Hackerangriffe auf die maritime Wirtschaft: Ver­schla­fene Gegen­wehr

Für fast alle seine Nutzer ist das Internet Fluch und Segen zugleich. Zweifellos garantiert die Digitalisierung auch der maritimen Wirtschaft schnellere Kommunikation und Arbeitsabläufe. Andererseits können Schiffe und Infrastrukturen an Land aber von überall auf der Welt von Hackern angegriffen werden.

Bei Schiffen sind die Schwachstellen schnell ausgemacht: Eines der größten Probleme sind die Crewmitglieder, die oftmals eigene Geräte mit an Bord bringen (zum Beispiel USB-Sticks) und dort an einen mit dem Internet verbundenen Computer anschließen. Hacker infizieren die privaten Geräte der Crewmitglieder in der Hoffnung, einen Treffer zu landen. Weitere Schwachstellen sind unregelmäßige Sicherheitsupdates und veraltete Hardware, die nicht immer kompatibel ist mit neuer Sicherheitssoftware.

Hacker verfolgen dabei unterschiedliche Absichten. Ein prominentes Branchenbeispiel ist der "NotPetya"-Cyber-Angriff auf die Reederei Maersk im Juni 2017. Dabei ist es Hackern gelungen, das Computersystem des Logistik-Riesen mit einer sogenannten Ransomware zu infiltrieren. Für die Freigabe von System und Daten forderten die Hacker zwar nur ein geringes Lösegeld von 300 US-Dollar in Bitcoins. Doch der durch den temporären Ausfall versursachte Schaden belief sich für das Unternehmen auf circa 300 Million US-Dollar.

Keine minder besorgniserregenden Vorfälle ereigneten sich von 2011 bis 2013 im Hafen von Antwerpen. Drogenhändler veränderten durch Hacks den Ursprungs- und Bestimmungsort von Containern, um diese unbemerkt an den Zollbehörden vorbeizuschleusen. Die Container stammten aus Südamerika und hatten Drogen geladen.

Erst im Juli diesen Jahres ereignete sich erneut ein Cyber-Angriff, als das System der chinesischen Linienreederei COSCO infiziert wurde. Es entstand kein bemerkenswerter Schaden, aber auch dieser Fall zeugt von der Verwundbarkeit der maritimen Akteure durch professionelle Cyber-Angriffe.

Der ISM-Code: Regeln für Schiffe

Um der wachsenden Gefahr zu begegnen, rät die International Maritime Organisation (IMO) zur taktischen Gegenwehr. In den Guidelines on Maritime Cyber Risk Management wird den Betroffenen empfohlen, verantwortliche Personen zu benennen, die die Schwachstellen im Computersystem ausmachen und präventive sowie akute Lösungsansätze erstellen. Die Hauptaufgabe der maritimen Cyber-Abwehr liegt jedoch in der Schulung der Crew. Diese gilt es für die Cyber-Gefahren zu sensibilisieren, die zum Beispiel durch mitgebrachte USB-Sticks enorm gesteigert wird.

Das den Guidelines zugrunde liegende Recht ist der International Safety Management Code (ISM-Code). Um einen reibungslosen globalen Schiffsverkehr zu gewährleisten, schreibt der ISM-Code Schiffsbetreibern und Reedern verschiedene Maßnahmen vor. Unter anderem müssen Gefahren für den sicheren Betrieb des Schiffes sowie für Personal und Umwelt identifiziert und jederzeit geeignete Gegenmaßnahmen ergriffen werden können (Regel Nr. 1.2.2.2). In diesem Zusammenhang wird auch vom Safety Managment System gesprochen.

Schiffe im Arrest

Für die Sicherheit der internationalen Schifffahrt wird dem ISM-Code eine große Bedeutung beigemessen. Deshalb können auf die Nichtbefolgung des Safety Management Systems auch zum Teil empfindliche Strafen folgen. Sollten demnach keine effektiven Abwehrmaßnahmen gegen Cyber-Angriffe arrangiert worden sein, droht dem Schiffsbetreiber oder Reeder neben einer empfindlichen (Geld-)Strafe oder die Deklassierung des Schiffes sogar ein möglicher Arrest des Schiffes durch Hafenbehörden - von dem erhöhten Risiko, Opfer eines erfolgreichen Hackerangriffs zu werden, dem Verlust des Versicherungsschutzes oder dem Imageschaden ganz zu schweigen.

Die maritimen Akteure stehen vor der scheinbar endlosen Herausforderung, auf immer neue Mittel und Methoden der Hacker reagieren zu müssen. Umso schwerer wiegt es dabei, dass die Auslegung des ISM-Codes eine eigene Herausforderung ist: Denn das Regelwerk enthält keine eindeutigen Ausführungen dazu, welche genauen Cyber-Abwehrmaßnahmen zu ergreifen sind, um einer Strafe zu entgehen. Ist die Tatsache, dass ein ungeschütztes Schiff Opfer eines Hackerangriffs geworden ist, nicht schon "Strafe" genug? Oder müssen bestimmte Cyber-Abwehr-Mindestmaßnahmen ergriffen werden? Wenn ja, was ist das Mindeste?

Man sollte, muss aber nicht

Doch die Regelungslücken und Unklarheiten im ISM-Code sind nicht der Grund dafür, dass das Recht im Kampf gegen die Cyber-Angriffe die größte Schwachstelle ist. Die IMO setzt vielmehr gänzlich auf die Selbstverpflichtung ehrlicher Schiffsbetreiber und Reeder, denn die auf dem Recht basierenden Guidelines sind nur Empfehlungen und keinesfalls Pflichten. Warum dennoch für die Umsetzung dieser Unverbindlichkeiten ein großzügiger Zeitraum bis zum 1. Januar 2021 eingeräumt wird, erschließt sich nicht ohne Weiteres.

Natürlich ist ein effektives Cyber-Abwehrsystem teuer und erfordert Beständigkeit. Erfahrungsgemäß wird es deswegen immer Schiffsbetreiber und Reeder geben, die entweder keine oder nur unzureichende Abwehrmaßnahmen ergreifen. Deren Schiffe sind dann besonders gefährdet, Opfer erfolgreicher Hackerangriffe zu werden. Dies könnte zu unkontrollierbaren Schiffen auf hoher See oder in Hafengebieten führen bis hin zu provozierten Zusammenstößen. Solche Schreckensszenarien werden insbesondere beim Betrieb unbemannter Schiffe befürchtet, mit dem mittelfristig zu rechnen ist.

Es bleibt also spannend, wie viele Hackerangriffe noch erforderlich sind, damit Cyber-Abwehrmaßnahmen für alle maritimen Akteure rechtlich verbindlich werden. Daran, dass Cyber-Abwehr einmal Pflicht wird, besteht gegenwärtig kein Zweifel.

Der Autor Dr. Oliver Daum ist Rechtsanwalt bei der auf maritime Rechtsfragen spezialisierten Kanzlei Ince & Co Germany LLP in Hamburg und veröffentlicht regelmäßig zu maritimen und see(sicherheits-)rechtlichen Fragestellungen.