Niedersachsen ist das erste Bundesland, das die Cybersicherheit in Häfen personalisiert hat. Seit dem 1. Januar 2019 gibt es den „Port Cyber Security Officer“, kurz PCSO: eine Person, die dieses Thema im Land und darüber hinaus koordiniert. Bremen und Mecklenburg-Vorpommern folgten inzwischen.
Niedersachsen, das unterscheidet es insbesondere vom Stadtstaat Hamburg und dem Zwei-Städte-Staat Bremen, hat eine Vielzahl kleiner, mittelgroßer und großer Häfen. Es hat Binnen- und Seehäfen. Hinzu kommt die Vielfalt der Insel- und Fährhäfen im Land. Das niedersächsische Wirtschafts- und Verkehrsministerium in Hannover, verantwortlich für die Sicherheit aller Hafenanlagen, nennt aktuell 14 Gesamthäfen und 78 Hafenanlagen, die dem ISPS-Code unterliegen. Der International Ship and Port Facility Security Code regelt seit Juli 2004 die Sicherheit von Schiffen und Häfen.
Am Jade-Weser-Port (JWP) in Wilhelmshaven, einem Gemeinschaftsbetrieb mit Bremen, sitzt der Port Cyber Security Officer, zugleich IT-Systemadministrator des Tiefwasserhafens. Er ist Ansprechpartner des Wirtschaftsministeriums und aller Häfen im Bundesland. „Die Häfen haben von Haus aus alle weniger die Cybersicherheit auf dem Schirm. Nautikern und Polizisten fehlt dieses spezielle Wissen meist, die kommen von der analogen Sicherheit“, sagt der PCSO, dessen Name hier nicht erwähnt werden soll: „Ich bringe meine IT-Kompetenz dazu ein.“ Er vertritt die Häfen auch auf einschlägigen Konferenzen oder wenn die EU-Kommission zu Besuch ist. Einen engen Austausch pflegt er insbesondere mit seinen Bremer Kollegen – die am JWP organisatorisch mit im Boot sitzen.
Logistikhubs rücken in Fokus der Angreifer
„Ich stehe aber auch in engem Kontakt mit den Kollegen in Hamburg, wo meine Aufgaben von einem Gremium wahrgenommen werden.“ Der PCSO kann dabei mit seinen Kollegen in den anderen Bundesländern auf einen seit langem bestehenden Kreis zur analogen Hafensicherheit aufbauen. Einen „Lieblingshafen“ hat der Security Officer nicht – dass aber alle Häfen gleichermaßen von Cyberattacken bedroht seien, verneint er: „Die Inselhäfen beispielsweise sind ja keine internationalen Häfen. Die wären eher durch Zufall betroffen.“
Unter geopolitischen Gesichtspunkten sieht der PCSO den Jade-Weser-Port in Wilhelmshaven als einzigen echten Tiefwasserhafen in Deutschland stärker bedroht. Daneben Emden als wichtigen Exporthafen für die Schlüsselindustrie Automobilbau und Cuxhaven als Logistikknoten für die Stahl- und Automobilindustrie. „Und vergessen wird immer Brake an der Unterweser mit seiner Bedeutung insbesondere für den Getreidehandel.“
Die geopolitische Lage mit dem russischen Angriffskrieg gegen die Ukraine ist für den Security Officer auch der Grund, warum er mit dem Thema Cybersicherheit nun auf einmal offene Türen einrennt. „Die erhöhte Anzahl von Cyberangriffen hat ein neues Bewusstsein geschaffen“, sagt er.
Das bestätigt das Wirtschaftsministerium in Hannover: „Mit dem russischen Angriff auf die Ukraine sind auch die Häfen als wichtige Logistikhubs mehr im Fokus von Angreifern. Außerdem sind sie als wichtige Zentren beim Aufbau einer unabhängigen Energieversorgung wie Offshore-Windkraft oder Wasserstofftransport von gesteigertem Interesse.“ Ins Sicherheitskonzept integriert sind auch die beiden LNG-Terminals in Wilhelmshaven und Stade. Hafensicherheitsbehörde und Polizei haben „intensiv zusammengearbeitet“, heißt es aus dem Ministerium, und bauliche wie organisatorische Gefahrenabwehrpläne erarbeitet.
