Erneut steht eine „Digital Deadline“ bevor – allerdings handelt es sich dieses Mal nicht um einen Jahrtausendfehler, der zwar Chaos verspricht, tatsächlich aber kaum ein Problem verursacht. Die Änderungen der IMO bezüglich des Internationalen Codes für Maßnahmen zur Organisation eines sicheren Schiffsbetriebs treten am 1. Januar 2021 in Kraft, und die Industrie ist möglicherweise nicht ganz so vorbereitet, wie sie es sein sollte.

Das Jahr 2020 hat erneut gezeigt, wie anfällig die bereits angespannte Wertschöpfungskette in der Schifffahrt für Cyber-Angriffe ist; von einigen der größten Reedereien bis hin zu den eigenen Regulierungsbehörden der Branche stören Cyber-Bedrohungen immer wieder den Schiffsbetrieb.

Die IMO-Mitgliedsstaaten – insbesondere die US-Küstenwache – befürworteten die Verabschiedung einer Resolution, die Schiffsbetreiber dazu ermutigt, strengere IT-Sicherheitsrichtlinien und -praktiken umzusetzen.

Wie fast jedes Kind weiß, ist die Schifffahrtsindustrie kein Vorreiter, wenn es um Technologie geht; das Problem reicht von einem zögerlichen Ansatz bei der Aktualisierung von IT-Systemen an Bord bis hin zur mangelnden Bereitschaft, sich auf neuere Technologien einzulassen. Angesichts der möglichen negativen Auswirkungen von Cyberangriffen hat die IMO eingeräumt, dass dieses Risiko strenger reguliert und überwacht werden muss.

Auf den ersten Blick sind die Änderungen einfach. Ab dem 1. Januar 2020 verlangt die IMO, dass im Document of Compliance des ISM-Codes auf Vorkehrungen zur Cybersicherheit verwiesen wird.

Die größte Herausforderung für Schiffseigner besteht darin, eine Resolution zu interpretieren, die sehr weit gefasst ist und für verschiedene Auslegungen offen steht. Welche Maßnahmen müssen sie ergreifen, und was ist notwendig, um die Anforderungen einfach nur zu erfüllen? Sehr vereinfacht kann man sagen, dass die in der IMO2021 beschriebenen vorgeschlagenen Maßnahmen in drei verschiedenen Bereichen umgesetzt werden müssen: Bewusstsein, Verfahren und Technologie.

Die IMO2021 weist darauf hin, dass Unternehmen ein Bewusstsein für Cyberrisiken im gesamten Unternehmen schaffen müssen und dass dies von oben nach unten erfolgen sollte. Es dürfe nicht als alleiniges Problem der IT-Abteilungen betrachtet werden, da das Risiko innerhalb der Gesamtorganisation liegt. Die meisten Branchenvertreter sollten bereits die von BIMCO, INTERTANKO, CLIA herausgegebenen Best-Practice-Richtlinien kennen, die als Grundlage dienen können.

Die Verordnung schlägt ferner vor, dass sowohl an Bord von Schiffen als auch an Land Verfahren zur Verhinderung und Aufdeckung von Cyber-Angriffen eingeführt werden sollten. Die Besatzung muss an Bord Verfahren für einfache Do’s und Don’ts in Bezug auf Hardware, Software-Updates, Websites und Informationen über Phishing und andere Risiken haben. Sie können diese Verfahren auch auf die Frage hin ausdehnen, was bei der Identifizierung eines Risikos zu tun ist – unter Umständen muss das Schiff das Team an Land informieren und auf Hinweise oder Maßnahmen zur Behebung des Risikos zurückgreifen können.

Bei den Fragen bezüglich Bewusstsein und Verfahren geht es vor allem um Verhalten, Wissen und Verständnis dafür, was zu tun ist, um Risiken so gering wie möglich zu halten. Die Technologievertikale stellt die verfügbaren Instrumente zur Eindämmung von Cyberrisiken dar.

Zu den traditionellen Schutzmaßnahmen gehören in der Regel Virenabwehr, Firewalls, Inhaltsfilter und getrennte Netzwerke. Darüber hinaus stehen anspruchsvollere Werkzeuge zur Verfügung, wie z. B. die Systemüberwachung, die eine ferngesteuerte und automatische Skripterstellung und Aktualisierung von PC-Betriebssystemen und ERP-Programmen umfassen kann.

