Ein praktischer Leitfaden für das Inventar und die Sichtbarkeit von Industrieanlagen im Pharmasektor

Die pharmazeutische Herstellung bewegt sich im Spannungsfeld von strengen Qualitätsanforderungen, strikten Vorschriften und unerbittlichen Produktionsökonomien. In einem solchen Umfeld sind das Inventar und die Sichtbarkeit von Betriebstechnologien (OT) nicht nur Punkte auf einer Cyber-Sicherheits-Checkliste, sondern vielmehr unerlässlich, um die Patientensicherheit zu gewährleisten, geistiges Eigentum zu schützen und eine ununterbrochene, validierte Produktion aufrechtzuerhalten.

Der heutige Blogbeitrag soll als Leitfaden für das Anlageninventar dienen und versucht zu erklären, warum die Sichtbarkeit im Pharmabereich besonders herausfordernd ist. Er skizziert Risiken und Compliance-Treiber (IEC 62443, NIS2 und regionale GxP-Anforderungen) und bietet zudem eine detaillierte, pragmatische Checkliste, um eine starke Anlageübersicht zu erreichen und aufrechtzuerhalten.

Warum die Sichtbarkeit von Anlagen im Pharmasektor anders ist

Pharmaproduktionsstätten sind keine generischen Fabriken, die für alle Zwecke geeignet sind. Mehrere branchenspezifische Merkmale erschweren die Entdeckung und Sichtbarkeit und machen sie umso wichtiger:

· Validierung und Änderungssteuerung (GxP-Kontext).

Jede Änderung an computergestützten Systemen, die GxP-Daten berühren (z. B. Stapelprotokolle aus MES, Historiker-Daten, die in Freigabeentscheidungen verwendet werden), kann Validierung und rigorose Änderungssteuerung erfordern. Aggressive Scans oder ungeplante Konfigurationsänderungen können validierte Zustände gefährden und Abweichungsuntersuchungen auslösen.

· Hybride Landschaften, die IT, OT und Labore umfassen.

Pharma-Umgebungen vereinen DCS/PLC/SCADA auf dem Shopfloor mit MES/LIMS/ELN und QA/QC-Laborinstrumenten, sowie BMS/HVAC für Reinräume. Viele Laborgeräte (z. B. Chromatographiesysteme) bewegen sich zwischen IT und OT und sind oft mit veralteten Windows-Endpunkten und herstellerangepasstem Netzwerkverhalten. Sichtbarkeitslösungen müssen diese Bereiche erreichen, ohne die Datenintegrität zu beeinträchtigen.

· Reinraum- und Umweltkontrollen.

HVAC/BMS-Systeme, Differenzdrucksensoren und Umweltüberwachungsgeräte beeinflussen direkt die Produktqualität und die Compliance. Jeder Ansatz zur Sichtbarkeit muss die Kritikalität dieser Systeme respektieren und vermeiden, Alarme oder Steuerinstabilitäten auszulösen.

· Einwegetechnologien und häufige Linienumkonfiguration.

Skids, Einweg-Bioreaktoren und modulare Geräte werden zwischen den Kampagnen angeschlossen und entfernt. Die Bevölkerung von Anlagen ändert sich häufig, und temporäre Anbietergeräte sind üblich. Statische Inventare werden schnell überholt.

· Erweiterte Lieferketten und CDMO-Modelle.

Externe Partner (CMOs/CDMOs), Serialisierungsanbieter und externe Anbieter benötigen häufig Zugang. Dies erhöht die Anzahl der unbekannten oder halbverwalteten Anlagen und führt zu undurchsichtigen Konnektivitätspfaden, die traditionelle IT-Inventare übersehen.

· Erwartungen an Datenintegrität und Rückverfolgbarkeit.

