Print Friendly, PDF & Email

Trotz wachsender Vernetzung von kritischer Infrastruktur und IT-Systemen, investieren Schifffahrtsunternehmen nicht genug in ihrer Sicherheit. Zu diesem Ergebnis kommt eine aktuelle Studie der Klassifikationsgesellschaft DNV.

Laut der Untersuchung sind weniger als die Hälfte (40%) der Fachleute in der maritimen Wirtschaft überzeugt, dass ihre Unternehmen genug in Cyber-Sicherheit investieren. [ds_preview]

Während sich die maritime Industrie in den letzten Jahrzehnten auf die Verbesserung der IT-Sicherheit fokussiert hat, ist die Sicherheit der Schiffsysteme (Operational Technology, OT) zu einem weiteren und immer drängenderen Risiko geworden. Die Schiffsysteme verwalten, überwacht, steuert und automatisiert industrielle Steuerungssysteme wie zum Beispiel Sensoren, Schalter, Sicherheits- und Navigationssysteme in Schiffen.

Drei Viertel (75%) der gut 800 von DNV befragten Branchenexperten sind der Meinung, dass die OT-Sicherheit für ihre Unternehmen eine deutlich höhere Priorität genießt als noch vor zwei Jahren. Nur einer von drei Befragten ist zuversichtlich, dass die OT-Sicherheit des eigenen Unternehmens genauso gut ist wie die IT-Sicherheit.

Cyber-Angriffe nehmen zu

»Im Zeitalter der vernetzten Systeme und Anlagen orientiert sich die maritime Industrie immer noch Richtung IT«, sagt Svante Einarsson, Head of Maritime Cyber Security Advisory, DNV. »Da Schiffssysteme zunehmend mit der Außenwelt vernetzt sind, dürften Cyber-Angriffe auf OT-Netzwerke künftig eine größere Rolle spielen.«

Der neue Forschungsbericht von DNV mit dem Titel »Maritime Cyber Priority 2023: Staying secure in an era of connectivity« zeigt die fast allgegenwärtige Erwartung, dass der Betrieb von Schiffen in den kommenden Jahren durch Cyber-Angriffe gestört werden wird.

Drei Viertel der maritimen Fachleute gehen davon aus, dass auch eine strategische Wasserstraße wegen eines Cyber-Vorfalls wird geschlossen werden müssen (76%). Mehr als die Hälfte erwartet auch, dass Cyber-Angriffe zu Schiffskollisionen (60%), Grundberührungen (68 %) und sogar zu Körperverletzungen oder Todesfällen (56%) führen werden. Eine überwältigende Mehrheit (79%) der Fachleute ist der Meinung, dass die Branche Cyber-Risiken als genauso wichtig erachtet wie Gesundheits- und sonstige Sicherheitsrisiken.

DNV-Studie sieht auch Chancen

Während diese neue Ära der Konnektivität neue Schwachstellen offenbart, eröffnet sie der DNV-Studie zufolge aber auch Chancen: Rund 87% der Schifffahrtsexperten sagen, dass die Zukunft der Branche von einer stärkeren Vernetzung abhängt. Dass vernetzte Technologien der Branche auch helfen werden, Emissionen zu reduzieren, glauben 85 %.

Knut Ørbeck-Nilssen, CEO of DNV – Maritime © DNV
CEO von DNV – Maritime © DNV

»Die Cybersicherheit ist ein wachsendes Sicherheitsrisiko, vielleicht sogar ›das‹ Risiko des kommenden Jahrzehnts«, sagt Knut Ørbeck-Nilssen, CEO Maritime, DNV. »Aber sie ist auch ein entscheidender Faktor für Innovationen und die Dekarbonisierung. Da wir eine grünere, sicherere und effizientere globale Schifffahrt anstreben, hängt der digitale Wandel der Branche stark von der Sicherung dieser miteinander vernetzten Anlagen ab. Deshalb ist es wichtig, dass wir zusammenarbeiten, um unsere gemeinsame Cybersicherheit zu stärken.«

Strengere Vorschriften notwendig?