Die Installation eines PCSO für die heterogene niedersächsische Hafenstruktur ist auch der Versuch, ein gemeinsames Sicherheitskonzept zu etablieren. Eine Weisungsbefugnis hat er nicht. Die Erkenntnisse oder auch Warnungen, die der PCSO etwa in nationalen und internationalen Netzwerken gewinnt, gibt er umgehend an die einzelnen Häfen weiter. Daneben existieren für alle Anlagen Risikobewertungen und Gefahrenabwehrpläne, die regelmäßig in Audits kontrolliert werden. Dies umfasst auch Firewalls und Backup-Systeme; als nächste Stufe könnten spezielle Sicherheitszertifikate des Bundesamts für Sicherheit in der Informationstechnik (BSI) in den Audits abgefragt werden.
Menschliche Fehler sind häufigste Ursache
Dass das Sicherheitsbewusstsein der Mitarbeitenden im Mittelpunkt jeder Cybersicherheitsstrategie stehen sollte, bestätigt auch das Ministerium: „Häufigste Ursache für erfolgreiche Cyberangriffe sind menschliche Fehler.“ Entsprechend werden alle Hafenunternehmen immer wieder durch den PCSO oder auch die Zentrale Ansprechstelle Cybercrime für die niedersächsische Wirtschaft (ZAC) sensibilisiert und auf Wunsch beraten. Lagemeldungen des Bundeskriminalamtes oder des Landesamtes für Verfassungsschutz tun ein Übriges. Daneben verfügt jedes Unternehmen über eigene Cybersicherheitssysteme, gegebenenfalls unter Rückgriff auf externe Dienstleister.
Das Wirtschaftsministerium sieht für mögliche Cyberangriffe auf niedersächsische Häfen sowohl politische als auch ökonomische Motivationen. Politische Gefährdungsmuster wie Sabotage kritischer Infrastrukturen hätten durch den Ukraine-Krieg zwar zugenommen, aber klassische Ransomware-Attacken und Erpressungen der organisierten Kriminalität seien damit nicht vom Tisch.
Manuel Atug, Gründer und Sprecher des Vereins AG Kritis, der sich aus Akteuren kritischer Infrastruktur gebildet hat, warnt, dass es bereits zu Kollaboration zwischen organisierter Kriminalität und staatlichen Akteuren wie Geheimdiensten gekommen sei. Er nennt den russischen FSB und die Hackergruppe Conti.
Insbesondere komplexe Logistikketten, wie sie in der Hafenwirtschaft üblich sind, seien anfällig: „Sobald ein Kettenglied gestört ist, setzt ein Dominoeffekt ein.“ Es sei schwer, eine „sinnvolle, resiliente Vorgehensweise“ dagegen zu setzen. Besonders kritisch blickt er in diesem Zusammenhang auf alle Arten von Fernsteuerung und Fernwartung.
„Sobald ein Kettenglied gestört
ist, setzt ein Dominoeffekt ein.“
Manuel Atug, AG Kritis
Die Gefahr von Ransomware-Attacken sieht Atug vor allem bei Speditionen und mittelständischen Unternehmen. Was die Geheimdienste machten, sei naturgemäß weniger bekannt. Allerdings hätten sie im Zweifel die größeren Ressourcen. Insgesamt macht er in Deutschland einen Mangel an Digitalisierung aus: „Skandinavien ist da viel weiter. Und nicht vergessen darf man den menschlichen Faktor – häufig fehlt es einfach an Bewusstsein für die Sicherheitsrelevanz von IT.“
Niedersachsens PCSO sieht es auch mit Blick auf neue, strengere KRITIS-Verordnungen in den kommenden Jahren nüchtern. „Die Bedrohungslage ist da, aber Panik ist fehl am Platze.“
Quelle:
DVZ