Cyber ist ein Superintendent-ThemaCyber Is a Superintendent Topic

Immer mehr Bordsysteme sind digital vernetzt und softwareabhängig.

An increasing number of onboard systems are digitally networked and software-dependent.

Verstehen welche Systeme vernetzt sind, wo Fernzugriffe laufen und wie Updates funktionieren.

Understanding which systems are networked, where remote access is in use and how updates are managed.

Ein Ausfall durch fehlerhafte Software hat andere Konsequenzen als ein Bro-IT-Vorfall.

A failure caused by faulty software has different consequences than an office IT incident.

Pragmatisch: Systemkenntnis, kritische Abhängigkeiten und Abstimmung mit IT.

Pragmatically: system knowledge, critical dependencies and coordination with IT.

Die gängige Unterscheidung zwischen IT (Informationstechnologie) und OT (Operational Technology) ist für Superintendenten der Schlüssel zum Verständnis. IT-Systeme an Bord umfassen E-Mail, Internet, Verwaltungssoftware – Systeme, die bei einem Ausfall ärgerlich, aber nicht sicherheitskritisch sind. OT-Systeme hingegen steuern oder überwachen physische Prozesse: Hauptmaschinen-Steuerung, Alarmsysteme, Navigation, Ballastwasser-Management, Power-Management-Systeme.

Das Problem: Die Grenzen zwischen IT und OT verschwimmen zunehmend. Moderne Schiffe haben vernetzte Systeme, in denen ein kompromittiertes Büronetzwerk potenziell Zugang zu OT-Systemen eröffnet. USB-Sticks, die für Software-Updates an Steuerungssystemen verwendet werden, sind ein weiterer Angriffsvektor. Fernüberwachungszugänge, die Hersteller für Diagnose und Wartung nutzen, schaffen zusätzliche Eintrittspunkte.

Für einen Superintendenten sind folgende Systeme besonders relevant: ECDIS (Electronic Chart Display and Information System), das bei Manipulation zu Navigationsfehlern führen kann. AIS (Automatic Identification System), das als Eingabe für Kollisionsvermeidung dient. GMDSS (Global Maritime Distress and Safety System), dessen Ausfall Rettungsfähigkeit beeinträchtigt. Und das Power Management System, dessen Fehlsteuerung zu einem Blackout führen kann.

Die IACS Unified Requirements E26 und E27 adressieren diese Risiken für Neubauten ab 2024. E26 definiert Anforderungen an die Cyber-Resilienz des Schiffes, E27 an Systemlieferanten. Für bestehende Schiffe gelten diese Anforderungen nicht direkt – aber die zugrunde liegenden Risiken sind identisch. Superintendenten, die Bestandsflotten betreuen, müssen daher ihre eigene Risikobewertung vornehmen.

The common distinction between IT (information technology) and OT (operational technology) is the key to understanding for superintendents. IT systems on board include email, internet, administrative software – systems whose failure is inconvenient but not safety-critical. OT systems, by contrast, control or monitor physical processes: main engine control, alarm systems, navigation, ballast water management, power management systems.

The problem: the boundaries between IT and OT are increasingly blurred. Modern vessels have networked systems in which a compromised office network can potentially open access to OT systems. USB sticks used for software updates on control systems are a further attack vector. Remote monitoring connections that manufacturers use for diagnostics and maintenance create additional entry points.

For a superintendent, the following systems are particularly relevant: ECDIS (Electronic Chart Display and Information System), which when tampered with can lead to navigation errors. AIS (Automatic Identification System), which serves as input for collision avoidance. GMDSS (Global Maritime Distress and Safety System), whose failure impairs rescue capability. And the power management system, whose misoperation can lead to a blackout.

IACS Unified Requirements E26 and E27 address these risks for newbuilds from 2024. E26 defines requirements for the cyber resilience of the vessel, E27 for system suppliers. For existing vessels, these requirements do not apply directly – but the underlying risks are identical. Superintendents who manage existing fleets must therefore conduct their own risk assessments.

Der erste Schritt erfordert keine IT-Expertise: eine Bestandsaufnahme der vernetzten Systeme an Bord. Welche Systeme sind mit dem Netzwerk verbunden? Welche haben Fernzugriffsmöglichkeiten? Welche werden über USB oder externe Datenträger aktualisiert? Diese Bestandsaufnahme kann der Superintendent gemeinsam mit dem Chief Engineer bei einem regulären Schiffsbesuch durchführen.

Der zweite Schritt betrifft die Zugangskontrolle. Wer hat Fernzugriff auf Bordsysteme? Sind die Zugänge dokumentiert, zeitlich begrenzt und mit klaren Verantwortlichkeiten versehen? In der Praxis finden sich häufig Fernzugänge, die nach einem Service-Einsatz des Herstellers nicht deaktiviert wurden – offene Türen, die niemand überwacht.

Der dritte Schritt ist die Integration von Cyber in bestehende Prozesse. Cyber-Risiken gehören in die Risikobewertung des ISM-Systems. Bei jeder Änderung an vernetzten Systemen – Software-Update, neue Hardware, neuer Fernzugang – sollte eine kurze Cyber-Prüfung stattfinden. Das muss keine umfassende Analyse sein, sondern ein strukturierter Dreifragen-Check: Was wird geändert? Wer hat Zugriff? Was passiert bei einem Ausfall?

Ein vierter Punkt betrifft die Besatzung. Crew Awareness Training für Cyber-Themen ist IMO-Pflicht seit 2021 im Rahmen des ISM-Codes. Aber die Qualität variiert enorm. Ein Superintendent kann darauf achten, dass die Schulung konkrete Bord-Szenarien enthält – nicht nur allgemeine Hinweise zu Phishing und Passwörtern.

