Die maritimen Branchenverbände BIMCO, CLIA, ICS, INTERCARGO und INTERTANKO haben Anfang des Jahres gemeinsam die „Guidelines on Cyber Security Onboard Ships“ (aktualisierter Link zu Version 2.0 des Dokuments) herausgegeben. Dort empfehlen sie externe Cyber Security Assessments (inkl. Penetrationstests) für Schiffe. CycleSEC führt diese Assessments im Kundenauftrag nach den Vorgaben des Branchenpapiers durch.
Ihre Vorteile im Überblick:
- CycleSEC bietet Cyber Security Assessments mit Penetrationstests für Schiffe nach Branchenempfehlung.
- CycleSEC unterstützt Sie vom Assessment bis zur Risikoreduktion.
- CycleSEC ist Partner der maritimen Wirtschaft: Kostenlose Erstberatung für Mitglieder des Maritimen Clusters Norddeutschland.
Unsere Leistung:
Externes Cyber Security Assessment

Die Guidelines on Cyber Security Onboard Ships empfehlen ein externes Risiko Assessment durch spezialisierte Experten. Ein solches Assessment geht tiefer ins Detail und verfolgt einen insgesamt breiteren Ansatz, als das bei einer internen Analyse möglich wäre. Im Rahmen der Assessment-Vorbereitung können und sollen jedoch bereits vorhandene Erkenntnisse einfließen, um den externen Aufwand so gering wie möglich zu halten. Das externe Assessment wird in vier Schritte gegliedert (siehe Abbildung 1).
Neben den Vorarbeiten und dem eigentlichen Assessment des Schiffs sehen die Guidelines ebenso ein umfangreiches Debriefing und Reporting vor, sowie die Information und Zusammenarbeit mit den Herstellern der schwachstellenbehafteten Schiffssysteme.
Für das Assessment des Schiffs werden Penetrationstests gegen kritische IT-Systeme des Schiffs empfohlen, bei denen auch Social Engineering Techniken zum Einsatz kommen können. Wir bieten mit CycleSEC solche auf Schiffe spezialisierte Penetrationstests an.
Motivation

Auch an Bord eines Schiffes spielen IKT-Komponennten eine immer größere Rolle (Abbildung 2). Seien es maritime Information- und Navigationsssysteme wie GPS, ECDIS und AIS oder modernste Steuer- und Kontrollsysteme für Schiffsmotoren oder Getriebeeinheiten. Die Integration moderner Entertainment-Systeme für Crew und Passagiere führt zu weiteren Angriffsvektoren. CycleSEC Geschäftsführer Sebastian Klipper sieht eine neue Qualität der Bedrohung:
„In der Vergangenheit konnten Angreifer Schiffe vom Kurs abbringen [1 und Abb. 3], ECDIS-Daten beliebig fälschen [2] oder Satellitenverbindungen kapern [3] und Piraten bereiten ihre Beutezüge mit Informationen aus Hacker-Angriffen [4] vor – das ist eine neue Qualität von Cyber-Bedrohungen auf See!“

