Die Diskussion "Crew Awareness oder technische Maßnahmen?" wird in der maritimen Branche regelmäßig geführt — und sie führt regelmäßig in die Irre. Die Frage suggeriert, dass man sich für eine Seite entscheiden müsste. In der Realität ist beides unverzichtbar und nur in Kombination wirksam.
Technische Maßnahmen ohne geschulte Besatzung sind wie eine Feuerlöschanlage ohne jemanden, der den Alarm erkennt. Eine Firewall schützt das Netzwerk — aber wenn ein Besatzungsmitglied einen infizierten USB-Stick direkt an einen Automations-PC anschließt, weil es die Anweisung nicht kennt, umgeht es jede Netzwerkschutzmaßnahme. Umgekehrt nützt das beste Awareness-Programm wenig, wenn das Netzwerk so konfiguriert ist, dass ein einzelner kompromittierter Rechner alle Systeme erreichen kann.
IACS hat das in UR E26 klar adressiert: Cyber-Resilienz erfordert sowohl technische als auch organisatorische Maßnahmen. Die IMO Guidelines MSC-FAL.1/Circ.3 betonen ebenfalls, dass Schulung und Technik Hand in Hand gehen müssen. Der Ansatz muss ganzheitlich sein — Defence in Depth, wie es in der Sicherheitsterminologie heißt. Mehrere Schutzschichten, die sich gegenseitig ergänzen.
Die praktische Herausforderung liegt darin, beide Ebenen aufeinander abzustimmen. Die Awareness-Schulung muss die tatsächlichen technischen Gegebenheiten an Bord widerspiegeln. Und die technischen Maßnahmen müssen berücksichtigen, dass die Besatzung mit den Systemen arbeiten muss — unter Zeitdruck, bei Schichtübergaben, unter widrigen Bedingungen.
The debate "crew awareness or technical measures?" is regularly conducted in the maritime industry — and it regularly leads astray. The question suggests that one must choose one side. In reality both are indispensable and only effective in combination.
Technical measures without a trained crew are like a fire suppression system without anyone who recognises the alarm. A firewall protects the network — but when a crew member plugs an infected USB stick directly into an automation PC because they do not know the instruction, they bypass every network protection measure. Conversely, the best awareness programme is of little use when the network is configured so that a single compromised computer can reach all systems.
IACS addressed this clearly in UR E26: cyber resilience requires both technical and organisational measures. The IMO Guidelines MSC-FAL.1/Circ.3 likewise emphasise that training and technology must go hand in hand. The approach must be holistic — defence in depth, as security terminology calls it. Multiple protective layers that complement each other.
The practical challenge lies in aligning both levels. Awareness training must reflect the actual technical circumstances onboard. And technical measures must account for the fact that crew must work with the systems — under time pressure, during watch handovers, under adverse conditions.
Technische Maßnahmen stoßen dort an ihre Grenzen, wo Menschen mit Systemen, Lieferanten und externen Schnittstellen interagieren. Vier Bereiche sind besonders kritisch:
Erstens: OEM-Fernwartung. Wenn ein Automation-Techniker sich per VPN auf den Automations-Server verbindet, ist das technisch ein autorisierter Zugriff. Ob der Techniker tatsächlich der ist, der er vorgibt zu sein, ob er nur die vereinbarten Arbeiten durchführt und ob die Session nach Abschluss ordnungsgemäß beendet wird — das kann Technik allein nicht sicherstellen. Hier braucht es eine geschulte Person an Bord, die den Zugriff überwacht und dokumentiert.
Zweitens: Software-Updates. OEMs liefern Updates per USB-Stick oder Remote-Session. Ein technisches System kann den USB-Stick auf Schadsoftware prüfen — aber ob der Stick tatsächlich vom OEM kommt und nicht von einer unbekannten Quelle, kann nur eine Person verifizieren, die den Prozess kennt und die Herkunft prüft.
