Die großen Handelshäfen sind für den reibungslosen Transport von fast neun Milliarden Tonnen Gütern rund um die Welt (90 % des Weltvolumens) verantwortlich. Um wettbewerbsfähig und effizient zu bleiben, ist die digitale Transformation der Häfen ein wesentlicher Schritt geworden. So sind im letzten Jahrzehnt „Smart Ports“ entstanden, diese intelligenten Häfen, die auf neue Technologien setzen, um Logistikprozesse zu automatisieren und zu beschleunigen. Problem: Mit dieser Transformation nehmen Cyberangriffe auf den Seeverkehr zu. Was sind die spezifischen Risikovektoren für Hafenaktivitäten? Wie kann die Hafensicherheit gewährleistet werden? Antwortelemente
Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) ist kategorisch: Ein Cyberangriff könnte „digitale Einrichtungen gefährden, wie Hafenbrücken oder Krane“, die auf diese Weise „aus der Ferne kontrolliert und auf unerwartete Weise bewegt werden könnten, was Zwischenfälle zur Folge haben kann, die sowohl destruktiv für die Hafeninfrastruktur als auch tödlich sein können“. Dieses Szenario aus dem Leitfaden für europäische Hafenbehörden unterstreicht die Cyberbedrohungen, denen große internationale Häfen ausgesetzt sind. Und die Folgen dieser Cyberangriffe sind weit über die Hafenaktivitäten hinaus spürbar. In Frankreich erinnerte der Interministerielle Ausschuss für das Meer 2015 aufgrund seiner entscheidenden Rolle im internationalen Austausch daran, dass „ein großer Cyberangriff auf einen großen Hafen wahrscheinlich die gesamte Lieferkette und damit die Wirtschaft des Landes massiv stören würde“.
Ein großer Cyberangriff auf einen großen Hafen würde wahrscheinlich die gesamte Lieferkette und damit die Wirtschaft des Landes massiv stören
Diese Feststellungen sind umso alarmierender, als die Cyberangriffsfläche von Hafeninfrastrukturen mit der digitalen Modernisierung der Häfen weiter zunimmt.
Smart Port: Wenn Produktivität und Cybersicherheit kollidieren
Olivier Jacq ist technischer und wissenschaftlicher Direktor des Verbands France Cyber Maritime, der Lösungsanbieter, öffentliche und maritime Akteure zusammenbringt, um zur Entwicklung des französischen Ökosystems für maritime Cybersicherheit beizutragen. Die Mission des Verbandes besteht darin, die Widerstandsfähigkeit der See- und Hafenwelt gegenüber Cyber-Bedrohungen zu erhöhen und zur Schaffung eines französischen Exzellenzsektors für maritime Cybersicherheit beizutragen. Für diesen Spezialisten ist der Boom der „Smart Ports“ an den Willen gebunden, „sich den Herausforderungen der Produktivität und Wettbewerbsfähigkeit in einem Seeverkehrssektor zu stellen, in dem die Warenflüsse weltweit extrem eng sind“.
Um intelligent zu werden, investieren Häfen in Technologien wie das Internet der Industrieobjekte (IIoT, zum Beispiel vernetzte Sensoren), künstliche Intelligenz oder auch den digitalen Zwilling. Zusammen bieten sie ein großes Potenzial für Automatisierung und Prozessbeschleunigung. Der Hafen von Yangshan in China hat es zum Beispiel geschafft, den Betrieb seiner Ship to Shore-Portalkrane und anderen Laufkrane seit 2017 vollständig zu automatisieren. Eine Spitzenleistung, denn die Be- und Entladeprozesse von Schiffen galten bisher als am komplexesten hinsichtlich der Automatisierung. Häfen wie Rotterdam oder Hamburg glänzen ihrerseits durch die Automatisierung ihrer Container-Routing-Prozesse. Der Internationale Hafenverband (IAPH), ein Verband mit Sitz in Tokio, der die wichtigsten Handelshäfen der Welt repräsentiert, bestätigt: „Die Aufrechterhaltung der Wettbewerbsfähigkeit hängt von den Kapazitäten der IT- und OT-Infrastrukturen maritimer Organisationen ab, sich an neue Automatisierungssysteme anzupassen“.