Die zunehmende Vernetzung der Systeme an Bord und deren Anbindung ans Internet bringen zahlreiche neue Risiken mit sich, denen andere Branchen schon seit Jahren ausgesetzt sind – mit teils immensen Folgen. In der Schifffahrt geht es zusätzlich um Leib und Leben der Menschen an Bord, meint Sebastian Klipper:
„Außerhalb der Schifffahrt sehen wir KFZ-Rückrufaktionen aufgrund von IT-Sicherheitsmängeln [5], durch Cyber-Angriffe begleitete Unternehmensübernahmen [6], von Hackern zerstörte Industrieanlagen [7], Cyber-Banküberfälle in Milliardenhöhe [8] und sogar Einbrüche in die Steuerung von Passagierflugzeugen [9] – Angreifer haben den ‚Viren-Sandkasten‘ der 90er Jahre längst verlassen. Das stellt auch die Schifffahrt vor neue Herausforderungen. Das gilt umso mehr, weil IT-Sicherheitsvorfälle an Bord von Schiffen nicht nur das Schiff selbst betreffen, sondern unmittelbar auch die Umwelt und vor allem Leib und Leben von Passagieren und Besatzung.“
Ihr Auftrag an uns
Auf Anfrage erstellen wir Ihnen ein konkretes Angebot (Proposal) mit detaillierten Informationen zu CycleSEC, unserem geplanten Vorgehen bei Assessment und Penetrationstest und der Qualifikation und Erfahrung von Projektleitung und den beteiligten Penetrationstestern. Mögliche Änderungswünsche nehmen wir selbstverständlich gerne auf und lassen sie in unser abschließendes Angebot einfließen. Danach beauftragen Sie uns unkompliziert durch Annahme des Angebots (Purchase Order).
Kosten
Die Abrechnung erfolgt nach Tagessatz. Es entstehen keinerlei Lizenz- oder Materialkosten. Das Angebot enthält ein geschätztes Projektvolumen, dass nur im Ausnahmefall auf Wunsch des Kunden überschritten werden kann. Reise- und Übernachtungskosten können separat oder pauschaliert als Teil des Tagessatzes verrechnet werden.
Projektsprache
Englisch ist die Standard-Projektsprache. Alle Dokumente – vom Angebot (Proposal) bis zum Abschlussbericht (Final Report) – werden in Englisch verfasst. Bei Bedarf können gesonderte Übersetzungen ins Deutsche beauftragt werden. Alle Projektbeteiligten sprechen neben Englisch auch Deutsch als Muttersprache.
Ihre Mitwirkung:
Vorbereitendes internes Assessment
In einem internen Assessment sollen alle Systeme und deren Schnittstellen erfasst werden, die an Bord zu finden sind. Bereits hier sollten bekannte Schwachstellen erfasst und aufgelistet werden, um den Aufwand des externen Assessments so gering wie möglich zu halten. Hierbei sollte insbesondere auch der Faktor Mensch und Schwachstellen in den Arbeitsabläufen Berücksichtigung finden. Am Ende des internen Assessments kann berits die Entwicklung erster Incident-Szenarien stehen und die Frage, welche Arbeitsabläufe an Bord, auf See oder im Hafen nachhaltig beeinträchtigen würden, wenn es zum IT-Notfall kommt. Das interne Assessment muss dabei nicht abschließend sein. Es dienst allein dem Transfer des intern vorhandenen Wissens an unser Assessment-Team.
Weitere Schritte
Mit den Ergebnissen eines Cyber Security Assessments gilt es dann einen Plan zur Reduzierung des Risikos zu erarbeiten und Notfallmaßnahmen für den Fall der Fälle vorzubereiten. Auch hierbei können wir Sie gerne unterstützen.
Quellen und weitere Informationen
CycleSEC Blog Beitrag vom 23.04.16:
Cyber Security in der Maritimen Wirtschaft
CycleSEC Blog Beitrag vom 18.05.16:
Cyber Security auf Schiffen
[1] Youtube-Video der University of Texas
[2] White Paper der NCC Group
[3] Technical White Paper von Ruben Santamarta
[4] News-Beitrag auf Softpedia
[5] Berichterstattung im Focus
[6] Berichterstattung in der FAZ
[7] Wikipedia-Artikel zu Stuxnet
[8] Berichterstattung in der FAZ
[9] Berichterstattung auf arstechnica
CycleSEC als Partner der maritimen Wirtschaft
CycleSEC positioniert sich auf mehreren Veranstaltungen mit seinem Hamburger Büro als Security-Partner für die maritime Wirtschaft und ist Gründungsmitglied im Maritimen Cluster Norddeutschland (MCN) e.V., dem Schiffbauer, Zulieferer, Meerestechnik- und Schifffahrtsunternehmen angehören.
Kostenlose Erstberatung für Mitglieder des Maritimen Clusters Norddeutschland e.V.!
Ihr Unternehmen ist Mitglied im MCN und Sie haben Fragen zum Thema Cyber-Security? Wir bieten Vereinsmitgliedern ein kostenloses Erstberatungsgespräch. Nehmen Sie noch heute Kontakt zu uns auf. Hierzu können Sie uns auf einer der Veranstaltungen des Clusters direkt ansprechen, uns anrufen oder das folgende Kontakt-Formular nutzen:
Kontaktformular
Senden Sie uns vertrauliche Informationen bitte ausschließlich als verschlüsselte E-Mail und nicht mit diesem Formular. Sie können beim Ausfüllen des Formulars Pseudonyme verwenden. Bitte nutzen Sie alle mit * gekennzeichneten Felder.