Cyberangriffe kommen auch bei Booten, Schiffen und Yachten vor. Jedoch lässt sich das Risiko durch Security by Design mit seinem kontinuierlichen und ganzheitlichen Security-Lifecycle-Management von Anfang an reduzieren. Von Marcus Klische, Associated Partner bei MHP
(Quelle: Pixabay)
Laut dem „Safety und Shipping Review 2019“ von Allianz Global Corporate & Specialty (AGCS) sind Cyber-Attacken heute das zweitgrößte Risiko für die Schifffahrt – nach Naturkatastrophen und Elementargefahren. Die erste dokumentierte Cyberangriff auf Yachten erfolgte 2013.
Ein Cyberangriff auf Yachten verursachte immense Kosten und Imageschäden
Studenten der Universität of Texas steuerten mittels GPS-Spoofing eine 80-Millionen-Dollar Superyacht auf einen manipulierten Kurs, ohne dass die Navigationsgeräte diesen Fehler bemerkten. 2017 ermittelte das FBI anlässlich eines Cyberangriffs auf die 46-Meter-Yacht „Lady May“, die zu diesem Zeitpunkt dem chinesischen Milliardär Guo Wengui gehörte. Das Boot befand sich in amerikanischen Gewässern und ließ sich nicht mehr steuern.
Im gleichen Jahr fand die Trojaner-Attacke „NotPetya“ statt und infizierte durch die Ransomware hunderttausende Windows-Systeme verschiedener Unternehmen. Darunter die dänische Reederei Maersk, die einen Gesamtschaden von 300 Millionen US-Dollar bezifferte, da Schiffe über mehrere Wochen hinweg nicht einsatzfähig waren. Der Angriff führte unter anderem zu Verzögerungen an fast 80 Häfen. Ein Cyberangriff auf Yachten wie dieser verursacht aber nicht nur unmittelbar immense Kosten. Sie wirken sich mittelbar auch negativ auf das Image des betroffenen Unternehmens aus. Und das kann weitreichende Folgen nach sich ziehen.
Einfallstor für die Hacker sind die vielen elektronischen und vernetzten Geräte und Systeme an Bord von Booten und Schiffen, die über bootseigene WiFi-Netzwerke und mithilfe von spezifizierten Standards wie NMEA 0183 untereinander kommunizieren und zumindest zum Teil über das Internet mit der Außenwelt verbunden sind. Gelingt es einem Angreifer, sich zu einem dieser Geräte Zugang zu verschaffen, kann er sich innerhalb des gesamten Netzes bewegen und Befehle einschleusen.
8.400 Fehler bei einer Yacht
Ermöglicht wird ein Hack vor allem durch Fehler im Softwarecode. Je mehr Programmzeilen, desto wahrscheinlicher werden riskante Schwachstellen. Schon 2007 ging die Studie „Lines of Code per Foot“ von MARSEC-XL (Marine Software Engineering Cluster of Excellence) bei einer 32-Meter-Yacht von fünf Million Lines of Code (MLOC) aus. Auch wenn diese sehr gut programmiert sind, erwarteten die Autoren, dass etwa 8.400 Fehler auftreten, die ungefähr 420 Schwachstellen verursachen können. Die Studie prognostizierte außerdem für das Jahr 2020 einen Anstieg des Codes auf 50 MLOCs bei einer vergleichbaren Yacht. Entsprechend verzehnfachen sich auch die Fehler und die Schwachstellen.
Nach der Einschätzung von MHP sind pro einer Million Programmzeilen durchschnittlich rund 6.000 Fehler enthalten. Sehr gute Programmierer erreichen auch einen Wert zwischen 600 und 1.000 Fehler pro MLOC. Dabei lassen sich zirka fünf Prozent aller Fehler als Schwachstellen nutzen.
Bereits bei der Entwicklung an Sicherheit vor einem Cyberangriff auf Yachten denken
Die Qualität der Programmierarbeit ist also ein wesentlicher Faktor beim Schutz vor Angriffen. Die Programmierung wird wiederum positiv beeinflusst, wenn das Thema Cyber Security schon während der Konzeption und dem Design eines Schiffs berücksichtigt wird. Hierfür gibt die International Maritime Organization (IMO) einen Rahmen vor: Bis zum 1. Januar 2021 müssen Unternehmen nach den IMO-Richtlinien für das maritime Cyber-Risikomanagement (MSC-FAL.1/Circ.3) entsprechende Risiken in ihren bestehenden Sicherheitssystemen angemessen aufgreifen.
