Wie stark Viren unser Leben beeinflussen, erleben wir alle seit gut einem Jahr hautnah. Ganz real, ganz konkret: Lock-down, Schutzmaßnahmen wie Masken, Luftfilter und Abstand halten, Hände waschen und regelmäßig lüften. Und jetzt: impfen! Umschalten von Reaktion auf Prävention, von Schadensminimierung und Ereignisvermeidung auf Resilienz und Immunität. Welche Verheißung, welcher Ausblick, endlich kann es nicht schnell genug gehen. Auch die chemisch-pharmazeutische Industrie mobilisiert alle Ressourcen, um dem Bedarf gerecht zu werden, neue Allianzen und Lieferketten werden geknüpft, Produktionskapazitäten umgewidmet.

So sehr wir als Menschen von unseren Netzwerken, dem persönlichen und direkten Austausch leben, ja, ohne ihn auf Dauer verkümmern, so lebt unsere Produktion – nicht nur die der Impfstoffe – von global, fein aufeinander abgestimmten Lieferketten und Datenströmen. Auch hier sind wir Viren (und anderen Angriffsvektoren) ausgesetzt – zwar im digitalen Raum, doch genauso konkret.

Es vergeht kein Monat, in dem nicht irgendwo ein größerer Daten­skandal oder ein ungewollter „Lock-down“ durch Ransomware Schlagzeilen macht. Ähnlich wie bei Covid-19 stehen wir hier von Zeit zu Zeit plötzlich auftretenden globalen Pandemien (z.B. Sasser, Conficker, Wiper) gegenüber, denen wir mit gleicher Entschlossenheit begegnen müssen.

Regulierung und Cybersecurity

Dazu bedarf es der gemeinsamen Anstrengung von Anwendern, Herstellern und Behörden. Die chemisch-pharmazeutische Industrie in Deutschland ist sich ihrer Verantwortung auch bei diesem Thema voll bewusst und hat ein hohes Eigeninteresse, ihre Produktion entsprechend zu schützen, um nachhaltig, sicher und unterbrechungsfrei ihre Kunden mit qualitativ einwandfreien Produkten zu versorgen. Gleichzeitig ist sie Gegenstand engmaschiger Regulierung – und diese gilt es beim Thema Cybersecurity jetzt konsistent und abgestimmt weiterzuentwickeln.

Denn schon heute definieren verschiedene Bundesministerien den Rechtsrahmen für die Produktion, bspw. verantwortet das Arbeitsministerium das Produktrecht und die Betriebssicherheit, das Umweltministerium das Störfall- und Wasserrecht und das Innenministerium die IT-Sicherheit. Die für den sicheren Betrieb in der chemisch-pharmazeutischen Industrie besonders relevanten Gesetze und Verordnungen beinhalten bereits heute zahlreiche Vorgaben, die über nachgelagerte technische Regeln, Leitfäden und Anweisungen auch die Cybersecurity adressieren.

Mit der zweiten Fassung des IT-Sicherheitsgesetzes (ITSiG 2.0) wird ein Teil der Vorgaben noch mal deutlich konkreter und der Anwendungsbereich über kritische Infrastrukturen (KRITIS) hinaus erheblich ausgeweitet. Wichtig in der Ausgestaltung ist jetzt, dass die Überlappung der bestehenden Regelungen und Rechtsgebiete berücksichtigt wird, und dass am Ende ein Satz an Vorgaben steht, der effizient und widerspruchsfrei umgesetzt werden kann.

Passende Lösungen finden

Hier ist der enge Dialog von Öffentlichkeit, Gesetzgeber und Industrie (Anwender und Hersteller) essenziell. Die NAMUR als Verband der Anwender von Automatisierungstechnik in der Prozessindustrie nimmt hier gemeinsam mit dem VCI eine aktive Rolle ein: mit dem Bundesamt für Sicherheit in der Informationstechnik wird ein Grundschutzprofil Chemie erarbeitet, welches die Umsetzung des ITSiG auch kleinen und mittleren Unternehmen effizient ermöglichen soll. Wir bringen unsere Fachkompetenz über Vertreter unserer Mitgliedsfirmen im Ausschuss für Betriebssicherheit beim BMAS oder die Kommission für Anlagensicherheit beim BMU ein. Leider ist nicht immer zu erkennen, dass die ministeriellen Vorgaben untereinander abgestimmt sind. Umso wichtiger ist der gemeinsame Austausch und die Herbeiführung passender Lösungen durch Verbände wie der NAMUR.

So sollte am Ende ein Bündel von Maßnahmen stehen, das den unterschiedlichen Bedrohungen standhält. Für die – notwendige – rasche Umsetzung ist es essenziell, dies an einer Stelle zusammenzuführen und ältere Regelungen entsprechend auch zu ersetzen. Das erleichtert die Fortschreibung und vereinfacht die Umsetzung. Denn wie bei Covid kommt es auch bei der Cybersecurity auf die konsequente Anwendung verschiedener Schutzmechanismen an: Firewalls mit kontrollierter Durchlässigkeit entsprechen den Masken, Whitelisting und Authentifizierung Anwesenheitslisten und Kontaktverfolgung, Air-Gaps dem Abstand halten, die Quarantäne der Quarantäne – und wie im echten Leben wollen wir auch in der Cybersecurity den Lockdown vermeiden. Also: Gemeinsam gegen Viren, real und digital!