CONNECTING PORTS #9: Unbekannte Gewässer: Die Cybersicherheits-Herausforderung für Häfen

Unheimliche Klänge, Drohnenaufnahmen von Details der Hafeneinrichtungen – ein Video im Stil eines True-Crime-Trailers setzte die Stimmung für das Thema Cybersicherheit bei der neunten CONNECTING PORTS Talkshow von Hamburg Port Consulting (HPC). Am 5. September 2024 erklärten drei internationale Experten, wie gut der maritimen Sektor vorbereitet ist, moderiert von Christina Prieser, Associate Partner bei HPC. Firewalls, Passwörter und eine neue Perspektive sind erforderlich, um das Rückgrat globaler Lieferketten zu schützen. Denn jeder Sicherheitsbruch vervielfacht die Risiken.

„Wir konzentrieren uns zu sehr auf rechtliche Vorschriften anstatt die Täter zu bekämpfen“, sagt Scott Dickerson aus den USA. Dies werde in den kommenden Jahren zu weiteren Störungen in den Lieferketten führen, prognostiziert der Gründer von CISO LLC. Sein Unternehmen entwickelt Cybersicherheitsprogramme für Reedereien, Terminalbetreiber und Häfen. Pradeep Luthria, Senior Partner bei Saiber Innovation Technology, einem Anbieter von Cybersicherheitslösungen in Dubai (VAE), fordert eine bessere Kommunikation über Angriffe: „Wenn wir die Ursachen schneller aufklären und darüber kommunizieren würden, wären wir besser vorbereitet.“ Ein aktuelles Beispiel sei der Angriff Ende August auf den Seattle-Tacoma International Airport, bei dem das Internet und die Websysteme tagelang ausgefallen waren.

Gadi Benmoshe, Geschäftsführer von Marinnovators, einer israelischen Beratungsfirma für maritime Lieferketten, fordert eine bessere Zusammenarbeit innerhalb jedes einzelnen Hafens und betont, dass die Vorbereitung auf Angriffe nicht nur eine IT-Angelegenheit ist. Dennoch „erwarten verschiedene Hafenbereiche immer noch, dass im Falle eines Cyberangriffs einfach die IT-Abteilung das Problem löst“, berichtet er. „Man kann so viel intelligente Technologie installieren, wie man will, aber wenn die Menschen nicht wachsam sind, wird sich nichts verbessern“, stimmt Pradeep Luthria zu.

Aber wie können Kriminelle konkret gestoppt werden? Scott Dickerson verweist auf das internationale Maritime Transportation System Information Sharing and Analysis Center (MTS-ISAC) als zentrale Koordinationsstelle für den rechtzeitigen Austausch von Informationen über Cyberbedrohungen zwischen vertrauenswürdigen Akteuren. Der Fokus liegt auf Informationstechnologie, Betriebstechnologie und dem Internet der Dinge (IoT). „Das MTS-ISAC und andere nichtstaatliche Organisationen können Informationen innerhalb von Minuten teilen, anstatt wie bei einigen Regierungsbehörden Wochen oder Monate zu warten“, erklärt er. Die Moderatorin fragt, welche speziellen Sicherheitsmaßnahmen Hafenanlagen im IoT vor Cyberangriffen schützen. Zunächst stellt Gadi Benmoshe fest, dass derzeit deutlich weniger IoT-Systeme zur Datenerfassung, Analyse und Automatisierung implementiert sind als Betriebstechnologien, die physische Prozesse steuern – „eine der größten Schwächen der Cybersicherheit in Häfen“. Daher empfiehlt er dringend, die physischen Netzwerke der Betriebstechnologie oder des IoT von den administrativen Netzwerken zu trennen.

