In der Schifffahrtsbranche werden bei Cyberangriffen durchschnittlich 3 Mio. $ an Lösegeld an die Täter bezahlt. Weiterhin bestehen erhebliche Lücken im Cyber-Risikomanagement in der Branche.[ds_preview]
Obwohl auf IMO-Ebene im vergangenen Jahr Fortschritte gemacht wurden, bestehen laut eines neuen Berichts des maritimen Cybersicherheitsunternehmens CyberOwl und der Anwaltskanzlei HFW mit dem Titel The Great Disconnect »erhebliche Lücken im Cyber-Risikomanagement« vieler Schifffahrtsunternehmen und aderer Akteure in der gesamten Lieferkette.
Die Studie basiert auf einer Umfrage unter mehr als 200 Fachleuten aus der Branche, darunter Führungskräfte, Cybersicherheitsexperten, Seeleute, Manager an Land und Zulieferer. 44 % der Branchenexperten gaben an, dass ihr Unternehmen in den letzten drei Jahren Opfer eines Cyberangriffs geworden ist. In 3 % dieser Fälle zahlte das Opfer Lösegeld an den Angreifer, wobei die durchschnittlichen Kosten 3,1 Mio. $ betrugen. Obwohl es nur selten ausdrücklich verboten ist, ist die Zahlung von Lösegeld für Schiffsbetreiber in aller Welt eine rechtliche Grauzone. Erschwerend kommt hinzu, dass nur 34 % der Branchenexperten angeben, dass ihr Unternehmen gegen Cyberangriffe abgesichert ist, und 54 % der Schiffsbetreiber weniger als 100.000 $ pro Jahr für das Cybersicherheitsmanagement ausgeben.
Diese Zahlen mögen für kleinere Flotten angemessen erscheinen, insbesondere wenn man bedenkt, dass die durchschnittlichen jährlichen Kosten von Cyberangriffen für Schiffsbetreiber bei 182.000 $ liegen. Sie berücksichtigen jedoch nicht das große Verlustrisiko, dem alle Betreiber ausgesetzt sind. Für 1 von 12 Schiffsbetreibern belaufen sich die durchschnittlichen jährlichen Kosten von Cyberangriffen auf 1,8 Mio. $. Jedes Schiff, ob Teil einer kleinen oder großen Flotte, ist dem Risiko ausgesetzt, von Cyber-Kriminellen angegriffen zu werden, und bei jedem Schiffsbetreiber besteht eine Diskrepanz zwischen den Risiken, denen seine Schiffe ausgesetzt sind, und den Schutzmaßnahmen, die er getroffen hat.
Innerhalb der maritimen Organisationen gibt es eine Diskrepanz zwischen der gefühlten und der tatsächlichen Bereitschaft, auf einen Angriff zu reagieren. Je höher die Position eines Mitarbeiters auf See oder an Land ist, desto geringer ist die Wahrscheinlichkeit, dass er weiß, ob sein Unternehmen Opfer eines Cyberangriffs geworden ist. Auf See wissen 26 % der Seeleute nicht, welche Maßnahmen von ihnen bei einem Cybersicherheitsvorfall verlangt werden, und 32 % führen keine regelmäßigen Cybersicherheitsübungen oder -schulungen durch. An Land verfügen 38 % der Führungskräfte entweder nicht über einen Cybersicherheitsplan oder sind sich nicht sicher, ob ihr Unternehmen über einen solchen verfügt.
Schiffsbetreiber und Zulieferer arbeiten nach verschiedenen Standards
Ähnliche Probleme gibt es in der gesamten maritimen Lieferkette: Es besteht eine Diskrepanz zwischen den Sicherheitsstandards, nach denen Schiffsbetreiber arbeiten, und den Standards, nach denen die Zulieferer der Branche arbeiten. Dieses Problem wird durch die Tatsache verschärft, dass viele Betreiber wenig oder gar keine Kontrolle über die Sicherheit der an Bord installierten Systeme haben, wodurch eine Diskrepanz zwischen dem Risiko für den Schiffsbetreiber und seiner Fähigkeit, die Risiken zu kontrollieren, entsteht. Diese Diskrepanz in der Lieferkette ist auch in den Vorschriften enthalten, da die IMO-Entschließung zum Cyber-Risikomanagement die Last der Einhaltung der Vorschriften allein den Schiffseignern und -betreibern aufbürdet.
Um die Branche bei der Überwindung dieser Diskrepanz zwischen Cyberrisiken und eigenen Cyber-Security-Fähigkeiten zu unterstützen, geben die Autoren vier Empfehlungen ab. Die ersten beiden Empfehlungen zielen auf die Beseitigung der organisatorischen Diskrepanz ab. Dazu gehören die Einrichtung einer speziellen Abteilung für Cybersicherheit innerhalb des Flottenbetriebs und die Umsetzung eines umfassenden Schulungs- und Übungsprogramms für Cybervorfälle. Die dritte Empfehlung zielt darauf ab, die Trennung in der Lieferkette zu überwinden, und beinhaltet die Entwicklung von Mindestsicherheitsstandards für Lieferanten und Partner. Die vierte Maßnahme schließlich zielt darauf ab, die Risikolücke zu schließen, und umfasst eine dringende Überprüfung der Versicherungspolicen und die Suche nach spezifischen rechtlichen Leitlinien für Lösegeldzahlungen.
Tom Walters, Partner, HFW: »Die Technologie in der Schifffahrtsbranche verändert sich in einem erstaunlichen Tempo. Der Einsatz von IT unterstützt bereits einen Großteil der globalen Lieferketten, und mit Blick auf die Zukunft und die Einführung von alternativen Antriebssystemen und autonomen Schiffen wird die Bedeutung der Cybersicherheit nur noch zunehmen. Aus unseren Untersuchungen geht eindeutig hervor, dass die Schifffahrtsbranche sehr viel mehr tun muss, um sich vor Cyber-Bedrohungen zu schützen. Wir hoffen, dass unser Bericht die Grundlage für weitere Diskussionen bei den nächsten Schritten auf dieser spannenden Reise bildet.«