:quality(80)/p7i.vogel.de/wcms/15/61/15611ff2086aa526d8dfc3eb9992248d/eplan-20eview-20ar-1--1024x576.jpeg "Splitscreen-Ansicht von Schaltplan und digitalem Zwilling in Augmented Reality. (Bild: Eplan)")
:quality(80)/p7i.vogel.de/wcms/4c/e6/4ce68d7b0e76f0ec83f8d5e199dcd1ed/siemens-4320x2429.jpeg "Die Standardisierung von Digital-Twin-Sprachen ist entscheidend für die Interoperabilität. (Bild: Siemens)")
:quality(80)/p7i.vogel.de/wcms/15/11/15118c1434ac342c07c7666adea161da/pci23-1036-2850x1602.jpeg "In erstmals vier Messehallen – und damit einer mehr als 2023 – sowie auf einer Fläche von über 38.000 m², präsentieren sich mehr als 600 ausstellende Unternehmen. Davon sind 60 Prozent international und repräsentieren insgesamt 33 Länder. (Bild: Mesago Messe Frankfurt GmbH & Uwe Mühlhäußer)")
:quality(80)/p7i.vogel.de/wcms/19/1e/191e0a9024dfe56f8fb4e9b42dc0ee83/altair-newsroom-nr-hannovermesse2024-social-1120x630.jpeg "Altair zeigt auf der Hannover Messe 2024 vom 22. bis 26. April 2024 die Leistungsfähigkeit von AI-Powered Engineering. (Bild: Altair)")
:quality(80)/p7i.vogel.de/wcms/f3/9c/f39c16be30fccda88aa494f3bdb2a250/-dsc0871-1600x900.jpeg "Am 21. März 2024 hat Meusburger seine Kunden zum exklusiven Branchentreff nach Hohenems eingeladen. (Bild: Meusburger )")
:quality(80)/p7i.vogel.de/wcms/9e/3a/9e3ab3604f797ac319fad53b08e110bc/arch-motorcycle-landscape-1500x843.jpeg "Arch verbindet handwerkliches Können und Ingenieurskunst mit Präzisionstechnologien und maximiert dadurch das Leistungspotenzial seiner Motorräder. (Bild: Arch Motorcycle)")
:quality(80)/p7i.vogel.de/wcms/dd/94/dd94abe217cd99c88727fe2f7af9f037/1-1-mitsubishi-electric-fachpressetage-2024-sustainable-metal-recycling.jpeg "(Quelle: Mitsubishi Electric Europe B.V.)")
:quality(80)/p7i.vogel.de/wcms/d6/93/d693f93fe28e2aab9b6390f839357291/siemens-simcenter-e-machine-design-02.png "(Quelle: Siemens Digital Industries Software)")
:quality(80)/p7i.vogel.de/wcms/1f/1a/1f1a781aa6e783a44e9d2f51a4dc346a/pr-2232-2250-bx4-imc-s-1500x844.jpeg "Die bürstenlosen Motoren mit dem neuen Integrierten Motion Controller sind in zwei Längen erhältlich. (Bild: Faulhaber)")
:quality(80)/p7i.vogel.de/wcms/c1/fe/c1fe95fb9f92afc5d9e076a2969ca0eb/24-04-16-st-c3-b6ber-vb-aaa-20heilbronn-01-3000x1688.jpeg "Das Besondere an der neuen Zahnstange: Die doppelte Bohrung sichert die Komponente gegen Verschieben. (Bild: Stöber Antriebstechnik )")
:quality(80)/p7i.vogel.de/wcms/04/80/048023f2828cb9eb3ad9b587d9725345/igus-2551x1435.jpeg "In die igusGO App fließen Erfahrungen aus 60 Jahren Polymerforschung, hunderttausenden Testergebnissen und Millionen von Anwendungen. (Bild: Igus)")
:quality(80)/p7i.vogel.de/wcms/74/b1/74b1df2e6351192ac8c951f5cdb5c084/garchinaussenansicht-4320x2430.jpeg "Mehr als 100 Millionen Euro Investition für neues Technology Center in Garching stärkt Siemens die Spitzenforschung und den Standort Deutschland. (Bild: Siemens)")
:quality(80)/p7i.vogel.de/wcms/c7/67/c767018de9897bb48c65e4c756307b41/altair-newsroom-nr-2024-google-partner-of-the-year-social-1200x630-1120x630.png "Die Auszeichnung würdigt Google Cloud-Partner, die ihren Initiativen für Vielfalt, Gleichberechtigung und Inklusion höchste Priorität einräumen und so ihre Organisation stärken und Wandel ermöglichen. (Bild: Altair)")
