Schiffe sind die besseren Smart Buildings!

Tatsächlich verfügt ein solches Schiff neben den offensichtlichen Einrichtungen zur Restauration und zum Hotelbetrieb über jegliche Infrastruktur, die wir von Gemeinden an Land kennen: Es gibt Strom sowie Kalt- und Warmwasser. Hierfür fahren ein Kraftwerk, ein Wasserwerk und eine Kläranlage mit. Die Müllabfuhr trennt und kompaktiert Abfälle so, dass sie umweltgerecht entsorgt werden können. Räume müssen be- und entlüftet sowie geheizt oder gekühlt werden. Es gibt Fernsehen und Internet. Und das alles wird von Menschen verwaltet und betrieben, die dafür entsprechende Infrastruktur benötigen.

Mancher Passagier mag in Anbetracht von Größe und Komfort zeitweise vergessen, dass er sich auf einem Verkehrsmittel befindet anstatt in einem Hotel. Dieses Verkehrsmittel verfügt über eine Antriebseinheit, die bei Bedarf auch als Lenkung oder Bremse eingesetzt wird. Gefahren wird es von der Abteilung „Nautik“. Sie findet den Weg mit einem hochkomplexen Navi, das hier als „Electronic Chart Display and Information System“ (ECDIS) bezeichnet wird.

Sie ahnen es bereits: All dies lässt sich derzeit nur noch mit einem hohen Automatisierungs- und Vernetzungsgrad betreiben. Womit wir beim Thema Sicherheit sind. Insbesondere die Verfügbarkeit ist in der Seefahrt traditionell ein hohes Gut. Ich habe selten so viele und so gut durchdachte Redundanzen gesehen wie auf Schiffen. Das betrifft auch die IT-Systeme. Bei denen sind überdies Vertraulichkeit und Integrität zu beachten.

Bereits 2020 hat sich die Internationale Maritime Organisation (IMO) der IT-Sicherheit angenommen. Der sogenannte ISM-Code (ISM steht für „International Safety Management“) soll einen in jeder Hinsicht sicheren Schiffsbetrieb regeln. ISM Cyber Security [1] ist seither Teil des ISM Code und fordert, dass Maßnahmen zur IT-Sicherheit in das bestehende Safety Management System (SMS) der Reedereien aufgenommen werden.

Hier in Deutschland soll man sich an den Standards des BSI für Informationssicherheit orientieren. Ein IT-Grundschutzprofil für Reedereien [2] hilft, entsprechende Maßnahmen aus dem IT-Grundschutzkompendium abzurufen. In den vergangenen Jahren wurde die Umsetzung solcher Maßnahmen sporadisch im Rahmen von Audits überprüft. Ich habe mir von Kapitänen berichten lassen, dass es für eine positive Bewertung meist schon ausreichte, wenn keine Kennwörter an Bildschirmen oder unter Tastaturen notiert waren.

Ungeachtet dessen werden inzwischen auch Schiffe und Reedereien Ziel von Cyber-Attacken. Die seit einigen Jahren zunehmenden geopolitischen Spannungen tun das ihre dazu. So wird in [3] berichtet, dass eine Hacker-Gruppe die Kommunikationsfähigkeit von mehr als 100 iranischen Öl-Tankern gleichzeitig unterbrechen konnte. Auch von Störungen der Satelliten-Navigation (Global Navigation Satellite System, GNSS) wird inzwischen regelmäßig berichtet.

Derlei Einflussnahmen gefährden Mensch und Umwelt. Aus diesem Grund sind seit Juli 2024 auf Schiffs-Neubauten umfangreiche Maßnahmen zur IT-Sicherheit zwingend umzusetzen. Maßgeblich hierfür sind die Vorgaben der IACS (International Association of Classification Societies) in [4] und [5]. Die IACS vereint die weltweiten Klassifizierungs-Gesellschaften für Schiffe, hier in Westeuropa beispielsweise Det Norske Veritas (DNV) oder Lloyds Register.

