„Cybersicherheit ist ein Schwindel“ und andere maritime Missverständnisse

Greg Trauthwein9 Oktober 2024
Copyright LailaBee/AdobeStock
Copyright LailaBee/AdobeStock

Angesichts der neuen Vorschriften zur Cybersicherheit der US-Küstenwache ist Angeliki Zisimatou, Director Cybersecurity, ABS, in einer einzigartigen Position, um die maritime Cybersicherheit umfassend zu diskutieren. Sie gibt Einblicke in das, was sie von den Entwurfsvorschriften gesehen und gehört hat, und gibt Ratschläge dazu, was dies für Schiffseigner bedeuten könnte.

Die Cybersicherheit und alles, was sie mit sich bringt, gewinnt in der Schifffahrtsbranche schnell an Bedeutung, da die zunehmende Abhängigkeit von der Konnektivität ein zweischneidiges Schwert ist, das sowohl Chancen als auch Gefahren birgt.

Während der Grad der Vorbereitung auf Cybersicherheit in allen Branchen sehr unterschiedlich ist, besteht die größte Sorge vielleicht darin, dass manche das Risiko nicht einmal erkennen. „In den letzten acht Jahren habe ich oft gehört, dass Cybersicherheit ein Schwindel ist. Das habe ich immer wieder von Besatzungen, von Betreibern, von Eigentümern gehört“, sagt Angeliki Zisimatou, Director Cybersecurity bei ABS. Sie glauben, dass ihre Bordsysteme von der Konnektivität an Bord „abgekoppelt“ sind, was zu einem falschen Sicherheitsgefühl führt.

Der erste Schritt für ABS besteht darin, zu informieren, aufzuklären und zu verdeutlichen, dass die Bedrohung tatsächlich real ist. Fragen Sie einfach die AP Moller-Maersk Group , eine der weltweit größten Reedereien, die 2017 Opfer des NotPetya- Angriffs wurde, der den Betrieb für 10 Tage unterbrach und Hunderte Millionen an Einnahmen kostete.

Während die Seefahrt insgesamt nur langsam auf Cybersicherheit setzt, sagte Zisimatou, dass große Flottenbesitzer und -betreiber das Risiko ernst nehmen – und massiv in ihre eigenen sicheren Operationszentren investieren – und sie sehe, dass sich die Einstellung in der gesamten Branche ändert, insbesondere wenn hochkarätige Ereignisse wie NotPetya Schlagzeilen machen und das potenzielle Ausmaß des Problems verdeutlichen. Ein weiterer Treiber sind wie üblich neue Regeln der Internationalen Seeschifffahrtsorganisation und der US-Küstenwache.

„Ich denke, dass die kleineren und mittelgroßen Betreiber und Eigentümer sich in ihrem Handeln von der Regulierung leiten lassen. Sie versuchen, sich auf das absolute Minimum zu beschränken und das zu tun, was vorgeschrieben oder empfohlen wird“, sagt Zisimatou.



Neue Cybersicherheitsregeln der USCG

Nehmen Sie am 13. November 2024 am „Cyber Security Lunch & Learn“ im Morial Convention Center in New Orleans teil. Bei der Veranstaltung handelt es sich um eine moderierte Diskussion über neue Cybersicherheitsregeln der USCG und ihre möglichen Auswirkungen auf Schiffseigner. Klicken Sie hier, um sich kostenlos anzumelden.




Die Lücken füllen

Da immer mehr neue, vernetzte Schiffe online gehen und eine neue Generation von Seeleuten – Online-Natives – zunehmend das Kommando über den maritimen Raum übernimmt, werden auch das Bewusstsein für Cybersicherheit und entsprechende Maßnahmen zunehmen. Bis dahin bleibt noch viel zu tun.

„Der Mangel an Wissen zu diesem Thema sowie fehlende Schulung und Sensibilisierung; das gilt sowohl für die Besatzung als auch für das Personal an Land“, so Zisimatou, sei heute wohl die größte Lücke. „Selbst Reedereien, die wissen, dass sie handeln müssen, delegieren die Aufgabe möglicherweise an ihre IT-Abteilung, doch in der Regel hat das IT-Personal [kaum oder keine] Kenntnisse über die Systeme an Bord“, sodass die Frage, wo man anfangen soll, nicht leicht fällt.

Das Alter der an Bord bestehender Schiffe laufenden Legacy-Systeme, darunter Windows NT und andere veraltete Software, stellt hinsichtlich der Anfälligkeit eine ebenso große Herausforderung dar.

Ein weiteres potenzielles Problem in der gesamten maritimen Lieferkette ist die ausreichende Transparenz hinsichtlich Wartung und Upgrade der Bordsysteme. In der Regel lassen Schiffseigner und -manager Lieferanten physisch an Bord kommen, um auf Systeme zuzugreifen und diese zu aktualisieren. Dadurch besteht kaum oder gar keine Transparenz darüber, was tatsächlich aktualisiert und auf den Schiffen installiert wurde. Die vollständige Kontrolle und Transparenz über kritische Systemupdates und -wartungen ist ein weiterer wichtiger Punkt auf der To-do-Liste eines Schiffseigners/-managers.