:quality(80)/p7i.vogel.de/wcms/b7/d6/b7d6436d7da5cd8467e0d3ac9fe4da6a/131734-1500x843.jpeg "(Bild: fabrikasimf auf Freepik)")
:quality(80)/p7i.vogel.de/wcms/a0/86/a0865e32665ba836f070f5d8058cccff/cobot-discovery-page-6000x3377.jpeg "Jesper Kildegaard Poulsen, Universal Robots: "Gemeinsam mit MathWorks wollen wir es Robotik-Ingenieuren auch weiterhin erleichtern, komplexe Robotik-Anwendungen zu erstellen." (Bild: Universal Robots)")
:quality(80)/p7i.vogel.de/wcms/c8/6a/c86a9ebad226a43d067fbe5e1824b6ae/bearb-aufmacher-booster-20--20digitalisieren-20sie-20ihre-20ce-prozesse-blacksalmon-20via-20istock-1898x1067.jpeg "Beim Umstieg von der Maschinenrichtline auf die neue Maschinenverordnung können Unternehmen durchstarten und ihre CE-Prozesse digitalisieren. (Bild: BlackSalmon/iStock)")
:quality(80)/p7i.vogel.de/wcms/58/1a/581a442180e139806ee4c5efde1d5300/h-c3-bcngsberg-20e-rechnung-800x450.png "Die E-Rechnung gilt für B2B-Unternehmen ab dem 1.1.2025 grundlegend als verpflichtend. (Bild: ©iStock.com/jittawit.21)")
:quality(80)/p7i.vogel.de/wcms/37/16/3716d454cd92a7c09e3bf633f63321c5/de-2024-02-800-phoenix-contact-aufmacher-930x523.jpeg "Sichere und nachhaltige Digitalisierung in der
Thermoprozesstechnik.
(Bild: Nimit Ketkham/Shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/11/ed/11edc3e69ff3609cf257974c8de65fcc/240322-crc-1265x712.jpeg "Mehr als 60 IT-Dienstleister ließen sich für die Durchführung des CyberRisikoChecks schulen. (Bild: BSI)")
:quality(80)/p7i.vogel.de/wcms/5c/68/5c68e7bc2deefa9ca4cf326a72b54875/dc-ae-ctrlx-world-pi-02-1920x1080px-16x9cm-rgb-202404-1440x809.jpeg "Pneumatikspezialist SMC Deutschland wird Teil der ctrlX World von Bosch Rexroth. Im Foto: Steffen Winkler (links), Vertriebsleitung der Business Unit Automation & Electrification Solutions bei Bosch Rexroth, und Torsten Wöhler, Senior Vice President of Sales & Product Marketing bei SMC Deutschland. (Bild: Bosch Rexroth)")
:quality(80)/p7i.vogel.de/wcms/ad/fd/adfd7b78c2e194ca43ed256448cf14e3/ar-alliance.jpeg "(Quelle: Microoled)")
:quality(80)/p7i.vogel.de/wcms/9f/e1/9fe195fbe5e41a46c6f19a2908c45085/3spin-learning-1.jpeg "(Quelle: 3spin Learning)")
:quality(80)/p7i.vogel.de/wcms/69/b4/69b40a329d1c329315351c6973f9dcd2/dmitry-adobestock-401232340-1.jpeg "(Quelle: Dmitry/stock.adobe.com)")
Cyberangriff auf Yachten – Digitale Piraterie verhindern
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4f/5e4faeb73f8bb/ptc-logo--002-.png "PTC_Logo (002).png (PTC)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/ba/65ba7c8c8e16f/apriori-logo-black.jpeg "apriori-logo-black (aPriori Deutschland)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/ba/65ba7ed5a7491/esteco-logo-esteco-grey-1-300x254.png "esteco-logo-esteco-grey-1-300x254 (ESTECO Software GmbH)"){kind=logo}
Cyberangriffe kommen auch bei Booten, Schiffen und Yachten vor. Jedoch lässt sich das Risiko durch Security by Design mit seinem kontinuierlichen und ganzheitlichen Security-Lifecycle-Management von Anfang an reduzieren. Von Marcus Klische, Associated Partner bei MHP
Laut dem „Safety und Shipping Review 2019“ von Allianz Global Corporate & Specialty (AGCS) sind Cyber-Attacken heute das zweitgrößte Risiko für die Schifffahrt – nach Naturkatastrophen und Elementargefahren. Die erste dokumentierte Cyberangriff auf Yachten erfolgte 2013.
