DigitalDigital

Bestehende Schiffe und CyberExisting Vessels and Cyber

Von Joshua KantnerBy Joshua Kantner · April 2026 · OceanSphere Consulting

Warum Bestandsflotten nicht außen vor sindWhy Existing Fleets Are Not Exempt

UR E26 und E27 gelten formal nur für Neubauten mit Vertragsabschluss nach dem 1. Juli 2024. Daraus zu schließen, dass Bestandsflotten von Cyber-Anforderungen unberührt bleiben, wäre ein gefährlicher Irrtum. Die regulatorische Realität sieht anders aus.

Seit 2021 verlangt IMO Resolution MSC.428(98), dass Cyber-Risiken im Safety Management System berücksichtigt werden. Das gilt für alle Schiffe, unabhängig vom Baujahr. Port State Control Inspektoren können und werden prüfen, ob Cyber-Risiken im SMS adressiert sind. Ein leerer Abschnitt oder eine generische Risikoanalyse, die keinen Bezug zu den tatsächlichen Systemen an Bord hat, wird zunehmend als unzureichend bewertet.

Hinzu kommt: Bestandsflotten sind in der Praxis oft vulnerabler als Neubauten. Über Jahre gewachsene Netzwerke, nachträglich installierte VSAT-Systeme, OEM-Fernzugriffe ohne Dokumentation, Betriebssysteme, die seit dem Bau nicht aktualisiert wurden — all das schafft eine Angriffsfläche, die bei einem gezielt geplanten Neubau so nicht entstehen würde.

Versicherer beobachten diese Entwicklung ebenfalls. Cyber-Versicherungsklauseln werden detaillierter, und die Frage nach dem Cyber-Risikomanagement taucht zunehmend bei P&I-Renewals auf. Ein Betreiber, der keine nachvollziehbare Antwort auf die Frage "Wie managen Sie Cyber-Risiken an Bord?" geben kann, wird mittelfristig höhere Prämien zahlen oder Deckungslücken akzeptieren müssen.

UR E26 and E27 formally apply only to newbuildings with contracts signed after 1 July 2024. Concluding from this that existing fleets remain untouched by cyber requirements would be a dangerous error. The regulatory reality looks different.

Since 2021, IMO Resolution MSC.428(98) requires that cyber risks be addressed in the Safety Management System. This applies to all vessels regardless of build year. Port State Control inspectors can and will check whether cyber risks are addressed in the SMS. An empty section or a generic risk analysis with no connection to the actual systems onboard is increasingly assessed as insufficient.

Additionally, existing fleets are in practice often more vulnerable than newbuildings. Networks that have grown over years, retrospectively installed VSAT systems, OEM remote access without documentation, operating systems that have not been updated since build — all of this creates an attack surface that would not exist in a purposefully planned newbuilding.

Insurers are observing this development as well. Cyber insurance clauses are becoming more detailed, and questions about cyber risk management are increasingly appearing at P&I renewals. An operator who cannot provide a traceable answer to the question "How do you manage cyber risks onboard?" will in the medium term pay higher premiums or accept coverage gaps.

Wo man anfangen sollteWhere to Start

Der erste und wichtigste Schritt ist ein sauberes Systeminventar. Das klingt trivial, ist aber in der Praxis die größte Einzelhürde. Viele Bestandsschiffe haben kein vollständiges Verzeichnis aller vernetzten Systeme. Es fehlt an einer zentralen Übersicht, die zeigt: welche CBS sind an Bord, wie sind sie miteinander verbunden, welche Software-Versionen laufen, und wer hat Fernzugriff.

Ein pragmatischer Ansatz: Bei der nächsten Besichtigung systematisch jedes System mit Netzwerkanbindung erfassen. Das umfasst offensichtliche Systeme wie ECDIS und Automations-PC, aber auch häufig übersehene wie Drucker im Netzwerk, CCTV-Systeme mit Netzwerkanbindung, Ballastwasser-Treatment-Steuerungen und digitale Tankpeilungssysteme.

Für jedes System sollten mindestens erfasst werden: Hersteller, Modell, Software-Version, Betriebssystem, Netzwerkanbindung (IP-Adresse, Subnetz, physischer Port), Fernzugriffsmöglichkeit und letztes Update-Datum. Das ergibt eine Arbeitstabelle, die als Grundlage für alle weiteren Schritte dient.

Dieses Inventar muss nicht in einem Durchgang perfekt sein. Wichtig ist, dass der Prozess beginnt und systematisch fortgesetzt wird. Ein Inventar, das 80% der Systeme abdeckt und lebt, ist unendlich wertvoller als ein Dokument, das auf 100% Vollständigkeit abzielt und deshalb nie fertig wird.