Drittens: Alarme und Anomalien. Ein Monitoring-System kann eine ungewöhnliche Netzwerkaktivität erkennen und einen Alarm ausgeben. Aber die Entscheidung, ob es sich um einen regulären Vorgang (z.B. ein geplantes Update) oder um einen Vorfall handelt, erfordert menschliche Beurteilung. Ohne geschultes Personal, das Alarme richtig einordnen kann, werden sie entweder ignoriert oder lösen ungerechtfertigte Panik aus.
Viertens: Physische Zugriffe. Ein Besatzungsmitglied oder ein Werftarbeiter, der während eines Hafenaufenthalts ein Gerät an einen Netzwerkport anschließt, umgeht jede netzwerkseitige Schutzmaßnahme. Die Awareness muss vermitteln, warum unbekannte Geräte nicht angeschlossen werden dürfen und welche Ports physisch gesichert sein sollten.
Technical measures reach their limits where people interact with systems, suppliers and external interfaces. Four areas are particularly critical:
First: OEM remote maintenance. When an automation technician connects to the automation server via VPN, this is technically an authorised access. Whether the technician actually is who they claim to be, whether they perform only the agreed work and whether the session is properly terminated afterwards — technology alone cannot ensure this. A trained person onboard is needed to monitor and document the access.
Second: software updates. OEMs deliver updates via USB stick or remote session. A technical system can scan the USB stick for malware — but whether the stick actually comes from the OEM and not from an unknown source can only be verified by a person who knows the process and checks the origin.
Third: alarms and anomalies. A monitoring system can detect unusual network activity and generate an alarm. But the decision whether this is a regular operation (e.g. a planned update) or an incident requires human judgement. Without trained personnel who can correctly assess alarms, they are either ignored or trigger unjustified alarm.
Fourth: physical access. A crew member or yard worker who connects a device to a network port during a port call bypasses every network-side protection measure. Awareness must convey why unknown devices must not be connected and which ports should be physically secured.
Crew Awareness im Cyber-Kontext ist nicht die jährliche PowerPoint-Präsentation über Phishing-E-Mails. Es geht um das Etablieren sicherer Routinen, die im Bordalltag verankert sind. Vier Bereiche stehen im Vordergrund:
Zugangskontrolle: Wer darf auf welche Systeme zugreifen? Besatzungsmitglieder müssen wissen, dass Standardpasswörter geändert werden müssen, dass Zugangsdaten nicht geteilt werden und dass jeder Zugriff auf sicherheitskritische Systeme nachvollziehbar sein muss. Das ist keine IT-Schulung — es ist Teil der Bordorganisation.
Umgang mit Wechseldatenträgern: USB-Sticks sind der häufigste physische Infektionsvektor an Bord. Die Besatzung muss verstehen, warum unbekannte USB-Sticks nicht an vernetzte Systeme angeschlossen werden dürfen. Das betrifft nicht nur den Kapitän, sondern jeden, der Zugang zu einem PC hat — vom Ingenieur bis zum Kadetten.
Meldewesen: Wenn etwas Ungewöhnliches passiert — ein System reagiert langsam, ein unbekanntes Fenster öffnet sich, ein Netzwerkgerät zeigt eine unerwartete Aktivität — muss die Besatzung wissen, wem sie das melden soll und dass eine Meldung keine Bestrafung nach sich zieht. Viele Vorfälle werden nicht gemeldet, weil die Crew Angst hat, etwas falsch gemacht zu haben.
Fernzugriffe: Wenn ein OEM-Techniker Fernzugriff anfordert, muss die Besatzung wissen, was sie prüfen und dokumentieren soll. Wer hat den Zugriff autorisiert? Auf welches System? Für welchen Zeitraum? Was wurde gemacht? Diese Informationen müssen erfasst werden — nicht als Bürokratie, sondern als Grundlage für die Nachvollziehbarkeit.
Crew awareness in the cyber context is not the annual PowerPoint presentation about phishing emails. It is about establishing safe routines embedded in daily onboard operations. Four areas are central:
Access control: who may access which systems? Crew members must know that default passwords must be changed, that credentials must not be shared and that every access to safety-critical systems must be traceable. This is not IT training — it is part of onboard organisation.
