Neben der Finanz- und Versicherungsbranche gehört die Pharmaindustrie zu den finanzstarken Bereichen der Wirtschaft. In Anbetracht der hohen Summen, die in die Erforschung neuer Medikamente investiert werden, ist es umso wichtiger, alle Daten vor unberechtigten Dritten zu schützen. Dabei gilt es technische wie auch organisatorische Maßnahmen umzusetzen. Technische Maßnahmen sind beispielweise die Absicherung von Netzwerken durch eine geeignete IT-Infrastruktur oder Firewalls. Zu den organisatorischen Maßnahmen zählen Dokumentationen und Schulungen der Mitarbeiter.
Der 2021 State of Pharmaceuticals and Cybersecurity Report1 von Fortinet stellt fest, dass eine Branche den Wettlauf um die Sicherung und den Schutz von geistigem Eigentum, Geschäftskontinuität und unternehmenskritischen Daten schnell verliert. 98 % der befragten Pharmaunternehmen haben mindestens einen Einbruch erlebt. Und etwa die Hälfte der befragten Unternehmen erlebte im letzten Jahr (2020) zwischen drei und fünf Angriffe.
Cyber-Security im GMP-Umfeld als besondere Herausforderung.
Das besonders stark regulierte GMP-Umfeld macht es der Cyber-Security dabei nicht gerade leichter. So dürfen zum Beispiel keine undokumentierten Änderungen an Systemen vorgenommen werden. Und auch das Einspielen von Updates muss sich auf ein Konzept stützen, das in der Regel auf Dokumenten wie Risikoanalysen, Equipment- und Softwarelisten basiert. Sämtliche Anstrengungen münden dann in (mindestens) eine Arbeitsanweisung, die in klar definierten Szenarien beschreibt, wie und wann bei welchen Systemen welche Aktualisierungen eingespielt werden dürfen. Zusätzlich werden regelmäßige Reviews von Dokumentationen und Audit Trails durchgeführt.
Die Methoden der Angreifer entwickeln sich unter Einbeziehung aktueller Schutzmechanismen entsprechend weiter. Aus diesem Grund benötigt die Cyber-Security im Unternehmen ein System, das sich ebenfalls weiterentwickelt und einem Life-Cycle Prozess unterliegt. Cyber-Security sollte daher von Unternehmen und Mitarbeitenden keinesfalls als zusätzliche Anforderung verstanden werden. Vielmehr muss sie zum Alltag einer geregelten IT gehören. Dazu zählt auch die Sensibilisierung aller Mitarbeiter gegenüber dem Thema.
Ein Information Security Management System (ISMS) ist daher unerlässlich.
Daten zu schützen ist die eine Seite, die andere ist, die Vertraulichkeit, die Verfügbarkeit sowie die Integrität der Daten zu gewährleisten. Die dazu erforderlichen Regeln, Tools und Prozesse werden im Informationssicherheitsmanagement System definiert.
Die Umsetzung von Sicherheitsstandards und die damit einhergehenden Einhaltung der Governance im Unternehmen sowie die Minimierung von Risiken durch den Einsatz prozessorientierter Methoden, ist nur dann erfolgreich, wenn folgende Bestandteile in das ISMS einfließen:
- Technische Maßnahmen
- Organisatorische Maßnahmen
- Cyber-Security Konzept
- Life-Cycle Prozess
Der Life-Cycle Prozess (kontinuierlicher Verbesserungsprozess) ist fester Bestandteil des Informationssicherheitsmanagement Systems. Sicherheit setzt sich aus einem Mix von Technologie, Maßnahmen, Personal und Prozessen zusammen. Aber auch Schulungen sowie die Sensibilisierung für das Themen Cyber-Security und Informationssicherheit spielen eine wichtige Rolle im Kontext eines ganzheitlichen Prozesses.
Das bedeutet, dass Sie sich regelmäßig selbst auditieren und kontrollieren sollten.
Ein Angriff kann verschiedene Ziele verfolgen.
Ein Angriff kann verschiedene Ziele und damit unterschiedliche Auswirkungen haben. Ferner kann ein Angriff mehrere Ziele parallel verfolgen:
Angriffsziel | Auswirkungen |
|---|---|
Daten löschen |
|
Daten manipulieren |
|
Daten ausspionieren |
|
Streuung von Falschinformationen |
|
Tab. 1: Angriffsziele und Auswirkungen.
Das Löschen von Daten.
Das Löschen von Daten ist im GMP-Umfeld als kritisch einzustufen. Jahrelange Investitionen in Studien und der lückenlosen Dokumentation bilden das Rückgrat für eine Zulassung eines Produkts. Wenn Angreifer die Daten löschen und der Prozess von vorne begonnen werden muss, kann ein Unternehmen schnell an seine finanziellen Grenzen stoßen. Sofern schon Produkte auf dem Markt sind, aber bzgl. der Qualität keine Rückverfolgung des Herstellungsprozesses möglich ist, kann dies zu teuren Rückrufaktionen führen. Die Verletzung regulatorischer Vorgaben führt automatisch zu einer non-Compliance, die schnell in Warning Lettern der FDA enden und mit einem schweren Reputationsverlust einhergehen kann.