Der Pharmabereich orientiert sich an den ALCOA+ Prinzipien (Attributable, Lesbar, Zeitgerecht, Original, Genau). Die Sichtbarkeit muss über das hinausgehen, was im Netzwerk vorhanden ist, bis hin zu wer was, wann und wie geändert hat, mit Prüfungspfaden, die für Inspektionen geeignet sind.

Die Risiken und Bedrohungen

Unvollständige Anlagenübersicht verstärkt mehrere hochwirksame Risiken:

· Chargenverlust und Produktionsstillstand.

Ein einziger kompromittierter Controller oder Workstation kann die sterilisierte Herstellung oder die Verarbeitung von Biologika zum Erliegen bringen. Ausfallkosten können nicht nur in Umsatzeinbußen, sondern auch in Arzneimittelknappheit und Patientenbeeinträchtigung gemessen werden.

· Qualitätsvorfälle und regulatorische Feststellungen.

Ungeprüfte Firmware, nicht autorisierte Engineering-Workstations oder falsch konfigurierte Historik-Server können die Datenintegrität untergraben. Dies lädt zu Abweichungen, CAPAs und potenziellen Feststellungen während der Inspektionen ein.

· Ransomware und störende Malware.

Ransomware, die von der IT auf die OT überschwappt, kann Stapelprotokolle, MES-Server oder Domänencontroller verschlüsseln, von denen die Produktion abhängt. Ohne eine aktuelle Anlagenkarte ist die Reaktion auf Vorfälle blind, die Wiederherstellung langsamer und die Eindämmung lückenhaft.

· IP-Diebstahl und Rezeptmanipulation.

Gegner, die Prozess-Sollwerte, Rezepte oder Analysemodelle angreifen, können den Ertrag oder die Qualität subtil verschlechtern oder wertvolle Kenntnisse exfiltrieren.

· Gefährdungen durch Drittanbieter und Fernzugriff.

Temporäre Anbieter-Laptops, Wartungsverbindungen oder unverwaltete HMIs schaffen Schattenanlagen und unüberwachte Wege in kritische Netzwerke.

Warum die Sichtbarkeit von Anlagen wichtig ist

· Grundlage für ICS-Risikobewertung und -Segmentierung.
Sie können keine Zonen und Leitungen (Purdue, IEC 62443) implementieren, die Sie nicht sehen können. Anlageninventare informieren Ihre Vertrauensgrenzen, Zugriffskontrollen und Überwachungspunkte.

· Voraussetzung für Entscheidungen zu Schwachstellen und Patches.
Sichtbarkeit zeigt Ihnen welche Firmware, OS-Builds und Protokolle vorhanden sind und ist entscheidend, um zu entscheiden, ob ein Patch, eine Kompensation oder ein Aufschub in einem validierten System notwendig ist.

· Beschleunigt die Reaktion auf ICS-Vorfälle.
Mit einer Live-Übersicht über Geräte, Kommunikationswege und Baselines können Ersthelfer betroffene Zellen schnell isolieren, validierte Failover-Verfahren auswählen und den Betrieb innerhalb von MTTD/MTTR-Zielen wiederherstellen.

· Ermöglicht Disziplin in der Änderungssteuerung.
Genaue Inventare verankern MOC-Prozesse. Drift-Erkennung (neue Dienste, geänderte Firmware, unerwartete Kommunikation) bringt nicht genehmigte Änderungen ans Licht.

· Unterstützt die Audit-Bereitschaft.
Zeigbare Kontrolle über computergestützte Systeme, was existiert, wer darauf zugegriffen hat und wie es überwacht wird, reduziert Prüfungen und verbessert das Vertrauen der Behörden.

· Lernen Sie, was jede Anlage tut: Damit es keine blinden Flecke bei den Anlagen gibt

Compliance-Treiber: IEC 62443, NIS2 und regionale GxP

IEC 62443

• Programm- und Risikokontext (z. B. 62443-2-1, 3-2): Anlagenidentifikation und Systemaufteilung (Zonen/Leitungen) sind grundlegende Aktivitäten. Ein gepflegtes Inventar mit Attributen (Typ, Rolle, Kritikalität, Eigentümer, Firmware) unterstützt Risikobewertungen und Sicherheitsdesign.