Handling removable media: USB sticks are the most common physical infection vector onboard. The crew must understand why unknown USB sticks must not be connected to networked systems. This affects not only the master but everyone with access to a PC — from the engineer to the cadet.
Reporting: when something unusual happens — a system responds slowly, an unknown window opens, a network device shows unexpected activity — the crew must know whom to report it to and that reporting will not result in punishment. Many incidents go unreported because the crew fears having done something wrong.
Remote access: when an OEM technician requests remote access, the crew must know what to check and document. Who authorised the access? To which system? For what duration? What was done? This information must be recorded — not as bureaucracy but as the basis for traceability.
Die Verbindung von technischen Maßnahmen und Crew Awareness gelingt, wenn beide auf derselben Risikobasis aufbauen. Konkret heißt das: Die Risikoanalyse identifiziert die kritischen CBS und ihre Schwachstellen. Daraus werden technische Maßnahmen abgeleitet (Segmentierung, Zugriffskontrolle, Monitoring) und organisatorische Verfahren (Handlungsanweisungen, Meldeprotokolle, Schulungsinhalte).
Das SMS ist der natürliche Ort für diese Integration. Cyber-Verfahren sollten dort nicht als separates Kapitel stehen, sondern in die bestehenden Abschnitte eingebettet werden — Navigation, Maschinenbetrieb, Notfallverfahren. So wird Cyber Teil der normalen Bordorganisation und nicht als Fremdkörper wahrgenommen.
Ein praktisches Beispiel: Das Verfahren für OEM-Fernwartung. Technisch wird der VPN-Zugang über einen kontrollierten Conduit geführt und nach Abschluss der Session automatisch getrennt. Organisatorisch dokumentiert der Chief Engineer den Zugriff im Logbuch, prüft die Identität des Technikers und bestätigt den Abschluss. Beides greift ineinander — das technische System begrenzt den Zugriff, die organisatorische Maßnahme stellt die Überwachung sicher.
Connecting technical measures and crew awareness succeeds when both build on the same risk basis. Concretely this means: the risk analysis identifies the critical CBS and their vulnerabilities. From this, technical measures are derived (segmentation, access control, monitoring) and organisational procedures (instructions, reporting protocols, training content).
The SMS is the natural place for this integration. Cyber procedures should not stand as a separate chapter there but be embedded in existing sections — navigation, machinery operation, emergency procedures. This way cyber becomes part of normal onboard organisation and is not perceived as a foreign element.
A practical example: the procedure for OEM remote maintenance. Technically, VPN access is routed through a controlled conduit and automatically disconnected after the session ends. Organisationally, the Chief Engineer documents the access in the logbook, verifies the technician's identity and confirms completion. Both interlock — the technical system limits access, the organisational measure ensures oversight.
Defence in Depth — Verteidigung in der Tiefe — ist kein Marketing-Begriff, sondern ein bewährtes Sicherheitskonzept. Es basiert auf der Annahme, dass keine einzelne Schutzmaßnahme perfekt ist. Stattdessen werden mehrere Schutzschichten übereinander gelegt, so dass ein Versagen einer Schicht durch die nächste aufgefangen wird.
Übertragen auf ein Schiff sieht das so aus: Schicht 1 ist die Netzwerkperimeter-Kontrolle — die Firewall zwischen VSAT und Bordnetzwerk. Schicht 2 ist die Netzwerksegmentierung — die Trennung von OT, Navigation und Crew-Internet. Schicht 3 ist die System-Härtung — das Deaktivieren unnötiger Dienste, das Ändern von Standardpasswörtern, das Einspielen von Patches. Schicht 4 ist die Zugriffskontrolle — wer darf auf welche Systeme zugreifen. Schicht 5 ist das Monitoring — das Erkennen von Anomalien. Schicht 6 ist die Crew Awareness — das menschliche Element, das die Lücken zwischen den technischen Schichten schließt.
