Die Cybersicherheit im Seeverkehr hat sich zu einem wichtigen globalen Anliegen entwickelt. Ein paar Zahlen, um Sie davon zu überzeugen: Während der Seeverkehr allein fast 90 % des Welthandels ausmacht, waren die großen Seehäfen 2017 im Durchschnitt 10 bis 12 Cyberangriffen pro Tag ausgesetzt (laut Union des Ports de France). Ein Trend, der stetig steigt — so beobachtete Naval Dome im Jahr 2020 eine Zunahme der Cyberangriffe im Seeverkehrssektor um 400 %. Sind Häfen in schwierige Gewässer geraten? Ein kurzer Rückblick auf die bekanntesten Cyberangriffe der letzten 10 Jahre.
Antwerpen, Juni 2011: Eine alle und alles ausspionierende Malware
Im Jahr 2013 entdeckte der Hafen von Antwerpen, dass ein Drogenkartell die Containerwechselanlage gekapert hatte. Das Computernetzwerk des Hafens wurde seit Juni 2011 ausspioniert. Damals hat man das Netzwerk angeblich mit Schadsoftware, unter anderem mit einem Keylogger (der die Tastenanschläge der Be- und Entlader und damit Logins und Passwörter aufzeichnet), infiltriert.
Der Antwerpener Hafen konnte sein System schließlich wieder sichern, indem er fast 200.000 Euro in die Umsetzung von Gegenmaßnahmen investierte, darunter eine neue Passwortverwaltung (die den Zugang zu Containern ermöglicht) und neue Kommunikationskanäle zwischen Hafenbetreibern und Kundendienst.
Rotterdam, Juni 2017: Kollateralschaden aus einer großflächigen Ansteckung
Am 30. Juni 2017 wurde der Hafen von Rotterdam mit Petrwrap, einer modifizierten Version der NotPetya-Ransomware, infiziert. So mussten insbesondere zwei Containerterminals, die von APMT, einer Tochtergesellschaft des Møller-Maersk-Konzerns, betrieben werden, ihren Betrieb vollständig einstellen. Der Rotterdamer Hafen ist eigentlich einer der Häfen, der am meisten in die vollständige Automatisierung seiner Betriebsabläufe (in eine Smart Port-Software, die nun Internet der Dinge und künstliche Intelligenz integriert) investiert und daher umso mehr auf die Stabilität seiner IT-Dienste angewiesen ist.
Als Reaktion darauf haben die Stadt Rotterdam, die Polizei und die Hafenbehörden gemeinsam einen Beauftragten für Cybersicherheit im Hafen ernannt, um die Cybersicherheit im Hafen zu verbessern , das Bewusstsein für Cybersicherheitsfragen zu schärfen, die organisatorische Ausbildung zu verbessern und eine bessere Risikokontrolle zu gewährleisten.
Long Beach, 2018: Beginn einer Serie von internationalen Anschlägen
Ein Jahr nach dem Vorfall in Rotterdam störte eine Reihe von aufeinanderfolgenden Cyberangriffen die Aktivitäten mehrerer internationaler Häfen. In erster Linie war es der Hafen von Long Beach in den Vereinigten Staaten — und vor allem das Terminal der Reederei China Ocean Shipping Company (COSCO) —, wo das Informationssystem in der Folge anscheinend von einer Ransomware kontaminiert wurde.
Barcelona, 2018: Interne IT-Systeme betroffen
Am 20. September 2018 war es der Hafen von Barcelona, der Ziel eines Angriffs wurde. Nur wenige Informationen sickerten durch, doch waren es anscheinend die internen IT-Systeme, die betroffen waren, was sich auf die Be- und Entladevorgänge auswirkte. Die Betreiber versicherten jedoch, dass der Seeverkehr dadurch nicht beeinträchtigt wurde, da die Schiffe weiterhin in den Hafen einlaufen konnten.