• System- und Komponentenanforderungen (z. B. 62443-3-3, 4-2): Anforderungen zur Identifikation & Authentifizierung, Nutzkontrolle und Systemintegrität beruhen auf dem Wissen, welche Anlagen existieren und welche Vertrauensbeziehungen bestehen.

NIS2 (EU)

Pharmazeutische Herstellung fällt typischerweise unter “wesentliche” oder “wichtige” Einheiten im Gesundheits-/Arzneimittelökosystem. NIS2 erfordert Risikomanagementmaßnahmen, Vorfallmeldungen und Sicherheit der Lieferkette. Anlagenmanagement und -sichtbarkeit sind implizite Voraussetzungen, um diese Verpflichtungen zu erfüllen, Risikobehandlung zu informieren und Governance nachzuweisen.

GxP und Datenintegrität (regionale Ebenen):

• EU GMP Anhang 11 und FDA 21 CFR Teil 11: Starke Erwartungen an die Kontrolle, den Zugriff, die Prüfpfade und die Datenintegrität computergestützter Systeme.

• MHRA/PIC/S-Leitlinien: Verstärken Erwartungen an die Kontrolle des Systemlebenszyklus, Validierung und Änderungsmanagement.

• Effektive Sichtbarkeit untermauert all dies, indem sie sicherstellt, dass bekannt ist, welche Systeme für die Validierung in Frage kommen, wie sie konfiguriert sind und wie Änderungen verfolgt werden.

Das Fazit für Sie: Sie müssen keine Klauselnummern während eines Rundgangs mit Produktionsteams zitieren. Stattdessen binden Sie die Sichtbarkeit an die Kontrollabsicht, kennen Sie Ihre Anlagen, kontrollieren Sie Änderungen, überwachen Sie Verhalten, bewahren Sie Datenintegrität, und dann setzen Sie das in Ihrem Qualitätssystem und Sicherheitsprogramm um.

Wie sichergestellt werden kann, dass Anlagen sichtbar sind: Eine pharma-gerechte Checkliste

Verwenden Sie dies als schrittweise Anleitung, die Sie standortweise ausführen können.

Umfang und Governance definieren

· Die Richtlinien festlegen: Anlageninventar ist obligatorisch für alle Systeme in der GxP-Produktion, QA/QC-Laboren, Versorgungsunternehmen (BMS/HVAC, WFI, sauberer Dampf) und unterstützende IT-Plattformen (AD, DNS, Backup, MES, LIMS).

· Ernennen Sie Eigentümer: Jedes System/Anlage hat einen geschäftlichen Eigentümer (oft QA/Produktion), einen technischen Eigentümer (OT/Engineering) und einen Cyber-Sicherheits-Eigentümer.

· Abstimmen mit Qualität: Backen Sie Inventaranforderungen in das Standortqualitätsmanual und MOC-Verfahren ein, um sich mit Validierungserwartungen abzustimmen.

Eine sichere Entdeckungsstrategie etablieren

· Zuerst passive Entdeckung: Verwenden Sie OT-fähige Sensoren an SPAN/TAP-Ports, um Geräte, Protokolle (Modbus, PROFINET, EtherNet/IP, OPC UA), Firmware und Kommunikationsmuster zu identifizieren, ohne Endpunkte zu berühren.

· Vom Anbieter genehmigte aktive Scans (bei Bedarf): Wenn Sie eine Prüfung durchführen müssen, tun Sie dies in Wartungsfenstern mit vom Anbieter genehmigten Werkzeugen und Ratenlimits. Dokumentieren Sie die Prüfung in Ihrem Validierungsplan.

