Cybersecurity in autonomen maritimen Systemen: Fallstudie Seafar

Die maritime Branche entwickelt sich durch Fernoperationen, autonome Systeme und zunehmend vernetzte Schiffstechnologien rasch weiter. Während diese Innovationen neue Effizienzen erschließen, erweitern sie auch die Oberfläche für Cyberbedrohungen in Bordsystemen und Kontrollumgebungen an Land.

Seafar steht bei diesem Wandel an vorderster Front. Das Unternehmen entwickelt und betreibt Lösungen, die es ermöglichen, Schiffe von Kontrollzentren an Land aus zu überwachen und zu steuern, und stützt sich dabei auf vernetzte Systeme wie Kommunikationsnetzwerke, Navigationstechnologien und Fernsteuerungsplattformen. In diesem Zusammenhang ist Cybersecurity von entscheidender Bedeutung, um einen sicheren und operativen Resilienz-Betrieb zu gewährleisten.

Eine zentrale Herausforderung in solchen neuen Umgebungen ist das Fehlen einer klaren, standardisierten Definition der Cybersecurity-Anforderungen. Die Regulierungsbehörden erwarten zwar, dass Organisationen Cyber-Resilienz nachweisen, aber sie legen oft nicht fest, was "sicher" in der Praxis bedeutet. Für Pionierunternehmen wie Seafar bedeutet dies, dass sie selbst angemessene Cybersecurity-Standards definieren und umsetzen müssen.

Um dies zu erreichen, hat Seafar in Zusammenarbeit mit Bureau Veritas Cybersecurity ein strukturiertes Cybersecurity assessment durchgeführt. In enger Zusammenarbeit mit Zia Nassir, Chief Technologie & Operations Officer, bestand das Ziel darin, eine klare, risikobasierte Übersicht über die Cybersecurity von Seafar zu erstellen, die mit den betrieblichen Realitäten und den sich entwickelnden regulatorischen Erwartungen in Einklang steht.

Der Auftrag begann mit einem Risk Assessment auf der Grundlage von ISO/IEC 27005, das eine strukturierte Methodik zur Identifizierung, Analyse und Bewertung von Risiken bei Systemen, Assets und Prozessen bietet. In Anlehnung an ISO/IEC 27001 ermöglichte dies die Identifizierung von organisationsweiten Risiken und die Definition von Governance- und Kontrollmaßnahmen auf Unternehmensebene.

Parallel dazu wurde eine Bedrohungsmodellierung für die wichtigsten Systeme und Betriebsszenarien durchgeführt, die für den Betrieb von ferngesteuerten und autonomen Schiffen spezifisch sind. Diese technische Analyse untersuchte die Architektur von Seafar, um Bedrohungsakteure, potenzielle Angriffswege und Schwachstellen zu identifizieren, insbesondere im Zusammenhang mit der Konnektivität und der Fernsteuerung, wo ein unbefugter Zugriff den Schiffsbetrieb direkt beeinträchtigen könnte.

Zusammengenommen boten diese Aktivitäten sowohl eine strategische als auch eine technische Perspektive und kombinierten ein strukturiertes, organisationsweites Risikomanagement mit einer Analyse der Risiken auf Systemebene. Dieser Ansatz unterstützte die Anpassung an die regulatorischen Erwartungen und integrierte gleichzeitig Cybersecurity in das Design und den Betrieb von vernetzten, autonomen maritimen Systemen.