Jede Schicht für sich ist unvollständig. Die Firewall kann umgangen werden (USB-Stick). Die Segmentierung kann durchbrochen werden (unkontrollierter Switch). Die Härtung kann veralten (fehlende Patches). Die Zugriffskontrolle kann versagen (geteilte Passwörter). Das Monitoring kann überfordert sein (zu viele Alarme). Aber in Kombination schafft das mehrschichtige Konzept eine Resilienz, die weit über die Summe der Einzelmaßnahmen hinausgeht.
Für Betreiber bedeutet das: Nicht in eine einzelne Technologie investieren und hoffen, dass sie alles abdeckt. Stattdessen ein ausgewogenes Portfolio an Maßnahmen aufbauen — technisch und organisatorisch — das in sich konsistent ist und regelmäßig überprüft wird.
Defence in depth is not a marketing term but a proven security concept. It is based on the assumption that no single protective measure is perfect. Instead, multiple protective layers are stacked so that the failure of one layer is caught by the next.
Applied to a vessel this looks as follows: Layer 1 is network perimeter control — the firewall between VSAT and the onboard network. Layer 2 is network segmentation — separating OT, navigation and crew internet. Layer 3 is system hardening — deactivating unnecessary services, changing default passwords, applying patches. Layer 4 is access control — who may access which systems. Layer 5 is monitoring — detecting anomalies. Layer 6 is crew awareness — the human element that closes the gaps between technical layers.
Each layer on its own is incomplete. The firewall can be bypassed (USB stick). Segmentation can be breached (uncontrolled switch). Hardening can become outdated (missing patches). Access control can fail (shared passwords). Monitoring can be overwhelmed (too many alarms). But in combination, the multi-layered concept creates a resilience far exceeding the sum of individual measures.
For operators this means: do not invest in a single technology and hope it covers everything. Instead build a balanced portfolio of measures — technical and organisational — that is internally consistent and regularly reviewed.
Die effektivsten Awareness-Programme in der Schifffahrt sind diejenigen, die konkret und bordnah sind. Generische Online-Kurse über Phishing-E-Mails an Land sind für eine Besatzung, die mit Automationssystemen und Navigationsgeräten arbeitet, nur begrenzt hilfreich.
Was funktioniert: Schulungen, die auf den konkreten Systemen an Bord basieren. Welche Systeme sind vernetzt? Wo sind die Fernzugriffspunkte? Was tun wir, wenn ein System sich ungewöhnlich verhält? Diese Fragen sollten in jeder Einweisung neuer Besatzungsmitglieder und in regelmäßigen Auffrischungen behandelt werden.
Tabletop-Übungen haben sich als besonders wirksam erwiesen. Ein Szenario wird durchgespielt: "Das ECDIS zeigt einen Bluescreen. Was sind die nächsten Schritte?" Die Besatzung diskutiert die Handlungsoptionen, identifiziert Lücken im Verfahren und entwickelt ein besseres Verständnis für die Zusammenhänge. Solche Übungen kosten kein Equipment, nur eine Stunde Zeit — und sie erzeugen ein nachhaltigeres Verständnis als jede Präsentation.
The most effective awareness programmes in shipping are those that are concrete and close to onboard reality. Generic online courses about phishing emails ashore are of limited use for a crew working with automation systems and navigation equipment.
What works: training based on the actual systems onboard. Which systems are networked? Where are the remote access points? What do we do when a system behaves unusually? These questions should be covered in every induction of new crew members and in regular refreshers.
Tabletop exercises have proven particularly effective. A scenario is walked through: "ECDIS shows a blue screen. What are the next steps?" The crew discusses the options, identifies gaps in the procedure and develops a more sustainable understanding of the relationships. Such exercises require no equipment, only one hour of time — and they produce a more lasting understanding than any presentation.
Unverbindliches Erstgespräch – wir analysieren Ihre Situation und finden den besten Weg.Free initial consultation – we analyze your situation and find the best path forward.
Beratung anfragenRequest Consulting