IT-Grundschutzprofil für Reedereien - Schiffbetrieb
Save the Date: 2. Workshop am 06.Mai 2019 in Bonn
Anmeldungen unter: cyber@vht-online.de
Den Kick-off Workshop am 23. Januar 2019 werten wir als vollen Erfolg. Hierzu der Beitrag von Benjamin Klare, veröffentlicht im THB.
Schifffahrt besser vor Cyberrisiken schützen
Von Benjamin Klare
"Dem Thema Cybersicherheit kommt auch in der Schifffahrtsbranche immer größere Bedeutung zu. Den IMO-Richtlinien für das maritime Cyber-Risikomanagement zufolge müssen Unternehmen bis zum 1. Januar 2021 entsprechende Risiken in ihren bestehenden Sicherheitssystemen angemessen berücksichtigen. Maßgeschneiderte Konzepte für Reeder und ihre Flotte existieren bislang allerdings nicht, es gibt allenfalls Insellösungen.
Ändern wollen das der Verein Hanseatischer Transportversicherer (VHT) und das Bundesamt für Sicherheit in der Informationstechnik (BSI): Sie entwickeln Muster-Sicherheitskonzepte, sogenannte IT-Grundschutzprofile, für den Land- und Schiffsbetrieb von Reedereien. Darin werden Mindestanforderungen an die IT-Sicherheit definiert, um diese effektiv und effizient gegen die steigende Zahl von Cyberangriffen zu wappnen. Zentrale Hilfestellungen für die Umsetzung im Betrieb sollen der Unternehmensleitung als Entscheidungsgrundlage dienen und IT-Fachleuten einen Umsetzungsfahrplan an die Hand geben.
„Cyberangriffe wie Not Petya 2017, bei denen unter anderem eine längst bekannte und vom Hersteller gepatchte Schwachstelle ausgenutzt wurde, haben eindrucksvoll gezeigt, dass es auch in der Logistikbranche Nachholbedarf bei der Absicherung der IT-Systeme gibt“, erklärt BSI-Präsident Arne Schönbohm. „Durch die Umsetzung eines IT-Sicherheitsmanagements auf Basis des neuen IT-Grundschutzprofils hätten viele der damals berichteten Schäden verhindert werden können.“
Während das IT-Grundschutzprofil für den Landbetrieb von Reedereien bereits seit Ende Dezember vorliegt (der THB bringt dazu in der kommenden Woche einen Themenschwerpunkt), hat am Mittwoch auch der Kick-off-Workshop für den Schiffsbetrieb stattgefunden. Unter den rund 50 Teilnehmern in der Handelskammer Bremen fanden sich Vertreter von Branchengrößen wie Hapag-Lloyd und Hamburg-Süd ebenso wie Repräsentanten kleinerer Reedereien und anderer maritimer Stakeholder.
Welche Strukturen und IT-unterstützte Geschäftsprozesse haben für den Schiffsbetrieb die größte Relevanz? Dieser Kernfrage gingen die Workshop-Teilnehmer in Kleingruppen nach und benannten die aus ihrer Sicht vier wichtigsten Bereiche: den nautischen Betrieb (Navigation), den technischen Betrieb (Maintenance), den Ladungsbetrieb (Operations) sowie die Kommunikation über digitale Kanäle.
Während Standardanwendungen, wie zum Beispiel Windows, einen normalen Schutzbedarf haben, ist dieser bei Reederei-spezifischen Programmen hoch bis sehr hoch. Schließlich sind dort IT-seitig auch sensible Kundendaten zu schützen. Unter anderem hierfür soll das IT-Grundschutzprofil Bausteine liefern, die auf die jeweils zu schützenden Bereiche angewendet werden können. Konsens unter den Teilnehmern war aber auch, dass nicht alles und jeder rund um die Uhr lückenlos überwacht werden könne. Zum Beispiel der Seemann, der einen USB-Stick mit an Bord nimmt, um darauf gespeicherte Musik abzuspielen.
„Wichtig ist, die Risiken der Branche zunächst einmal zu benennen“, so Frauke Greven, Projektverantwortliche beim BSI, die den Workshop zusammen mit ihrem Kollegen Birger Klein moderierte. Stichwort: Aktivieren durch sensibilisieren. Auch dürfe sich Cybersicherheit nicht allein auf das Schiff beschränken, sondern müsse die gesamte Transportkette und alle daran beteiligten Akteure einschließen."