The first and most important step is a clean system inventory. This sounds trivial but is in practice the single greatest hurdle. Many existing vessels have no complete register of all networked systems. There is no central overview showing: which CBS are onboard, how they are connected to each other, which software versions are running, and who has remote access.

A pragmatic approach: during the next survey, systematically record every system with a network connection. This includes obvious systems such as ECDIS and automation PCs, but also frequently overlooked ones such as networked printers, CCTV systems with network connectivity, ballast water treatment controls and digital tank gauging systems.

For each system, the following should be recorded at minimum: manufacturer, model, software version, operating system, network connection (IP address, subnet, physical port), remote access capability and last update date. This produces a working table that serves as the basis for all subsequent steps.

This inventory need not be perfect in one pass. What matters is that the process begins and is systematically continued. An inventory covering 80% of systems and being actively maintained is infinitely more valuable than a document aiming for 100% completeness that therefore never gets finished.

⚓

Unverbindliches ErstgesprächFree Initial Consultation Unabhängige Marine-Engineering-Beratung. Wir finden eine Lösung.Independent marine engineering consulting. We find a solution.

KontaktContact

Welche Probleme typisch sindTypical Problems Encountered

Die häufigsten Probleme bei Bestandsflotten lassen sich in vier Kategorien zusammenfassen. Erstens: Unkontrollierte Fernzugriffe. OEM-Techniker verbinden sich per TeamViewer, AnyDesk oder VPN auf Bordsysteme. Oft ist nicht dokumentiert, wer wann worauf zugreift. In manchen Fällen sind permanente VPN-Tunnel eingerichtet, die dem Betreiber gar nicht bekannt sind — der OEM hat sie bei der Inbetriebnahme installiert und nie deaktiviert.

Zweitens: Veraltete Betriebssysteme. Windows XP und Windows 7 sind auf vielen Schiffen noch im Einsatz — auf ECDIS-Rechnern, Automations-Workstations und Ladungscomputern. Diese Systeme erhalten keine Sicherheitsupdates mehr. Jede bekannte Schwachstelle bleibt dauerhaft offen. Ein Patchen ist oft nicht möglich, weil der OEM nur bestimmte OS-Versionen unterstützt und ein Upgrade die Typzulassung gefährden könnte.

Drittens: Fehlende oder inkonsistente Dokumentation. Netzwerkpläne existieren nicht oder spiegeln den Stand bei Ablieferung wider, nicht den aktuellen Zustand. Über die Jahre wurden Systeme hinzugefügt, ersetzt oder umkonfiguriert, ohne die Dokumentation anzupassen. Das führt zu einer Situation, in der niemand an Bord oder an Land ein vollständiges Bild der Netzwerktopologie hat.

Viertens: Fehlende Netzwerktrennung. Auf vielen Bestandsschiffen teilen sich OT-Systeme und Crew-Internet dasselbe physische Netzwerk. Das war bei der Inbetriebnahme kein Problem, weil es kaum Internetanbindung gab. Seit VSAT-Breitband zum Standard geworden ist, stehen Automationssysteme plötzlich in einem Netzwerk, das mit dem Internet verbunden ist — über einen Pfad, der bei der ursprünglichen Installation nie vorgesehen war.

The most common problems with existing fleets can be summarised in four categories. First: uncontrolled remote access. OEM technicians connect to onboard systems via TeamViewer, AnyDesk or VPN. Often it is not documented who accesses what and when. In some cases permanent VPN tunnels have been set up that the operator is not even aware of — the OEM installed them during commissioning and never deactivated them.

Second: outdated operating systems. Windows XP and Windows 7 are still in use on many vessels — on ECDIS computers, automation workstations and cargo computers. These systems no longer receive security updates. Every known vulnerability remains permanently open. Patching is often not possible because the OEM only supports specific OS versions and an upgrade could jeopardise type approval.

Third: missing or inconsistent documentation. Network plans either do not exist or reflect the state at delivery, not the current condition. Over the years, systems were added, replaced or reconfigured without updating documentation. This leads to a situation where nobody onboard or ashore has a complete picture of the network topology.

Fourth: lacking network separation. On many existing vessels, OT systems and crew internet share the same physical network. This was not a problem at commissioning because there was hardly any internet connectivity. Since broadband VSAT became standard, automation systems suddenly sit in a network connected to the internet — via a path that was never intended in the original installation.

Wie ein realistischer Verbesserungsweg aussiehtWhat a Realistic Improvement Path Looks Like

Ein realistischer Verbesserungsweg für Bestandsflotten besteht aus vier Phasen: Inventarisierung, Priorisierung, Netzwerkdisziplin und Recovery-Fähigkeit.

Phase 1 — Inventarisierung — wurde bereits beschrieben. Ohne ein aktuelles CBS-Verzeichnis ist jede weitere Maßnahme Stochern im Nebel.