Ein Cyberangriff auf Yachten verursachte immense Kosten und Imageschäden
Studenten der Universität of Texas steuerten mittels GPS-Spoofing eine 80-Millionen-Dollar Superyacht auf einen manipulierten Kurs, ohne dass die Navigationsgeräte diesen Fehler bemerkten. 2017 ermittelte das FBI anlässlich eines Cyberangriffs auf die 46-Meter-Yacht „Lady May“, die zu diesem Zeitpunkt dem chinesischen Milliardär Guo Wengui gehörte. Das Boot befand sich in amerikanischen Gewässern und ließ sich nicht mehr steuern.
Im gleichen Jahr fand die Trojaner-Attacke „NotPetya“ statt und infizierte durch die Ransomware hunderttausende Windows-Systeme verschiedener Unternehmen. Darunter die dänische Reederei Maersk, die einen Gesamtschaden von 300 Millionen US-Dollar bezifferte, da Schiffe über mehrere Wochen hinweg nicht einsatzfähig waren. Der Angriff führte unter anderem zu Verzögerungen an fast 80 Häfen. Ein Cyberangriff auf Yachten wie dieser verursacht aber nicht nur unmittelbar immense Kosten. Sie wirken sich mittelbar auch negativ auf das Image des betroffenen Unternehmens aus. Und das kann weitreichende Folgen nach sich ziehen.
Einfallstor für die Hacker sind die vielen elektronischen und vernetzten Geräte und Systeme an Bord von Booten und Schiffen, die über bootseigene WiFi-Netzwerke und mithilfe von spezifizierten Standards wie NMEA 0183 untereinander kommunizieren und zumindest zum Teil über das Internet mit der Außenwelt verbunden sind. Gelingt es einem Angreifer, sich zu einem dieser Geräte Zugang zu verschaffen, kann er sich innerhalb des gesamten Netzes bewegen und Befehle einschleusen.
8.400 Fehler bei einer Yacht
Ermöglicht wird ein Hack vor allem durch Fehler im Softwarecode. Je mehr Programmzeilen, desto wahrscheinlicher werden riskante Schwachstellen. Schon 2007 ging die Studie „Lines of Code per Foot“ von MARSEC-XL (Marine Software Engineering Cluster of Excellence) bei einer 32-Meter-Yacht von fünf Million Lines of Code (MLOC) aus. Auch wenn diese sehr gut programmiert sind, erwarteten die Autoren, dass etwa 8.400 Fehler auftreten, die ungefähr 420 Schwachstellen verursachen können. Die Studie prognostizierte außerdem für das Jahr 2020 einen Anstieg des Codes auf 50 MLOCs bei einer vergleichbaren Yacht. Entsprechend verzehnfachen sich auch die Fehler und die Schwachstellen.
Nach der Einschätzung von MHP sind pro einer Million Programmzeilen durchschnittlich rund 6.000 Fehler enthalten. Sehr gute Programmierer erreichen auch einen Wert zwischen 600 und 1.000 Fehler pro MLOC. Dabei lassen sich zirka fünf Prozent aller Fehler als Schwachstellen nutzen.
