Durch die weitreichenden Auswirkungen der COVID-19-Pandemie ist die Arzneimittelbranche in den Fokus der Öffentlichkeit geraten und unterliegt dadurch einem erhöhten Sicherheitsinteresse. Sicherheitsbedenken erstrecken sich dabei u. a. auf die Absicherung von Betriebsgeländen und den darauf betriebenen Systemen. Die PHOENIX Pharmahandel GmbH & Co KG („PHOENIX“) hat diese erhöhte Exposition erkannt und führte deshalb mit Unterstützung von HiSolutions eine stichprobenartige Überprüfung ihrer Werksgelände hinsichtlich der physischen Sicherheit durch.

Success Story als PDF herunterladen

Ziele

PHOENIX hat sich zum Ziel gesetzt, ihre physischen Sicherheitsmaßnahmen risikoorientiert einer Überprüfung zu unterziehen, um deren Wirksamkeit und Reifegrad zu verifizieren. Die Assessments der physischen Sicherheit sollten sich dabei sowohl auf die organisatorischen Verfahren ausrichten als auch die technischen Sicherheitsinfrastrukturen berücksichtigen, um mögliche Schwachstellen und Verbesserungspotenziale aus einer ganzheitlichen Perspektive zu identifizieren. Anhand von realistischen Szenarien sollten die vorhandenen Maßnahmen zur Zutritts- und Zugangskontrolle sowie zum Perimeterschutz zentraler Standorte überprüft werden.

Bei der Umsetzung dieser Ziele unterstützte HiSolutions mit der Durchführung von Assessments und durch Bereitstellung eines Prüfteams, das die Überprüfung über alle Phasen begleitete.

Herausforderungen

Die durchgeführten Assessments wurden als Black-Box-Szenario und somit ohne zusätzliche Informationen durchgeführt. Dadurch wurden möglichst realistische Szenarien simuliert, bei denen Angreifer Schaden verursachen könnten. Den Testern wurde dabei eine schnelle Anpassung an neue Gegebenheiten abverlangt, um innerhalb des vorgegebenen Zeitraums Schwachstellen zu identifizieren und in Rücksprache aktiv auszunutzen.

Umsetzung

In Abstimmung mit PHOENIX erarbeitete HiSolutions relevante Szenarien, die im Rahmen des Red-Teamings den Angriff auf nicht-digitale Assets simulieren sollten. Bei der Festlegung der Prüfschwerpunkte wurden sowohl für PHOENIX anwendbare Standards (z. B. ISO/IEC 27001, BSI-Standard 200-2, Wirtschaftsgrundschutz) als auch branchenspezifische Best Practices durch HiSolutions eingebracht.

Im Rahmen der nachfolgenden Überprüfungen wurden die technischen, organisatorischen, personellen und baulichen Sicherheitsmaßnahmen durch Prüfung der Möglichkeiten des unkontrollierten Zutritts und Zugriffs via

• ungesicherter, teilgesicherter und gesicherter Zutrittsmöglichkeiten,
• Erlangung eines Zugangs oder Verbleib in betrieblich unbefugten Bereichen durch Methoden des Social Engineering (u. a. Pretexting, Tailgaiting, Elizitieren),
• Ausnutzung technischer oder personeller Schwachstellen in Kontrolleinrichtungen sowie
• dem unbemerkten Entwenden von Informationen

verifiziert.

Ergebnis

Die identifizierten Befunde wurden anhand anwendbarer Gefährdungskataloge dokumentiert und in einem detaillierten Bericht aufbereitet dem Auftraggeber bereitgestellt. Anschließend wurden die jeweiligen bestehenden Sicherheitsrisiken mit Bezug auf die Infrastruktur und die Arbeitsabläufe des Unternehmens aufgeführt und konkrete Handlungsempfehlungen ausgesprochen, die PHOENIX als Grundlage dienen, identifizierte Verbesserungspotenziale nachhaltig umzusetzen.

Die Ergebnisse der Überprüfung halfen PHOENIX, wesentliche Punkte zur Optimierung ihrer physischen Sicherheit zu identifizieren und diese noch weiter zu verbessern. Zusätzlich wurde beschlossen, die Prüfung für weitere Standorte durchzuführen, um ggf. Verbesserungspotenziale frühzeitig zu erkennen.