Phase 2 — Priorisierung — bedeutet: Nicht alles auf einmal lösen wollen. Die Risikobewertung sollte Systeme nach ihrer Sicherheitsrelevanz und ihrer Angreifbarkeit gewichten. Ein ECDIS mit veraltetem Betriebssystem und Fernzugriff hat eine höhere Priorität als ein vernetzter Drucker. Priorisierung schafft einen realistischen Fahrplan, der mit begrenzten Ressourcen umsetzbar ist.

Phase 3 — Netzwerkdisziplin — umfasst Maßnahmen, die oft ohne großen Investitionsaufwand umsetzbar sind: Standardpasswörter ändern, unnötige Netzwerkdienste deaktivieren, Fernzugriffe dokumentieren und kontrollieren, physische Ports, die nicht benötigt werden, deaktivieren. Bei Schiffen mit gemischten Netzwerken kann eine nachträgliche Segmentierung über VLANs oder zusätzliche Switches eine pragmatische Lösung sein.

Phase 4 — Recovery — ist die strategisch wichtigste. Für kritische Systeme müssen Wiederanlaufverfahren definiert und getestet werden. Was passiert, wenn das ECDIS nicht startet? Gibt es ein Backup? Wer stellt die Automation wieder her, wenn der Server kompromittiert ist? Wie navigiert das Schiff, wenn alle digitalen Systeme ausfallen? Diese Fragen müssen beantwortet und die Antworten regelmäßig geübt werden.

A realistic improvement path for existing fleets consists of four phases: inventory, prioritisation, network discipline and recovery capability.

Phase 1 — inventory — has already been described. Without a current CBS register, every further measure is guesswork.

Phase 2 — prioritisation — means: do not try to solve everything at once. The risk assessment should weight systems according to their safety relevance and their vulnerability. An ECDIS with an outdated operating system and remote access has higher priority than a networked printer. Prioritisation creates a realistic roadmap achievable with limited resources.

Phase 3 — network discipline — encompasses measures often achievable without major investment: change default passwords, deactivate unnecessary network services, document and control remote access, deactivate physical ports not in use. On vessels with mixed networks, retrofitted segmentation via VLANs or additional switches can be a pragmatic solution.

Phase 4 — recovery — is strategically the most important. For critical systems, restart procedures must be defined and tested. What happens when ECDIS will not start? Is there a backup? Who restores automation when the server is compromised? How does the vessel navigate when all digital systems fail? These questions must be answered and the answers regularly exercised.

Technischer Tiefgang: Legacy-Systeme und Patch-ManagementTechnical Deep-Dive: Legacy Systems and Patch Management

Das Patch-Management auf Bestandsschiffen ist eines der komplexesten Themen der maritimen Cyber-Resilienz. Die Grundproblematik: Viele CBS laufen auf Betriebssystemen, die vom OEM spezifiziert und zertifiziert wurden. Ein Update des Betriebssystems kann die Typzulassung des Systems gefährden oder Inkompatibilitäten mit der Anwendungssoftware verursachen.

Windows XP Embedded ist ein Paradebeispiel. Es war jahrelang der Standard für maritime ECDIS-Systeme und Automations-Terminals. Microsoft hat den Support 2014 eingestellt, erweiterten Support 2019. Dennoch laufen 2026 noch Tausende von CBS an Bord auf diesem Betriebssystem. Ein Upgrade ist oft nicht möglich, weil die Anwendungssoftware des OEM nicht auf neueren Windows-Versionen getestet ist.

Pragmatische Lösungsansätze für diese Situation: Netzwerkisolierung der betroffenen Systeme, so dass sie keinen unkontrollierten Datenverkehr empfangen können. Application Whitelisting, das nur autorisierte Programme zur Ausführung zulässt. Strenge Zugriffskontrolle, die verhindert, dass USB-Sticks oder andere Medien unkontrolliert angeschlossen werden. Und ein dokumentierter Recovery-Plan, der beschreibt, wie das System im Falle einer Kompromittierung wiederhergestellt wird.

Für Systeme, bei denen ein OS-Upgrade möglich ist, sollte der Prozess mit dem OEM koordiniert werden. Viele Hersteller bieten inzwischen Update-Pakete an, die das Betriebssystem aktualisieren und gleichzeitig die Anwendungszertifizierung aufrechterhalten. Das ist zwar mit Kosten verbunden, aber es reduziert das Risiko erheblich.

Patch management on existing vessels is one of the most complex topics in maritime cyber resilience. The fundamental problem: many CBS run on operating systems specified and certified by the OEM. An operating system update can jeopardise the system's type approval or cause incompatibilities with application software.

Windows XP Embedded is a prime example. For years it was the standard for maritime ECDIS systems and automation terminals. Microsoft ended support in 2014, extended support in 2019. Yet in 2026, thousands of CBS onboard still run this operating system. An upgrade is often impossible because the OEM's application software has not been tested on newer Windows versions.

