Gastkommentar von:
Elisabet Haugsbø, Senior Cybersecurity Engineer Control Systems Verification and Penetration Testing, DNV GL – Digital Solutions
Wir leben in einer zunehmend interaktiven Welt, in der wir mit Uhren sprechen, Autos autonom fahren und Häuser ihr eigenes Leben führen, weil Licht, Temperatur und Jalousien nach unseren persönlichen Wünschen programmiert werden, ohne dass wir dafür etwas tun müssen. Wenn wir zurückdenken – sagen wir 15 Jahre –, dann wirkt die Gegenwart beinahe wie ein Science-Fiction-Film. Die Technologie entwickelt sich in Windeseile, und wir, die Verbraucher, finden das gut.
Mit der heutigen Technologie haben wir die Möglichkeit, Schiffe oder andere Offshore-Installationen aufzurüsten und zu warten, ohne einen Service-Techniker an Bord zu schicken. Damit können gefährliche Prozesse aus sicherer Entfernung überwacht und von einer Software statt von einem Menschen erledigt werden. Bei sich wiederholenden und langwierigen Arbeitsaufgaben werden so Kapazitäten frei, die für andere wertsteigernde Aufgaben im Unternehmen eingesetzt werden können. Technologie rationalisiert, optimiert und sichert. Und doch kann die gleiche hochgelobte Technologie auch mein Weg in ein Unternehmen sein.
Als sogenannter „Penetration Tester“ ist es meine Aufgabe, mir zu überlegen, wie ein Hacker die Schwachpunkte in den Systemen und bei den Angestellten der Unternehmen und Organisationen unserer Kunden ausnutzen könnte. Indem ich mich in einen Hacker hineinversetze, kann ich Sicherheitslücken und andere Risikofaktoren aufdecken, damit unsere Kunden einen besseren Überblick darüber erhalten, wie gut oder schlecht sie gegen die heutigen Bedrohungen gerüstet ist.
Ich stelle oft fest, dass viele Unternehmen die Technologie und alle Vorteile, die sie bietet, sehr zu schätzen wissen. Aber nur wenige denken an die sicherheitsbezogenen Herausforderungen, die sich ergeben, wenn große Teile des Geschäfts und die Flotte „online“ sind. Es ist unmöglich, die heutigen Cybersecurity-Probleme mit den Sicherheitsprozessen und -technologien zu lösen, die für das Bedrohungsbild vor 15 Jahren geschaffen wurden.
Wie können Angestellte, Führungskräfte oder Reeder damit umgehen?
Es gibt viele Cybersecurity-Richtlinien, aber nur wenige Regeln und Vorschriften beziehen sich auf ein und dasselbe Thema. Letztendlich sind es also auch nur sehr wenige Akteure, die ihre Lieferanten und Zusammenarbeitspartner dazu auffordern, sich mit Cybersecurity auseinandersetzen. Aber warum eigentlich nicht?
Im Vergleich dazu wäre es undenkbar, mit Lieferanten und Partnern zusammenzuarbeiten, die keine Prozesse und Maßnahmen zum Schutz des Unternehmens und seiner Mitarbeiter vor physischen Bedrohungen im Zusammenhang mit der Arbeit und Umwelt vorweisen können.
Viele Unternehmen, Betreiber und Reeder warten auf das Inkrafttreten der neuen Regeln der Internationalen Seeschifffahrts-Organisation (IMO) im Jahr 2021: „Die Richtlinie MSC.428(98) fordert die Verwaltungen auf, sicherzustellen, dass Cyberrisiken spätestens in der ersten jährlichen Prüfung des Zeugnisses über die Erfüllung der einschlägigen Vorschriften des Unternehmens nach dem 1. Januar 2021 entsprechend in den Sicherheitsmanagementsystemen berücksichtigt werden.”
Auch wenn dies auf lange Sicht eine gute Maßnahme ist, handelt es sich hierbei um eine weitere unverbindliche Anforderung der IMO.
Sollten wir warten, bis Zertifizierungsstellen und andere Organisationen angemessene Regeln und Folgemaßnahmen treffen, um sicherzustellen, dass Sie und Ihre Mitarbeiter das Unternehmen und die Flotte vor Cyberkriminalität schützen? Oder sollten schon jetzt Maßnahmen zur Erhöhung der Sicherheit und Risikominimierung ergriffen werden?
Warten Sie nicht bis ein Cyberangriff geschieht, und vertagen Sie die Maßnahmen nicht, bis sie durch Gesetze und Vorschriften geregelt werden. Überprüfen Sie Ihre Verfahren, schulen Sie Ihre Mitarbeiter und vergessen Sie nicht, die Technologie auf dem neuesten Stand zu halten.
Übersetzung: Julia Pape