IT-Systeme haben hohen Schutzbedarf

Sind maritime IT-Systeme an Land und auf See ausreichend gegen Cyber-Attacken gesichert? So lautet die aktuelle Frage der Woche, die noch bis Freitag beantwortet werden kann. Stand Mittwoch fällt das Urteil der THB-Leser mehr als eindeutig aus: Lediglich 3,8 Prozent sehen die IT bereits gut gerüstet – 96,2 Prozent glauben, dass der Schutz nicht ausreicht. Demnach wäre es höchste Zeit, dass die Schifffahrtsbranche ihre Maßnahmen zur Abwehr von Cyber-Angriffen intensiviert.

Helfen können dabei beispielsweise IT-Grundschutzprofile für Reedereien. Während ein solches Muster-Sicherheitskonzept für den Bereich Schiffsbetrieb derzeit in einer vom Verein Hanseatischer Transportversicherer (VHT) in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) angebotenen Workshop-Reihe erarbeitet wird, liegt ein Konzept zur Mindestabsicherung des Reedereibetriebs an Land bereits vor. Identifiziert werden sollen damit in erster Line die gravierendsten Schwachstellen in den Geschäftsprozessen „Technisches Management“ und „Accounting“.

Das IT-Grundschutzprofil für den Landbetrieb umfasst eine Liste der relevanten Zielobjekte (Anwendungen, IT-Systeme sowie Räumlichkeiten), die es zu schützen gilt, eine Zuordnung der dazu passenden IT-Grundschutz-Bausteine mit Anforderungen und Umsetzungshinweisen sowie Empfehlungen zur Umsetzungsreihenfolge. Zentrale Hilfestellungen für die Umsetzung im Betrieb bieten eine „Landkarte“ als Entscheidungsgrundlage für die Unternehmensleitung und ein „Umsetzungsfahrplan“ für IT-Fachleute.

Unterschieden werden die Schutzbedarfskategorien „normal“ (die Schadensauswirkungen sind begrenzt und überschaubar), „hoch“ (die Schadensauswirkungen können beträchtlich sein) und „sehr hoch“ (die Schadensauswirkungen können ein existenziell bedrohliches, katas trophales Ausmaß erreichen). Im Geschäftsprozess „Accounting“ werden in der Regel große Mengen personenbezogener Daten verarbeitet, auf deren Vertraulichkeit großen Wert gelegt wird, daher ist dem IT-Grundschutzprofil zufolge ein hoher Schutzbedarf für diesen Bereich anzunehmen. Sogar sehr hoch kann der Schutzbedarf im „Technischen Management“ sein, in dem üblicherweise sehr große Mengen an technischen, essenziell wichtigen Daten übermittelt, erfasst und verarbeitet werden. Dazu gehören etwa die Bereiche Wartung ( Planned Maintenance), Klasse-Erneuerung und Werft aufenthalt sowie Schiffsinspektionen und -besuche.

„Die IT-Sicherheit wird künftig einen noch größeren Stellenwert in Unternehmen einnehmen“, sagt Uwe Reder, Datenschutzbeauftragter des Vereins Hanseatischer Transportversicherer (VHT), mit Blick auf die voranschreitende Digitalisierung in der Schifffahrtsbranche. Die Workshop-Reihe zur Erarbeitung eines IT-Grundschutzprofils für den Schiffsbetrieb biete Reedereien eine strukturierte Grundlage dafür, die Informationssicherheit nun auch auf See zu verbessern. bek