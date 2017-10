Die Crew auf der Brücke der White Rose of Drachs bemerkte nichts, als ein paar junge Männer heimlich die Steuerung der 80-Millionen-Dollar-Jacht übernahmen. 50 Kilometer vor der Küste Italiens wich das Schiff langsam vom Kurs ab. Die Eindringlinge hatten den GPS-Empfänger gehackt. Während die Bord­instrumente den geplanten Kurs anzeigten, folgte das 65 Meter lange und 12 Meter breite Schiff dem Willen der Hacker.

Glücklicherweise war alles nur ein Experiment: Studenten der University of Texas wollten beweisen, dass es möglich ist, ein Schiff zu hacken. Sie waren mit ihrem Störsender auf Einladung des Jachtbesitzers an Bord. Das Experiment löste vor vier Jahren einigen Aufruhr aus, zeigte es doch, dass nicht nur technische Systeme an Land, sondern auch moderne Schiffe durch Hacks bedroht sind. Und je vernetzter die Technik an Bord ist, desto grösser ist das Risiko, dass Viren, Trojaner oder Hackerteams Schaden anrichten.

Das bedeutet auch, dass moderne Schiffe besonders verwundbar sind, weil dort viele Komponenten über Software gesteuert werden. Ältere Frachter haben dagegen meist eine Maschine, die vom Einspritzen des Treibstoffs bis zum Schiffspropeller rein mechanisch arbeitet. Moderne Schiffe wie etwa Kreuzfahrtriesen hingegen haben dieselelektrische Antriebe. Der Dieselmotor erzeugt Strom, mit dem Elektromotoren versorgt werden – natürlich von einer Software gesteuert.

Angriff auf grösste Reederei

Eine aktuelle Studie der Allianz-Versicherung kommt zum Schluss, dass für die Reedereien weltweit das Risiko zunimmt, Opfer einer Cyberattacke zu werden. «Dabei geht es nicht nur ­darum, dass ein Schiff gehackt wird», sagt ­Volker Dierks. Er ist bei der Allianz Global ­Corporate & Specialty (AGCS), dem ­Industrieversicherer der Allianz, verantwortlich für Schiffsversicherungen in Zentral- und Osteuropa. «Es geht vor ­allem auch um die Systeme der Reedereien an Land.»

Ein Alarmsignal für die gesamte Branche war vor kurzem der Angriff auf die dänische Firma Maersk, die grösste Reederei der Welt. Wie bei anderen Unternehmen auch war das Firmennetzwerk durch den Verschlüsselungstrojaner Petya für viele Stunden blockiert worden. Die Systeme mussten heruntergefahren werden. In vielen Ländern mussten die Schiffe warten, weil die Zentrale nicht mehr auf die Ladungsdaten zugreifen konnte. «Cyberkriminalität ist in der Schiffsbranche inzwischen ein grosses Thema», sagt Dierks von der AGCS. «Das sehen wir auch daran, dass die Nachfrage nach Cyberpolicen deutlich steigt.» Schon vor dem Maersk-Vorfall hatte es Angriffe auf Reedereien gegeben. In Belgien etwa hatten Drogenhändler Hacker engagiert, um ins IT-System eines Terminals einzudringen. Ihr Ziel: die Position von Containern herauszufinden, in denen Kokain und Heroin aus Südamerika versteckt war.

Von Hacks auf Schiffe hingegen ist bislang wenig bekannt – mal abgesehen von Experimenten wie dem der texanischen Studenten. Gleichwohl gibt es viele Schwachstellen: «Schiffe haben eine Lebensdauer von bis zu 25 Jahren, entsprechend sind die Steuersysteme nicht immer auf dem neuesten Stand der Technik», sagt Pierre Sames, Forschungs- und Entwicklungschef bei der Klassifizierungsgesellschaft DNV GL in Oslo. «Und da Schiffe ständig unterwegs sind, werden die Systeme in der Regel nicht in kurzen Abständen mit Software-Updates versorgt wie etwa Firmen­rechner an Land. Entsprechend viele Einfallstore kann es geben.» Bekannt sind Fälle, in denen Schadsoftware über einen USB-Anschluss ins Bordsystem eindrang – weil jemand einen Film auf dem Bordrechner speicherte oder sein Handy auflud.

