Sicherheit für die Auftragsherstellung in der Pharmaindustrie

Sicherheit für pharmazeutische Auftragsherstellung

Pharmaunternehmen verlassen sich seit langem auf eine komplexe Lieferkette, um ihre Produkte auf den Markt zu bringen. In den vergangenen Jahren sind daher immer mehr Unternehmen dazu übergegangen, sowohl aktive pharmazeutische Wirkstoffe (APIs) als auch fertige Arzneimittelformulierungen (FDFs) von Vertragsherstellern produzieren zu lassen.

Vertragshersteller ermöglichen es den Pharmaunternehmen, sich auf ihre Kernkompetenzen zu fokussieren, Investitionsausgaben zu minimieren und die Produktionsagilität zu verbessern. In der heutigen Welt erhöhter Cyber-Bedrohungen stellt die Auslagerung der Produktion auf externe Ressourcen jedoch ein zusätzliches Risiko dar, wenn keine angemessenen Sicherheitsvorkehrungen getroffen werden.

Pharmazeutische Unternehmen sind sich durchaus bewusst, dass eine Sicherheitsverletzung weitreichende Folgen haben und unter anderem zu einer Beeinträchtigung der Rezeptformulierung, der Qualitätskontrolle, des geistigen Eigentums und der Produktivität führen kann. Das Cyberrisiko nimmt zu, wenn die Integration der Anlagen des Vertragsherstellers in das Hauptnetz des Pharmaunternehmens vorgesehen ist.

Die entscheidende Frage, die sich Pharmaunternehmen stellen, lautet: Wie kann ich eine flexible Lieferkette unterhalten und gleichzeitig die Risiken für die Cyber-Sicherheit minimieren, wenn die Produktion auch außerhalb der eigenen Mauern stattfindet?

Intelligente Fertigung beginnt mit einer sicheren und zuverlässigen Infrastruktur. Lesen Sie das eBook „Information and Security“

Eine sichere Lieferkette beginnt im eigenen Unternehmen – und umschließt alle Partner

Für viele Pharmaunternehmen besteht das erste Glied einer cybersicheren Lieferkette in der eigenen Infrastruktur und den Kernproduktionsstandorten. Intern müssen Unternehmen ein risikobasiertes Cybersicherheitskonzept verfolgen, das globalen Best Practices entspricht, Prioritäten festlegt und Technologien, Richtlinien und Verfahren auf der Grundlage einer Defense-in-Depth-Strategie anwendet.

Über eine Gefährdungsbeurteilung erreicht das Pharmaunternehmen das notwendige Sicherheitsniveau für die Vertragsvergabe.

Die nächste Hürde besteht darin festzustellen, ob die in Betracht kommenden Vertragshersteller die Haltung des Pharmaunternehmens zum Thema Cybersicherheit teilen und mit der gleichen Konsequenz vertreten. Auch hier ist eine Beurteilung der Cyber-Sicherheitsrisiken der beste Weg, um den Sicherheitsstatus des CMOs zu ermitteln und das gesetzte Ziel zu erreichen. Im Idealfall sollte die Beurteilung am Standort des Vertragsherstellers durchgeführt werden, bevor formelle Vereinbarungen getroffen werden.

Abgesehen von der Klärung des generellen Sicherheitsprofils des CMOs deckt eine solche Beurteilung auch Lücken auf, die ein Risiko für die Anlagen des Pharmaunternehmens darstellen könnten. Das Pharmaunternehmen legt daraufhin fest, welche Lösungen das Risiko verringern und das System des Vertragsherstellers angemessen vom eigenen System trennen, ohne dabei die Transparenz kritischer Prozesse oder Informationen zu behindern. Geeignete Lösungen sind Netzwerksegmentierung, zweckgerichtete Firewalls, sicherer Fernzugriff, Sicherheitszonen und andere Technologien.

Einhaltung von Sicherheitsstandards durchsetzen

Schließlich müssen sich das Pharmaunternehmen und der Vertragshersteller auf die zu befolgenden Sicherheitsstandards einigen. Wie wir aber alle wissen, können die Einigung auf Standards und deren konsequente Befolgung zwei sehr unterschiedliche Dinge sein.