Doch auch wenn die Lücken und Probleme möglicherweise groß sind, können die Lösungen zumindest für den Anfang einfach sein.

„Ich würde mit dem Offensichtlichen beginnen“, sagte Zisimatou. „Zunächst einmal: Nehmen Sie es ernst. Betrachten Sie es als ein echtes Risiko für Ihren Betrieb und Ihr Unternehmen. Befolgen Sie die Vorschriften oder Empfehlungen der IMO oder des NIST, des Rahmenwerks für Cybersicherheit. Befolgen Sie die Schritte. Beginnen Sie mit einer sehr gründlichen Risikobewertung und bringen Sie die richtigen Leute in den Raum: Leute aus dem Betrieb und Leute aus der IT. Brainstormen Sie; denken Sie wirklich über die Risiken nach und wie Sie sie mindern können. Wenn Sie die Risiken schlecht identifizieren, sind auch die zu implementierenden Kontrollen schlecht.“

„Es gibt noch andere Punkte, wie zum Beispiel alle drei Monate Cybersicherheitsübungen, die in der Verordnung vorgeschrieben sind, was unserer Meinung nach etwas zu häufig ist. Dann gibt es keine Einzelheiten; was bedeutet das, was muss getestet werden?“
Angeliki Zisimatou, Direktorin für Cybersicherheit, ABS


Neue Regeln der Küstenwache

Anfang des Jahres veröffentlichte die Küstenwache im Federal Register einen Verordnungsentwurf zur Aktualisierung der maritimen Sicherheitsvorschriften durch die Aufnahme von Vorschriften, die sich speziell auf die Festlegung von Mindestanforderungen an die Cybersicherheit für Schiffe unter US-Flagge, Einrichtungen auf dem äußeren Kontinentalschelf und US-Einrichtungen konzentrieren, die den Vorschriften des Maritime Transportation Security Act von 2002 unterliegen. Die neuen Vorschriften werden voraussichtlich im Laufe dieses Jahres fertiggestellt, und es sind noch viele Fragen dazu offen, was sie vorschreiben und wie sie sich letztlich auf die Verfahren und Kosten der Schiffseigner/-betreiber auswirken werden.

„Wir haben der Küstenwache Feedback dazu gegeben, was möglicherweise fehlt oder was für die Betreiber eine Herausforderung darstellen könnte“, sagte Zisimatou. „[Zurzeit] wissen wir nicht wirklich, ob die neue Regelung für Neubauten oder auch für bestehende Schiffe gelten wird. Das hätte enorme Auswirkungen auf Schiffe unter US-Flagge.“ Sie sagte, dass es in der vorgeschlagenen Regelung einige Anforderungen gibt, die beispielsweise die Segmentierung von Netzwerken betreffen, und insbesondere bei bestehenden Schiffen, wo die Netzwerke normalerweise flach sind, „würde das einige zusätzliche Anstrengungen erfordern.“

Aber damit ist noch nicht Schluss.

„Es gibt noch andere Punkte, wie etwa alle drei Monate Cybersicherheitsübungen, die in der Verordnung vorgeschrieben sind, was unserer Meinung nach etwas zu häufig ist“, sagte Zisimatou. „Dann gibt es keine Einzelheiten; was bedeutet das, was muss getestet werden?“

Sie sagte, die Klassifikationsgesellschaft habe der Küstenwache empfohlen, die Vorschläge der IACS hinsichtlich neuer Schiffskonstruktionen zu berücksichtigen und dabei die gesamte Lieferkette von der Konstruktion über die Inbetriebnahme und den Bau bis hin zur Betriebsdauer eines Schiffs zu berücksichtigen, aber auch den Ansatz hinsichtlich der spezifischen Kontrollen zu berücksichtigen, um etwas mehr Klarheit darüber zu schaffen, was die Klasse tun muss, was der Eigentümer tun muss und was eine Werft tun muss.

„Ich warte auf die Veröffentlichung der Verordnung und bin sicher, dass die Küstenwache viele Kommentare erhalten hat, an denen sie gerade arbeitet“, sagte Zisimatou. „Ich bin gespannt darauf und denke, dass es enorme Auswirkungen haben wird, insbesondere [später], wenn weitere Verordnungen anderer Flaggenverwaltungen auf der Grundlage der von der Küstenwache vorgelegten Vorgaben erlassen werden.“


Sehen Sie sich das vollständige Interview mit Angeliki Zisimatou, Director Cybersecurity, ABS, auf Maritime Reporter TV an:




Kategorien: Legal, Regierungsaktualisierung