Aus Cybersicht nimmt die Angriffsfläche von Häfen zu
Problem: Geht die Logik von Smart Ports in historischer Richtung, führt dies zu einer Vervielfachung potenzieller Eintrittspunkte in Netzwerke sowie zu einer größeren Porosität zwischen Informations- (IT) und operativen (OT) Systemen. Aus Cybersicht nimmt die Angriffsfläche von Häfen zu. Somit ist eine Fernsteuerung dieser Sensoren und Computersteuerungssysteme (bisher manuell) von Hafenmaschinen (Krane, Schiffsbrücken, Brücken usw.) möglich. Diese Anfälligkeit hat sich seit der Covid-Krise verstärkt, denn wie uns Olivier Jacq erinnert: „Ein erheblicher Teil der von den Häfen betriebenen Lösungen wird von Dienstleistern aus der Ferne gewartet“. Tatsächlich haben Hafenorganisationen unter dem Druck von Gesundheitsauflagen oft „in der Eile Fernzugriffe auf IT- und OT-Netzwerke generalisiert und zwangsläufig die Angriffsfläche ihrer Systeme während der Krise vergrößert“. Ein weiteres Merkmal von Häfen, das ihre breite Angriffsfläche erklärt, ist, dass sie sich in echte digitale Plattformen, sogenannte „One-to-many“-Plattformen, verwandelt haben. „Viele Akteure verbinden sich über Port Community Systems (PCS) oder auch Cargo Community Systems (CCS) mit ihren IS“, sagt der technische und wissenschaftliche Leiter von France Cyber Maritime. „Die IS der Häfen sind daher extrem anfällig für Supply-Chain-Attacken, da es potenziell ausreicht, dass ein Subunternehmer mit Zugriff die Regeln nicht gut einhält, um eine nicht vorhergesehene Lücke zu öffnen“, erklärt er.
Allgemeine Risikovektoren, die es zu berücksichtigen gilt
Neben den für ihre Tätigkeit typischen Risikoträgern sind Häfen auch mit erschwerenden Problemen konfrontiert, die allen Wirtschaftssektoren gemein sind, wie der IAPH-Bericht hervorhebt.
Zunächst einmal räumen viele von ihnen den Herausforderungen der Cybersicherheit eine geringe Priorität zugunsten der geschäftlichen Herausforderungen ein. Denn die Wartung oder das Einspielen von Sicherheitsupdates erzwingt sehr oft eine Verlangsamung oder sogar einen kompletten Stillstand der Geschäftsprozesse. Die Priorität der Hafenorganisationen besteht nach wie vor darin, ihre eigentliche Aufgabe zu erfüllen. Daher priorisieren viele von ihnen immer noch nicht die für ihre Cybersicherheit wichtigen Updates. Das Software-Ökosystem von Häfen ist äußerst komplex und beruht häufig auf veralteten Technologien von externen Anbietern oder es fehlt in der Organisation an menschlicher Kompetenz für diese Technologien. Cyberkriminelle nutzen immer wieder Software-Schwachstellen aus. So hat der Hafen von Houston kürzlich einen Angriff abgewehrt, der eine kritische Schwachstelle in einer Password-Management-Lösung ausnutzte.
Die Priorität der Hafenorganisationen besteht weiterhin darin, ihre Hauptaufgabe zu erfüllen. Viele Unternehmen setzen daher keine Prioritäten bei der Aktualisierung ihrer Cybersicherheit
Darüber hinaus geht die Beschleunigung der digitalen Transformation der Häfen unweigerlich mit einem Anstieg der Nachfrage nach qualifizierten Profilen einher, die diese neuen Technologien bedienen können. Im Bereich der Cybersicherheit ergab eine gemeinsame Umfrage von ESG und ISSA jedoch, dass 57 % der globalen Organisationen unter einem Mangel an qualifizierten Arbeitskräften in diesem Bereich leiden. Und der Hafensektor ist keine Ausnahme ...
Cyberangriffe auf Häfen: Eine gesalzene wirtschaftliche Bilanz
Das Ergebnis? Das M-CERT berichtet, dass die Zahl der Cyberangriffe auf Häfen stetig zunimmt. Im Jahr 2018 wurden 7 öffentliche Vorfälle in großen internationalen Häfen gezählt, im Jahr 2021 sind es 26.Und diese Zählung würde sich nur auf veröffentlichte Vorfälle beziehen: Die Zahl könnte weitaus größer sein. Um diese Vorfälle zuverlässig und umfassend zu verfolgen, ist die Erwähnung von M-CERT öffentlich und auf ihrem GitLab-Bereich frei verfügbar.
Aber wie viel kostet ein Cyberangriff auf einen Hafen? Die Antwort ist nicht einfach, da die Schätzung des finanziellen Schadens dieser Angriffe so heikel ist. Vor allem, da nicht alle die gleichen Auswirkungen haben und jeder Hafen eine andere wirtschaftliche Bedeutung hat. Nachdem 2013 bekannt wurde, dass ein Drogenkartell sein Computernetzwerk infiltriert hatte, musste der Hafen von Antwerpen fast 200.000 Euro in ein neues System investieren (einschließlich einer neuen Lösung für die Verwaltung von Passwörtern).Ein relativ geringer Schaden im Vergleich zu den Schäden, die der dänischen Reederei Maersk im Jahr 2017 zugefügt wurden. Sie wurde Opfer des NotPetya-Virus. Über sein Netzwerk wurden 12 Hafenterminals, die er weltweit betreibt, erreicht und stillgelegt. Die Gruppe musste in einen Austausch ihrer IT-Infrastruktur investieren (d. h. fast 4.000 Server, 45.000 PCs und 2.500 Anwendungen, die neu installiert wurden).Offiziell verzeichnet Maersk Verluste in Höhe von 300 Millionen US-Dollar.
