Der Begriff Cyber Resilience wird in der maritimen Branche häufig mit IT-Sicherheit gleichgesetzt — Firewalls, Antivirensoftware, Passwortstärke. Das greift zu kurz. Cyber Resilience im IACS-Verständnis umfasst die gesamte digitale Integrität eines Schiffes: Brücke, Automation, Energieversorgung, Kommunikation und jedes vernetzte System, das für den sicheren Betrieb relevant ist.
Der entscheidende Unterschied liegt im Ansatz. IT-Sicherheit konzentriert sich auf Prävention — Angriffe verhindern, Zugriffe blockieren, Daten verschlüsseln. Resilience geht weiter. Sie fragt: Was passiert, wenn die Prävention versagt? Wie schnell erkennen wir eine Störung? Wie begrenzen wir den Schaden? Wie stellen wir kritische Funktionen wieder her?
Für ein Schiff auf See ist diese Perspektive existenziell. Ein Büro-Netzwerk kann man abschalten und im Notfall zwei Tage offline arbeiten. Navigation, Maschinensteuerung und Kommunikation auf See können nicht pausieren. Wenn das ECDIS ausfällt, die Alarmanlage nicht mehr kommuniziert oder das Power Management System kompromittiert ist, hat das unmittelbare Konsequenzen für die Sicherheit von Schiff und Besatzung.
IACS hat deshalb bewusst den Begriff Resilience gewählt — nicht Security. Es geht um die Fähigkeit eines Systems, unter widrigen Bedingungen funktionsfähig zu bleiben oder kontrolliert in einen sicheren Zustand überzugehen. Das betrifft Hardware, Software, Netzwerke, Verfahren und Menschen gleichermaßen.
The term cyber resilience is frequently equated with IT security in the maritime industry — firewalls, antivirus software, password strength. This falls short. Cyber resilience as understood by IACS encompasses the entire digital integrity of a vessel: bridge, automation, power supply, communication and every networked system relevant to safe operation.
The decisive difference lies in the approach. IT security focuses on prevention — blocking attacks, restricting access, encrypting data. Resilience goes further. It asks: what happens when prevention fails? How quickly do we detect a disruption? How do we contain the damage? How do we restore critical functions?
For a vessel at sea, this perspective is existential. An office network can be shut down and work offline for two days in an emergency. Navigation, machinery control and communication at sea cannot pause. When ECDIS fails, the alarm system stops communicating or the power management system is compromised, the consequences for vessel and crew safety are immediate.
IACS therefore deliberately chose the term resilience — not security. It concerns a system's ability to remain functional under adverse conditions or transition to a safe state in a controlled manner. This applies equally to hardware, software, networks, procedures and people.
Die IACS Unified Requirements verfolgen drei zentrale Ziele. Erstens: Risiken frühzeitig adressieren. Cyber-Resilienz soll kein nachträglicher Anbau sein, sondern integraler Bestandteil von Design, Beschaffung und Integration. Das bedeutet, dass bereits bei der Spezifikation eines Neubaus die Frage gestellt werden muss: Welche Computer-Based Systems kommen an Bord, wie sind sie vernetzt, und welche Risiken ergeben sich daraus?
Zweitens: Verantwortlichkeiten klären. UR E26 definiert die Pflichten des Schiffseigners, UR E27 die der Systemlieferanten. Damit ist erstmals regulatorisch festgelegt, wer für welchen Aspekt der Cyber-Resilienz verantwortlich ist. Das beendet die bisher übliche Praxis, bei der Cyber ein diffuses Querschnittsthema war, für das sich niemand konkret zuständig fühlte.
Drittens: Einen einheitlichen Mindeststandard schaffen. Vor UR E26/E27 gab es zwar Empfehlungen — BIMCO Guidelines, IMO MSC-FAL.1/Circ.3 — aber keine verbindlichen Anforderungen auf Klassifikationsebene. Jetzt müssen alle IACS-Mitgliedsgesellschaften die URs umsetzen. Das schafft ein globales Baseline-Niveau, auf dem Betreiber, Werften und OEMs aufbauen können.
