Die zunehmende Vernetzung von computergestützten Anlagen und Systemen in der pharmazeutischen Produktion und die
digitale Transformation hin zu einer intelligenten Fabrik (Smart Factory) bringt neue Herausforderungen und Risiken mit sich – denn alles was informationstechnisch verbunden ist, wird auch angegriffen. Die Angriffe auf pharmazeutische Unternehmen im vergangenen Jahrzehnt zeigen, dass sich Prozess- und Automatisierungstechnik zu einem primären Ziel für die Angreifer entwickelt, unabhängig davon, ob es sich um Industriespionage, Sabotage oder kriminelle Erpressung handelt. Dabei sind Phishing und Social Engineering, Schadprogramme/Ransom­ware aber auch menschliches Fehlverhalten oder Risikounterschätzung die größten Cyber Security-Bedrohungen für Abläufe in IT/OT-Umgebungen. Es ist entscheidend, frühzeitig ein Cybersecurity-Managementsystem (CSMS) neben den bestehenden GMP-Prozessen im Unternehmen zu etablieren. Auch bei der Neukonzeption von Anlagen muss  Cyber Security von Anfang als ein wichtiger Teil der Anlagenplanung und der Automationsplanung berücksichtigt werden (Cyber Security by Design). Industrial IoT und Cloudsysteme erfordern Cyber Security-Architekturen, basierend auf den Prinzipien von Defence-in-Depth und Security-by-Design. Standards und Empfehlungen für die das IT Security Management (ISO 27001, NIST etc. ) oder OT-Security wie IEC 62443 oder NAMUR Empfehlungen geben hier Möglichkeiten Maßnahmen zum Schutz der Anlagen und Ihrer Betreiber einzuführen. Eine sichere hochautomatisierte und vernetzte Produktionsanlage erfordert übergreifende, risikobasierte Sicherheitskonzepte, die gleichermaßen Hersteller, Integratoren und Anlagenbetreiber betreffen. Hierbei müssen ebenso die funktionale Sicherheit, Cyber Security und Kosten im Engineering und im Betrieb berücksichtigt werden. Der Aufbau eines Sicherheitsprogramms, welches sowohl dabei hilft, alle relevanten IT-Risiken zu kontrollieren, als auch den gesetzlichen und regulatorischen Anforderungen genügt, ist kein leichtes Unterfangen. Auch die Planung und Durchführung der Auditierung des Informationssicherheitsmanagement durch anerkannt Prüfdienstleister ist ebenso eine Hürde die es zu überwinden gilt. Der Beitrag stellt hierzu die Möglichkeiten der Planung und finalen Auditierung des Informationssicherheitmanagement im pharmazeutischen Umfeld vor.