Security is a process!

Cyber Security auf Schiffen

Mehrere maritime Branchenverbände haben Anfang des Jahres gemeinsam die „Guidelines on Cyber Security Onboard Ships“ (aktualisierter Link zu Version 2.0 des Dokuments) herausgegeben. Das Papier empfiehlt auch externe Security Audits für Schiffe. CycleSEC bietet diese und andere Dienstleistungen für maritime Kunden. In unserem Blog-Beitrag erläutern wir, was laut Branchenpapier zur Cyber Security auf hoher See dazugehört.

Vom Kreuzfahrer bis zum Tanker

Die maritimen Branchenverbände BIMCO, CLIA, ICS, INTERCARGO und INTERTANKO sind sich einig: die Zeit ist reif für Cyber Security an Bord von Schiffen. Anfang des Jahres veröffentlichten Sie eine Anleitung zur Verbesserung der Cyber Security auf Schiffen – vom Kreuzfahrtschiff über Frachtschiffe bis hin zu Tankern. Die Richtlinie orientiert sich dabei an international anerkannten Rahmenwerken wie dem Cyber Security Framework des NIST und bezieht maritime Sicherheitsstandards wie ISM Code und ISPS Code mit ein.

Parallelen zu Industrie 4.0, Automobilindustrie und Luftfahrt

Insgesamt gibt es bei Schiffen einige Parallelen zur sogenannten vierten industriellen Revolution, der Verzahnung von industrieller Produktion mit modernster Informations- und Kommunikationstechnik (IKT), oder kurz: Industrie 4.0. Auch an Bord eines Schiffes spielen IKT-Komponennten eine immer größere Rolle. Seien es maritime Information- und Navigationsssysteme wie GPS, ECDIS und AIS oder modernste Steuer- und Kontrollsysteme für Schiffsmotoren oder Getriebeeinheiten. Die Vernetzung der Systeme an Bord und deren Anbindung ans Internet bringen zahlreiche Risiken mit sich (siehe ersten CycleSEC Blog Beitrag vom 23.04.16).

So manipulierten die Angreifer den Kurs des Schiffs um 3°.
Mit Equipment für wenige hundert Euro lässt sich selbst eine modern ausgestattete  Mega-Yacht vom Kurs abbringen.

Parallelen lassen sich aber auch zur Automobilindustrie und insbesondere zur Luftfahrt ziehen. Zu Lande, zu Wasser und in der Luft ist die Verknüpfung von Steuerungs- und Navigationssystemen mit weiteren Netzen und Entertainment-Systemen nicht mehr aufzuhalten – häufig passiert das, ohne die Systeme ausreichend abzuschotten. In der Folge kam es zu Hackerangriffen auf PKWs und Passagierflugzeuge. Dabei konnten nicht „nur“ Zentralverriegelungen geknackt werden. Es kam zu abgeschalteten Bremsen oder dem Zugriff auf sensible Steuerdaten aus dem Cockpit.

Die Adaption von Standardsicherheitsmaßnahmen auf so spezialisierte Anwendungsfälle wie PKWs, Flugzeuge und Schiffe kennt CycleSEC Geschäftsführer Sebastian Klipper bereits aus seiner Zeit als IT-Sicherheitsbeauftragter der deutschen Einsatzluftwaffe. Er sagt:

„Die Gegebenheiten und Arbeitsabläufe in einem Flugzeug oder auf einem Schiff lassen sich nicht mit Standardmaßnahmen erfassen. Das gilt insbesondere deshalb, weil IT-Sicherheitsvorfälle dort nicht nur die IT selbst, sondern mittel- und unmittelbar auch Leben und Gesundheit von hunderten Menschen gefährden können. Umso wichtiger ist es, realistische Angriffs- und Schadensszenarien zu entwickeln, diese ernst zu nehmen und ein systematisches Risikomanagement einzuleiten.“
— Sebastian Klipper, CycleSEC Geschäftsführer

In vier Schritten zu einem sichereren Schiff

Die Guidelines on Cyber Security Onboard Ships sind nach Ansicht des CycleSEC Gründers Sebastian Klipper ein Schritt in die richtige Richtung. Sie empfehlen die Durchführung von internen und externen Risiko Assessments, bevor über konkrete, risikomindernde Maßnahmen entschieden wird. Zusätzlich fordern sie die Erarbeitung von Notfallplänen, um im Fall der Fälle gewappnet zu sein.