Laut einem Artikel im US-Magazin „Harvard Business Review“ konzentrieren sich viele Unternehmen in ihrem Management auf Notfallpläne statt auf die Prävention von Gefahren und den Wiederaufbau. Scott Dickerson sieht dies ebenfalls als Schwäche: „Wir müssen das Verständnis und die Kompetenz der Vorstandsmitglieder verbessern, damit sie verstehen, wie ihre Unternehmen Technologie nutzen.“ Was die Verantwortung des Managements betrifft, spricht Pradeep Luthria das Thema der Cyber-Risikoversicherung an. Ihm zufolge fehlen am Markt Versicherungsprodukte, „die wirklich vor Schäden am Geschäftssystem schützen“. Viele Unternehmen sind nicht ausreichend gegen einen Cyberangriff versichert, obwohl das Risikomanagement zunehmend datengetrieben wird: „Indem wir immer mehr Daten hinzufügen, erhöhen wir das Risiko“.

Scott Dickerson betont, dass eine Kultur des Bewusstseins für Cybersicherheit unter den Terminalmitarbeitern nur dann erreicht werden kann, wenn sie von oben nach unten, zum Beispiel vom CEO oder Hafenleiter, vorangetrieben wird. „Wenn sie sich nicht wirklich um ein Risikogebiet wie Cybersicherheit kümmern, werden es alle anderen schnell merken“, warnt er. Wenn das Thema nur von technischen Experten behandelt wird, „wäre das ein Nachteil für die Organisation“, da nicht nur Techniker mit Betriebstechnologie und IoT arbeiten, sondern die gesamte Hafenverwaltung. „Wir müssen sicherstellen, dass dieser kulturelle Wandel von den Menschen ausgeht“, betont er.

Es mangelt nicht an Regeln und Vorschriften für die Cybersicherheit. Als stellvertretender Vorsitzender des Data Collaboration Committee der International Association of Ports and Harbors (IAPH) verweist Gadi Benmoshe auf die umfassenden „IAPH Cybersecurity Guidelines for Ports and Port Facilities“. Als nächstes wird sich die IAPH mit der obligatorischen Anforderung der International Maritime Organization (IMO) für ein „Maritime Single Window“ befassen, die in diesem Jahr in Kraft trat. Auf der digitalen Plattform werden Schiffsinfos ausgetauscht. „Wir schlagen der IMO vor, dass die Mitgliedsstaaten einen verbindlichen rechtlichen Rahmen für die Cybersicherheit des Maritime Single Window einführen“, kündigt er für April 2025 an.

Aber besteht nicht auch die Gefahr, dass Vorschriften bürokratisch werden und letztlich wenig mit effektivem Risikomanagement zu tun haben, fragt die Moderatorin. Tatsächlich warnt Scott Dickerson vor negativen Auswirkungen, wenn Mitarbeiter für Compliance-Maßnahmen von den eigentlichen Risikomanagement-Aktivitäten abgezogen werden müssen: „Dies könnte Unternehmen sogar weniger widerstandsfähig machen und sie angesichts von Kapazitätsengpässen anfälliger für Bedrohungen durch Nationen und Kriminelle machen.“

Cybersicherheit erfordert ständig viele Maßnahmen. Pradeep Luthria hält es für wichtig, Menschen für diese Verantwortung zur Rechenschaft zu ziehen. Gadi Benmoshe setzt seine Hoffnungen auf Künstliche Intelligenz, die dabei helfen könnte, Cyberangriffe besser zu erkennen und zu verhindern. Scott Dickerson hat folgenden Tipp:

„Beschränken Sie den Zugriff auf Ihre IT-, Betriebstechnologie- und IoT-Architekturen, sodass diese nicht öffentlich aus dem Internet zugänglich sind, um potenzielle Angriffe zu reduzieren.“ Er schließt mit einer alarmierenden Zahl, um zu verdeutlichen, wie groß die Gefahren wirklich sind: „Laut einer aktuellen Statistik von KnowBe4 gibt es pro Sekunde 13 Angriffe auf kritische Infrastrukturen in allen Branchen.“ Dies mache es umso wichtiger, „zu wissen, worauf wir uns in Bezug auf die tägliche Verteidigung und strategische Ressourcen konzentrieren müssen.“

Die vollständige Sitzung von Connecting Ports #08 ist hier verfügbar.
Die Journalistin Kerstin Kloss fasste die Veranstaltung für HPC zusammen.