Opportunistische und gewinnorientierte Hacker – aber nicht nur das
Cyberangriffe zwingen zwar Hafenbehörden und Akteure des Seeverkehrs, in ihren Schutz zu investieren, doch für Cyberkriminelle sind sie weitaus profitabler. Laut der französischen Behörde ANSSI ist die Hauptmotivation dieser „Hacker 2.0“ nach wie vor das Versprechen von finanziellem Gewinn. Olivier Jacq bestätigt dies: „Der Hacker wählt sein Ziel in der Regel aus Opportunismus. Er greift dort an, wo die Schwachstelle ist und wo die Gewinne am schnellsten erzielt werden können, egal ob es sich um einen großen oder kleinen Hafen, ein Krankenhaus oder eine Schule handelt“.
Nach dem Geld ist es angeblich strategische oder Industriespionage, die Cyberkriminelle motiviert. Um dem zu begegnen, beschreibt der ENISA-Leitfaden daher mehrere Angriffstypologien, die darauf abzielen, die Beobachtungsmöglichkeiten über die IS der Häfen aufrechtzuerhalten. Diese Spionage kann sich auf Informationen wie die Weiterleitung von Transportcontainern beziehen, wie das Beispiel des Hafens von Antwerpen zeigt, über das wir bereits berichtet haben. Zwischen 2011 und 2013 wurde der Hafen Opfer von Drogenschmugglern, die das Weiterleitungssystem umfunktionierten, um Drogen nach Europa zu bringen.
Schließlich würde das Auftreten geopolitischer Spannungen die Häfen zunehmend Cyberangriffen aussetzen, die einfach darauf abzielen, ihren Betrieb oder das Image der verantwortlichen Hafenbehörden zu sabotieren. Als Beispiel: Die Rivalität zwischen dem Iran und Israel soll der Grund dafür sein, dass die Systeme im iranischen Hafen Shahid Rajaee komplett ausgefallen sind.
Rechtliche Verpflichtungen auf nationaler und internationaler Ebene
Angesichts der Zunahme dieser heterogenen Cyberbedrohungen werden die Hafenbehörden aktiv – oft im Zuge gesetzlicher Verpflichtungen. Auf europäischer Ebene identifiziert die NIS-Richtlinie auch eine Reihe von Betreibern wesentlicher Dienste (OSE), „die verpflichtet sind, angemessene Sicherheitsmaßnahmen zu ergreifen und schwerwiegende Cybervorfälle der zuständigen nationalen Behörde zu melden“. Dazu gehören die Vermeidung von Risiken, die Sicherung von Netzwerken und Informationssystemen sowie die Bewältigung von Vorfällen und deren Folgen. Ergänzend dazu schlägt die ENISA eine detaillierte Vorgehensweise in vier Phasen vor, um die Cybersicherheit in die digitale DNA der Häfen zu integrieren.
Phase 1: Identifikation von cyberverbundenen Vermögenswerten und Diensten
Allen Hafenbehörden wird empfohlen, ihre Überlegungen zur Cybersicherheit mit einer genauen Identifizierung und Kartierung der IT- und OT-Systeme, von denen sie abhängig sind, sowie der von ihnen unterstützten Dienste zu beginnen. Aufgrund der sehr starken Vernetzung der Hafensysteme mit den Systemen anderer Akteure in der Wertschöpfungskette der Binnenschifffahrt ist es wichtig, dass diese Kartierung auch die Systeme aller Partnerakteure einschließt.
Phase 2: Analyse der Cybersicherheitsrisiken
Sobald die IT-/OT-Systeme und -Dienste kartografiert sind, wird die Durchführung einer Cybersicherheitsrisikoanalyse realistischer. Die Hafenbehörde muss dann in der Lage sein, eine zuverlässige Methode zu entwickeln, um die Cyber-Risiken, die mit dem Betrieb ihrer Systeme und Dienste einhergehen, zu identifizieren und zu bewerten.
Phase 3: Definition von Sicherheitsmaßnahmen und Lösungen
Diese Phase konzentriert sich vor allem auf die Identifizierung und Priorisierung von Sicherheitsmaßnahmen und Lösungen, die implementiert werden müssen, um die Risiken auf ein akzeptables Niveau zu senken. Die Phasen 1 und 2 sind daher entscheidend, um die finanziellen, personellen und technischen Ressourcen richtig zuzuweisen und die prioritären Maßnahmen entsprechend dem besonderen Kontext jedes Hafens umzusetzen.