Cyberangriff auf eine Yacht – das sind mögliche Zugangspunkte via GSM, SAT oder WiFi. Damit lässt sich die vollständige Steuerung der Yacht übernehmen.
(Quelle: MHP)
Ein wirksames Cyber-Risikomanagement beginnt bereits beim Produktdesign. Zu jedem Boot oder Schiff sollten neben den Sicherheitszielen auch potenzielle Risiken identifiziert und beschrieben werden. Daraus lassen sich entsprechende Angriffsvektoren ableiten, die durch die Kundenfunktionen ermöglicht werden. Bei der Entwicklung sollte man dann die bekannten Risiken immer wieder neu bewerten. Wichtig dabei: Security-Incident-Prozesse und Updatefähigkeiten sollten vollständig realisiert werden. Zudem sollte man im Rahmen eines Security Management die sich täglichen veränderten Angriffsfähigkeiten neu einschätzen.
Ein Ansatz, der seit Jahren in der Automotive-Branche erfolgreich zum Einsatz kommt und sich auf die maritime Welt übertragen lässt, ist Security by Design: ein kontinuierliches und ganzheitliches Security-Lifecycle-Management, das nach der Norm ISO 21434 (Road Vehicles – Cybersecurity Engineering) zertifiziert ist.
Der Ansatz gegen einen Cyberangriff auf Yachten umfasst drei Schritte
1. Bedrohungsanalyse / Threat Analysis
Im Rahmen einer Bedrohungsanalyse (Threat Analyses) werden potenzielle Risiken für die Informationstechnologie (IT) und das Betriebstechnologiesystem (OT) identifiziert und eingeschätzt. Das gelingt am besten, wenn man mögliche Szenarien simuliert. Denn nur so lassen sich geeignete Maßnahmen zur Risikominderung finden.
2. Definition von Sicherheitszielen und einer Abwehrstrategie
Auf dieser Basis lassen sich dann einzelne Sicherheitsziele und eine Abwehrstrategien entwickeln. Wichtig hierbei ist der Blick auf die gesamte Wertschöpfungskette und die Integration aller beteiligten Akteure. Die F&E-Abteilung sollte insbesondere mit den Zulieferern möglichst eng zusammenarbeiten, damit die zugekauften Komponenten, die in der Regel auch digitale Elemente enthalten, ausreichend geschützt sind und nicht zum Einfallstor für Angriffe werden.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
3. Durchführung von Penetrations- und Funktionstest
Zuletzt folgen Penetrations- und Funktionstest, um die Sicherheitsmaßnahmen zu überprüfen. Ebenso sollten Soll- und Ist-Zustand verglichen werden, um sicherzustellen, dass alle Softwarestände einzelner Softwaremodule oder Hardwarekomponenten dem gewünschten Zustand entsprechen.
:quality(80)/p7i.vogel.de/wcms/a5/4f/a54f799127f67b98101ab2bbf7e30ef6/lapp-image-lapp-20exploration-20center-profinet-20pi-20competence-20center-20certificate-2025-1000x563v1.jpeg "Zertifikatsübergabe auf der SPS 2025 (v.l.n.r.): Mehmet Ergün Tokgöz Produktmanager für Profinet-Netzwerkkomponenten, Daniel Ibanez, Senior Vice President bei Lapp, Xaver Schmidt, Vorstandsvorsitzender der Profibus Nutzerorganisation e.V., und Thomas Leitmann, Applikations-Ingenieur für Industriekommunikation bei Lapp.
