Themen
Cyber-Security auf Schiffen

Mit Digitalisierung und Vernetzung wächst auch an Bord von Schiffen das Risiko für Datenmissbrauch und Cyberkriminalität. Wer über die Potentiale von Maritim 4.0 nachdenkt, muss darum auch die steigenden Anforderungen an Cyber-Security mitberücksichtigen – und vor allem, die geeigneten Lösungen dafür finden, sie umzusetzen.

Auf Schiffen sorgen diverse intelligente Teilsysteme für einen reibungslosen Schiffsbetrieb: vom Tank- und Ballastwassermanagement über die Antriebssteuerung bis hin zu Alarm- und Monitoring-Systemen. Sie alle bedienen sich industrieller Automatisierungstechnik.

Cyber-Security auf dem Schiff – so unterstützt Sie WAGO:

  • Mit zunehmender Vernetzung im Marinebereich nimmt der Austausch sensibler Daten zu.
  • Elektronik wie Navigations-, Tracking- und Kollisionswarnsysteme Verbindungen nach extern her und schaffen so eine Angriffsfläche für Cyberkriminalität. Bei „IT-Security by Design“ wird von vorneherein eine layer-basierte Sicherheitsarchitektur in die Steuergeräte integriert
  • WAGO baut hier zum Beispiel VPN-Tunnel über OpenVPN oder IPsec direkt aus der WAGO-Steuerung PFC200 heraus auf.

Datensicherheit im Fokus

An vielen Stellen resultieren aus der Vernetzung der Teilsysteme an Bord durchaus Vorteile – beispielsweise, wenn der Schiffsbetrieb dadurch ressourcen- oder energieeffizienter ablaufen kann. Wo allerdings vernetzt wird, nimmt der Austausch sensibler Daten zu. Und damit nicht genug: Im Vergleich zu Applikationen an Land verfügen Schiffe nämlich über zusätzliche Elektronik wie Navigations-, Tracking- und Kollisionswarnsysteme. Sie dienen der Sicherheit des Schiffes, stellen allerdings gleichzeitig eine zusätzliche Bedrohung dar; vor allem, weil sie nicht nur den Grad der Vernetzung an Bord steigern, sondern überdies eine Verbindung nach extern herstellen. Für diese Verbindungen werden zunehmend internetbasierte Netzwerktechnologien oder mobile Dienste genutzt. Und gemeinhin bieten diese Kommunikationswege viel Angriffsfläche für Manipulationen – insbesondere auf der Strecke zwischen Schiff und Land.

Funktionale Sicherheit in Gefahr?

Der Abgriff oder das Mitlesen sensibler Daten sind dabei das vergleichsweise kleinere Problem, verglichen mit den Auswirkungen, die es hat, wenn Hacker eine Schadsoftware in der Leittechnik von Schiffen oder beispielsweise Bohrinseln platzieren würden, Koordinaten änderten oder auf sicherheitsrelevante Teilsysteme an Bord zugriffen und damit schlussendlich nicht nur die Cyber-Security, sondern auch die funktionale Sicherheit und damit die Sicherheit der Besatzung an Bord gefährdeten. Nicht von ungefähr nehmen also mit dem Grad der Digitalisierung und Vernetzung auch die Handreichungen zum Thema Cyber-Security zu: Ob das American Bureau of Shipping, The Baltic and International Maritime Council, die Lloyds Register Group, die UK Chamber of Shipping oder die European Union Agency for Network and Information Security – sie alle veröffentlichen Leitlinien zum Thema Cyber-Security auf Schiffen. In der Regel definieren sie darin Prozesse, Vorgehensmodelle oder technischen Maßnahmen zur Implementierung von Cyber-Security, die zu großen Teilen mit Leitlinien für die Automatisierungstechnik übereinstimmen.

Die Gründe für den Fernzugriff sind bei Reedereien und OEM durchaus unterschiedlich motiviert.

