Digital Transformation Blog

Digital Transformation Blog

Opinions expressed on this blog reflect the writer’s views and not the position of the Capgemini Group

Lebensmittelbranche im Fokus des neuen IT-Sicherheitsgesetzes

Cyber-Attacken auf Unternehmen der Lebensmittelbranche sind vielfältig und nehmen stetig zu. In einer aktuellen Befragung gaben 44 % aller Unternehmen des Sektors Consumer Goods & Retail an, von Cyber-Attacken betroffen zu sein. Ein prominentes Beispiel ist die Cyber-Attacke auf POS-Terminals des amerikanischen Einzelhändlers Target, die zu einem finanziellen Schaden von ca. 61 Mio. EUR sowie personellen Konsequenzen im Management geführt hat. Dieses Beispiel verdeutlicht die Notwendigkeit, sich über die Konsequenzen erfolgreicher Cyber-Attacken und den daraus möglichen Missbrauch sensibler Daten bewusst zu werden und schnellstmöglich zu handeln.

Händler, Zulieferer und Produzenten in der Ernährungswirtschaft sind Betreiber sogenannter kritischer Infrastrukturen (KRITIS). Ihre Bedeutung als Versorger stellt diese Unternehmen vor besondere Herausforderungen, wie zum Beispiel dem dauerhaften Schutz der informationstechnischen und logistischen Infrastrukturen. Selbst kurze Ausfälle der IT-Infrastruktur eines Versorgers können zu nachhaltig wirkenden Beeinträchtigungen des Betriebes, möglicherweise sogar zu Versorgungsengpässen in der Gesellschaft oder erheblichen Störungen der öffentlichen Sicherheit führen. Risiken entstehen vor allem durch die verstärkte Digitalisierung von Ladenlokalen mit Wifi-Zugängen und anderen Technologien, wie In-Store-Mobilitäts-Lösungen (z.B. Virtual Reality Angebote, QR-Codes, Apps zur Navigation, etc.), wodurch das Risiko von Cyber-Attacken auf geschäftskritische Prozesse erhöht wird. Gleichzeitig speichern Händler zunehmend (personenbezogene) Daten über ihre Kunden, angefangen bei Zahlungsverkehrsdaten bis hin zu detaillierten Kundenprofilen aus Loyalitätsprogrammen. Dadurch steigt die Gefahr, sensible Kunden- und Transaktionsdaten abzufangen und zu missbrauchen.

Verbesserter Schutz kritischer Infrastrukturen durch einen ganzheitlichen Ansatz

 

Um die geschäftskritischen Systeme der Unternehmen in der Lebensmittelbranche zu schützen, müssen organisatorische, prozessuale und technische Sicherheitsmaßnahmen an aktuelle Standards angepasst werden. Die Relevanz für den ständig wachsenden Bedarf an Informationssicherheit wurde auch von der Bundesregierung erkannt und führte im Juli 2015 zur Verabschiedung des IT-Sicherheitsgesetzes (IT-SiG). Dieses verpflichtet die Betreiber kritischer Infrastrukturen, wie z.B. Unternehmen der Lebensmittelbranche, Mindeststandards für IT-Sicherheit einzuhalten und ein ganzheitliches Betriebsmodell, ein sog. Informationssicherheits-Managementsystem (kurz ISMS), einzurichten. Ein ISMS trägt maßgeblich zur Umsetzung des IT-Sicherheitsgesetztes und zu einer signifikanten Erhöhung der Sicherheit im Unternehmen bei. Die wesentlichen Vorteile eines ISMS sind:

  • Klare Transparenz über das Sicherheitsniveau und IT-Risiken
  • Verbesserter Schutz der kritischen Daten und IT-Systeme
  • Effiziente Reaktion auf Sicherheitsvorfälle
  • Erhöhte Kontinuität der Geschäftsprozesse
  • Reduzierte Kosten durch optimierte Strukturen
  • Gestärktes Bewusstsein für Cyberrisiken
  • Klarer Nachweis der Sicherheit gegenüber Dritten (z.B. Aufsichtsrat oder Kunden)
  • Reduziertes Haftungsrisiko für Führungskräfte

 

Der erste Schritt für die effiziente Implementierung eines ISMS ist die Schaffung von Transparenz über aktuelle Schwachstellen. Der Capgemini KRITIS Cybersecurity Healthcheck bietet hierfür einen strukturierten und ganzheitlichen Ansatz, um Klarheit über Ihre Sicherheitssituation zu schaffen, eine geeignete Strategie für den Aufbau einer pragmatischen Sicherheitsfunktion zu definieren und Grundvoraussetzungen zur Erfüllung der Anforderungen des IT-Sicherheitsgesetzes zu schaffen. Unser erprobter 3-Phasen Ansatz umfasst neben der Ist-Analyse eine aktuelle Reifegrad-Bewertung des Informationssicherheit-Niveaus und die Definition einer Umsetzungsplanung.

Knappe Fristen für Umsetzung

 

Die Frist für die Umsetzung der Anforderungen aus dem IT-Sicherheitsgesetz beträgt zwei Jahre, bei Nichterfüllung droht die Bundesregierung mit erheblichen finanziellen Strafen. Aktuelle Studien und Praxisbeispiele zeigen, dass Unternehmen für die Implementierung eines ISMS ca. zwei Jahre brauchen – somit tickt für die meisten bereits schon jetzt die Uhr. Eine Auseinandersetzung mit dem Thema ist daher dringend notwendig, um zukünftig nicht nur finanzielle Strafen sondern auch Reputationsschäden zu vermeiden.

 
Weitere Informationen finden Sie auf unseren Internetseiten zum Thema Cybersecurity. Bei Interesse können Sie natürlich auch gerne auf uns zukommen, wenden Sie sich in diesem Fall an Dr. Paul Lokuciejewski, Head of Cybersecurity, und Alexander Safaric, Head of Digital Retail and Consumer Products.
 

Über den Autor

Christian Mueller
Christian Mueller
Christian Müller ist Consultant im Bereich Digital Retail & Consumer Products bei Capgemini Consulting. Sein Schwerpunkt liegt auf den Themen Omnichannel IT Architecture und Cybersecurity im Handel.

Kommentar hinterlassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit einem * gekennzeichnet.