Wie bei anderen Computern auch sind verseuchte E-Mails ein Problem, und natürlich ist es möglich, dass sich Angreifer über die Telefonverbindung via Satellit einwählen. «Verglichen mit einem Angriff an Land, ist ein Schiffs-Hack wegen der gegebenenfalls nicht permanenten Datenverbindung aber schwieriger», sagt Sames. «Ein Hacker, der ein Schiff manipulieren will, muss diese Hürde zusätzlich überwinden.»

Sollte ihm das gelingen, kann es allerdings eng werden. Wie der Fall der White Rose of Drachs zeigte, bemerkte die Crew nichts von der sanften Kursänderung. Im Ernstfall hätte die Jacht stranden können. Auch ist es denkbar, dass durch einen Virenangriff die Stromversorgung komplett ausfällt. Zwar gibt es Notstromaggregate, dennoch kann ein solcher Blackout dazu führen, dass sich ein Schiff nicht mehr steuern lässt. Zur Not kann die Crew in einem solchen Fall nur noch den Anker werfen, um Kollisionen zu verhindern.

Das Ruder in die Hand nehmen

Anders könnte es bei einem Softwarecrash in engen Fahrwassern ausgehen – etwa dem Suezkanal. Ein Schiff könnte sich querlegen und den Schiffsverkehr für Stunden oder gar Tage blockieren. Der wirtschaftliche Schaden wäre immens. Auch könnte ein Frachter während eines Blackouts mit einem Schiff oder einem Brückenpfeiler kollidieren. «Andererseits gibt es bei einem Schiff noch immer die Möglichkeit, das Ruder vom Maschinenraum aus manuell zu bewegen», sagt Christof Schwaner, Sprecher des Verbands Deutscher Reeder in Hamburg. «In der Regel kann man damit ein Schiff im Notfall auf Kurs halten.»

Schwaner räumt ein, dass es theoretisch denkbar sei, die Steuersysteme auf der Schiffsbrücke böswillig zu manipulieren – und das Schiff auf falschen Kurs zu bringen. Dazu müsste das GPS-Signal gestört werden, das die Schiffsposition wie das Navi im Auto auf einer elektronischen Karte anzeigt. Allerdings, sagt Schwaner, orientiere sich ein Offizier ­zusätzlich am Radarschirm und am Blick aus dem Fenster. Und in engen Fahr­wassern und Häfen komme ein Lotse hinzu. «Zudem kann heute ein Angriff durch Schadsoftware in der Regel nicht zu einem Komplettausfall führen, weil in den meisten Schiffen mehrere verschiedene Systeme verbaut sind, die nicht vernetzt sind.»

Schutzsoftware für Bordsysteme

Künftig aber werden Schiffe wie jede ­Industrieanlage auch immer weiter vernetzt werden. Das gilt insbesondere für solche, die autonom unterwegs sind. Erste Versuchsschiffe sollen in den nächsten Jahren auf Fahrt gehen. Daher bereite sich die maritime Industrie auf potenzielle Cyberrisiken vor, sagt Pierre Sames von DNV GL. «Anders als bisher im Schiffbau ist bei den aktuellen Konzepten für autonome Schiffe die IT-Sicherheit ein zentraler Bestandteil der Entwicklungsarbeit.»

Bleibt die Frage, wie man jene 50'000 Handelsschiffe sicher gegen Cyber­angriffe machen kann, die heute schon auf den Weltmeeren unterwegs sind. Der DNV GL bietet inzwischen Assessments für Reedereien an, in denen untersucht wird, wie sicher die Systeme sind. Und unter der Regie der International Chamber of Shipping in London wurde unlängst ein Leitfaden für mehr Cyber­sicherheit auf See veröffentlicht. Die Verhaltenstipps füllen gut 15 Seiten – diese reichen von festen Kabelschächten, in denen Datenleitungen sicher ­verstaut werden, damit niemand Abhör- oder Störtechnik einbauen kann, bis zu dem wenig überraschenden Hinweis, dass man die Bordsysteme mit aktueller Schutzsoftware ausstatten sollte.

Für den Besitzer eines Heimcomputers ist das längst selbstverständlich. In der Schifffahrt, die lange wenig vernetzt war, ist es noch nicht überall üblich.

