Digital? Aber sicher! Cyber Security für Life Sciences Unternehmen

Das muss - und kann - verhindert werden: mit einem Cyber Security Konzept, das Schwachstellen aufdeckt und eliminiert.

Die häufigsten Schwachstellen finden sich oft an der gleichen Stelle, und zwar unabhängig vom jeweiligen Unternehmen. Ganz vorne auf der Liste der kritischen Punkte stehen zum Beispiel die technische Gebäudeausrüstung und die Gebäudeautomation. Wer sich hier Zugriff verschafft, kann die Luftmengen, Temperatur- oder Feuchtewerte ganz einfach verändern - mit verheerenden Folgen für die GMP- und FDA-Regularien. Und es ist nicht nur die Software, die Risiken birgt. In vielen Gebäuden sind die Gebäudeautomations-regelungssysteme mit ihren Schaltschränken oft in Technikzentralen ohne jegliche Zugangssicherung verbaut sind. Segmentierten IT-Netze fehlen, und sichere Passwörter sind in der Regel ebenfalls nur unzureichend vergeben. Die Zugangsports zu den Gebäudeautomationssysteme sind meist offen für externe Zugänge, ebenso wie aktive Netzwerkkomponenten der Gebäudeautomation. So greift das interne oder das externe Facility Management oft remote über angeschlossener "FRITZ!Boxen" auf die Gebäudeautomation und Aufzugsanlagen zu. Die unternehmenseigene IT kennt diese Zugänge und aktiven Komponenten der Gebäudeautomation oftmals nicht. Sicherheitsupdates werden somit nicht kontinuierlich umgesetzt bzw. sind aufgrund des Alters der IT Komponenten nicht mehr verfügbar. Die Produktionsprozesse sind damit leicht manipulierbar. Dringen Hacker über Remotezugänge (Wartungszugänge der Dienstleister) in die Gebäudeautomationssysteme der Gebäude ein, besteht zudem die Gefahr, in Schutzgeldforderungen von Kriminellen einbezogen zu werden. Eine Gefahr, die in Zukunft noch steigen wird und vielen Unternehmen bereits eine Menge Geld und Reputationsverluste gekostet hat. Der Cyber War 2.0 verursachte im Jahr 2022 mehr als 203 Milliarden EUR weltweit (BITKOM) und das ist erst der Anfang.

Cyber Security für Neubau und Bestand

Sicher begegnen lässt sich diesen Drohszenarien nur, wenn die Digitalisierungsstrategie auch den Datenschutz integriert. Und zwar von Anfang an. "Data protection by default" lautet hier der Grundsatz, an dem alle Digitalisierungsbausteine ausgerichtet werden sollten. Zusammen mit dem IT-Dienstleister ComConsult hat das auf Bau und Immobilien spezialisierte Beratungsunternehmen Drees & Sommer daher eine Cyber Security Strategie für Gebäude und Produktion entwickelt, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Februar 2022 als Cyber Security Standard durch ComConsult entwickeln lies. Dieser ist für alle neu errichteten Gebäude und Anlagen zumindest im Öffentlichen Bereich verbindlich und bildet gleichzeitig eine fundierte Basis, auf der sich Cyber Security auch für den Bestand optimieren und sicherstellen lässt. Ziel der Strategie ist es, zunächst alle eigenen Schwachpunkte in Erfahrung zu bringen, um sie im Anschluss sicher zu eliminieren.

Die Gefahr aufdecken - mit Penetrationstests…

Wer Sicherheitslücken verhindern möchte, sollte daher am besten schon während der Planungsphase eines Gebäudes Sicherheitsanforderungen an Soft- und Hardware berücksichtigen. Noch bevor ein digitales Gebäude in Betrieb genommen wird, müssen alle Hardware- und Software-Applikationen in einem Testcenter zudem einem sogenannten Penetrationstest unterzogen werden. Um Sicherheitslücken zu entdecken, werden alle Systembestandteile und Anwendungen mit Mitteln und Methoden konfrontiert, die Hacker anwenden würden, um unautorisiert in das System einzudringen. Der Penetrationstest ermittelt die Empfindlichkeit des zu testenden Systems gegen derartige Angriffe und wird auch für Bestandsanlagen und -immobilien eingesetzt, um deren Betrieb sicherer zu machen und Cyberrisiken zu eliminieren. Damit lässt sich genau feststellen, wie empfindlich ein System ist und welche Schutzmaßnahmen daraus abgeleitet werden müssen.

