Mehr als 90 Prozent der weltweit gehandelten Güter werden auf dem Seeweg transportiert – gerade für den „Exportweltmeister“ Deutschland sind die Häfen daher eine zentrale Voraussetzung für den wirtschaftlichen Erfolg. Ein Ausfall der Hafeninfrastrukturen würde jedoch nicht nur finanzielle Folgen haben, sondern könnte auch zu Versorgungsengpässen bei der Bevölkerung führen. Nicht zuletzt können auch gravierende Sicherheitsrisiken entstehen, wenn Gefahrgüter nicht sachgemäß umgeschlagen und überwacht werden. Einen möglichen Angriffspunkt bilden dabei die Informations- und Kommunikationstechnologien: In modernen Häfen wird der gesamte Umschlag mittlerweile elektronisch gesteuert und der Datenaustausch zwischen einer Vielzahl von Beteiligten zentral organisiert. Ein Konsortium aus Bremer Forschungseinrichtungen und Unternehmen entwickelt daher jetzt Lösungen für die verstärkte Absicherung dieser Kommunikationsplattformen, die als Hafentelematik-Systeme bezeichnet werden.

 

Verschiedene Bedrohungsszenarien

Das ISL betrachtet seit vielen Jahren Bedrohungen bezüglich der Sicherheit der Lieferkette mit Schwerpunkt auf den Containerverkehr. Im Projekt PortSec geht es nun erstmals gezielt um die jüngste Art der Bedrohung – Angriffe auf IT-Systeme. „So könnten zum Beispiel vertrauliche Daten über manipulierte Nutzerkonten abgegriffen werden, um damit kriminelle Handlungen wie Drogenschmuggel vorzubereiten“, erklärt Professor Frank Arendt, wissenschaftlicher Geschäftsführer am ISL. „Auch Sabotageakte sind vorstellbar.“ Das Projektkonsortium untersucht daher, wie existierende Hafentelematik-Systeme künftig weitgehend automatisch auf Schwachstellen getestet werden können, um sie im Voraus gegen verschiedene Bedrohungsszenarien abzusichern. „Hierbei soll auch ein entsprechender Standard entwickelt werden, damit sich Betreiber bezüglich der Sicherheit ihrer Hafentelematik-Systeme zertifizieren lassen können“, erklärt Arendt.

 

Schwachstellen auf Knopfdruck finden

Das TZI der Universität Bremen verfügt über umfassendes Know-how bei der automatisierten Prüfung von Software auf mögliche Schwachstellen. „Es wäre sehr zeitaufwändig und teuer, jede Zeile eines Programms einzeln durchzusehen und von einem Analysten prüfen zu lassen“, erklärt Dr. Karsten Sohr, der am TZI das Thema Informationssicherheit koordiniert. „Wir entwickeln daher Systeme, die den Bauplan der Software untersuchen und dort vor allem die Kommunikationsschnittstellen nach außen aufzeigen. Diese Zugänge müssen ausreichend gesichert sein.“ Im Bereich der Hafentelematik wird jedoch nicht nur der Programmcode auf diese Weise durchleuchtet, sondern das gesamte Netzwerk, sodass die Software-Analyse mit der Sicherheit des Rechnernetzes verbunden wird.

 

Zertifizierung für Telematiksysteme

Die Ergebnisse der automatischen Untersuchung werden anschließend von Experten begutachtet, um aufgeworfene Fragen zu klären und Handlungsempfehlungen abzuleiten. Übernommen wird diese Rolle von der datenschutz cert GmbH, einer Prüf- und Zertifizierungsgesellschaft mit Fokus auf Datenschutz und IT-Sicherheit. „Wir haben bereits andere Projekte erfolgreich mit dem TZI durchgeführt und daraus neue Dienstleistungen entwickelt, die vom Markt nachgefragt werden“, berichtet Jan Schirrmacher. Akuten Handlungsbedarf bei Häfen sieht er aufgrund des neuen IT-Sicherheitsgesetzes, das die Bundesregierung im vergangenen Jahr verabschiedet hat. Betreiber von sogenannten „kritischen Infrastrukturen“ müssen in Zukunft sicherstellen, dass sie nach dem aktuellen Stand der Technik geschützt sind. datenschutz cert will die Ergebnisse des Projekts PortSec nutzen, um entsprechende Zertifizierungen für Hafentelematiksysteme anzubieten.

 

Mehr Sicherheit als bei Qualitätsnormen

Als weiterer Wirtschaftspartner ist die dbh Logistics IT AG ebenfalls zentral am Verbundprojekt beteiligt – sie entwickelt und betreibt unter anderem die Hafentelematik- und Port-Community-Systeme für die Bremischen Häfen (Bremen und Bremerhaven) sowie den Jade-Weser-Port in Wilhelmshaven. Das Unternehmen ist bereits nach dem IT-Qualitätsstandard ISO 27001 zertifiziert, möchte aber noch einen Schritt weitergehen, denn eine aktive Suche nach Schwachstellen in der Software ist noch kein geforderter Bestandteil der internationalen Norm. Im Rahmen des Projekts will die dbh dieses Thema angehen und dabei untersuchen, wie werkzeugunterstützte Risikoanalysen von Software in das ISO-27001-Rahmenwerk eingebunden werden können. Zum Abschluss des Projekts will das Konsortium prüfen, inwiefern der PortSec-Ansatz auch auf andere Branchen übertragen werden kann.