Moderne See- und Binnenhäfen werden zunehmend durch IT-Systeme gesteuert. Der reibungslose Informationsaustausch zwischen den Hafenakteuren ist dabei von großer wirtschaftlicher Bedeutung. Bereits kürzeste Systemausfälle können zu erheblichen finanziellen Schäden führen. Im neuen Projekt SecProPort, das vom Bundesministerium für Verkehr und digitale Infrastruktur (BMVI) gefördert wird, entwickelt ein Konsortium aus Industrie und Forschung – darunter das Deutsche Forschungszentrum für Künstliche Intelligenz (DFKI) und die Universität Bremen – eine Sicherheitsarchitektur, die der Hafenlogistik einen umfassenden Schutz vor Cyberangriffen bieten soll.
Der gesamte Verkehr im Norden Deutschlands lahmgelegt wegen eines Angriffs auf die IT-Struktur der Bremer Häfen – das ist keineswegs Science-Fiction. Zu einer ähnlichen Situation kam es im Sommer 2017 nach einem Cyberangriff auf IT-Systeme einer der weltgrößten Reedereien – mit erheblichen wirtschaftlichen Konsequenzen.
Ein Grund für die weitreichenden Folgen: Heute sind alle am Hafentransport beteiligten Akteure – z.B. Terminalbetreiber, Reeder, Spediteure, Betreiber von Hafen-IT, Bahn, Hafenbehörden, Zoll – über ihre eigenen, historisch gewachsenen IT-Systeme in einem komplexen Hafenkommunikationsverbund miteinander vernetzt. Gelingt es einem Angreifer, diesen Verbund erfolgreich anzugreifen – sei es durch einen Angriff auf das IT-System eines Hafenakteurs oder als Innentäter – kann er manipulierte Nachrichten in das Gesamtsystem einspielen und beispielsweise Containerinformationen manipulieren, vertrauliche Daten abgreifen oder Zollfreigaben blockieren. Dies kann schlimmstenfalls zu einem Totalausfall des gesamten Hafenbetriebs einschließlich der damit verbundenen Transportinfrastruktur führen.
Projektziel von SecProPort: Umfassende IT-Sicherheitsarchitektur für den Hafenkommunikationsverbund
Trotz der großen Sicherheitsrisiken existiert bislang keine umfassende Sicherheitsarchitektur, die den gesamten Hafenkommunikationsverbund vor derlei Angriffen schützt. Hier setzt das im November 2018 gestartete Verbundprojekt SecProPort an, das vom Bundesministerium für Verkehr und digitale Infrastruktur (BMVI) im Rahmen des Förderprogramms Innovative Hafentechnologien (IHATEC) über eine Laufzeit von drei Jahren gefördert wird. Es hat zum Ziel, eine allgemeine und umfassende IT-Sicherheitsarchitektur für das in Häfen zum Einsatz kommende Kommunikationsnetzwerk zu entwickeln. Die innovative Architektur soll die verschiedenen Sicherheitsanforderungen der in dem Netzwerk ablaufenden Arbeitsprozesse unterstützen, diese vor Sabotage schützen und das Ausspionieren von sensiblen Daten durch Dritte verhindern. Zudem wird die Architektur Resilienz-Maßnahmen bereitstellen, die im Schadensfall die Auswirkungen auf andere Akteure des Verbunds minimieren und das betroffene Netz in kontrollierter Weise wieder in den Normalzustand zurückführen soll.
Acht Verbundpartner vereinen Expertise in den Bereichen Hafenwirtschaft und IT-Sicherheit
Zur Umsetzung der angestrebten Architektur werden zunächst typische Angriffsszenarien der im Hafenkommunikationsverbund verarbeiteten Informationen analysiert. Darauf aufbauend soll die Sicherheitsarchitektur für den Verbund erarbeitet und prototypisch in Zusammenarbeit mit den Anwendungspartnern umgesetzt werden. Das Projekt verfolgt dabei einen präventiven Ansatz: So spielen Sicherheitsaspekte im Entwicklungsprozess von Anfang an eine zentrale Rolle, um später im Angriffsfall größere Schäden zu verhindern. Damit dies erfolgreich gelingt, vereint das Projekt die Expertise von acht Projektpartnern, zu denen neben Akteuren aus der Hafenwirtschaft – dbh Logistics IT AG, Hapag-Lloyd AG, BLG LOGISTICS GROUP AG & Co. KG und Duisburger Hafen AG – Forschungseinrichtungen – DFKI GmbH, Institut für Seeverkehrswirtschaft und Logistik (ISL) und Universität Bremen – sowie ein Dienstleister im Bereich der Informationssicherheit, die datenschutz cert GmbH, gehören.
Sicherheitsarchitektur auf Basis spezifischer Anforderungen der Hafenbeteiligten
Der DFKI-Forschungsbereich Cyber-Physical Systems unter Leitung von Prof. Dr. Rolf Drechsler verfügt über langjährige Expertise auf dem Gebiet der Datensicherheit in vernetzten Systemen. Die ebenfalls von Professor Drechsler geleitete Arbeitsgruppe Rechnerarchitektur der Universität Bremen und das Technologie-Zentrum Informatik und Informationstechnik (TZI), das ebenfalls zur Universität Bremen gehört, beschäftigen sich seit vielen Jahren mit Netz- und Softwaresicherheit. Letztere waren bereits am Forschungsprojekt PortSec beteiligt, in dem die Sicherheit eines Port Community Systems untersucht und verbessert wurde.
Beide Forschungspartner sind in SecProPort maßgeblich für die Entwicklung einer geeigneten Sicherheitsarchitektur und entsprechender Konzepte verantwortlich, um die Resilienz des Systems gegen Angriffe zu verbessern. Dafür formalisieren sie zunächst die von den Industriepartnern spezifizierten Arbeitsprozesse sowie Rollen der einzelnen Akteure im Gesamtsystem mit ihren Sicherheitsanforderungen. Anhand der sich daraus ergebenen Vertrauensverhältnisse erarbeiten die Forscher eine generelle Sicherheitspolitik, welche die Integrität und die Vertraulichkeit der im Gesamtsystem vorhandenen Informationen regelt.
Zusätzlich erstellen sie ein Angreifermodell, das die Annahmen über die Fähigkeiten eines internen bzw. externen Angreifers enthält. Daraus leiten die Wissenschaftler dann die notwendigen Sicherheitsmechanismen ab, die zur Einhaltung der Sicherheitspolitik erforderlich sind. Gemeinsam werden die Forschungseinrichtungen in einem Demonstrator zeigen, wie sich durch SecProPort die Sicherheit der Häfen gegen Cyberangriffe verbessern lässt.
Weitere Informationen:
– Webseite DFKI
– Webseite Uni Bremen
Verwandte Artikel:
– Forschungsprojekt PortForward: Digitalisierung europäischer Häfen (2. Juli 2018)
– Projekt PortSec: Den Hafen vor IT-Angriffen schützen (25. Oktober 2016)