…und Digital Ready Checks

Bei Bestandsimmobilien hilft zusätzlich ein Digital Ready- und Cyber Security Check, potenzielle Gefahren zu definieren. Beim sogenannten Digital Ready- und Cyber Security Check werden Produktionsgebäude und sonstige Liegenschaften wie Verwaltungsgebäude, Logistik und Versorgungsgebäude auf Herz und Nieren geprüft, was die IT-Infrastrukturen, Konnektivität, Cyber Security und die technische Infrastruktur angeht. Daraus lassen sich die Schwachstellen der Infrastruktur darstellen, um daraus eine Sicherheitsstrategie und Optimierungsmaßnahmen abzuleiten, die in das gesamte Sicherheitskonzept des Standortes, der Gebäude und Liegenschaften integriert werden muss. Ein Cyber Securitykonzept umfasst zudem nicht nur digitale Maßnahmen wie Firewalls, Segmentierung der Netze, Regelung zu Softwarteupdates etc. sondern auch die physischen und personelle Vorkehrungen, um einen sicheren Betrieb (Digital Operation) zu gewährleisten. Wer glaubt ein Sicherheitskonzept zu erstellen und dann ist alles in "trockenen Tüchern" der irrt. Cyber Security benötigt eine entsprechenden Organisationsstruktur im Unternehmen, die auch an Dienstleister ausgegliedert werden kann, da Cyber Security eine 365 Tage/24 h professionelle Expertenbegleitung benötigt.

Bauliche Anforderungen an digitalisierte Gebäude (Customized Smart Building (CSB)

Digitale, intelligente und nachhaltige Gebäude unterscheiden sich von herkömmlichen Gebäuden in deren grundsätzlichen Konzeption. Die unterschiedlichen Technischen Systeme werden mittels offen Schnittstellen (Open API´s) miteinander verbunden. Die Vernetzung übernimmt ein sogenanntes Gehirn (Brain). Das Vorbild des Menschen mit Gehirn, Rückgrat, Sinnesorganen beschreibt die Konzeption eines CSB recht gut. Es kann durch eine sogenannte "Digital Readiness" heutige und zukünftige IoT Sensorik einfach integrieren. Im Mittelpunkt des CSB stehen die Mehrwerte für die Nutzer und Dienstleister in der Produktion und die damit verbundenen Optimierung der Prozesse, die Optimierung des Betriebs (CREM) und die Verbesserungen im Bereich der CO2 Emissionen und der ESG Anforderungen etc..

Schutz personenbezogener Daten

Datenschutz steht bei Gebäuden an erster Stelle und muss daher auch von Anfang an Bestandteil jeder Digitalisierungsstrategie sein. Der Grundsatz "Data protection by design" stellt dabei sicher, dass die Persönlichkeitsrechte aller Nutzer im Sinne der EU-Datenschutz-Grundverordnung und des deutschen Rechts (DSGVO) geschützt sind. Ein Smartes Gebäude sammelt die Betriebsdaten wie den Wasserverbrauch, Stromverbrauch, Kälte- und Wärmeverbrauch etc.. Solche Daten sind in der weiteren Verarbeitung völlig unkritisch und tragen dazu bei, den Betrieb eines Gebäudes zu optimieren. Gleichzeitig können Sensoren jedoch auch Informationen erfassen, aus denen sich Rückschlüsse auf individuelle Verhaltensmuster gewinnen lassen. Der Schutz dieser personenbezogenen Daten erfordert zusätzliche Maßnahmen, beispielsweise Anonymisierung oder Pseudonymisierung und die strikte Trennung zwischen Personendaten und Sensordaten in unterschiedlichen Datenbanken.