Verbände und Regierungsbehörden werden die Branche vermutlich mittels einer strengeren Regulierung dazu bewegen, ihre Sicherheitsvorkehrungen gegen Cyber-Angriffe zu erhöhen, so DNV. Maritime Unternehmen müssen sich auf die Einhaltung neuer Regeln vorbereiten, darunter die einheitlichen Regeln des Dachverbandes der Klassifizierungsgesellschaften IACS und die NIS2-Richtlinie der EU, die ab 2024 in Kraft treten soll.

Laut der DNV-Studie sehen die meisten Fachleute die Regulierung als wichtigsten Motor, um dringend benötigte Mittel für die Cyber-Sicherheit zu beschaffen: 84% erwarten, dass die Regulierung die Investitionen in die Cyber-Sicherheit vorantreiben werden. Dass die Vorschriften zur Verbesserung der Cyber-Sicherheit wirksam sein und die Anforderungen erfüllen werden, glaubt allerdings nur etwas mehr als die Hälfte der Befragten (56%).  Nur 36% der Schifffahrtsexperen sind der Meinung, dass die Einhaltung der Cyber-Sicherheit-Vorschriften einfach sein wird. Weniger als die Hälfte (44%) gibt an, dass die Einhaltung der Vorschriften technisches Wissen erfordert, über das ihr Unternehmen nicht verfügt.

»Die Regulierung setzt nur einen Rahmen für die Cyber-Sicherheit. Sie ist keine Sicherheitsgarantie. Die maritime Wirtschaft sollte sie nicht als Ziel, sondern als Basis für weitere Verbesserungen und Anpassungen an die sich verändernde Bedrohungslage nutzen«, sagt Svante Einarsson, Head of Maritime Cyber Security Advisory, DNV. »Wie wir im Bereich der Betriebssicherheit beobachtet haben, wird Regulierung einfacher und effektiver, wenn sie von Branchen-Akteuren unterstützt wird, die bereit sind, ihr Wissen zu teilen. Unsere Studie offenbart diesbezüglich großen Handlungsbedarf. Die Branche braucht den offenen Austausch über die guten, schlechten und hässlichen Erfahrungen mit der Cybersicherheit, so dass im Sinne einer sichereren, nachhaltigeren maritimen Wirtschaft ein gemeinsamer Leitfaden für bewährte Schutzmaßnahmen (Best Practice) entwickelt werden kann.«

Fehlende Transparenz

Nur knapp drei von zehn Branchen-Experten (31%) gehen davon aus, dass Unternehmen auf effektive Weise Informationen und Erkenntnisse über Bedrohungen und Vorfälle im Bereich Cyber-Sicherheit weitergeben. Dieser Transparenzmangel spiegelt sich auch in der mehrheitlichen Überzeugung (60%) wider, dass es der maritimen Industrie an Standards für den Aufbau eines effektiven, wiederholbaren Ansatzes zur Cybersicherheit fehlt.

Der DNV empfiehlt Unternehmen in seiner Studie Maritime Cyber Priority 2023 die folgenden Maßnahmen:

  • Betrachten Sie die Cybersicherheit als einen Wegbereiter
  • Behandeln Sie Cyber-Risiken wie Risiken bei der Betriebssicherheit
  • Fördern und unterstützen Sie den branchenweiten Austausch
  • Betrachten Sie Regulierung als einen Impuls zur Verbesserung der Cybersicherheit
  • Ãœberdenken Sie Ihren Umgang mit Schwachstellen in der Lieferkette
  • Sorgen Sie für eine bessere Trainings-Strategie
  • Für alle Fälle: Halten Sie inmitten des Wandels zu vernetzten Systemen eine »analoge Rückfalloption« bereit.