Cyberangriff auf Yachten – Digitale Piraterie verhindern

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Cyberangriff auf Yachten – Digitale Piraterie verhindern

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Cyberangriffe kommen auch bei Booten, Schiffen und Yachten vor. Jedoch lässt sich das Risiko durch Security by Design mit seinem kontinuierlichen und ganzheitlichen Security-Lifecycle-Management von Anfang an reduzieren. Von Marcus Klische, Associated Partner bei MHP
Cyberangriff auf Yachten

Quelle: Pixabay

Laut dem „Safety und Shipping ­Review 2019“ von Allianz Global Corporate & Specialty (AGCS) sind Cyber-Attacken heute das zweitgrößte Risiko für die Schifffahrt – nach Natur­katastrophen und Elementargefahren. Die erste dokumentierte Cyberangriff auf Yachten erfolgte 2013.

Ein Cyberangriff auf Yachten verursachte immense Kosten und Imageschäden

Studenten der Universität of Texas steuerten mittels GPS-Spoofing eine 80-Millionen-Dollar Superyacht auf einen manipulierten Kurs, ohne dass die Navigationsgeräte diesen Fehler bemerkten. 2017 ermittelte das FBI anlässlich eines Cyberangriffs auf die 46-Meter-Yacht „Lady May“, die zu diesem Zeitpunkt dem chinesischen Milliardär Guo Wengui gehörte. Das Boot befand sich in amerikanischen Gewässern und ließ sich nicht mehr steuern.

Im gleichen Jahr fand die Trojaner-Attacke „NotPetya“ statt und infizierte durch die Ransomware hunderttausende Windows-Systeme verschiedener Unternehmen. Darunter die dänische Reederei Maersk, die einen Gesamtschaden von 300 Millionen US-Dollar bezifferte, da Schiffe über mehrere Wochen hinweg nicht einsatzfähig waren. Der Angriff führte unter anderem zu Verzögerungen an fast 80 Häfen. Ein Cyberangriff auf Yachten wie dieser verursacht aber nicht nur unmittelbar immense Kosten. Sie wirken sich mittelbar auch negativ auf das Image des betroffenen Unternehmens aus. Und das kann weitreichende Folgen nach sich ziehen.

Einfallstor für die Hacker sind die vielen elektronischen und vernetzten Geräte und Systeme an Bord von Booten und Schiffen, die über bootseigene WiFi-Netzwerke und mithilfe von spezifizierten Standards wie NMEA 0183 untereinander kommunizieren und zumindest zum Teil über das Internet mit der Außenwelt verbunden sind. Gelingt es einem Angreifer, sich zu einem dieser Geräte Zugang zu verschaffen, kann er sich innerhalb des gesamten Netzes bewegen und Befehle einschleusen.

8.400 Fehler bei einer Yacht

Ermöglicht wird ein Hack vor allem durch Fehler im Softwarecode. Je mehr Programmzeilen, desto wahrscheinlicher werden riskante Schwachstellen. Schon 2007 ging die Studie „Lines of Code per Foot“ von MARSEC-XL (Marine Software Engineering Cluster of Excellence) bei einer 32-Meter-Yacht von fünf Million Lines of Code (MLOC) aus. Auch wenn diese sehr gut programmiert sind, erwarteten die Autoren, dass etwa 8.400 Fehler auftreten, die ungefähr 420 Schwachstellen verursachen können. Die Studie prognostizierte außerdem für das Jahr 2020 einen Anstieg des Codes auf 50 MLOCs bei einer vergleichbaren Yacht. Entsprechend verzehnfachen sich auch die Fehler und die Schwachstellen.

Nach der Einschätzung von MHP sind pro einer Million Programmzeilen durchschnittlich rund 6.000 Fehler enthalten. Sehr gute Programmierer erreichen auch einen Wert zwischen 600 und 1.000 Fehler pro MLOC. Dabei lassen sich zirka fünf Prozent aller Fehler als Schwachstellen nutzen.

Bereits bei der Entwicklung an Sicherheit vor einem Cyberangriff auf Yachten denken

Die Qualität der Programmierarbeit ist also ein wesentlicher Faktor beim Schutz vor Angriffen. Die Programmierung wird wiederum positiv beeinflusst, wenn das Thema Cyber Security schon während der Konzeption und dem Design eines Schiffs berücksichtigt wird. Hierfür gibt die International Maritime Organization (IMO) einen Rahmen vor: Bis zum 1. Januar 2021 müssen Unternehmen nach den IMO-Richtlinien für das maritime Cyber-Risikomanagement (MSC-FAL.1/Circ.3) entsprechende Risiken in ihren bestehenden Sicherheitssystemen angemessen aufgreifen.