Schutz vor internem Datendiebstahl

Da für Datendiebstahl, Industriespionage oder digitale Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen auch die eigenen Mitarbeitenden verantwortlich sein können, sind für diesen Part der Cyber Security mehrere Sicherheitsmaßnahmen notwendig - angefangen von der Benennung eines Datenschutzverantwortlichen über die Systemkonfiguration von Anlagen bis hin zur Gebäudeautomation. Dem Datenschutzbeauftragten fällt dabei die Kontrollfunktion zu. Seine Aufgabe ist es, fortwährend die Systeme und erhobenen Daten zu überprüfen und gegebenenfalls auf Verstöße zu reagieren. Während er somit eine menschliche Kontrollfunktion im Betriebsablauf übernimmt, müssen Hersteller von Anlagensystemen deren DSGVO Konformität von Vornherein nachweisen. Bei einer steigenden Anzahl der Nutzung von Clouddiensten im Gebäude und einer hohen Anzahl von IoT-Produkten aus dem asiatischen und amerikanischen Raum ist das eine große Herausforderung für die Zukunft. Nach der DSGVO müssen Daten zwingend in Europa gehostet werden. Mit "Data protection by design" in der frühen Planungsphase ist sie umsetzbar.

Von der Firewall…

Über jene Maßnahmen hinaus kommen im Sinne der Cyber Security auch digitale Applikationen zum Einsatz. Ihre Aufgabe ist es vor allem, den täglichen Betrieb vor Hackerangriffen oder sonstiger Cyber-Kriminalität abzusichern. Neben Firewalls, Antivirus-Software und regelmäßigen Software-Updates empfiehlt sich insbesondere die Unterteilung des IT-Systems in Netzwerksegmente und einer ständigen Sicherheitsüberwachung der Systeme. Um IT-Ausfälle zu vermeiden, wird dafür ein redundantes IT-Netzwerk mit entsprechenden Servern und Storage-System im und außerhalb des Gebäudes aufgebaut. Dabei müssen die Zugriffsrechte klar geregelt sein.

…bis zum plattformübergreifenden System

Gleichzeitig ist es wichtig, sich nicht von proprietären Systemen abhängig zu machen. Wer künftig erfolgreich sein will, muss in Systemen und Cloud-Plattformen denken - das gilt auch für Gebäudeautomation. Als Betriebssystem der Immobilie muss die Gebäudeautomation eine grenzenlose Einbindung sämtlicher Gewerke ermöglichen - und das möglichst anbieteroffen. Denn bislang basiert die Gebäudetechnik/Haustechnik vorrangig auf proprietären Systemen. Das heißt: herstellereigene Systeme, in dem nur ein einziger Hersteller Komponenten dieses Systems anbietet, die nicht vernetzbar sind. Das führt zu einer hohen Abhängigkeit und zahlreichen Insellösungen. In Zukunft müssen vermehrt offene Systeme eingesetzt werden, die von vielen Herstellern unterstützt werden: Ihre Komponenten sind "interoperabel" und können miteinander in einer Anlage kommunizieren. Zu diesem Zweck muss eine Strategie erarbeitet werden, die eine einfache, effiziente und nachhaltige Einbindung von in und um das Gebäude befindlichen "Dingen" über Protokolle und Bussysteme erlaubt: die Systemarchitektur des Gebäudes mit einer integrierten Cyber Security und DSGVO Strategie.