Cyber-Erkennungsdienste stehen auch für eingehendere Inspektionen und das Eindringen in das IT-Netzwerk zur Verfügung, um Risiken zu identifizieren, die von Firewalls oder Virenabwehrsystemen nicht erfasst werden. Wichtig ist ferner die Erkenntnis, dass eine wachsende Zahl von Bedrohungen nicht über IT-Risiken, sondern von der Betriebstechnik (Operational Technology, OT) ausgeht; von Schiffsnavigations-, Antriebs-, Fracht- und anderen Systemen, die zwar mit dem Internet verbunden, aber nicht unbedingt sicher sind.

Auch Cyberfragen spielen eine Rolle, schließlich geht man gemeinhin davon aus, dass das Thema Sicherheit mit zunehmender Digitalisierung und Konnektivität in der Schifffahrt an Bedeutung gewinnen wird. Für Eigner und Betreiber stellt sich die Frage, inwieweit sie die Seeleute von der Last der Einhaltung von Vorschriften befreien und stattdessen einen systembasierten Ansatz verwenden können, der Bedrohungen identifiziert und Risiken bewältigt – damit die Technologie eine positive Rolle spielen kann.

Die größten, langfristig agierenden Unternehmen der Branche werden die Anforderungen gemäß IMO2021 wahrscheinlich bereits erfüllen, aber für einen kleinen Betreiber mit begrenzter IT-Ausstattung stellen sie eine erhebliche, vielleicht sogar unwillkommene zusätzliche Belastung dar. Für Betreiber mit einem ausgeklügelten Netzwerk, das IT- und OT-Systeme umfasst, ergeben sich daraus eine Reihe zusätzlicher Aufgaben für die Besatzung, es sei denn, sie können mit einem Minimum an zusätzlichem Verwaltungsaufwand bewältigt werden.

Die Einhaltung freiwilliger Cyber-Sicherheitsrichtlinien stand und fiel bisher eher mit dem Faktor Mensch, wobei man hier grundsätzlich davon ausgeht, dass jeder das Richtige tun will. Es ist genau dieser Mangel an Transparenz über die Art und Weise, wie die Aufgaben ausgeführt und die Aktualisierungen aufgezeichnet werden, den die Verordnung zu ändern versucht.

Zumindest sollten Unternehmen Verfahren zur Risikokontrolle und Notfallplanung einführen und insbesondere Maßnahmen entwickeln und ergreifen, die zur Erkennung eines Cyber-Ereignisses erforderlich sind. Sie sollten Strategien und Pläne entwickeln und umsetzen, um Ausfallsicherheit zu gewährleisten und Systeme wiederherzustellen, die für den Schiffsbetrieb oder für Dienstleistungen erforderlich sind und durch einen Cyber-Vorfall beeinträchtigt wurden.

Ob Cyber-Bedrohungen wirklich in dem Sinne „reguliert“ werden können, dass die Risiken reduziert werden, ist zweifelhaft. Was die IMO festlegt, ist eine grundlegende Mindestanforderung, die alle Betreiber zu erfüllen und zu übertreffen suchen sollten. Überprüfungssysteme in der Industrie, wie z.B. SIRE und TMSA, übertreffen bereits jetzt ihre Anforderungen, und die Prüfung von Cyber-Inhalten wird wahrscheinlich weiter zunehmen.

Eine aktive Strategie zum Schutz von IT- und OT-Systemen vor Cyber-Bedrohungen stellt eine laufende Investition von Zeit und Ressourcen dar; Untätigkeit ist jedoch keine Option. Eigentümer und Betreiber werden Cyber-Bedrohungen ernst nehmen müssen – dies nicht zu tun würde bedeuten, noch größere Risiken einzugehen.

More about new Cyber Security Regulations

Individual companies will clearly vary in terms of systems, personnel, procedures and preparedness. The risks to a specific ship will also be unique and dependent upon the specific integration of cyber systems aboard.

It is nonetheless up to ship owners and operators to assess their cyber risks and to implement appropriate mitigating measures. Each ‘Document of Compliance’ holder must consider their own cyber risks and implement necessary measures in their SMS.

For this reason, Voyager Worldwide has implemented a number of security measures. We have also prepared instructions that may help mitigate security risks. You can read more about these provisions here in our Voyager Cyber Security Procedures.