(Bild: LAPP)")
:quality(80)/p7i.vogel.de/wcms/70/9a/709aff7b3cd267eed67fffb99c93bbae/sps-20mit-20herz-1920x1079v1.jpeg "Berarbeitet mit Canva (Bild: Mesago Messe Frankfurt GmbH / Arturo Rivas Gonzale)")
:quality(80)/p7i.vogel.de/wcms/1c/2f/1c2fe830cc7bfa4dc1fd97065751ce76/2025-11-25-yaskawa-icube-control-onesourcesolutions-7860x4421v1.jpeg "Die Plattform iCube Control basiert auf der offenen PLCnext Technology von Phoenix Contact und kombiniert klassische SPS-Programmierung mit modernen Hochsprachen. (Bild: Yaskawa Europe )")
:quality(80)/p7i.vogel.de/wcms/c6/60/c660f2aaba5a05782b5c77d579a39a9c/20251125-071010699-ios-1000x562v1.jpeg "Bonfiglioli präsentierte auf der SPS 2025 sein komplettes mechatronisches Ökosystem, das Getriebemotoren, Frequenzumrichter und Sensoren mit Automatisierungssoftware kombiniert. (Bild: Bonfiglioli)")
:quality(80)/p7i.vogel.de/wcms/6a/7f/6a7f558619f0d7606c7092fee364136e/wohnmobilr-c3-bcckwand-na--lbf-ada-raapke-5760x3238v1.jpeg "Systemkompetenz für zuverlässige, kreislauffähige Produkte: Die Forschenden am Fraunhofer LBF bieten ganzheitliche Lösungen für vielfältige Anforderungen. (Bild: Fraunhofer LBF, Raapke )")
:quality(80)/p7i.vogel.de/wcms/67/08/6708597ba2880862be4a2ddf05f58400/siemens-acquires-aster-technologies-large-1000x563v1.jpeg "Siemens übernimmt Aster Technologies, um branchenführende Technologielösungen für Leiterplattentests anbieten zu können. (Bild: Siemens)")
:quality(80)/p7i.vogel.de/wcms/08/82/0882fa49ac251ff49ee8432bd2719d2d/adobestock-1558242234-6000x3372v1.jpeg "Besser mit PLM–EPC-Integration: Ohne integrierte Systeme bleibt Cost Engineering reaktiv und fehleranfällig. Manuelle Prozesse und isolierte Daten verhindern notwendige Entscheidungen in der Frühphase der Produktentwicklung. (Bild: © FAMILY STOCK/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/52/e9521974a74ee85a2e66103826c39da0/labo-20hummingbird-20foto-201-5530x3113v1.jpeg "Mit Hummingbird-MES legt Labo den Grundstein für die weitere Digitalisierung der Produktion, in der das Tooling nicht länger ein Engpass ist, sondern ein kontrollierbarer Faktor in einem optimierten Prozess. (Bild: Open Mind)")
:quality(80)/p7i.vogel.de/wcms/dc/c1/dcc1387b1eae960959095118d92862b8/20260106-t-c3-9cv-20rheinla-bei-20pave-20europe-20-281-29-2000x1124v1.jpeg "Autonomes Fahren: Mit jahrzehntelanger Expertise im Mobilitätssektor gestaltet der TÜV Rheinland den Mobilitätswandel aktiv mit – als weltweit agierender starker Partner für Hersteller, Zulieferer, Behörden, Start-Ups, Versicherungen und Flottenanbieter, die das Auto der Zukunft Wirklichkeit werden lassen. (Bild: TÜV Rheinland & Shutterstock)")
:quality(80)/p7i.vogel.de/wcms/77/7c/777c0da04ce07f296c56432558e360ee/kisters-press-release-effizientesarbeiten-de-1920x1079v1.jpeg "Kisters 3DViewStation: Der richtige Umgang mit 3D-CAD-Visualisierungslösungen kann den Unterschied zwischen langsamen, komplexen Prozessen und einem effizienten, reaktionsschnellen Engineering ausmachen. (Bild: Kisters)")
:quality(80)/p7i.vogel.de/wcms/17/6b/176b2bfab40f507e3e83f60f4e353bf7/bosch-20kiv1.jpeg "KI-basiertes Cockpit: KI ist nach Einschätzung der Befragten die Technologie sowohl mit größtem positiven als auch größtem negativen Einfluss. (Bild: Bosch)")