San Diego, 2018: Ein sehr ausgeklügelter Cyberangriff
Nach Angaben der San Diego Union-Tribune war eine Woche später auch der Hafen von San Diego Ziel eines „sehr ausgeklügelten“ Cyberangriffs, ohne dass dazu nähere Angaben zur eingesetzten Technik erfolgten. Die Hafenbehörde bestätigte, dass es sich um einen Ransomware-Angriff gehandelt hatte, der die Handlungsfähigkeit ihrer Mitarbeiter stark einschränkte, was sich „vorübergehend auf den Service für die Öffentlichkeit auswirkte, insbesondere in den Bereichen Genehmigungen, Anfragen von öffentlichen Dokumenten und kommerzielle Dienste“.
Vancouver, 2018: ein (neuer) Brute-Force-Angriff
Und zum Abschluss eines sehr turbulenten Jahres 2018 wurde der Hafen von Vancouver im Oktober Opfer eines Brute-Force-Angriffs — wenige Monate nach einem anderen Angriff derselben Art. Laut der französischen Website cybermaretique.fr wären an diesem Tag fast 225.000 Benutzerkonten ausspioniert worden, es wurden jedoch keine weiteren Informationen zu den Folgen dieses DDoS-Angriffs veröffentlicht. Hingegen gaben die lokalen Hafenbehörden zu, täglich auf diese Weise ausspioniert zu werden — allerdings niemals bei mehr als 6.000 Konten gleichzeitig.
Marseille, März 2020: Ein Cyberangriff kaschiert einen weiteren
Im März 2020 wurde der Hafen von Marseille zum Opfer einer Ransomware namens Mespinoza/Pysa. In diesem Fall waren die Seeverkehrsinfrastrukturen nicht direkt betroffen, aber sie wurden zu den Hauptleidtragenden, da sie mit den Informationssystemen der Stadt Aix-Marseille-Provence verbunden sind, die das Hauptziel dieses Angriffs darstellten. Die Folgen wären durch eine gemeinsame Reaktion der RSSI der verschiedenen betroffenen Organisationen weitgehend abgemildert worden.
Dieses Missgeschick wurde von der französischen Agentur ANSSI, die an der Risikoanalyse und an der Ausarbeitung der nun eingerichteten Gegenmaßnahmen beteiligt war, öffentlich dokumentiert. Aufgefallen ist, dass bei Durchführung dieses Audits Berichten zufolge die ANSSI mehrere virale Dateien in den Ziel-IT-Diensten gefunden hätte, die das Eindringen anderer Malware in den vergangenen Monaten oder Jahren belegten. In jedem Fall wären die verwendeten Einbruchstechniken Berichten zufolge „nicht sehr fortschrittlich“ gewesen.
Shahid Rajaee, Mai 2020: Ein Cyberangriff vor dem Hintergrund eines geopolitischen Konflikts
Im Mai 2020 kamen alle Betriebsabläufe des Hafens von Shahid Rajaee (Iran) fast komplett zum Stillstand. Aus Insiderkreisen erfuhr die Washington Post , dass „sämtliche Computer, die die Steuerung von Schiffen, Lastwagen und Waren regeln, gleichzeitig ausfielen, was zu einem massiven Chaos auf den Wasserwegen und Straßen führte.
Zwar wurde der Modus Operandi nicht bekannt, doch sprachen amerikanische Würdenträger von einem digitalen Krieg zwischen Iran und Israel. Dieser Cyberangriff wäre also eine Reaktion auf eine gegen das israelische Wassernetz gerichtete digitale Offensive gewesen.
Langsten, Juni 2020: Der Preis für den Erfolg
Im Juni 2020 wurde die Werft Langsten in Norwegen, die dem Unternehmen Vard gehört, Opfer eines Ransomware-Angriffs. Obwohl das Unternehmen sich nicht zu den genauen Folgen und technischen Einzelheiten des Angriffs äußerte, räumte sein Sprecher ein, dass der Betrieb jetzt gebremst wäre. Außerdem gestand das Unternehmen zu, dass die Verschlüsselung seiner Daten durch die Ransomware mit einem Einbruch in seine Datenbanken einherging, ohne nähere Angaben zu Umfang oder Relevanz der entwendeten Daten zu machen.