Diese Gesellschaften – im Seefahrts-Jargon als „Klasse“ bezeichnet – spielen eine zu den Technischen Überwachungsvereinen im Straßenverkehr vergleichbare Rolle. Bau und Betrieb von Schiffen werden durch die Klasse strengstens überwacht. Sicherheitskritische Bauteile benötigen ein Klasse-Zertifikat, etc. Mit anderen Worten, ohne eine Freigabe der zuständigen Klasse darf ein Schiff nicht auslaufen.

Die genannten Vorgaben wurden von den Mitgliedern der IACS in entsprechende Vorschriften übernommen. So regelt DNV-RU-SHIP Pt.6 Ch.5 [6] in Sektion 21 die Umsetzung von Cyber Security unter anderem mit folgenden Punkten:

• Klassifizierung von Systemen (Systems under Consideration, SuC) bezüglich ihrer Kritikalität für den Schiffsbetrieb, wie Antriebsanlage, Steuerung, Sicherstellen von Wasserdichtigkeit, Stromversorgung, etc.
• Zonenkonzept für die Bereiche Brücke, Automation, Schiffssicherheit, DMZ, Office, etc.
• Sicherheitsprofile angelehnt an die Security Levels aus IEC 62443-3-3 mit spezifischen Anforderungen an Benutzer-Authentisierung, Malware-Schutz, Kryptographie, Zonentrennung, Monitoring, Logging, Backup, Notstromversorgung, etc.
• Test, Dokumentation und Auditierung

Fazit: In der Seefahrt ist die korrekte Umsetzung von Maßnahmen zur IT-Sicherheit inzwischen essenziell für eine Betriebsgenehmigung. Ich finde das gut; es spiegelt die wachsende Abhängigkeit von funktionierender IT wider. Ähnlich ist die Situation inzwischen in vielen Bereichen. An Land gibt es vergleichbare Regelwerke für die Kritischen Infrastrukturen (KRITIS). Sie werden mit der Umsetzung der NIS-2-Richtlinie auf weitere Bereiche ausgedehnt.

Für Errichtung und Betrieb umfassender Gebäude-Automation („Smart Buildings“) scheint es derlei Regelwerke noch nicht zu geben. Sicher, ein Hochhaus wird weder stranden noch sinken oder mit anderen Gebäuden kollidieren. Dennoch birgt auch hier ein Ausfall der IT gewisse Gefahren, fallweise sogar für Leib und Leben. Aus diesem Grund wenden wir vergleichbare Regeln ebenso bei der Planung von Smart Buildings an. Sorgen wir dafür, dass Smart Buildings in diesem Sinne so gut werden wie Schiffe.

Verweise

[1] „ISM Cyber Security“, Deutsche Flagge, August 2020, abgerufen unter:  https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/ISM_Cyber_Security.pdf

[2] „IT-Grundschutz-Profil für Reedereien, Mindest-Absicherung für den Schiffsbetrieb“, Verein Hanseatischer Transportversicherer e.V., Januar 2020, abgerufen unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Profile/Profil_Reedereien_Schiff.pdf

[3] Lab Dookhtegan cyber attack on Iranian oil tankers disrupts operations, abgerufen unter: https://cydome.io/lab-dookhtegan-cyber-attack-on-iranian-oil-tankers-disrupts-operations/

[4] „UR E26 Cyber resilience of ships“, International Association of Classification Societies (IACS), Rev.1 November 2023, abgerufen unter: https://iacs.org.uk/resolutions/ur-e/ur-e26-new/ur-e26-new

[5] „UR E27 Cyber resilience of on-board systems and equipment“, International Association of Classification Societies (IACS), Rev.1 September 2023, abgerufen unter: https://iacs.org.uk/resolutions/ur-e/ur-e27-rev1/ur-e27-rev1

[6] „DNV Rules for Classification, Part 6 Additional class notations, Chapter 5 Equipment and design features“, DNV AS, Juli 2020, abgerufen unter: https://standards.dnv.com/explorer/document/643A3738F19E4010B680A799EC318703