· Anschlüsse für IT-Systeme: Integrieren Sie Daten aus AD, Virtualisierung, EDR (wo vorhanden), CMDB und Ticketing, um das OT-Inventar mit Benutzern, VM-Hosts und Servicestellen zu bereichern.

· Laborinstrumente: Arbeiten Sie mit QC zusammen, um Instrumentenkontroller, Datensysteme und Datenübertragungspfaden zu inventarisieren. Viele laufen mit älteren Betriebssystemen und erfordern besondere Behandlung.

Das Inventardatenmodell entwerfen

Erfassen Sie mindestens:

· Identität: Hostname, MAC, IP, Seriennummer, Hersteller, Modell, Rolle (z. B. HMI, PLC, Historikerserver, Labor-Workstation).

· Standort/Topologie: Standort, Gebäude, Reinraum/Klasse, Produktionslinie, Schrank, Purdue-Ebene, Zone/Leitungen.

· Software/Firmware: Version, Patch-Level, Signaturen/WHL, genehmigte Basislinie.

· Konnektivität: Protokolle, offene Dienste/Ports, Peer-Kommunikationen (Quelle/Ziel/Intervall).

· Kritikalität: GxP-Relevanz, Sicherheitsauswirkungen, Stapel-kritische Flagge, RTO/RPO.

· Eigentum & Unterstützung: Geschäftseigentümer, technische Eigentümer, Anbieter-Kontakt, Wartungsvertrag, Unterstützungsstatus (EoL/EoS).

· Sicherheit & Integrität: Härtungsstatus, AV/Allow-Listen/EDR-Status (falls zutreffend), Backups, letzte Konfigurationsänderung, letztes Validierungsdatum, Prüfungspfadverknüpfung.

· SBOM (wo möglich): Komponentenbibliotheken für softwarebasierte Anlagen und Systembilder.

Die Quelle der Wahrheit (SoT) aufbauen

· Das System wählen: OT-fähige Anlagenmanagementplattform oder CMDB mit OT-Erweiterungen.

· Automatisierung der Anreicherung: Daten von passiven Sensoren, Switches, Firewalls, Virtualisierung und Anbieter-CM-Werkzeugen einfügen. Duplikate abgleichen und Konflikte kennzeichnen.

· Versionierung und Prüfung: Jedes Update des Inventars wird versioniert; Änderungen sind auf eine Person/Prozess zurückverfolgbar und mit MOC-Aufzeichnungen verknüpft.

Zonen, Leitungen und Datenflüsse abbilden

· Inventar in Architektur übersetzen: Anlagen in Zonen gruppieren (z. B. Reinraumkontrolle, gereinigtes Wasser, Sterile Fill Line DCS, Utility BMS, QA/QC-Labor) und Leitungen (firewallgeschützte Pfade, Sprunghosts, Datendioden).

· Erwartete Kommunikation baseline: Normalen Gesprächspfaden erlauben (HMI→PLC, PLC→Historiker, Historiker→MES/LIMS).

· Abhängigkeiten visualisieren: Einschließlich vorgelagerter Dienste (AD, Zeitserver, Backup, NTP/PTP) und externer Verbindungen (Fernunterstützung, Serialisierungsanbieter).

Mit Qualitätssystemen validieren und integrieren

· Validierungspaket: Risikobasierte Validierung für die Sichtbarkeitstools und Datenflüsse, die sich an Annex 11/Teil 11-Erwartungen orientieren.

· SOPs und Arbeitsanweisungen: Wie Anlagen hinzugefügt, dekommissioniert, Änderungen abgeglichen und Berichte überprüft werden, in gemeinsamer Verantwortung von Engineering, QA und Cyber.

· Schulung: Sicherstellen, dass Ingenieure, QA und Bediener den Inventarprozess verstehen und während Abweichungen oder Vorfällen wissen, wo sie Anlageninformationen finden.