In ihrem Leitfaden hebt die Europäische Agentur 23 zentrale Sicherheitsmaßnahmen für Hafenorganisationen hervor. Unter diesen können mehrere hervorgehoben werden, darunter die Folgenden:
- die Implementierung einer Schutzstrategie „zur Überwachung der Endgeräte in den Häfen und zur Stärkung ihrer Sicherheit durch die Implementierung von Sicherheitstools und -mechanismen wie Antivirus, Verschlüsselung, Verwaltung mobiler Endgeräte („MDM“) und Verstärkung (Hardening)“. Ein wesentlicher Punkt vor allem im Rahmen einer hybriden Arbeitsorganisation, in der sich die Telearbeit entwickelt
- Definition einer auf Netzwerksegmentierung basierenden Architektur, um die Ausbreitung von Angriffen innerhalb der Hafensysteme zu begrenzen und den direkten Zugriff auf sehr kritische Hafensysteme wie das Vessel Traffic Management Information System (VTMIS) und Sicherheitssysteme zu verhindern
- Einführung eines Programms zur Sensibilisierung für IT-Sicherheit für das gesamte Personal des Hafenökosystems, das sich zunächst auf die Hauptbedrohungen konzentriert. Dann diese Akkulturation durch spezifische und obligatorische Schulungen zur Cybersicherheit für bestimmte Schlüsselpopulationen, die täglich mit IT und OT zu tun haben, verstärken (Systemadministratoren, Projektmanager, Entwickler, Sicherheitsbeauftragte, Hafenmeister usw.)
- Umsetzung von Mechanismen zur Multifaktor-Authentifizierung für Konten, die auf kritische Anwendungen und Daten zugreifen (personenbezogene Daten, sensible Betriebsdaten wie detaillierte Informationen über Schiffe, Gefahrgüter und Fracht).
Phase 4: Bewertung der Cybersicherheitsreife
Schließlich muss diese Vorgehensweise unbedingt eine Selbstbewertung der Reife der Hafenbehörden im Bereich der Cybersicherheit beinhalten. So können sie bei jeder Aktualisierung der IT- und OT-Systeme deren spezifische Stärken und Schwächen neu bewerten und in Zyklen vorgehen, um neue Sicherheitsmaßnahmen zu ermitteln, die in Zukunft eingesetzt werden sollen.
Cybersicherheit im Seeverkehr: Wenn Gemeinsamkeiten stark machen
Die NIS-Richtlinie bietet aber auch einen internationalen Rahmen für die Zusammenarbeit zwischen öffentlichen und privaten Diensten aus allen EU-Mitgliedsstaaten. In diesem Zusammenhang spielen die Computer Security Incident Response Teams (C-SIRT oder CERT) eine zentrale Rolle als vertrauenswürdige Dritte. Ein Paradebeispiel ist das Maritime Computer Emergency Response Team (M-CERT), eine französische Initiative, die sich dem franko-europäischen See- und Hafensektor widmet. In Zusammenarbeit mit anderen ähnlichen Organisationen von internationalem Rang hat es die Aufgabe, alle von seinen Mitgliedern übermittelten Sicherheitsinformationen zu zentralisieren und anonym auszutauschen, um die Reaktionsfähigkeit jedes Einzelnen in Bezug auf die Cybersicherheit zu verbessern. „Dazu muss man in der Lage sein, sein IS zu überwachen, um Angriffe zu erkennen, aber vor allem muss man die Merkmale dieser Angriffe identifizieren können, um sie an kompetente Stellen wie unser M-CERT zu melden“, schließt Olivier Jacq.
Und diese Art von Initiativen, die darauf abzielen, die Anstrengungen öffentlicher und privater Akteure in Bezug auf gemeinsame Probleme zu koordinieren, gehen weit über die europäischen Grenzen hinaus. In vielen Ländern werden daher Rahmen für die Zusammenarbeit zwischen privaten und öffentlichen Akteuren geschaffen, die durch gemeinsame Probleme der Cybersicherheit vereint sind. In den USA koordiniert der Plan zur Anlagensicherheit (vorgeschrieben durch den Maritime Transportation Security Act) zum Beispiel die gemeinsamen Reaktionen des FBI, der Küstenwache und der Hafenbehörden. Dies hat vor kurzem nach dem Cyberangriff auf den Hafen von Houston einen sehr schnellen Fluss technischer und strategischer Informationen ermöglicht. In einem Meer von Cyberbedrohungen sieht es so aus, als ob man gemeinsam stark ist.
