Cyber SOS (Cyber Security Onboard Ships)

Die maritimen Branchenverbände BIMCO, CLIA, ICS, INTERCARGO und INTERTANKO haben Anfang des Jahres gemeinsam die „Guidelines on Cyber Security Onboard Ships“ (aktualisierter Link zu Version 2.0 des Dokuments) herausgegeben. Dort empfehlen sie externe Cyber Security Assessments (inkl. Penetrationstests) für Schiffe. CycleSEC führt diese Assessments im Kundenauftrag nach den Vorgaben des Branchenpapiers durch.

Ihre Vorteile im Überblick:

  1. CycleSEC bietet Cyber Security Assessments mit Penetrationstests für Schiffe nach Branchenempfehlung.
  2. CycleSEC unterstützt Sie vom Assessment bis zur Risikoreduktion.
  3. CycleSEC ist Partner der maritimen Wirtschaft: Kostenlose Erstberatung für Mitglieder des Maritimen Clusters Norddeutschland.

Unsere Leistung:
Externes Cyber Security Assessment

Assessment Vorbereitung | Assessment des Schiffs | Nachbesprechung mit dem Eigner und Schwachstellen-Reporting | Nachbesprechung mit dem Hersteller
Abbildung 1: Die vier Schritte des CycleSEC Cyber Security Assessments für Schiffe.

Die Guidelines on Cyber Security Onboard Ships empfehlen ein externes Risiko Assessment durch spezialisierte Experten. Ein solches Assessment geht tiefer ins Detail und verfolgt einen insgesamt breiteren Ansatz, als das bei einer internen Analyse möglich wäre. Im Rahmen der Assessment-Vorbereitung können und sollen jedoch bereits vorhandene Erkenntnisse einfließen, um den externen Aufwand so gering wie möglich zu halten. Das externe Assessment wird in vier Schritte gegliedert (siehe Abbildung 1).

Neben den Vorarbeiten und dem eigentlichen Assessment des Schiffs sehen die Guidelines ebenso ein umfangreiches Debriefing und Reporting vor, sowie die Information und Zusammenarbeit mit den Herstellern der schwachstellenbehafteten Schiffssysteme.

Für das Assessment des Schiffs werden Penetrationstests gegen kritische IT-Systeme des Schiffs empfohlen, bei denen auch Social Engineering Techniken zum Einsatz kommen können. Wir bieten mit CycleSEC solche auf Schiffe spezialisierte Penetrationstests an.

Motivation

Informations- und Kommunikationstechnik an Bord eines Schiffs
Abbildung 2: Informations- und Kommunikationstechnik (IKT) an Bord eines Schiffs (anklicken für größere Ansicht)

Auch an Bord eines Schiffes spielen IKT-Komponennten eine immer größere Rolle (Abbildung 2). Seien es maritime Information- und Navigationsssysteme wie GPS, ECDIS und AIS oder modernste Steuer- und Kontrollsysteme für Schiffsmotoren oder Getriebeeinheiten. Die Integration moderner Entertainment-Systeme für Crew und Passagiere führt zu weiteren Angriffsvektoren. CycleSEC Geschäftsführer Sebastian Klipper sieht eine neue Qualität der Bedrohung:

„In der Vergangenheit konnten Angreifer Schiffe vom Kurs abbringen [1 und Abb. 3], ECDIS-Daten beliebig fälschen [2] oder Satellitenverbindungen kapern [3] und Piraten bereiten ihre Beutezüge mit Informationen aus Hacker-Angriffen [4] vor – das ist eine neue Qualität von Cyber-Bedrohungen auf See!“

So manipulierten die Angreifer den Kurs des Schiffs um 3°.
Abbildung 3: Angreifer manipulierten den Kurs des Schiffs um 3° (anklicken für größere Ansicht).

Die zunehmende Vernetzung der Systeme an Bord und deren Anbindung ans Internet bringen zahlreiche neue Risiken mit sich, denen andere Branchen schon seit Jahren ausgesetzt sind – mit teils immensen Folgen. In der Schifffahrt geht es zusätzlich um Leib und Leben der Menschen an Bord, meint Sebastian Klipper:

„Außerhalb der Schifffahrt sehen wir KFZ-Rückrufaktionen aufgrund von IT-Sicherheitsmängeln [5], durch Cyber-Angriffe begleitete Unternehmensübernahmen [6], von Hackern zerstörte Industrieanlagen [7], Cyber-Banküberfälle in Milliardenhöhe [8] und sogar Einbrüche in die Steuerung von Passagierflugzeugen [9] – Angreifer haben den ‚Viren-Sandkasten‘ der 90er Jahre längst verlassen. Das stellt auch die Schifffahrt vor neue Herausforderungen. Das gilt umso mehr, weil IT-Sicherheitsvorfälle an Bord von Schiffen nicht nur das Schiff selbst betreffen, sondern unmittelbar auch die Umwelt und vor allem Leib und Leben von Passagieren und Besatzung.“

Ihr Auftrag an uns

Auf Anfrage erstellen wir Ihnen ein konkretes Angebot (Proposal) mit detaillierten Informationen zu CycleSEC, unserem geplanten Vorgehen bei Assessment und Penetrationstest und der Qualifikation und Erfahrung von Projektleitung und den beteiligten Penetrationstestern. Mögliche Änderungswünsche nehmen wir selbstverständlich gerne auf und lassen sie in unser abschließendes Angebot einfließen. Danach beauftragen Sie uns unkompliziert durch Annahme des Angebots (Purchase Order).