The first step requires no IT expertise: a stocktake of networked systems on board. Which systems are connected to the network? Which have remote access capabilities? Which are updated via USB or external media? This stocktake can be conducted by the superintendent together with the chief engineer during a regular vessel visit.

The second step concerns access control. Who has remote access to onboard systems? Are the accesses documented, time-limited and assigned with clear responsibilities? In practice, remote access connections that were not deactivated after a manufacturer's service visit are frequently found – open doors that nobody monitors.

The third step is integrating cyber into existing processes. Cyber risks belong in the risk assessment of the ISM system. For every change to networked systems – software update, new hardware, new remote access – a brief cyber check should take place. This need not be a comprehensive analysis but a structured three-question check: what is being changed? Who has access? What happens in the event of a failure?

A fourth point concerns the crew. Crew awareness training for cyber topics has been an IMO requirement since 2021 under the ISM Code. But quality varies enormously. A superintendent can ensure that the training includes concrete onboard scenarios – not merely general advice on phishing and passwords.

Die regulatorische Landschaft hat sich in den letzten Jahren deutlich verdichtet. IMO Resolution MSC.428(98) verpflichtet seit 2021 alle Betreiber, Cyber-Risiken in ihr ISM-System zu integrieren. IACS UR E26/E27 gelten seit 2024 für Neubauten. Die EU NIS2-Richtlinie erfasst ab 2025 auch maritime Betreiber in den Mitgliedstaaten.

Reale Vorfälle unterstreichen die Relevanz: Maersk wurde 2017 durch den NotPetya-Angriff getroffen – geschätzte Kosten von 300 Millionen USD. Weniger spektakulär, aber häufiger sind gezielte Phishing-Angriffe auf Reedereien, gefälschte Zahlungsanweisungen und Ransomware-Attacken auf Shore-Systeme, die indirekt auch den Schiffsbetrieb beeinträchtigen.

Für Superintendenten ist wichtig zu verstehen, dass PSC-Inspektoren zunehmend auf Cyber-Aspekte achten. Die Frage „Wie ist Cyber in Ihrem ISM-System berücksichtigt?“ gehört mittlerweile zum Standardrepertoire. Wer darauf keine nachvollziehbare Antwort hat, riskiert Deficiencies.

The regulatory landscape has tightened considerably in recent years. IMO Resolution MSC.428(98) has required all operators to integrate cyber risks into their ISM system since 2021. IACS UR E26/E27 apply to newbuilds from 2024. The EU NIS2 Directive captures maritime operators in member states from 2025.

Real incidents underscore the relevance: Maersk was hit by the NotPetya attack in 2017 – estimated cost of USD 300 million. Less spectacular but more frequent are targeted phishing attacks on shipping companies, falsified payment instructions and ransomware attacks on shore-side systems that indirectly affect vessel operations as well.

For superintendents, it is important to understand that PSC inspectors are increasingly paying attention to cyber aspects. The question "How is cyber addressed in your ISM system?" is now part of the standard repertoire. Those without a cogent answer risk deficiencies.

Cyber ist nicht die alleinige Verantwortung des Superintendenten – aber er muss seinen Teil übernehmen. Die Strukturierung läuft in drei Ebenen: 1) Wissen: welche Systeme an Bord sind vernetzt und kritisch? 2) Prozess: sind Cyber-Risiken im ISM dokumentiert, und gibt es einen Prüfprozess bei Systemänderungen? 3) Kommunikation: ist die Abstimmung mit der IT-Abteilung und den Herstellern geregelt?

Der häufigste Fehler ist die vollständige Delegation an die IT. IT kann Netzwerke sichern und Software patchen. Aber IT versteht in der Regel nicht, welche Bordsysteme sicherheitskritisch sind und welche Ausfälle operative Konsequenzen haben. Diese Einschätzung kann nur jemand treffen, der die technische Seite des Schiffsbetriebs kennt – der Superintendent.

Cyber is not the sole responsibility of the superintendent – but they must shoulder their part. The structure operates on three levels: 1) Knowledge: which onboard systems are networked and critical? 2) Process: are cyber risks documented in the ISM, and is there a review process for system changes? 3) Communication: is coordination with the IT department and manufacturers established?

The most common mistake is complete delegation to IT. IT can secure networks and patch software. But IT typically does not understand which onboard systems are safety-critical and which failures have operational consequences. This assessment can only be made by someone who knows the technical side of vessel operations – the superintendent.

• OT-Systeme (Hauptmaschine, Navigation, Power Management) sind die eigentlichen Cyber-Risiken an Bord
• IACS UR E26/E27 gelten für Neubauten, aber die Risiken bestehen auch bei Bestandsschiffen
• Eine Bestandsaufnahme vernetzter Systeme ist der wichtigste erste Schritt
• Cyber gehört ins ISM-System und in jede Systemänderungsprüfung
• Vollständige Delegation an die IT ist der häufigste und gefährlichste Fehler

• OT systems (main engine, navigation, power management) are the actual cyber risks on board
• IACS UR E26/E27 apply to newbuilds, but the risks exist for existing vessels too
• A stocktake of networked systems is the most important first step
• Cyber belongs in the ISM system and in every system change review
• Complete delegation to IT is the most common and most dangerous mistake

• IACS Cyber Resilience erklärt
• Bestandsschiffe und Cyber
• Crew Awareness vs. technische Maßnahmen
• Cyber-Artikel ohne Buzzwords schreiben
• Recovery vs. Schutz in der Cyber-Abwehr

• IACS Cyber Resilience Explained
• Existing Vessels and Cyber
• Crew Awareness vs. Technical Measures
• Writing Cyber Articles Without Buzzwords
• Recovery vs. Protection in Cyber Defence