Wichtig ist: Die URs definieren kein spezifisches technologisches Niveau. Sie verlangen einen Prozess — systematische Risikobewertung, nachvollziehbare Maßnahmen, dokumentierte Verfahren. Das gibt Betreibern Gestaltungsspielraum, fordert aber auch eigene Substanz. Wer eine generische Excel-Matrix vorlegt, wird bei der Klasse auf Widerstand stoßen.
The IACS Unified Requirements pursue three central objectives. First: address risks early. Cyber resilience should not be a retrofit but an integral part of design, procurement and integration. This means that as early as the specification of a newbuilding, the question must be asked: which Computer-Based Systems will be onboard, how are they networked, and what risks arise from this?
Second: clarify responsibilities. UR E26 defines the obligations of the shipowner, UR E27 those of the system suppliers. For the first time, it is regulatorily established who is responsible for which aspect of cyber resilience. This ends the previously common practice where cyber was a diffuse cross-cutting topic for which nobody felt concretely responsible.
Third: create a uniform minimum standard. Before UR E26/E27, there were recommendations — BIMCO Guidelines, IMO MSC-FAL.1/Circ.3 — but no binding requirements at classification level. Now all IACS member societies must implement the URs. This creates a global baseline on which operators, yards and OEMs can build.
Importantly, the URs do not define a specific technological level. They require a process — systematic risk assessment, traceable measures, documented procedures. This gives operators room for design but also demands genuine substance. Anyone presenting a generic Excel matrix will encounter resistance from class.
Der NIST Cybersecurity Framework, auf den sich IACS implizit stützt, definiert fünf Kernfunktionen: Identify, Protect, Detect, Respond, Recover. In der maritimen Praxis wird der Großteil der Aufmerksamkeit auf Protect verwendet — Firewalls installieren, Ports schließen, USB-Sticks verbieten. Das ist notwendig, aber nicht ausreichend.
Detect bedeutet: Anomalien im Netzwerk erkennen, bevor sie eskalieren. In der Schifffahrt ist das schwieriger als an Land, weil es an Bord selten dedizierte Security Operations gibt. Wer bemerkt, wenn ein CBS plötzlich Datenverkehr an eine unbekannte IP-Adresse sendet? In den meisten Fällen niemand — bis es zu spät ist.
Respond bedeutet: Den Vorfall eindämmen. Welches System wird isoliert? Wer entscheidet? Gibt es einen Notfallplan, der an Bord bekannt ist und regelmäßig geübt wird? Die IMO hat mit MSC.428(98) gefordert, dass Cyber-Risiken im SMS adressiert werden. In der Praxis haben viele Reedereien das mit einem generischen Abschnitt im SMS abgehakt, ohne konkrete Verfahren für den Ernstfall.
Recover ist die am häufigsten vernachlässigte Funktion. Wie wird ein kompromittiertes ECDIS wiederhergestellt? Gibt es verifizierte Backups? Kennt die Besatzung die Rückfallprozeduren? Ist dokumentiert, in welcher Reihenfolge Systeme nach einem Totalausfall hochgefahren werden? Resilience bedeutet: Auf all diese Fragen eine getestete Antwort zu haben.
The NIST Cybersecurity Framework, which IACS implicitly draws upon, defines five core functions: Identify, Protect, Detect, Respond, Recover. In maritime practice, the bulk of attention goes to Protect — installing firewalls, closing ports, banning USB sticks. This is necessary but not sufficient.
Detect means: recognising anomalies in the network before they escalate. In shipping this is harder than ashore because there are rarely dedicated security operations onboard. Who notices when a CBS suddenly sends traffic to an unknown IP address? In most cases, nobody — until it is too late.
Respond means: containing the incident. Which system is isolated? Who decides? Is there a contingency plan that is known onboard and regularly exercised? IMO required with MSC.428(98) that cyber risks be addressed in the SMS. In practice, many shipping companies ticked this off with a generic section in the SMS without concrete procedures for an actual event.
Recover is the most frequently neglected function. How is a compromised ECDIS restored? Are there verified backups? Does the crew know the fallback procedures? Is it documented in which sequence systems are brought up after a total failure? Resilience means: having a tested answer to all of these questions.