Kosten

Die Abrechnung erfolgt nach Tagessatz. Es entstehen keinerlei Lizenz- oder Materialkosten. Das Angebot enthält ein geschätztes Projektvolumen, dass nur im Ausnahmefall auf Wunsch des Kunden überschritten werden kann. Reise- und Übernachtungskosten können separat oder pauschaliert als Teil des Tagessatzes verrechnet werden.

Projektsprache

Englisch ist die Standard-Projektsprache. Alle Dokumente – vom Angebot (Proposal) bis zum Abschlussbericht (Final Report) – werden in Englisch verfasst. Bei Bedarf können gesonderte Übersetzungen ins Deutsche beauftragt werden. Alle Projektbeteiligten sprechen neben Englisch auch Deutsch als Muttersprache.

Ihre Mitwirkung:
Vorbereitendes internes Assessment

In einem internen Assessment sollen alle Systeme und deren Schnittstellen erfasst werden, die an Bord zu finden sind. Bereits hier sollten bekannte Schwachstellen erfasst und aufgelistet werden, um den Aufwand des externen Assessments so gering wie möglich zu halten. Hierbei sollte insbesondere auch der Faktor Mensch und Schwachstellen in den Arbeitsabläufen Berücksichtigung finden. Am Ende des internen Assessments kann berits die Entwicklung erster Incident-Szenarien stehen und die Frage, welche Arbeitsabläufe an Bord, auf See oder im Hafen nachhaltig beeinträchtigen würden, wenn es zum IT-Notfall kommt. Das interne Assessment muss dabei nicht abschließend sein. Es dienst allein dem Transfer des intern vorhandenen Wissens an unser Assessment-Team.

Weitere Schritte

Mit den Ergebnissen eines Cyber Security Assessments gilt es dann einen Plan zur Reduzierung des Risikos zu erarbeiten und Notfallmaßnahmen für den Fall der Fälle vorzubereiten. Auch hierbei können wir Sie gerne unterstützen.

Quellen und weitere Informationen

CycleSEC Blog Beitrag vom 23.04.16:
Cyber Security in der Maritimen Wirtschaft
CycleSEC Blog Beitrag vom 18.05.16:
Cyber Security auf Schiffen

[1] Youtube-Video der University of Texas
[2] White Paper der NCC Group
[3] Technical White Paper von Ruben Santamarta
[4] News-Beitrag auf Softpedia
[5] Berichterstattung im Focus
[6] Berichterstattung in der FAZ
[7] Wikipedia-Artikel zu Stuxnet
[8] Berichterstattung in der FAZ
[9] Berichterstattung auf arstechnica

CycleSEC als Partner der maritimen Wirtschaft

CycleSEC positioniert sich auf mehreren Veranstaltungen mit seinem Hamburger Büro als Security-Partner für die maritime Wirtschaft und ist Gründungsmitglied im Maritimen Cluster Norddeutschland (MCN) e.V., dem Schiffbauer, Zulieferer, Meerestechnik- und Schifffahrtsunternehmen angehören.

Kostenlose Erstberatung für Mitglieder des Maritimen Clusters Norddeutschland e.V.!

Ihr Unternehmen ist Mitglied im MCN und Sie haben Fragen zum Thema Cyber-Security? Wir bieten Vereinsmitgliedern ein kostenloses Erstberatungsgespräch. Nehmen Sie noch heute Kontakt zu uns auf. Hierzu können Sie uns auf einer der Veranstaltungen des Clusters direkt ansprechen, uns anrufen oder das folgende Kontakt-Formular nutzen:

Kontaktformular

Senden Sie uns vertrauliche Informationen bitte ausschließlich als verschlüsselte E-Mail und nicht mit diesem Formular. Sie können beim Ausfüllen des Formulars Pseudonyme verwenden. Bitte nutzen Sie alle mit * gekennzeichneten Felder.

Ihr Name*:

Ihre E-Mail-Adresse*:

Rückruf gewünscht?
Bitte geben Sie Ihre Telefonnummer an:

Betreff*:

Ihre Nachricht an CycleSEC*:

Bitte lösen Sie das folgende Captcha:


Durch Klicken auf "Absenden" bestätigen Sie, unsere Datenschutzbestimmungen zur Kenntnis genommen zu haben.

Informationssicherheit, IT-Sicherheit und Cyber-Security

Bitte stimmen Sie der Benutzung von Cookies durch diese Webseite zu. Weitere Informationen

Informationen zu Coockies

Diese Webseite verwendet so genannte Cookies. Sie dienen dazu, die Webseite, insbesondere die Kommentarfunktion nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren.

Wenn Sie auf "Akzeptieren" klicken, erklären Sie sich mit der Nutzung von Cookies einverstanden.

Schließen