Schritt 1:
Internes Risiko Assessment

In einem internen Assessment sollen alle Systeme und deren Schnittstellen erfasst werden, die an Bord zu finden sind.

Industrie 4.0 an Bord eines Schiffs
Beispielhafter Überblick über informationsverarbeitende Systeme an Bord eines Schiffs. IKT und Schiffsbetrieb werden dabei mehr und mehr vernetzt (anklicken für größere Ansicht).

Bereits hier sollten intern bekannte Schwachstellen erfasst und aufgelistet werden, um den Aufwand des externen Assessments so gering wie möglich zu halten. Hierbei ist insbesondere auch der Faktor Mensch und Schwachstellen in den Arbeitsabläufen zu berücksichtigen. Am Ende des internen Assessments steht dann die Entwicklung erster Incident-Szenarien und die Frage, welche Arbeitsabläufe an Bord, auf See oder im Hafen nachhaltig beeinträchtigen würden, wenn es zum IT-Notfall kommt.

Schritt 2:
Externes Risiko Assessment

Assessment Vorbereitung | Assessment des Schiffs | Nachbesprechung mit dem Eigner und Schwachstellen-Reporting | Nachbesprechung mit dem Hersteller
Die vier Schritte des CycleSEC Cyber Security Assessments für Schiffe auf Basis der Branchenempfehlung von BIMCO, CLIA, ICS, INTERCARGO und INTERTANKO.

In Ergänzung zum internen Risiko Assessment empfiehlt das Papier ein weiteres Assessment durch externen Experten. Dieses geht tiefer ins Detail und verfolgt einen insgesamt breiteren Ansatz. Das externe Assessment wird in vier Schritte gegliedert. Neben den Vorarbeiten und dem eigentlichen Assessment des Schiffs sehen die Guidelines ebenso ein umfangreiches Debriefing und Reporting vor. Hierzu gehört auch die Information und Zusammenarbeit mit den Herstellern der schwachstellenbehafteten Schiffssysteme.

Für das Assessment des Schiffs werden u.a. Penetrationstests gegen kritische IT-Systeme des Schiffs empfohlen, bei denen auch Social-Engineering-Techniken zum Einsatz kommen können.


CycleSEC Penetrationstests: Wir bieten auf Schiffe spezialisierte Cyber Security Assessments an. erfahren Sie mehr…


Schritt 3:
Risiko Reduzierung

Mit den Ergebnissen der Risiko Assessments gilt es dann einen Plan zur Reduzierung des Risikos zu erarbeiten. Dieser Plan ist mit dem Company Security Officer des Schiffseigners abzustimmen. Im Gegensatz zu üblichen IT-Landschaften sind an Bord eines Schiffs besondere Wirtschaftlichkeitsbetrachtungen anzustellen, die dem langen Lebenszyklus von Schiffen Rechnung tragen.

„Eine besondere Herausforderung ergibt sich aus dem üblichen Lebenszyklus von Schiffen. Die IT an Bord eines Schiffs erreicht das End of Lifecycle sehr viel schneller, als das Schiff selbst. Da schlummern einige unangenehme Altlasten in den Schiffen. Das Altern der in der Vergangenheit verbauten Bord-IT wird Schiffseigner daher zukünftig vor Schwierigkeiten stellen, wenn dem nicht heute schon mit einem passenden Lifecycle Management Rechnung getragen wird.“
— Sebastian Klipper, CycleSEC Geschäftsführer

Bezüglich der Auswahl der Maßnahmen orientieren sich die Guidelines on Cyber Security Onboard Ships an den zwanzig Critical Security Controls des Center for Internet Security, wovon zwölf als besonders Relevant für Schiffs-IT ausgewählt wurden.

Auch im organisatorischen Bereich werden eine ganze Reihe von Maßnahmen empfohlen, die bei Training und Awareness-Programmen beginnen und weitere Regelungen zu Softwarewartung, privilegierten Nutzerkonten, austauschbaren Datenträgern etc. fordern.

Überdacht werden diese Maßnahmen vom Defence-in-depth-Konzept, bei dem mehrere Sicherheitsebenen ein höheres Maß an Resillienz gewährleisten sollen.