Pragmatic solutions for this situation include: network isolation of affected systems so they cannot receive uncontrolled traffic. Application whitelisting that permits only authorised programmes to execute. Strict access control preventing USB sticks or other media from being connected without oversight. And a documented recovery plan describing how the system is restored in case of compromise.

For systems where an OS upgrade is feasible, the process should be coordinated with the OEM. Many manufacturers now offer update packages that refresh the operating system while maintaining application certification. This involves costs but reduces risk significantly.

Entscheidungsrahmen: Investitionsprioritäten setzenDecision Framework: Setting Investment Priorities

Betreiber mit begrenztem Budget stehen vor der Frage: Wo investiere ich zuerst? Die Antwort ergibt sich aus der Risikobewertung, folgt aber in der Praxis einem wiederkehrenden Muster. Höchste Priorität haben Fernzugriffspunkte — sie sind der wahrscheinlichste Angriffsvektor und gleichzeitig am einfachsten zu kontrollieren. An zweiter Stelle steht die Dokumentation — ein aktuelles CBS-Inventar und ein Netzwerkplan kosten wenig, schaffen aber die Grundlage für alle weiteren Maßnahmen.

An dritter Stelle steht die Recovery-Fähigkeit für kritische Systeme. Backups erstellen, Wiederanlaufverfahren dokumentieren und einmal testen — das ist mit überschaubarem Aufwand machbar und hat im Ernstfall den größten operativen Nutzen. Erst an vierter Stelle kommen Investitionen in Hardware — zusätzliche Firewalls, Netzwerksegmentierung, neue Switches. Diese Maßnahmen sind wichtig, aber ohne die Grundlagen der ersten drei Schritte ist ihr Nutzen begrenzt.

Operators with limited budgets face the question: where to invest first? The answer follows from the risk assessment but in practice follows a recurring pattern. Highest priority goes to remote access points — they are the most likely attack vector and simultaneously the easiest to control. Second comes documentation — a current CBS inventory and network plan cost little but create the foundation for all further measures.

Third comes recovery capability for critical systems. Creating backups, documenting restart procedures and testing them once — this is achievable with manageable effort and delivers the greatest operational benefit in an actual event. Only fourth come hardware investments — additional firewalls, network segmentation, new switches. These measures are important but without the fundamentals of the first three steps, their benefit is limited.

Wesentliche ErkenntnisseKey Takeaways

Bestandsflotten sind trotz fehlender formaler UR E26/E27-Pflicht durch IMO MSC.428(98), PSC-Inspektionen und Versicherungsanforderungen zur Cyber-Risikobewertung verpflichtet.
Das CBS-Inventar ist der erste und wichtigste Schritt — ohne aktuelle Übersicht über vernetzte Systeme ist keine sinnvolle Risikoanalyse möglich.
Legacy-Betriebssysteme und unkontrollierte Fernzugriffe sind die häufigsten und kritischsten Schwachstellen in Bestandsflotten.
Ein phasenweiser Ansatz — Inventar, Priorisierung, Netzwerkdisziplin, Recovery — schafft mit begrenzten Mitteln maximale Wirkung.
Recovery-Fähigkeit ist betriebskritischer als perfekte Prävention; getestete Wiederanlaufverfahren für Navigationssysteme sind Pflicht.

Existing fleets, despite lacking formal UR E26/E27 obligations, are required to address cyber risks through IMO MSC.428(98), PSC inspections and insurance requirements.
The CBS inventory is the first and most important step — without a current overview of networked systems, no meaningful risk analysis is possible.
Legacy operating systems and uncontrolled remote access are the most common and critical vulnerabilities in existing fleets.
A phased approach — inventory, prioritisation, network discipline, recovery — achieves maximum impact with limited resources.
Recovery capability is more operationally critical than perfect prevention; tested restart procedures for navigation systems are essential.

Weiterführende ArtikelRelated Articles

Häufig gestellte FragenFAQ

Müssen ältere Schiffe gleiche Standards erfüllen?Must older vessels meet the same standards?

Nicht eins zu eins, aber Cyber-Risiken aktiv steuern.Not one-to-one, but cyber risks must be actively managed.

Bester erster Schritt?Best first step?

Vollständiges Inventar vernetzter Systeme.A complete inventory of all networked systems.

Warum besonders schwierig?Why is it particularly difficult?

Systeme sind über Jahre gewachsen und Dokumentation oft uneinheitlich.Systems have evolved over years and documentation is often inconsistent.

Bereit für eine Lösung?Ready for a solution?

Unverbindliches Erstgespräch – wir analysieren Ihre Situation und finden den besten Weg.Free initial consultation – we analyze your situation and find the best path forward.

Beratung anfragenRequest Consulting