Die Manipulation von Daten.
Das Gefahrenpotential bei der Manipulation von Daten ist noch höher einzustufen als die Löschung von Daten. Eine Löschung von Daten fällt im Allgemeinen schneller auf als die Manipulation. Gelöschte Daten bedeuten nicht, dass die Qualität des Produktes im Nachhinein schlecht ist. Die Manipulation von Daten kann sich aber sehr stark auf die Produktqualität auswirken. Das kann so weit gehen, dass die Sicherheit von Patienten gefährdet wird.
Daten ausspionieren und Streuung von Falschinformationen.
Das Ausspionieren von Daten, sowie die Streuung von Falschinformationen, zielt eher darauf ab, dem Unternehmen einen wirtschaftlichen Schaden zuzufügen und die Reputation zu beschädigen. Wobei auch hier die Schwere des Angriffs in Kombination mit dem medialen Interesse und dem Bekanntheitsgrad des Unternehmens, durchaus bis hin zur Insolvenz führen kann.
Assets (Vermögenswerte).
Mit der Gruppe der Assets, wird festgelegt, welche Daten geschützt werden sollen. Das können Dokumente, Berichte, Fotos aber auch Passwortinformationen oder Kreditkartendaten sein.
Bei der Wahl der Assets sind folgende Fragestellungen hilfreich:
- Welche Daten sind für Sie am vertraulichsten? Nicht alle Daten sind gleich vertraulich. Arbeiten Sie mit Vertraulichkeitsstufen. Je nach Stufe wird der Schutzaufwand definiert.
- Welche Daten dürfen auf keinen Fall verloren gehen?
Legen Sie Kategorien an und bewerten Sie diese. Daten, die nicht verloren gehen dürfen, finden sich möglicherweise im Business/Management, im Labor, im Forschungsbereich oder auch in der Produktion.
- Was würde den größten Schaden anrichten?
Definieren Sie Schadensszenarien und unterteilen Sie z.B. nach Wahrscheinlichkeit des Auftretens, Wahrscheinlichkeit der Entdeckung, Auswirkungen auf verschiedene Bereiche und Kritikalität. Achten Sie auf eine datenbezogene Bewertung. Der größte Schaden entsteht, wenn was mit welchen Daten passiert?
- Was könnte sich stark negativ auf den Ruf des Unternehmens auswirken?
Legen Sie fest, welche Szenarien den Ruf des Unternehmens negativ beeinflussen können. Klassifizieren Sie die Szenarien. Nicht jedes Szenario beeinflusst die Reputation in gleicher Stärke.
Anonymity / Privacy (Anonymität / Datenschutz).
Für die Wahl der Assets spielen Privacy und Anonymity ebenfalls eine wichtige Rolle.
Anonymity = sich unerkannt im Netzwerk bewegen
Privacy = geheime Daten (Top Secret, Confidential)
Anonymität bedeutet, dass jede Benutzer-Aktion von der Identität getrennt wird. Es ist zwar zu sehen, welche Aktion ausgeführt wurde (z.B. ein Eintrag in einem öffentlichen Forum) aber eine personelle Zuordnung ist nicht ohne weiteres2 möglich.
Privacy bezieht sich auf die Daten und deren Schutz. Geheimnisse sollen bewahrt werden. So ist es z.B. sinnvoll, unternehmerisch wichtige Daten auch nur einem bestimmten Personenkreis zugänglich zu machen. Auch das Versenden verschlüsselter Daten zählt zur Privacy. Laden Sie verschlüsselte Daten in die Cloud, so ist das Unternehmen als Kunde nicht anonym, die Daten sind allerdings durch die Verschlüsselung geschützt und nur wer den Schlüssel hat, kann die Daten entschlüsseln.
Zusammengefasst sind Assets die Daten, um die wir uns kümmern müssen. Sie bilden unsere Vermögenswerte. Die oben gelisteten Fragestellungen sowie die Gewichtung der Bereiche Anonymität und Privacy können bei der Erstellung der Assets behilflich sein.
Security (Sicherheit).
Um die Assets zu schützen, werden unterschiedliche Sicherheitsverfahren angewendet. So kann beispielsweise ein VPN (Virtual Private Network) die Verbindung zwischen Sender und Empfänger absichern. Die 2-Faktor-Authentifizierung gehört ebenso zu den Sicherheitsverfahren wie eine Firewall oder das Patchen von Computersystemen (Hard- und Software).
Sicherheit ist der Grad, in dem unsere Vermögenswerte gegenüber Bedrohungen resistent sind. Wir wählen Sicherheitskontrollen aus, die im Wesentlichen auf den, durch Angreifer ausgelösten, Bedrohungsszenarien basieren.
Threats (Bedrohungen).