Cyber als technischen Dauerauftrag verstehen — nicht als einmaliges Projekt, das mit der Ablieferung oder dem nächsten Audit endet. Die regulatorische Landschaft entwickelt sich weiter. Die IMO arbeitet an einem Maritime Cyber Risk Management Framework, die EU hat mit NIS2 die Anforderungen an kritische Infrastruktur verschärft, und die Klassifikationsgesellschaften erweitern ihre Notations-Programme kontinuierlich.
Für Betreiber bedeutet das: Wer heute eine solide Grundlage schafft, investiert in Zukunftsfähigkeit. Das beginnt mit einem vollständigen CBS-Inventar, geht über eine realistische Risikobewertung und endet bei getesteten Recovery-Verfahren. Der Schlüssel liegt in der Integration — Cyber-Management darf nicht als isoliertes Thema neben dem regulären technischen Management stehen, sondern muss Teil der gleichen Prozesse sein.
Praktisch heißt das: Cyber-Themen gehören auf die Agenda jeder Superintendent-Besprechung, in die Checklisten für Schiffsbesuche und in die Bewertungskriterien für Lieferanten. Nicht als zusätzliche Bürokratie, sondern als selbstverständlicher Teil der technischen Sorgfaltspflicht.
Treat cyber as a permanent technical mandate — not as a one-off project that ends with delivery or the next audit. The regulatory landscape continues to evolve. IMO is working on a Maritime Cyber Risk Management Framework, the EU has tightened requirements for critical infrastructure with NIS2, and classification societies are continuously expanding their notation programmes.
For operators this means: those who build a solid foundation today invest in future readiness. It starts with a complete CBS inventory, continues through a realistic risk assessment and ends with tested recovery procedures. The key lies in integration — cyber management must not sit as an isolated topic alongside regular technical management but must be part of the same processes.
In practical terms: cyber topics belong on the agenda of every superintendent meeting, in checklists for vessel visits and in evaluation criteria for suppliers. Not as additional bureaucracy but as a natural part of technical due diligence.
Identify: Jedes CBS an Bord muss erfasst sein — Hardware, Software-Version, Netzwerkanbindung, Hersteller, Wartungsverantwortlicher. Das klingt trivial, ist in der Praxis aber die größte Hürde. Viele Schiffe haben Systeme, die nachträglich installiert wurden und in keinem Netzwerkplan auftauchen. Ein VSAT-Router hier, ein Service-Laptop dort, ein Diagnose-Interface am Hauptmotor, das dauerhaft verbunden ist.
Protect: Netzwerksegmentierung, Zugriffskontrolle, Härtung von Betriebssystemen, kontrollierte Update-Prozesse. Der Schutz muss verhältnismäßig sein — ein Crew-Welfare-System braucht nicht das gleiche Schutzniveau wie das Power Management. Die Kunst liegt in der risikoangemessenen Abstufung.
Detect: Auf Schiffen ohne dediziertes Security-Monitoring sind die Detektionsfähigkeiten meist rudimentär. Realistische Ansätze für die Schifffahrt umfassen Log-Aggregation auf einem zentralen System, automatisierte Benachrichtigungen bei Konfigurationsänderungen und regelmäßige Plausibilitätsprüfungen der Netzwerktopologie. High-End-Lösungen wie SIEM-Systeme sind technisch möglich, aber wirtschaftlich und personell auf den meisten Schiffen nicht tragbar.
Respond: Klare Eskalationswege definieren. Wer ist an Bord zuständig? Wann wird die Reederei informiert? Welche Systeme werden sofort isoliert? Die Antworten müssen im SMS verankert und regelmäßig geübt werden — nicht nur auf dem Papier.
Recover: Backup-Strategien, verifizierte Wiederherstellungsdatenträger, dokumentierte Startsequenzen. Besonders wichtig: Recovery-Verfahren müssen getestet werden. Ein Backup, das nie geprüft wurde, ist kein Backup.
Identify: every CBS onboard must be recorded — hardware, software version, network connection, manufacturer, maintenance responsible party. This sounds trivial but is in practice the greatest hurdle. Many vessels have systems installed retrospectively that appear in no network plan. A VSAT router here, a service laptop there, a diagnostic interface on the main engine that is permanently connected.
Protect: network segmentation, access control, operating system hardening, controlled update processes. Protection must be proportionate — a crew welfare system does not need the same protection level as the power management. The art lies in risk-appropriate gradation.
