Daten sicher und Systeme geschützt zu halten ist eine zentrale Herausforderung für globale Unternehmen. Doch viele Unternehmen sind auf einen Angriff auf ihre Infrastruktur nicht vorbereitet. Wir haben mit dem Experten für Schifffahrt und Cybersicherheit Lars Jensen von Improsec über den Stand der Cybersicherheit in der globalen Schifffahrt und Logistik gesprochen. Er erklärt, warum der nächste Angriff in der Branche nicht eine Frage des "ob", sondern des "wann" ist.
Stellen Sie sich vor, Hacker dringen in das System eines Schiffes ein, lenken es mit Volldampf in den Hamburger Hafen, um Chaos und Zerstörung zu verursachen. Laut Lars Jensen mag dieses Szenario für einen Hollywood-Film überzeugend sein, aber es ist höchst unwahrscheinlich, dass es in der realen Welt stattfindet. Ein realistischer Angriff auf eine Reederei muss von außen nicht spektakulär aussehen, um große Schäden und finanzielle Verluste zu verursachen. Ein wahrscheinlicheres Szenario eines Angriffs auf ein Schiff besteht darin, dass die Systeme des Schiffes durch einen Virus abgeschaltet werden. „Eine fähige Besatzung wird immer noch in der Lage sein, das Schiff zu manövrieren und es sicher in den Hafen zu bringen. Allerdings wird das Schiff für mehrere Tage oder sogar Wochen kommerziell nicht mehr verfügbar sein, was zu Einnahmeverlusten in Höhe von Hunderttausenden von Dollar führt", erklärt Lars Jensen.
Die Tatsache, dass die vier größten Frachtschiffe innerhalb der letzten drei Jahre alle angegriffen wurden, unterstreicht die Verwundbarkeit der Schifffahrtsindustrie. An Land sind die Schifffahrtsunternehmen genauso verwundbar wie andere multinationale Unternehmen. „Der dezentrale Aufbau von Reedereien und Logistikunternehmen mit einem Netzwerk von Tochtergesellschaften und Agenten, die alle Zugang zu den Servern eines Unternehmens haben, bietet eine sehr breite Angriffsfläche", sagt Lars Jensen. Daher empfiehlt der Experte, dass Cybersicherheit Teil des Notfallplans eines jeden Unternehmens sein sollte.
Warum werden Reedereien zur Zielscheibe?
Im Allgemeinen gibt es zwei Arten von Angreifern. Zum einem gibt es staatlich geförderte Akteure, die Cyberangriffe zu politischen Zwecken einsetzen. Reedereien können in einem Streit zwischen zwei Staaten zu Kollateralschäden werden. Im Jahr 2017 zwang ein Cyberangriff Maersk dazu, den Betrieb für mehrere Tage einzustellen, was für die Reederei finanzielle Verluste in Höhe von über 300 Millionen US-Dollar verursachte. Verursacht wurde er durch die Malware NotPetya, die hauptsächlich den Staat Ukraine ins Visier nahm. Viele andere globale Unternehmen waren ebenfalls davon betroffen.
Für die zweite Art von Angreifern sind Cyberangriffe ein Geschäftsmodell. Kriminelle benutzen Lösegeldforderungen, um Unternehmen zur Zahlung hoher Summen zu zwingen, nachdem ihre Systeme infiltriert worden sind. In solchen Situationen müssen die Unternehmen eine schnelle Entscheidung treffen: Zahlen sie den Kriminellen das, was sie verlangen, in Bitcoins, oder riskieren sie einen noch größeren finanziellen Schaden, wenn sie sich nicht daran halten? Und es gibt schlechte Nachrichten für die Reedereien: „Jeder kann zur Zielscheibe von Cyberkriminellen werden", erklärt Lars Jensen. „Es gibt keine Möglichkeit, Ihr System zu 100 Prozent sicher zu machen. Und wenn ein Unternehmen angegriffen wurde, bedeutet das nicht unbedingt, dass es etwas falsch gemacht hat. Die Frage ist, wie gut das Unternehmen auf die Konsequenzen vorbereitet ist".
Jensen verwendet ein einfaches Beispiel. Man kann kein funktionales Haus bauen, das 100 Prozent feuersicher ist. Aber Sie können Ihr Haus so gestalten, dass Sie, sobald ein Feuer ausbricht, dessen Ausbreitung durch den Einbau von Brandschutztüren und feuerfesten Materialien verhindern. Das IT-System eines jeden Unternehmens sollte so eingerichtet werden, dass Malware oder Viren nicht das gesamte System lahm legen. Gleichzeitig sollten Unternehmen ihre Systeme regelmäßig aktualisieren und Backups erstellen.
Was können Unternehmen tun, um ihre Systeme zu schützen?
Cyberkriminelle sind sehr einfallsreich, schließlich ist es ihr Geschäft, Geld von Unternehmen zu erpressen. Da die meisten Angriffe jedoch mit bekannten Methoden durchgeführt werden, gibt es einfache Schritte, die Unternehmen unternehmen können, um die Wahrscheinlichkeit eines Angriffs zu verringern. Jensen: „Ein System zu schützen ist keine Raketenwissenschaft. Mit ziemlich einfachen Änderungen und Maßnahmen können Sie 90 Prozent der Schwachstellen eines Systems beseitigen". Unternehmen sollten auch das Element des menschlichen Versagens und Verhaltens nicht unterschätzen. Grundlegende Richtlinien für Mitarbeiter können bereits die Wahrscheinlichkeit eines Angriffs verringern:
Kriminelle haben automatisierte Bots, die das Internet nach Schwachstellen durchsuchen. Alles, was sie brauchen, ist ein kleines Loch im System, in das sie eindringen können. Da ein Angriff nicht vollständig verhindert werden kann, muss es ein Ziel einer Sicherheitsstrategie sein, größere Schwachstellen zu beheben und einen Angriff so schwierig wie möglich zu machen. Ein Unternehmen sollte es vermeiden, die schwächste Beute für Cyber-Raubtiere zu sein.
Wo sollten Unternehmen beginnen?
Mit Blick auf den Stand der Vorbereitungen in der Schifffahrtsbranche empfiehlt Lars Jensen Unternehmen, ihre Systeme auf potenzielle Angriffe vorzubereiten. Die meisten Unternehmen verfügen über fähige IT-Administratoren, die ein gut funktionierendes IT-System einrichten können. Aber Administratoren sind nicht unbedingt Sicherheitsexperten. „Man geht nicht los und kauft ein teures Alarmsystem für sein Haus, nur um herauszufinden, dass die Haustür weit offen steht", erklärt Jensen. "Unternehmen sollten einen Sicherheitsberater einstellen, der in der Lage ist, die Hauptschwächen in ihren Systemen zu finden und dann darüber nachzudenken, wo man investieren sollte.
Versand- und Logistikunternehmen müssen ein Bewusstsein entwickeln, wenn es um die Möglichkeit geht, zur Zielscheibe zu werden. Jensen: "Die allgemeine Haltung der Industrie ist es, zu leugnen, dass es eine lebensfähige Bedrohung gibt. Sobald ein Unternehmen angegriffen wurde, besteht die Reaktion darauf darin, es so weit wie möglich zu vertuschen". Die Richtlinien der IMO 2021 für das Schiffssicherheitsmanagement schaffen mehr Aufmerksamkeit für das Problem. Jensen empfiehlt den Unternehmen, die Richtlinien als Ausgangspunkt zu nutzen, um ihr allgemeines Bereitschaftsniveau zu verbessern, anstatt sie als Kästchen zu benutzen, das sie ignorieren können, sobald es angekreuzt wurde.