Logistik: Projekte

Projekt PortSec: Den Hafen vor IT-Angriffen schützen

Hafen Hamburg
Hafen Hamburg. Foto: Eberhard Buhl

Projekt „Sicherer Hafen“: Ein Konsortium aus Wirtschaft und Wissenschaft entwickelt unter Beteiligung der Universität Bremen ein System für das Risikomanagement von Informations- und Kommunikationstechnologien in Häfen, um dem Ausfall wichtiger Infrastrukturen vorzubeugen.

Mehr als 90 Prozent der weltweit gehandelten Güter werden auf dem Seeweg transportiert – gerade für den „Exportweltmeister“ Deutschland sind die Häfen daher eine zentrale Voraussetzung für den wirtschaftlichen Erfolg. Ein Ausfall der Hafeninfrastrukturen würde jedoch nicht nur finanzielle Folgen haben, sondern könnte auch zu Versorgungsengpässen bei der Bevölkerung führen. Nicht zuletzt können auch gravierende Sicherheitsrisiken entstehen, wenn Gefahrgüter nicht sachgemäß umgeschlagen und überwacht werden. Einen möglichen Angriffspunkt bilden dabei die Informations- und Kommunikationstechnologien: In modernen Häfen wird der gesamte Umschlag mittlerweile elektronisch gesteuert und der Datenaustausch zwischen einer Vielzahl von Beteiligten zentral organisiert.

Jeder Hafen ist angreifbar

Ein Konsortium aus Bremer Forschungseinrichtungen und Unternehmen entwickelt daher jetzt Lösungen für die verstärkte Absicherung dieser Kommunikationsplattformen, die als Hafentelematik-Systeme bezeichnet werden. Koordiniert wird das Projekt „IT-Risikomanagement in der Hafentelematik (PortSec)“ im Rahmen des Programms KMU-innovativ , das bis August 2018 läuft, vom Institut für Seeverkehrswirtschaft und Logistik (ISL). Als weiterer wissenschaftlicher Partner ist das Technologie-Zentrum Informatik und Informationstechnik der Universität Bremen (TZI) dabei, aus der Wirtschaft beteiligen sich die dbh Logistics IT AG und die datenschutz cert GmbH.

Verschiedene Bedrohungsszenarien

Das ISL betrachtet seit vielen Jahren Bedrohungen bezüglich der Sicherheit der Lieferkette mit Schwerpunkt auf den Containerverkehr. Im Projekt PortSec geht es nun erstmals gezielt um die jüngste Art der Bedrohung – Angriffe auf IT-Systeme. „So könnten zum Beispiel vertrauliche Daten über manipulierte Nutzerkonten abgegriffen werden, um damit kriminelle Handlungen wie Drogenschmuggel vorzubereiten“, erklärt Professor Frank Arendt, wissenschaftlicher Geschäftsführer am ISL. „Auch Sabotageakte sind vorstellbar.“ Das Projektkonsortium untersucht daher, wie existierende Hafentelematik-Systeme künftig weitgehend automatisch auf Schwachstellen getestet werden können, um sie im Voraus gegen verschiedene Bedrohungsszenarien abzusichern. „Hierbei soll auch ein entsprechender Standard entwickelt werden, damit sich Betreiber bezüglich der Sicherheit ihrer Hafentelematik-Systeme zertifizieren lassen können“, erklärt Arendt.

Schwachstellen auf Knopfdruck finden

Das TZI der Universität Bremen verfügt über umfassendes Knowhow bei der automatisierten Prüfung von Software auf mögliche Schwachstellen. „Es wäre sehr zeitaufwändig und teuer, jede Zeile eines Programms einzeln durchzusehen und von einem Analysten prüfen zu lassen“, erklärt Dr. Karsten Sohr, der am TZI das Thema Informationssicherheit koordiniert. „Wir entwickeln daher Systeme, die den Bauplan der Software untersuchen und dort vor allem die Kommunikationsschnittstellen nach außen aufzeigen. Diese Zugänge müssen ausreichend gesichert sein.“ Im Bereich der Hafentelematik wird jedoch nicht nur der Programmcode auf diese Weise durchleuchtet, sondern das gesamte Netzwerk, sodass die Software-Analyse mit der Sicherheit des Rechnernetzes verbunden wird.

Zertifizierung für Telematiksysteme

Die Ergebnisse der automatischen Untersuchung werden anschließend von Experten begutachtet, um aufgeworfene Fragen zu klären und Handlungsempfehlungen abzuleiten. Übernommen wird diese Rolle von der datenschutz cert GmbH, einer Prüf- und Zertifizierungsgesellschaft mit Fokus auf Datenschutz und IT-Sicherheit. „Wir haben bereits andere Projekte erfolgreich mit dem TZI durchgeführt und daraus neue Dienstleistungen entwickelt, die vom Markt nachgefragt werden“, berichtet Jan Schirrmacher. Akuten Handlungsbedarf bei Häfen sieht er aufgrund des neuen IT-Sicherheitsgesetzes, das die Bundesregierung im vergangenen Jahr verabschiedet hat. Betreiber sogenannter „kritischer Infrastrukturen“ müssen in Zukunft sicherstellen, dass sie nach dem aktuellen Stand der Technik geschützt sind. Das Unternehmen will die Ergebnisse des Projekts PortSec nutzen, um entsprechende Zertifizierungen für Hafentelematiksysteme anzubieten.

Mehr Sicherheit als bei Qualitätsnormen

Als weiterer Wirtschaftspartner ist auch die dbh Logistics IT AG zentral am Verbundprojekt beteiligt – sie entwickelt und betreibt unter anderem die Hafentelematik- und Port-Community-Systeme für die Bremischen Häfen (Bremen und Bremerhaven) sowie den Jade-Weser-Port in Wilhelmshaven. Das Unternehmen ist bereits nach dem IT-Qualitätsstandard ISO 27001 zertifiziert, möchte aber noch einen Schritt weitergehen, denn eine aktive Suche nach Schwachstellen in der Software ist noch kein geforderter Bestandteil der internationalen Norm. Im Rahmen des Projekts will die dbh dieses Thema angehen und dabei untersuchen, wie werkzeugunterstützte Risikoanalysen von Software in das ISO-27001-Rahmenwerk eingebunden werden können.

Das Bundesministerium für Bildung und Forschung (BMBF) fördert das Projekt „IT-Risikomanagement in der Hafentelematik (PortSec)“ im Rahmen des Programms KMU-innovativ mit rund 1,28 Millionen Euro. Zum Abschluss des Projekts will das Konsortium prüfen, inwiefern der PortSec-Ansatz auch auf andere Branchen übertragen werden kann.


Weitere Informationen:
Universität Bremen, Technologie-Zentrum Informatik und Informationstechnik (TZI)