:quality(80)/p7i.vogel.de/wcms/2b/2a/2b2aefd4f8c96868933e20729f79913f/oriental-motor-blv-r-serie-rgb-1385x779v1.jpeg "Zusammen mit dem neuen MVC01 Mobile Robot Controller bilden die Motoren der BLV-R Serie jetzt eine komplette Steuer- und Antriebslösung aus einer Hand. (Bild: Oriental Motor (Europa) GmbH)")
:quality(80)/p7i.vogel.de/wcms/02/f9/02f9f846b9bdda4a005b9b0b012c8115/02-wittenstein-logoskulptur-1000x563v1.jpeg "Wittenstein entwickelt
Produkte, Systeme und Lösungen für
hochdynamische Bewegung,
präzise Positionierung und
intelligente Vernetzung in der
mechatronischen und cybertronischen
Antriebstechnik. (Bild: Wittenstein SE)")
:quality(80)/p7i.vogel.de/wcms/f4/2d/f42d8bb7b1d08a2d389eddcff616b765/megatron-mp1612-cmyk-print-5616x3157v1.jpeg "Der Singleturn Halleffekt-Drehgeber MP1612 von MEGATRON eignet sich besonders gut für mobile Applikationen. (Bild: Megatron Elektronik GmbH & Co. KG)")
:quality(80)/p7i.vogel.de/wcms/e5/44/e5446ccded6b3b7061790e3a1b07291d/lh-experts-klein-7000x3939v1.jpeg "Der Weg von der Konstruktion in die Produktion wird durch automatisierte Teilebestellung deutlich beschleunigt. (Bild: Laserhub)")
:quality(80)/p7i.vogel.de/wcms/a7/b2/a7b2ec1c149e76114310f9aa78eac7c9/alm-codebeamer-collage-800x450v1.png "Der Test Case Assistant generiert und optimiert Testfälle direkt aus den Anforderungen heraus. (Bild: PTC)")
:quality(80)/p7i.vogel.de/wcms/aa/41/aa413b89f7f1d9407a128eb9a8ec0c4f/passivation-5704x3209v1.jpeg "Die KI-gestützte 3D-Fertigungsplattform Meviy bietet jetzt auch die Passivierung von CNC-gefrästen und gedrehten Edelstahlteilen an, die über manuelle Angebote bestellt werden können und erweitert damit seine Kompetenzen im Bereich austenitischer Edelstahlteile. (Bild: Meviy)")
:quality(80)/p7i.vogel.de/wcms/e2/71/e271ed78bb9a423cf3acdf9bd0cde4c0/ptc-flexplm-1920x1079v1.jpeg "Mit Hilfe von KI-Funktionen zur Erstellung von Tech-Packs können Teams Daten aus Designzeichnungen automatisch extrahieren. (Bild: PTC)")
:quality(80)/p7i.vogel.de/wcms/10/61/1061a66ce48d862f92130b88ef29292f/gpuv1.png "CAM-Geschichter: GPU-beschleunigte Simulation ermöglicht komplexe Materialabtragssimulationen in Sekundenschnelle statt in Minuten. (Bild: ModuleWorks)")
:quality(80)/p7i.vogel.de/wcms/a0/e3/a0e331edc81a276b58d0100c1f26299e/synopsis-2863x1610v1.jpeg "Synopsys präsentiert Vision für KI-gestützte, softwaredefinierte Fahrzeugentwicklung auf der CES 2026. (Bild: Synopsys)")
:quality(80)/p7i.vogel.de/wcms/f1/e2/f1e2ddf8e219bd6cd33a5f4953fbdbf2/autorenbild-gerdt-fehrle-print-2398x1348v1.jpeg "„Das Da-Vinci-Prinzip. Erprobte Kunstgriffe für lebendige Teams und menschliche Führung“ von Gerdt Fehrle ist im Glockenbach Verlag erschienen. (Bild: Glockenbach Verlag)")
:quality(80)/p7i.vogel.de/wcms/4e/6b/4e6bfc08e9723e586f55c00cede28e80/rs1120-better-20world-20rangev1.jpeg "RS bietet seinen Kunden Lösungen zur Effizienzsteigerung, Kostensenkung und Erfüllung steigender ESG-Standards auch mit über 30.000 Better-World-Produkten aus 345 Produktfamilien und von 132 Lieferanten in 30 Ländern. (Bild: RS Group)")
