DNV: Studie zur maritimen Cyber-Sicherheit

„Maritime Cyber Priority 2023: Staying secure in an era of connectivity“ lautet der Titel einer DNV-Studie, die im März und April 2023 durchgeführt wurde. Sie basiert nach Angaben des Unternehmens auf einer Umfrage unter 801 Fachleuten aus der maritimen Wirtschaft. Zudem wurden Interviews mit Führungskräften sowie Experten maritimer Unternehmen durchgeführt, darunter Vertreter der US-Küstenwache, von Wärtsilä, Meyer Werft, der Bundeswehr, Stena Drilling, Beazley, der Hamburg Port Authority (HPA), der UK Chamber of Shipping und DNV.

Weniger als die Hälfte (40 Prozent) der Befragten sind laut Studie davon überzeugt, dass ihre Unternehmen genug in Cybersicherheit investieren.

OT-Sicherheit sollte hohen Stellenwert haben

Die maritime Industrie habe sich in den letzten Jahrzehnten auf die Verbesserung der IT-Sicherheit fokussiert, die Sicherheit der Schiffsysteme (Operational Technology, OT) sei zu einem immer drängenderen Risiko geworden, betonen die Verfasser der Studie.

Zwar sind drei Viertel (75 Prozent) der Befragten der Meinung, dass die OT-Sicherheit für ihre Unternehmen eine deutlich höhere Priorität genießt als noch vor zwei Jahren, so das Ergebnis. Doch nur einer von drei Befragten gab an, dass die OT-Sicherheit des eigenen Unternehmens genauso gut aufgestellt ist wie die IT-Sicherheit.

„Im Zeitalter der vernetzten Systeme und Anlagen orientiert sich die maritime Industrie immer noch Richtung IT“, so Svante Einarsson, Head of Maritime Cyber Security Advisory, DNV. „Da Schiffssysteme zunehmend mit der Außenwelt vernetzt sind, dürften Cyberangriffe auf OT-Netzwerke künftig eine größere Rolle spielen.“

Cyber-Vorfälle und mögliche Folgen

Dem Forschungsbericht zufolge gehen drei Viertel der maritimen Fachleute davon aus, dass auch eine strategische Wasserstraße wegen eines Cyber-Vorfalls geschlossen werden muss (76 Prozent). Mehr als die Hälfte erwarte zudem, dass Cyber-Angriffe zu Schiffskollisionen (60 Prozent), Grundberührungen (68 Prozent) und sogar zu Körperverletzungen oder Todesfällen (56 Prozent) führen werden.

Die Mehrheit der Fachexperten (79 Prozent) meint, dass die Branche Cyber-Risiken als genauso wichtig erachtet wie Gesundheits- und sonstige Sicherheitsrisiken.

Innovations-Chancen

Nicht nur Risiken, sondern auch Chancen würden sich aber aus der „neuen Ära der Konnektivität“ ergeben: Rund 87 Prozent gaben an, dass die Zukunft der Branche von einer stärkeren Vernetzung abhängt und 85 Prozent denken, dass vernetzte Technologien der Branche auch helfen werden, Emissionen zu reduzieren, so das Ergebnis der Befragung.

Nach Angaben von Knut Ørbeck-Nilssen, CEO Maritime, DNV, handle es sich bei der Cybersicherheit um ein wachsendes Sicherheitsrisiko, „vielleicht sogar ‚das‘ Risiko des kommenden Jahrzehnts“.

„Aber sie ist auch ein entscheidender Faktor für Innovationen und die Dekarbonisierung. Da wir eine grünere, sicherere und effizientere globale Schifffahrt anstreben, hängt der digitale Wandel der Branche stark von der Sicherung dieser miteinander vernetzten Anlagen ab“, so Ørbeck-Nilssen, und betont: „Deshalb ist es wichtig, dass wir zusammenarbeiten, um unsere gemeinsame Cybersicherheit zu stärken."

Besser gewappnet sein

Maritime Unternehmen sollten sich laut DNV auf die Einhaltung neuer Regeln vorbereiten, zum Beispiel die des Dachverbandes der Klassifizierungsgesellschaften IACS und die NIS2-Richtlinie der EU, die ab 2024 in Kraft treten soll.

Verbände und Regierungsbehörden würden die Branche vermutlich mit einer strengeren Regulierung dazu bewegen, die Sicherheitsvorkehrungen gegen Cyberangriffe zu erhöhen.

Regulierung – Fluch oder Segen?

Laut Studie sehen die meisten Befragten die Regulierung als wichtigsten Motor, dringend benötigte Mittel für die Cybersicherheit zu beschaffen: 84 Prozent erwarten den Studien-Verfassern zufolge, dass die Regulierung die Investitionen in die Cybersicherheit vorantreiben werden.

Doch mit 56 Prozent glaubt nur etwas über die Hälfte, dass die Vorschriften zur Verbesserung der Cybersicherheit wirksam sein und die Anforderungen erfüllen werden.

Nur 36 Prozent der Fachexperten denken, die Einhaltung der Cybersicherheit-Vorschriften werde einfach. 44 Prozent gaben an, dass für die Einhaltung der Vorschriften technisches Wissen nötig ist, über das ihr Unternehmen nicht verfügt.

„Die Regulierung setzt nur einen Rahmen für die Cybersicherheit. Sie ist keine Sicherheitsgarantie“, darauf verweist Svante Einarsson, Head of Maritime Cyber Security Advisory, DNV, und ergänzt: „Die maritime Wirtschaft sollte sie nicht als Ziel, sondern als Basis für weitere Verbesserungen und Anpassungen an die sich verändernde Bedrohungslage nutzen“.

Zu wenig Transparenz

Nach Angaben von Einarsson werde die Regulierung einfacher und effektiver, wenn sie von Branchen-Akteuren unterstützt wird, die bereit sind, ihr Wissen zu teilen. Die Studie offenbare in diesem Zusammenhang großen Handlungsbedarf.

Um einen gemeinsamen Leitfaden für bewährte Schutzmaßnahmen entwickeln zu können, sei ein offener Austausch über positive sowie negative Erfahrungen mit der Cybersicherheit nötig. In der Befragung gaben jedoch nur knapp drei von zehn Branchen-Expert (31 Prozent) an, dass Unternehmen auf effektive Weise Informationen und Erkenntnisse über Bedrohungen und Vorfälle im Bereich Cybersicherheit weitergeben.

Ein Transparenzmangel zeigte sich laut Studienverfassern auch dadurch, dass 60 Prozent überzeugt davon sind, der maritimen Industrie fehle es an Standards für den Aufbau eines effektiven, wiederholbaren Ansatzes zur Cybersicherheit.

DNV empfiehlt Unternehmen folgende Maßnahmen:

• Die Cybersicherheit als Wegbereiter betrachten.
• Cyber-Risiken wie Risiken bei der Betriebssicherheit behandeln.
• Den branchenweiten Austausch fördern und unterstützen.
• Regulierung als einen Impuls zur Verbesserung der Cybersicherheit betrachten.
• Den Umgang mit Schwachstellen in der Lieferkette überdenken.
• Für eine bessere Trainings-Strategie sorgen.
• Für alle Fälle eine „analoge Rückfalloption“ bereithalten.