Detect: on vessels without dedicated security monitoring, detection capabilities are usually rudimentary. Realistic approaches for shipping include log aggregation on a central system, automated notifications upon configuration changes and regular plausibility checks of the network topology. High-end solutions such as SIEM systems are technically feasible but economically and in terms of personnel not sustainable on most vessels.
Respond: define clear escalation paths. Who is responsible onboard? When is the shipping company informed? Which systems are immediately isolated? The answers must be embedded in the SMS and regularly exercised — not only on paper.
Recover: backup strategies, verified restoration media, documented start-up sequences. Particularly important: recovery procedures must be tested. A backup that has never been verified is not a backup.
Die Realität in vielen Reedereien sieht so aus: Cyber steht im SMS, aber die operative Substanz fehlt. Die Risikoanalyse wurde von einem externen Berater erstellt, der die konkreten Systeme an Bord nie gesehen hat. Die Netzwerktopologie ist dem Superintendenten nicht im Detail bekannt. Software-Updates werden durchgeführt, wenn der OEM-Techniker an Bord kommt, ohne dokumentiertes Verfahren.
Das ist kein Vorwurf — es spiegelt die Tatsache wider, dass Cyber-Resilienz als Thema in der Schifffahrt noch jung ist. Die meisten Superintendenten und technischen Manager sind mit mechanischen und elektrischen Systemen aufgewachsen, nicht mit Netzwerkprotokollen. Die Lernkurve ist steil, und es gibt noch keinen etablierten Industriestandard dafür, wie eine maritime Cyber-Organisation konkret aussehen sollte.
Was aber feststeht: Die Anforderungen werden nicht weniger. Wer jetzt beginnt, Substanz aufzubauen — CBS-Inventar, Netzwerkdokumentation, getestete Verfahren — ist für die nächsten regulatorischen Schritte besser positioniert als jemand, der wartet, bis die Klasse bei der nächsten Besichtigung konkret nachfragt.
The reality in many shipping companies looks like this: cyber is in the SMS but the operational substance is missing. The risk analysis was created by an external consultant who never saw the actual systems onboard. The network topology is not known to the superintendent in detail. Software updates are performed when the OEM technician comes aboard, without a documented procedure.
This is not an accusation — it reflects the fact that cyber resilience as a topic is still young in shipping. Most superintendents and technical managers grew up with mechanical and electrical systems, not network protocols. The learning curve is steep, and there is no established industry standard yet for what a maritime cyber organisation should concretely look like.
What is certain, however: requirements will not decrease. Those who start building substance now — CBS inventory, network documentation, tested procedures — are better positioned for the next regulatory steps than those who wait until class asks specific questions at the next survey.
Drei Prioritäten für Betreiber, die mit begrenzten Ressourcen maximale Wirkung erzielen wollen: Erstens das CBS-Inventar vervollständigen — jedes vernetzte System mit Hersteller, Software-Version, Netzwerkanbindung und Wartungsstatus erfassen. Zweitens die Fernzugriffspunkte identifizieren und kontrollieren — das ist in der Praxis der häufigste Angriffsvektor. Drittens ein realistisches Recovery-Szenario durchspielen — etwa: Was tun wir, wenn das ECDIS nicht mehr startet und wir auf See sind?
Diese drei Schritte kosten wenig, schaffen aber eine belastbare Grundlage für alles Weitere. Und sie zeigen bei jedem Audit, dass das Unternehmen Cyber-Resilienz nicht als Papierübung versteht, sondern als operative Realität.
Three priorities for operators aiming for maximum impact with limited resources: first, complete the CBS inventory — record every networked system with manufacturer, software version, network connection and maintenance status. Second, identify and control remote access points — this is the most common attack vector in practice. Third, walk through a realistic recovery scenario — for example: what do we do when ECDIS will not start and we are at sea?
These three steps cost little but create a solid foundation for everything that follows. And they demonstrate at every audit that the company treats cyber resilience not as a paper exercise but as an operational reality.
Unverbindliches Erstgespräch – wir analysieren Ihre Situation und finden den besten Weg.Free initial consultation – we analyze your situation and find the best path forward.
Beratung anfragenRequest Consulting