„IT by Design“ statt „Defense in Depth“

Es scheint also Einigkeit darüber zu herrschen, dass mit Industrie 4.0 oder Maritim 4.0 zusätzliche Kommunikationsbeziehungen entstehen, die ein durchaus steigendes Potential für Cyberangriffe bieten. Was überdies immer deutlicher wird: dass bestehende Abschottungskonzepte deutlich an ihre Grenzen kommen. Auch, weil mit den Möglichkeiten, die sich aus der Vernetzung ergeben, zum einen die Anzahl der Zugriffe von extern steigt und zum anderen viel tiefer in das Automatisierungssystem eines Schiffes eingegriffen wird als bisher. Aus durchaus nachvollziehbarem Grund: Mit Remote-Lösungen erhalten Reeder die Möglichkeit der Ferndiagnose ihrer Schiffe; das erlaubt ihnen, eine Optimierung an der Flotte vorzunehmen oder einmal erfasste Daten weiterzuvermarkten. Überdies können Personalkosten gesenkt werden, wenn an Bord auf weniger oder geringer qualifiziertes Personal gesetzt wird, das im Instandsetzungsfall vom Ingenieur am Land Support bekommen kann.

Warum externe Zugriffe zulassen?

Und schlussendlich kann mit einer besseren Vernetzung von Reedern und Hafengesellschaften sogar die Logistik in Häfen verbessert und der Treibstoffverbrauch von Schiffen gesenkt werden. Zugriffe von extern rigoros zu unterbinden kann darum keine Lösung sein, um die Sicherheit auf Schiffen wieder ins Lot zu bringen. Defense-in-Depth-Modelle allerdings, die bisher den State-of-the-art dargestellt haben, werden kurzfristig ebenfalls nicht mehr ausreichen – auch wenn sie mit Zugangsbeschränkungen, Netzwerksegmentierungen und Überwachungssystemen auf den unterschiedlichsten Ebenen der Schiffsautomatisierung ansetzen.
Zunehmend gefragt sind Sicherheitskonzepte, die immer funktionieren – unabhängig vom Zeit- oder Zugriffspunkt des Fernzugriffs. Gefragt sind Konzepte der „IT-Security by Design“: Also Funktionen der Cyber-Security, die von vornherein in Gestalt einer layerbasierten Sicherheitsarchitektur in die Steuergeräte integriert werden.

Typische Systeme auf Schiffen, die Teil von Big Data sind und eine zunehmende Vernetzung erfahren.

Von der SPS bis in die Cloud – den Weg sichern, den die Daten nehmen

Solche technische Möglichkeiten existieren bereits und sind durchaus dazu in der Lage, Sicherheitslücken zu schließen. Sehr zuverlässig gelingt das beispielweise durch den Aufbau eines virtuellen privaten Netzwerks (VPN) auf Basis von OpenVPN mit SSL/TLS-Verbindungen (Secure Sockets Layer, Transport Layer Security). Solche Verbindungen erlauben es – selbst über drahtlose Kommunikationsstrecken hinweg – verschlüsselte Daten sicher zu senden. WAGO baut solche VPN-Tunnel über OpenVPN oder IPsec direkt aus der WAGO-Steuerung PFC200 heraus auf. Die WAGO-Steuerung erfasst dazu alle relevanten Mess- und Steuerdaten, verschlüsselt diese noch direkt in der Steuerung mit SSL-Verschlüsselung und überträgt sie via VPN. Dadurch müssen keine zusätzlichen VPN-Tunnel mittels Modems oder Router aufgebaut werden und was noch entscheidender ist: die Strecke zwischen Steuerung und Modem ist dadurch direkt mitverschlüsselt.

Text: Norman Südekum, Eva Bannholzer | WAGO

Foto: WAGO

Marine- und Offshore-Lösungen mit WAGO:
Ihre Fragen beantworten wir gern.

Feedback