Cyberangriff auf YachtenQuelle: MHP
Cyberangriff auf eine Yacht – das sind mögliche Zugangspunkte via GSM, SAT oder WiFi. Damit lässt sich die vollständige Steuerung der Yacht übernehmen.

Ein wirksames Cyber-Risikomanagement beginnt bereits beim Produktdesign. Zu jedem Boot oder Schiff sollten neben den Sicherheitszielen auch potenzielle Risiken identifiziert und beschrieben werden. Daraus lassen sich entsprechende Angriffsvektoren ableiten, die durch die Kundenfunktionen ermöglicht werden. Bei der Entwicklung sollte man dann die bekannten Risiken immer wieder neu bewerten. Wichtig dabei: Security-Incident-Prozesse und Updatefähigkeiten sollten vollständig realisiert werden. Zudem sollte man im Rahmen eines Security Management die sich täglichen veränderten Angriffsfähigkeiten neu einschätzen.

Ein Ansatz, der seit Jahren in der Automotive-Branche erfolgreich zum Einsatz kommt und sich auf die maritime Welt übertragen lässt, ist Security by Design: ein kontinuierliches und ganzheitliches Security-Lifecycle-Management, das nach der Norm ISO 21434 (Road Vehicles – Cybersecurity Engineering) zertifiziert ist.

Der Ansatz gegen einen Cyberangriff auf Yachten umfasst drei Schritte

1. Bedrohungsanalyse / Threat Analysis

Im Rahmen einer Bedrohungsanalyse (Threat Analyses) werden potenzielle Risiken für die Informationstechnologie (IT) und das Betriebstechnologiesystem (OT) identifiziert und eingeschätzt. Das gelingt am besten, wenn man mögliche Szenarien simuliert. Denn nur so lassen sich geeignete Maßnahmen zur Risikominderung finden.

2. Definition von Sicherheitszielen und einer Abwehrstrategie

Auf dieser Basis lassen sich dann einzelne Sicherheitsziele und eine Abwehrstrategien entwickeln. Wichtig hierbei ist der Blick auf die gesamte Wertschöpfungskette und die Integration aller beteiligten Akteure. Die F&E-Abteilung sollte insbesondere mit den Zulieferern möglichst eng zusammenarbeiten, damit die zugekauften Komponenten, die in der Regel auch digitale Elemente enthalten, ausreichend geschützt sind und nicht zum Einfallstor für Angriffe werden.

3. Durchführung von Penetrations- und Funktionstest

Zuletzt folgen Penetrations- und Funktionstest, um die Sicherheitsmaßnahmen zu überprüfen. Ebenso sollten Soll- und Ist-Zustand verglichen werden, um sicher­zustellen, dass alle Softwarestände einzelner Softwaremodule oder Hardwarekomponenten dem gewünschten Zustand entsprechen.

Marcus Klische ist Associated Partner bei der MHP Management und IT-Beratung GmbH und Cyber-Security-Experte.

Lesen Sie auch: Großformatdrucker für Einsteiger: Lebendige Farben und scharfe Linien

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Italdesign und Airbus haben auf dem 87. Internationalen Auto-Salon in Genf Pop.up vorgestellt, die Weltpremiere des ersten modularen, vollständig elektrischen und emissionsfreien Fahrzeugsystem-Konzeptes, das die Verkehrsüberlastung in überfüllten Metropolen lindern soll. Pop.Up sieht ein modulares System für den multimodalen Transport vor, das Boden- und Luftverkehr vollständig kombiniert.

Althen Sensors & Controls stellt vom 27. bis 29. November auf der SPS IPC Drives in Nürnberg Geräte und Software für das elektrische Messen physikalischer Größen vor. Im Fokus steht in diesem Jahr neben den Vibrationsaufnehmern der PC420 Familie und den um eine neue Software erweiterten Graphtec Data Loggern GL840 und GL240 vor allem der Druckwandler DPS5000 CANBus.

Redaktionsbrief

Tragen Sie sich zu unserem Redaktions-Newsletter ein, um auf dem Laufenden zu bleiben.

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Aktuelle Ausgabe

Topthema: Digitalisierungsschub mit Sinumerik One

Der„digital native“-Ansatz für den Werkzeugmaschinenbau

Mehr erfahren

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

    * Jederzeit kündbar

    Entdecken Sie weitere Magazine

    Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

    Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.