Der Angriff erfolgte zu einer Zeit, in der Vard nach der Übernahme durch den italienischen Schiffbauer Fincantieri eine erfolgreiche organisatorische Umstrukturierung durchlief und den Umfang seiner internationalen Aufträge steigerte.
Kennewick, November 2020: Größe ist nicht alles
Im November 2020 wurde der Hafen von Kennewick Opfer eines Ransomware-Angriffs, womit der Zugang zu seinen Servern vollständig gesperrt wurde. Das kam für diesen kleinen Binnenhafen am Columbia River im Bundesstaat Washington sehr überraschend, dessen strategische Bedeutung wesentlich geringer als die der großen Handelshäfen ist. Das hält Cyberkriminelle allerdings nicht davon ab, diese - oft weniger gut geschützten - Ziele in der Hoffnung auf eine sehr hohe Investitionsrendite ins Visier zu nehmen.
Es sollte fast eine Woche dauern, bis die Hafenbehörden die Kontrolle über ihre Daten wiedererlangen konnten, indem sie ihr Informationssystem mit Hilfe von Backups wiederherstellten. Die Behörden des Hafens und der Gemeinde von Kennewick vermuteten, dass ein unglückliches Öffnen eines schädigenden Anhangs der Ausgangspunkt des Angriffs gewesen wäre.
Südafrika, Juli 2021: Großer Fall von Cyberkriminalität
Im Juli 2021 wurden vier große südafrikanische Häfen (Kapstadt, Ngqura, Port Elizabeth und Durban) durch einen massiven Anschlag auf die Transnet National Port Authority, den wichtigsten Frachtmanager des Landes, lahmgelegt. In der offiziellen Erklärung (von Les Echos übernommen) wurde der Angriff als „ höhere Gewalt“ eingestuft, womit „das IT-System nicht mehr nutzbar“ war, was mit den Auswirkungen von Ransomware-Angriffen vergleichbar ist.
Der Angriff erfolgte zu einem Zeitpunkt, zu dem Transnet und die nationalen Behörden ein ehrgeiziges Smart Port-Programm zur besonderen Absicherung starteten, bei dem die Stadt Durban als Pilotprojekt dienen sollte.
Houston, August 2021: Aufgewirbelt von einem Software-Fehler
Laut einer offiziellen Erklärung hätte der Hafen von Houston kürzlich einen Angriff abgefangen, bei dem eine kritische Schwachstelle in einer Passwortverwaltungslösung ausgenutzt wurde. Dieser Softwarefehler mit der Bezeichnung CVE-2021-40539 (CVSS-Score (Bewertungssystem für häufige Schwachstellen) 9,8 von 10) macht es Hackern leicht, Web-Shells in das Informationssystem eines Unternehmens einzuschleusen, die eine Vielzahl von Aktionen ermöglichen — von der Entwendung wichtiger Daten bis hin zur Installation von Malware.
Die Hafenbehörden sagten, dass die vorhandenen Cyberschutzmaßnahmen und die Einhaltung des Plans zur Gefahrenabwehr in der Anlage (der durch den Maritime Transportation Security Act (MTSA) in den USA vorgeschrieben ist) die Bedrohung abgewehrt hätten.
Nicht erschöpfende Liste.
Link zu Bericht von Naval Dome über die Zunahme von Cyberangriffen im Seeverkehr
Link zum Bericht „7. Assises du Port du futur“ aus dem Jahr 2017 und zur Angabe der Union des Ports de France (UPF) über die durchschnittliche Anzahl von 10 bis 12 Cyberangriffen pro Tag