:quality(80)/p7i.vogel.de/wcms/70/cf/70cf88a25655ab4a77f5f6bea755898c/laptop-20with-20screenshot-1000x563v1.jpeg "CycloP ist eine Software für kreislaufwirtschaftliche Produktentwicklung mit Modellierungs-, Analyse- und Anforderungs-Views. (Bild: Fraunhofer IAO)")
:quality(80)/p7i.vogel.de/wcms/30/7d/307d2e956a15070e8a53c18c2234fbe5/adobestock-1470500835-daniel-1000x563v1.jpeg "(Bild: Daniel/stock.adobe.com (generiert mit KI))")
:quality(80)/p7i.vogel.de/wcms/56/1a/561ad732987ef3b362ad7fadf97b0e9c/eplan-purdue-6720x3778v1.jpeg "Unterzeichnung der Partnerschaft in Chicago (vordere Reihe): Dr. Daniel Castro, Dekan Purdue Polytechnic (Mitte), Sebastian Seitz, CEO von Eplan (links) und Jochen Trautman, CEO Rittal Automation Systems (rechts). (Bild: Rittal/Eplan)")
:quality(80)/p7i.vogel.de/wcms/24/5a/245a29d60b1b15eff25b9a40762cb498/contact-beteiligt-sich-mehrheitlich-an-der-team-neusta-se-1920x1079v1.png "Bei der künftigen Mehrheitsbeteiligung bleibt die Marke team neusta erhalten. (Bild: Contact Software)")
:quality(80)/p7i.vogel.de/wcms/4f/ae/4fae71280ccb92273b2884f21a6d374b/adobestock-568160353-201-20-281-29-4608x2591v1.jpeg "Virtuelle Umgebung und reale Produktion lassen sich über das Internet of Things (IoT) im Industrial Metaverse nahtlos verbinden. (Bild: © Lance – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/bc/f9bcf761cbb58f96eb87dd106340b80b/semiautomatic-line-2925x1644v1.png "Plant Simulation: Bei der Verbesserung vorhandener Produktionsumgebungen werden Produktionsplanungen mit simulationsbasierten Vorhersagen unterstützt. (Bild: Siemens)")
:quality(80)/p7i.vogel.de/wcms/da/63/da63ccff067d6dfa007e6535a6d56fb1/intro-20ps-mr-technik-bild-201-2160x1215v1.jpeg "Konstruktionsprozess als Erlebnis: Durch die Mixed-Reality-Brille wird die Maschinenverkleidung für die Indunorm Bewegungstechnik GmbH digital visualisiert und nahtlos in die Produktionshalle eingebettet. (Bild: Intro PS)")
:quality(80)/p7i.vogel.de/wcms/e7/8d/e78d1c67e37e511d8d401a49c974bc1b/de-2024-07-101-aufmacher-car-body-design-by-jaguar-land-rover-813x457v1.jpeg "Interaktive Mixed-Reality-Visualisierung auf 3D-Druck. (Bild: VDC)")
:fill(fff,0)/p7i.vogel.de/companies/65/b8/65b8f9763e6fb/logo-heidrive-amot-final-rgb-300x88.jpeg "logo-heidrive-amot-final-rgb-300x88 (Heidrive GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/ba/65ba7c8c8e16f/apriori-logo-black.jpeg "apriori-logo-black (aPriori Deutschland)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/ba/65ba7ed5a7491/esteco-logo-esteco-grey-1-300x254.png "esteco-logo-esteco-grey-1-300x254 (ESTECO Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/fc/85/fc855ff49de71819c1e6268a30b4620b/adobestock-245636933-7969x4482v1.jpeg "Die Anforderungen der Maschinenverordnung und des Cyber Resilience Act werden den Produktwicklungsprozess maßgeblich verändern. (Bild: © Sikov/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/f4/d6f48ad0d93d7ae9a1d74a0d5a9af876/control-center-large-3000x1687v1.jpeg "Cybersecurity in der industriellen Umgebung ist wesentlich komplizierter als in der IT-Umgebung. (Bild: © goodluz/stock.adobe.com)")