Beim Monitoring und Drift-Erkennung kontinuierlich sein

· Änderungsdetektion: Alarmieren bei neuen Geräten, Firmware-Änderungen, neuen Diensten oder ungewöhnlichen Protokollen. Alarme in Ihr OT-SOC oder das Standort-Sicherheits-Team leiten.

· Schwachstellenkontext: Firmware/OS-Versionen mit CVEs und OT-aware Risiko-Scores abgleichen. Für validierte Systeme paaren Sie dies mit kompensierenden Kontrollen und dokumentierter Risikoakzeptanz.

· Verhaltensanalyse: Mit protokollbewusster Detektion aus Policy-Unterhöhungen Flaggen (z. B. STOP/START, Schreiboperationen) oder unerwartete laterale Bewegungen.

Sichere Fernzugänge und Third-Party-Steuerungen

· Vermittelte Zugänge: Anbieterrichtungen durch spezialisierte Torpunkte erzwingen, mit MFA, Sitzungsaufzeichnung und zeitlich begrenzten Genehmigungen.

· Identitätshygiene: Keine geteilten Anbieter-Accounts; Sitzungen an Individuen binden.

· Nicht-persistente Sprunghosts: Zwischen den Sitzungen auf die Basis zurücksetzen; niemals direkten Zugriff auf Level 1/2-Anlagen erlauben.

· Inventar-Hooks: Jede Remote-Sitzung aktualisiert Anlage „zuletzt zugegriffen” Metadaten für Prüfung.

Lebenszyklusmanagement und Dekommissionierung

· EoL/EoS-Strategie: Ältere PLCs, HMIs und Windows-Geräte kennzeichnen; Migrationsplan mit Validierungsfolgen und Ersatzteilen planen.

· Goldene Bilder und Backups: Validierte Baselines (Bilder/Konfigurationsarchive) für schnelle Wiederaufbauten aufrechterhalten.

· Sichere Entsorgung: Daten-tragende Komponenten mit Zertifikaten der Zerstörung gesäubert; aus dem Inventar mit MOC-Schließung entfernt.

Kennzahlen und Governance

KPIs verfolgen, die beides beweisen Abdeckung und Kontrolle:

· Inventarabdeckung: % der OT/Labor/Versorgungsanlagen, die entdeckt wurden vs. geschätzte Basis

· Genauigkeit: % der Anlagen mit aktuellem Firmware/Eigentümer/Kritikalität

· Drift-MTTR: Mittlere Zeit, um nicht genehmigte Änderungen zu bestätigen

· Schwachstellenkontext: % der kritischen Anlagen mit bekanntem Versionsstatus

· Fernzugriff-Disziplin: % der Sitzungen vermittelt, aufgezeichnet und überprüft

· Audit-Bereitschaft: Zeit, um eine vollständige Liste der Anlagen mit Datenflüssen für einen Inspektor zu erstellen

Praktische Tipps für Pharma-Deployments

· Beginnen Sie dort, wo das Risiko konzentriert ist.
Priorisieren Sie sterile Abfüllungen, biologische Einheiten und Versorgungsunternehmen, die Reinräume tragen (BMS/HVAC, WFI). Der Einfluss von Ausfallzeiten oder Qualitätsdrift ist hier am höchsten.

· Kombinieren Sie Sichtbarkeit mit schnellen Siegen bei Segmentierungen.
Verwenden Sie Inventarausgaben, um Zell-/Zonen-Firewalls zu implementieren oder zu verfeinern und auf minimale Leitungen zu bestehen. Selbst einfaches Erlauben von Historikerflüssen reduziert die Angriffsfläche.

· Respektieren Sie die Validierung mit einer „keine Überraschungen“-Mentalität.
QA/Validierung vorab über Entdeckungsmethoden informieren. Prüfpläne dokumentieren, Scans drosseln und in Fenstern ausführen. Machen Sie das Validierungsteam zu einem Verbündeten, nicht aa einem Nachgedanken.