Über die Autoren:

Stefan Göstl begleitet als Head of Life Sciences & Chemicals für Drees & Sommer zahlreiche Projekte von der ersten Ideenphase bis zur Inbetriebnahme von Gebäuden und Anlagen. Dabei blickt er auf über fünfzehn Jahre Beratungs- und Projekterfahrung in Prozessindustrie und Anlagenbau zurück, zehn Jahre davon in führender Position für international agierende Beratungs- und Planungsunternehmen. Der studierte Betriebs- und Volkswirt begleitete in seiner Berufslaufbahn diverse Kunden in der Öl-, Gas- Chemie- und Pharma-Industrie. Bevor Stefan Göstl im Januar 2020 zu Drees & Sommer wechselte, war er bei einem auf Anlagenbau spezialisierten Ingenieurbüro, einer internationalen Unternehmensberatung sowie in einem global aufgestellten Management & Design Haus tätig. Neben diversen strategischen Beratungsmandaten ist er seit seinem Einstieg bei Drees & Sommer operativ vor allem in einem Großprojekt des Pharmakonzerns Boehringer Ingelheim aktiv. Hier beschäftigte er sich im PMO-Mandat mit der Planung, Ausführung und Inbetriebnahme des 350 Mio. EUR Biotech-Projekts. Als Head of Life Sciences & Chemicals fokussiert er sich auf die Entwicklung neuer Geschäftsfelder für einen breiten Kundenstamm sowie auf die Erschließung neuer Märkte. Seit März 2023 ist Stefan Göstl außerdem Stellvertretender Vorsitzender des Vereins Interessengemeinschaft Pharmabau 3000 e.V., kurz VIP3000. Dort treibt er die Entwicklung von Lösungsansätzen für transformatorische Herausforderungen in der Branche voran.

Klaus Dederichs startete 2015 als Head of ICT bei Drees & Sommer, leitet den Standort Aachen und ist seit 2019 Partner des auf Bau und Immobilien spezialisierten Planungs- und Beratungsunternehmens. Dort verantwortet insbesondere die Themen Information and Communication Technology (ICT), Digitalisierung, Business Transformation, IoT, Big Data, Industrie 4.0 und Data Center, Vorbereitungsphase und Planungsphase. Klaus Dederichs studierte Physikalische Technik an der FH Aachen und arbeitete mehrere Jahre lang in verschiedenen Ingenieurbüros. Von 1999 an verantwortete er bei einem international agierenden Beratungs- und Planungsunternehmen zunächst als Projekt- und Fachbereichsleiter, später als Geschäftsführer, Prokurist und Partner zahlreiche Projekte im Rahmen des Lebenszyklus von Immobilien. Als Leiter Rechenzentrum war er für die Entwicklung und Konzeption der Rechenzentrumsplanung verantwortlich. Klaus Dederichs entwickelte den Kongress Bau- und Betrieb von Rechenzentren (Management Forum Starnberg), den er bis heute als Kongressleiter organisiert und moderiert. Zudem hat er in 2019 den Chair des ULI Product Councils Future Cities - Smart Cities übernommen.

Drees & Sommer: Innovativer Partner für Beraten, Planen, Bauen und Betreiben.

Als führendes international tätiges Planungs- und Beratungsunternehmen mit Hauptsitz in Stuttgart begleitet Drees & Sommer private und öffentliche Bauherren sowie Investoren seit über 50 Jahren in allen Fragen rund um Immobilien und Infrastruktur – analog und digital. Durch zukunftsweisende Beratung bietet das Unternehmen Lösungen für erfolgreiche Gebäude, renditestarke Portfolios, leistungsfähige Infrastruktur und lebenswerte Städte an. In interdisziplinären Teams unterstützen 4.500 Mitarbeiterinnen und Mitarbeiter an weltweit 51 Standorten Auftraggeber unterschiedlichster Branchen. Alle Leistungen erbringt das partnergeführte Unternehmen unter der Prämisse, Ökonomie und Ökologie zu vereinen. Diese ganzheitliche Herangehensweise heißt bei Drees & Sommer „the blue way“.

Der obige Text spiegelt die Meinung des jeweiligen Kolumnisten wider. Die finanzen.net GmbH übernimmt für dessen Richtigkeit keine Verantwortung und schließt jegliche Regressansprüche aus.