Bereits bei der Entwicklung an Sicherheit vor einem Cyberangriff auf Yachten denken
Die Qualität der Programmierarbeit ist also ein wesentlicher Faktor beim Schutz vor Angriffen. Die Programmierung wird wiederum positiv beeinflusst, wenn das Thema Cyber Security schon während der Konzeption und dem Design eines Schiffs berücksichtigt wird. Hierfür gibt die International Maritime Organization (IMO) einen Rahmen vor: Bis zum 1. Januar 2021 müssen Unternehmen nach den IMO-Richtlinien für das maritime Cyber-Risikomanagement (MSC-FAL.1/Circ.3) entsprechende Risiken in ihren bestehenden Sicherheitssystemen angemessen aufgreifen.
Ein wirksames Cyber-Risikomanagement beginnt bereits beim Produktdesign. Zu jedem Boot oder Schiff sollten neben den Sicherheitszielen auch potenzielle Risiken identifiziert und beschrieben werden. Daraus lassen sich entsprechende Angriffsvektoren ableiten, die durch die Kundenfunktionen ermöglicht werden. Bei der Entwicklung sollte man dann die bekannten Risiken immer wieder neu bewerten. Wichtig dabei: Security-Incident-Prozesse und Updatefähigkeiten sollten vollständig realisiert werden. Zudem sollte man im Rahmen eines Security Management die sich täglichen veränderten Angriffsfähigkeiten neu einschätzen.
Ein Ansatz, der seit Jahren in der Automotive-Branche erfolgreich zum Einsatz kommt und sich auf die maritime Welt übertragen lässt, ist Security by Design: ein kontinuierliches und ganzheitliches Security-Lifecycle-Management, das nach der Norm ISO 21434 (Road Vehicles – Cybersecurity Engineering) zertifiziert ist.
Der Ansatz gegen einen Cyberangriff auf Yachten umfasst drei Schritte
1. Bedrohungsanalyse / Threat Analysis
Im Rahmen einer Bedrohungsanalyse (Threat Analyses) werden potenzielle Risiken für die Informationstechnologie (IT) und das Betriebstechnologiesystem (OT) identifiziert und eingeschätzt. Das gelingt am besten, wenn man mögliche Szenarien simuliert. Denn nur so lassen sich geeignete Maßnahmen zur Risikominderung finden.
2. Definition von Sicherheitszielen und einer Abwehrstrategie
Auf dieser Basis lassen sich dann einzelne Sicherheitsziele und eine Abwehrstrategien entwickeln. Wichtig hierbei ist der Blick auf die gesamte Wertschöpfungskette und die Integration aller beteiligten Akteure. Die F&E-Abteilung sollte insbesondere mit den Zulieferern möglichst eng zusammenarbeiten, damit die zugekauften Komponenten, die in der Regel auch digitale Elemente enthalten, ausreichend geschützt sind und nicht zum Einfallstor für Angriffe werden.
3. Durchführung von Penetrations- und Funktionstest
Zuletzt folgen Penetrations- und Funktionstest, um die Sicherheitsmaßnahmen zu überprüfen. Ebenso sollten Soll- und Ist-Zustand verglichen werden, um sicherzustellen, dass alle Softwarestände einzelner Softwaremodule oder Hardwarekomponenten dem gewünschten Zustand entsprechen.
Marcus Klische ist Associated Partner bei der MHP Management und IT-Beratung GmbH und Cyber-Security-Experte.
Lesen Sie auch: Großformatdrucker für Einsteiger: Lebendige Farben und scharfe Linien
:quality(80)/p7i.vogel.de/wcms/d0/66/d066655c3ab38f1cd1ff809f1ffc085b/de-2023-06-103-adobestock-580026421-yeti-studio.jpeg "de-2023-06-103-adobestock-580026421-yeti-studio (Quelle: Yeti Studio/AdobeStock)")
:quality(80)/p7i.vogel.de/wcms/96/a7/96a7e820dab17a1c3b7c6929c60d3ba5/pilt-security-lehrgang.jpeg "pilt-security-lehrgang (Quelle: PeopleImages/E+/Getty Images, © Pilz GmbH & Co. KG)")