequenz: Vorgedruckte Formulare für die Notfall-Chargendokumentation werden erstellt und im Produktionsbereich hinterlegt.
Phase 5: Audit und kontinuierliche Verbesserung (Monat 10-12)
Internes Audit: Systematische Prüfung aller NIS2-Mindestmaßnahmen, Abgleich mit IFS-Anforderungen.
Feststellungen des Audits:
- Die SPS-Steuerungen der ältesten Produktionslinie (Baujahr 2014) laufen auf einer nicht mehr unterstützten Firmware-Version. Kompensatorische Maßnahme: Maximale Netzwerkisolation. Mittelfristig: Budget für Steuerungsupgrade beantragen.
- Drei EDI-Verbindungen zu kleineren Lieferanten laufen noch über unverschlüsseltes FTP. Korrekturmaßnahme: Migration auf SFTP/AS4 innerhalb von drei Monaten.
- Das Notfallverfahren für die manuelle Temperaturüberwachung wurde noch nicht mit dem gesamten Lagerpersonal geübt. Korrekturmaßnahme: Übung im nächsten Quartal einplanen.
Management-Review: Die Geschäftsführung genehmigt den Restrisiko-Katalog, das Budget für das Folgejahr (Schwerpunkt: Steuerungsupgrade Produktionslinie 1, Ausbau des OT-Monitorings) und den Schulungsplan.
Budget-Übersicht
| Position | Einmalig (Jahr 1) | Jährlich (ab Jahr 2) |
|---|---|---|
| Externe Beratung (ISMS-Aufbau) | 25.000-35.000 € | 8.000-12.000 € |
| Netzwerksegmentierung (Hardware + Konfiguration) | 12.000-20.000 € | 2.000-3.000 € |
| Backup-Erweiterung (Offline-Backup, Temperatur-Backup) | 5.000-8.000 € | 1.500-2.500 € |
| MFA und Zugriffskontrolle | 3.000-5.000 € | 2.000-3.000 € |
| EDI-Härtung | 5.000-8.000 € | 1.000-2.000 € |
| Schulungen | 4.000-6.000 € | 3.000-4.000 € |
| ISB-Zeitanteil (intern, 50 %) | 30.000-35.000 € | 30.000-35.000 € |
| Gesamt | 84.000-117.000 € | 47.500-61.500 € |
Nicht enthalten sind die Kosten für den Upgrade der ältesten Produktionssteuerung, da diese als Investition im regulären Anlagenbudget abgebildet werden. Wer die Tool-Kosten im Rahmen halten will: ISMS Lite bietet den kompletten Funktionsumfang ab 500 Euro pro Jahr oder als Einmalkauf für 2.500 Euro, ohne Seat-Lizenzen oder versteckte Kosten.
Was du jetzt tun solltest
Wenn du in der Lebensmittelherstellung oder im Lebensmittelgroßhandel tätig bist und NIS2 umsetzen musst, sind folgende erste Schritte sinnvoll:
-
Bestehende QM-Strukturen als Grundlage nutzen. Wenn du IFS, BRC oder ein anderes auditiertes QM-System betreibst, hast du bereits eine Managementsystem-Struktur, die du für das ISMS nutzen kannst. Du musst das Rad nicht neu erfinden, sondern das bestehende System erweitern.
-
Kühlkettenüberwachung und HACCP-Schnittstellen inventarisieren. Diese Systeme sind das Bindeglied zwischen IT-Sicherheit und Lebensmittelsicherheit. Erstelle eine vollständige Übersicht, welche IT-Systeme an der Überwachung kritischer Kontrollpunkte beteiligt sind.
-
EDI-Verbindungen und Lieferantenabhängigkeiten bewerten. In der Lebensmittelbranche sind die Lieferketten besonders komplex. Beginne mit den 10 bis 20 umsatzstärksten Geschäftspartnern und prüfe, wie die elektronische Kommunikation abgesichert ist.
-
Recovery-Zeiten realistisch planen. Verderbliche Ware wartet nicht. Stelle sicher, dass die Recovery-Zeiten für produktionsnahe Systeme mit der Haltbarkeit deiner Produkte vereinbar sind. Ein ERP-Ausfall von drei Tagen ist für einen Hersteller von Tiefkühlprodukten beherrschbar, für einen Frischeproduzenten nicht.
Die Lebensmittelbranche bringt für die NIS2-Umsetzung einen entscheidenden Vorteil mit: eine gewachsene Kultur der Dokumentation, des Risikomanagements und der externen Auditierung. Wer bereits erfolgreich IFS- oder BRC-Audits besteht, hat das methodische Rüstzeug, um auch ein ISMS aufzubauen. Es geht darum, diese vorhandene Kompetenz auf die IT-Sicherheit zu übertragen und beide Welten zu einem integrierten System zu verbinden.
Weiterführende Artikel
- NIS2 für den Mittelstand: Was du wissen musst und was jetzt zu tun ist
- NIS2-Meldefristen im Überblick: 24h, 72h, 1 Monat - was wann fällig ist
- Risikobewertung im ISMS: Methoden, Kriterien und Praxisbeispiele
- Supply-Chain-Angriffe verstehen und verhindern
- Lieferantenbewertung mit Sicherheitsfragebogen: Vorlage und Leitfaden