Deshalb muss sich eine risikobasierte Strategie für Cyber-Sicherheit in der Lieferkette auf die Auslegung, Umsetzung und Überwachung des CMO-Systems erstrecken – und auch die Frage der Eigentumsrechte im Hinblick auf Anlagen und Informationsinfrastruktur klären. Ein Pharmaunternehmen hat hinsichtlich der Eigentumsverhältnisse die Wahl zwischen drei Optionen, die mit unterschiedlichen Risikograden verbunden sind:

  • Die Produktionsanlagen und die Informationsinfrastruktur sind Eigentum des CMOs. Dieser Ansatz ist mit dem geringsten Investitionsaufwand verbunden. Er erfordert jedoch, dass der CMO über das notwendige Know-how verfügt, um angemessene Sicherheitsvorkehrungen mit begrenzter Kontrolle zu gewährleisten.
  • Die Produktionsanlagen sind Eigentum des CMOs, die Eigentumsrechte über die Informationsinfrastruktur liegen jedoch beim Pharmaunternehmen. Diese Option minimiert den Kostenaufwand, indem die vorhandenen Produktionskapazitäten genutzt werden. Die Eigentumsrechte und die Verwaltung der Infrastruktur liegen jedoch beim Pharmaunternehmen. Dies wird in der Regel über ein Industrial Data Center in einem segmentierten Netzwerk erreicht.
  • Die Eigentumsrechte über die Produktionsanlagen und die Informationsinfrastruktur verbleiben beim Pharmaunternehmen. In diesem Szenario ist der Kapitalaufwand für das Pharmaunternehmen höher – es steigt aber auch das Sicherheitsniveau. Der Vertragshersteller stellt nur die Produktionsfläche und das Bedienpersonal zur Verfügung.

Die Life Sciences-Branche steht vor einem erneuten Umbruch. Nutzen Sie die neuesten Technologien, um ihre Kapitalrendite (ROI) zu maximieren, die Anlagenauslastung zu optimieren und Produkteinführungszeiten zu verkürzen.

Der Vorteil des IaaS-Modells (Infrastructure-as-a-Service)

Ein Pharmaunternehmen mag zu dem Schluss kommen, dass es bei einer Reihe von CMO-Anwendungen vernünftig ist, die Eigentumsrechte über die Informationsinfrastruktur zu behalten. Jedoch kann sich die Umsetzung und Überwachung einer sicheren Infrastruktur über die Standorte verschiedener Vertragshersteller hinweg als große Herausforderung erweisen.

Zunächst einmal verfügen interne Organisationen, die mit der CMO-Verwaltung betraut werden, nur über begrenzte Ressourcen. In der Regel ist es keine Option, die Unternehmens-IT hinzuzuziehen, die für die grundlegenden Fertigungs- und Geschäftssysteme zuständig ist. Unternehmen verfügen schlichtweg nicht über die interne Bandbreite, um die Verantwortung für Dutzende – oder Hunderte – von Standorten der Vertragshersteller zu übernehmen.

Die Auslagerung von Umsetzung und Überwachung der Infrastruktur an einen Dritten kann eine effiziente, kostengünstige Möglichkeit darstellen. Anbieter von Infrastructure-as-a-Service (IaaS) sind in der Lage, eine einheitliche Architektur – und eine standardmäßige, validierte Umsetzung mit gemeinsamen Diensten – für mehrere Vertragsherstellerstandorte weltweit anzubieten.

Dieser Service beinhaltet in der Regel vierteljährliche Berichte und Dienstleistungsvereinbarungen, die Reaktionszeiten für Probleme und Unstimmigkeiten festsetzen, die von Netzwerk- oder Infrastrukturausfällen bis hin zu Cyber-Sicherheitsverletzungen reichen.

Erfahren Sie mehr über IaaS und weitere industrielle Netzwerkdienste, die zur Optimierung der ausgelagerten Fertigung beitragen und Risiken für die Cyber-Sicherheit minimieren.

Thomas House
Gepostet 8 Juli 2019 Von Thomas House, Business Development Lead-Life Sciences, Network and Security Services, Rockwell Automation
  • Kontakt:

Kontakt

Rockwell Automation und seine Partner bieten Ihnen herausragendes Know-how, um das Design, die Implementierung und den Support Ihrer Automatisierungsinvestitionen zu unterstützen.

Neuesten Nachrichten

Registrieren Sie sich über folgenden Link um automatisch über aktuelle Ausgaben der Automation Today per E-Mail informiert zu werden.