· Behandeln Sie Laboratorien wie erstklassige OT-Bürger.
Viele Laborinstrumente verhalten sich wie OT: deterministische Kommunikation, fragile Dienste, herstellergesteuert. In dasselbe Sichtbarkeits- und Änderungssteuerungsrahmen einbeziehen.

· Machen Sie QA zu Ihrem Champion.
Wenn die Sichtbarkeit als Schutz der Datenintegrität und Reduzierung von Abweichungen eingerahmt wird, zieht sie starke Qualitätssponsoren an, was eine schnellere Akzeptanz ermöglicht.

· Vernachlässigen Sie Versorgungsanlagen nicht.
Komprimierte Luft, sauberer Dampf und Umweltüberwachungssysteme verbergen oft unverwaltete Anlagen, die bei Kompromittierungen die Produktion zum Stillstand bringen können.

Wie man die häufige Stolperstein vermeidet

· Sich ausschließlich auf Tabellenkalkulationen verlassen.
Statische Listen verrotten schnell in dynamischen, kampagnenbasierten Umgebungen. Verwenden Sie passive Sensoren und Integrationen, um das Inventar aktuell zu halten.

· Anbieter-Laptops und temporäre Ausrüstung ignorieren.
Jedes Gerät registrieren und kennzeichnen, sogar wenn es nur einen Tag vor Ort ist. Netzwerkzugriff an Inventaraufzeichnungen binden.

· Zuerst Scannen, später Fragen.
Nicht autorisierte aktive Scans auf alten PLCs oder Laborinstrumenten können Prozessanomalien verursachen. Immer mit Engineering und QA abgleichen.

· Sichtbarkeit als Einmalprojekt behandeln.
Sichtbarkeit ist ein Programm. Budget für kontinuierliche Abdeckung, Updates und Validierungsqualifikation, wenn sich die Tools ändern.

· Keine Verbindung zu MOC.
Wenn das Inventar nicht mit der Änderungssteuerung integriert ist, wird Drift unvermeidlich und Prüfpfade brechen zusammen.

Alles zusammenbringen: Ein Reifepfad

· Level 1 – Grundlagenerkennung (90 Tage).
Passive Erkennung in vorrangigen Bereichen; eine minimale SoT erstellen; kritische Unbekannte identifizieren.

· Level 2 – Governance und Validierung (3–6 Monate).
SOPs genehmigt; Validierung abgeschlossen; Integration mit Ticketing und Identität; Drift-Benachrichtigungen live.

· Level 3 – Vollständige Werkstattabdeckung und Segmentierung (6–12 Monate).
Zonen/Leitungen kartiert, Zellfirewalls angepasst, Fernzugriff vermittelt; Labore onboarded.

· Level 4 – Risikogetriebener Betrieb (12+ Monate).
Entscheidungen zu Schwachstellen gemäß Validierung und Kritikalität angepasst; KPIs fördern kontinuierliche Verbesserung; SBOM-Eingabe für softwareintensive Anlagen.

Executive Summary für Stakeholder

· Was: OT-Anlageninventar und -sichtbarkeit bieten eine Live- und genaue Übersicht über jedes Gerät, jeden Fluss und jede Konfiguration in der Produktion, Laboren und Versorgungsanlagen.

· Warum: Es verhindert Chargenverluste, beschleunigt die Reaktion auf Vorfälle, unterstützt die Datenintegrität und bildet die Grundlage für IEC 62443/NIS2/GxP-Compliance.

· Wie: Beginnen Sie mit passiver Erkennung, bauen Sie eine robuste SoT auf, binden Sie sie an Zonen/Leitungen und MOC, validieren Sie den Ansatz mit QA und arbeiten Sie mit kontinuierlicher Überwachung und klaren KPIs.

· Ergebnis: Eine widerstandsfähige, prüfbereite Produktionsumgebung, in der Cyber-Sicherheit Qualität und Kontinuität ermöglicht, nicht umgekehrt.