Die Bedrohungen stellen das eigentliche Angriffsszenario dar. Neben Angriffen mittels Viren, Trojanern usw. gehört auch das Phishing zu den Threats. Diese Bedrohungen werden von den Angreifern gesteuert/ausgelöst.
Exploits und Weakness (Schwachstelle).
Die verschiedenen Threats werden zusammengefasst als Exploit bezeichnet. Ein Exploit wird versuchen bekannte Schwachstellen auszunutzen und somit Zugriff auf Systeme zu erlangen. Die Schwachstellen bilden die Grenze zwischen Threats und Security.
Sobald der Exploit in die Security-Zone eindringen will, müssen die Security Maßnahmen greifen. Dazu muss das Sicherheitssystem zunächst erkennen, dass ein Angriff erfolgt. Einen 100% Schutz gibt es nicht. Ein Restrisiko bleibt immer bestehen. Ist der Exploit erfolgreich in die Security-Zone eingedrungen, wird er versuchen die nächste Verteidigungslinie zu durchbrechen. Wenn die Grenze zwischen Security und Assets durchbrochen wurde, erfolgt der Zugriff auf die Assets.
Vulnerability (Verletzlichkeit).
Bei der Verletzlichkeit sprechen wir über die Gründe, warum ein Angriff überhaupt erfolgreich sein konnte. Je nachdem, welche Daten in welchem Maße geschützt werden müssen, ist das passende Sicherheitsverfahren zu etablieren. Nicht alle Sicherheitsverfahren sind für alle Szenarien geeignet.
Ein Computer wird beispielsweise mit einem Spionage-Tool infiziert, weil zuvor keine Sicherheits-Updates eingespielt wurden. Eine VPN-Verbindung zwischen dem Rechner und dem Update-Server hätte hier den Angriff nicht verhindert.
Die Vulnerability für den Befall ist somit die ausgelassene Aktualisierung.
Adversaries (Gegner/Angreifer).
Haben Sie die Assets festgelegt und die Security-Maßnahmen definiert, wollen Sie sich möglicher Weise explizit vor bestimmten Threats schützen. Dazu wird eine Threat-Landschaft erstellt und die Adversaries dort mit aufgenommen.
So können Sie im Detail darstellen, dass Sie sich z.B. vor Hackern schützen wollen. Hacker nutzen oftmals Backdoors wie Sicherheitslücken in Applikationen. Abhilfe schaffen Security Patches und Updates. Somit wären Sie in der Lage u.a. sensible Audit-Berichte zu schützen.
Der Angriffsvektor.
Angriffsvektoren können aber auch auf eine gänzlich andere Weise genutzt werden:
Ein Firmen-Notebook mit hochsensiblen Daten wird gestohlen. Eine VPN Verbindung ist in so einem Falle völlig nutzlos. Der Täter hat theoretisch unendlich viel Zeit, um an die Daten heranzukommen, da er ja im Besitz des Notebooks ist. Hier hilft nur eine sehr starke und sichere Verschlüsselung der gesamten Notebook-Festplatte.
Die Frage bei der Planung des Security-Konzepts ist:
Wie hoch ist der Impact, wenn die Verschlüsselung geknackt wird?
Alle Geräte mit entsprechenden Sicherheits-Maßnahmen müssen zwingend regelmäßig überprüft werden. Aufgrund der sich ständig ändernden Bedrohungslagen reichen getroffene Maßnahmen teilweise schon nach wenigen Wochen nicht mehr aus.
Der Mehrwert.
Das ISMS sorgt bei entsprechender Ausprägung dafür, dass sich Daten in einem rechtlich definierten Rahmen nicht nur nutzen, sondern auch monetarisieren lassen. In der Pharmazie zeichnen sich vorsichtig Trends ab, mit Daten den Umsatz zu stärken.
Jedes Unternehmen, das Kundendaten speichert bzw. nutzt, muss in der Lage sein, dem Kunden aufzuzeigen welchen Daten zu welchem Zweck genutzt werden. Insbesondere mit Bezug zu datengestützten Businessmodellen ist zu erwarten, dass ein funktionierendes ISMS zur Pflicht wird.
Weitere Vorteile des ISMS sind:
- Beherrschbarkeit der Sicherheitsaspekte durch prozessgesteuerte Verfahren
- Einhaltung von Sicherheitsstandards
- Erfüllung der Unternehmensrichtlinien hinsichtlich Compliance/Governance
Abkürzungen.
2FA
FDA
FW
GMP
ISMS
IP
IT
VPN
2-Faktor-Authentifizierung
Food and Drug Administration
Firewall
Good Manufacturing Practice
Information Security Management System
Internet Protocol
Informationstechnologie
Virtual Private Network
Anmerkungen und Literatur.
- https://www.fortinet.com/content/dam/fortinet/assets/analyst-reports/report-state-of-pharmaceuticals-and-cybersecurity.pdf
- In Computernetzwerken (Firmennetzwerk, Internet) ist durch die IP-Adresse und weitere Maßnahmen, eine Identifizierung eines Users (oder zumindest der Arbeitsstation) möglich.