Schritt 4:
Notfallplanung

Auch die besten Security-Maßnahmen bieten keinen 100%igen Schutz vor Security Incidents. Daher gehört zu einer guten Vorbereitung nicht nur die Absicherung vor Vorfällen selbst, sondern auch die Planung des Umgangs mit Vorfällen. Der Worst Case soll somit in Intensität und Dauer abgemildert werden.

Das Branchenpapier empfiehlt auch bei der Reaktion auf Vorfälle einen vierstufigen Ansatz. Dieser beinhaltet:

  1. Identifikation des Vorfalls
  2. Ziel der Sofortmaßnahmen festlegen und Situation analysieren
  3. Ergreifung von geeigneten Sofortmaßnahmen
  4. Wiederanlauf und Wiederherstellung

Fazit

Die „Guidelines on Cyber Security Onboard Ships“ sind eine hilfreiche Anleitung zur Planung von Cyber Security Maßnahmen für Schiffe. Insbesondere liefern die herausgebenden Branchenverbände ein einheitliches, auf die Schifffahrt zugeschnittenes Vorgehensmodell. Für Schiffseigner und Werften bleibt jedoch die Frage offen, wie man des Problems konkret Herr werden kann. Hierbei kann externe Unterstützung durch Know-how-Träger aus der Cyber Security-Branche hilfreich sein. Es bleibt abzuwarten, inwieweit sich das Modell durchsetzt und ob es von den Mitgliedern der Verbände und von Anbietern mit Cyber Security Know-how angenommen und umgesetzt wird.

CycleSEC als Partner der maritimen Wirtschaft

CycleSEC positioniert sich auf mehreren Veranstaltungen mit seinem Hamburger Büro als Security-Partner für die maritime Wirtschaft und ist Gründungsmitglied im Maritimen Cluster Norddeutschland (MCN) e.V., dem Schiffbauer, Zulieferer, Meerestechnik- und Schifffahrtsunternehmen angehören.


Kostenlose Erstberatung für Mitglieder des Maritimen Clusters Norddeutschland e.V.!

Ihr Unternehmen ist Mitglied im MCN und Sie haben Fragen zum Thema Cyber-Security? Wir bieten Vereinsmitgliedern ein kostenloses Erstberatungsgespräch. Nehmen Sie noch heute Kontakt zu uns auf. Hierzu können Sie uns auf einer der Veranstaltungen des Clusters direkt ansprechen, uns anrufen oder das folgende Kontakt-Formular nutzen:

Kontaktformular

Senden Sie uns vertrauliche Informationen bitte ausschließlich als verschlüsselte E-Mail und nicht mit diesem Formular. Sie können beim Ausfüllen des Formulars Pseudonyme verwenden. Bitte nutzen Sie alle mit * gekennzeichneten Felder.

    Ihr Name*:

    Ihre E-Mail-Adresse*:

    Rückruf gewünscht?

    Bitte geben Sie Ihre Telefonnummer an:

    Betreff*:

    Ihre Nachricht an CycleSEC*:

    Durch Klicken auf "Absenden" bestätigen Sie, unsere Datenschutzbestimmungen zur Kenntnis genommen zu haben.

    Veröffentlicht am

    Foto des Autors

    Dieser Beitrag kommt von

    CycleSEC Redaktion

    Die CycleSEC GmbH wurde 2015 als wissenschaftliche Ausgründung der Fachhochschule Münster gegründet. Seit 2017 ist das Unternehmen im alleinigen Besitz des Gründers Sebastian Klipper. CycleSEC hat seinen Sitz in Hamburg. Aus dem Norden der Republik bietet die CycleSEC GmbH ihr Beratungsportfolio in ganz Deutschland und darüber hinaus an.

    Sie haben noch Fragen?

    Nehmen Sie Kontakt zu uns auf:

    Hier geht's zum Kontaktformular

    Bitte stimmen Sie der Benutzung von Cookies durch diese Webseite zu. Weitere Informationen

    Informationen zu Coockies

    Diese Webseite verwendet so genannte Cookies. Sie dienen dazu, die Webseite, insbesondere die Kommentarfunktion nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren.

    Wenn Sie auf "Akzeptieren" klicken, erklären Sie sich mit der Nutzung von Cookies einverstanden.

    Schließen