Ein weit verbreiteter Irrtum: Cyber-Audits an Bord sind reine Dokumentenprüfungen. Der Surveyor kommt, schaut sich die Ordner an, prüft ob ein Cyber-Kapitel im SMS existiert und hakt ab. Das war vielleicht 2021 noch so, als die Integration von Cyber-Risiken ins SMS (gemäß MSC.428(98)) gerade erst Pflicht geworden war. Heute — und insbesondere für Schiffe unter UR E26/E27 — geht die Prüftiefe deutlich weiter.
Moderne Cyber-Audits prüfen die Kohärenz zwischen Dokumentation, technischer Realität und organisatorischem Verständnis. Stimmt der Netzwerkplan mit der tatsächlichen Installation überein? Kennt die Besatzung die Verfahren, die im SMS beschrieben sind? Sind die technischen Maßnahmen, die in der Risikobewertung als "umgesetzt" markiert sind, tatsächlich vorhanden?
Das ist ein fundamentaler Unterschied zur reinen Papierkontrolle. Es reicht nicht, ein gut geschriebenes Dokument vorzulegen. Der Auditor wird fragen: "Zeigen Sie mir den Netzwerkplan und dann das tatsächliche Netzwerk." Er wird fragen: "Wer hat zuletzt Fernzugriff auf das Automationssystem gehabt, und wo ist das dokumentiert?" Er wird den Chief Engineer fragen: "Was tun Sie, wenn das ECDIS morgen nicht startet?"
Die Prüfer kommen zunehmend mit technischem Hintergrund. Während ISM-Auditoren traditionell aus dem Safety-Management-Bereich stammten, werden Cyber-Aspekte heute oft von Surveyors mit IT/OT-Erfahrung geprüft. Das verändert die Dynamik erheblich.
A widespread misconception: cyber audits onboard are pure document checks. The surveyor arrives, looks at the folders, checks whether a cyber chapter exists in the SMS and ticks the box. This may still have been the case in 2021, when integration of cyber risks into the SMS (per MSC.428(98)) had just become mandatory. Today — and particularly for vessels under UR E26/E27 — the survey depth goes considerably further.
Modern cyber audits verify the coherence between documentation, technical reality and organisational understanding. Does the network plan match the actual installation? Does the crew know the procedures described in the SMS? Are the technical measures marked as "implemented" in the risk assessment actually in place?
This is a fundamental difference from a pure paper check. Presenting a well-written document is not enough. The auditor will ask: "Show me the network plan and then the actual network." They will ask: "Who last had remote access to the automation system, and where is that documented?" They will ask the Chief Engineer: "What do you do if ECDIS does not start tomorrow?"
Auditors increasingly come with a technical background. Whereas ISM auditors traditionally came from safety management, cyber aspects are now often assessed by surveyors with IT/OT experience. This changes the dynamic considerably.
Vier Bereiche stehen bei Cyber-Audits regelmäßig im Fokus:
Systeminventar: Gibt es ein aktuelles Verzeichnis aller CBS an Bord? Enthält es Hersteller, Software-Versionen, Netzwerkanbindungen und Fernzugriffspunkte? Stimmt es mit der tatsächlichen Installation überein? Ein veraltetes oder unvollständiges Inventar ist eines der häufigsten Findings.
Zugriffskontrolle: Wie werden Benutzerkonten auf CBS verwaltet? Gibt es individuelle Accounts oder werden generische Logins verwendet? Werden Standardpasswörter bei der Inbetriebnahme geändert? Gibt es eine Übersicht, wer auf welche Systeme zugreifen darf? In der Praxis sind generische Logins und unveränderte Standardpasswörter die Regel, nicht die Ausnahme.
Fernzugriffe: Welche Fernzugriffsmöglichkeiten existieren? Wer kontrolliert sie? Gibt es ein Protokoll, das zeigt, wer wann worauf zugegriffen hat? Sind permanente VPN-Tunnel dokumentiert? Auditor werden gezielt nach OEM-Fernwartungszugängen fragen — und erwarten eine nachvollziehbare Antwort.
Wiederanlauf-Verfahren: Existieren Recovery-Prozeduren für kritische Systeme? Sind sie dokumentiert, der Besatzung bekannt und getestet worden? Ein Recovery-Plan, den niemand an Bord kennt, ist wertlos. Auditoren werden stichprobenartig fragen: "Was sind Ihre ersten drei Schritte, wenn das Power Management System ausfällt?"
Four areas regularly come into focus during cyber audits:
System inventory: is there a current register of all CBS onboard? Does it contain manufacturers, software versions, network connections and remote access points? Does it match the actual installation? An outdated or incomplete inventory is one of the most common findings.
Access control: how are user accounts on CBS managed? Are there individual accounts or are generic logins used? Are default passwords changed during commissioning? Is there an overview of who may access which systems? In practice, generic logins and unchanged default passwords are the rule, not the exception.
Remote access: which remote access possibilities exist? Who controls them? Is there a log showing who accessed what and when? Are permanent VPN tunnels documented? Auditors will specifically ask about OEM remote maintenance access — and expect a traceable answer.
Restart procedures: do recovery procedures exist for critical systems? Are they documented, known to the crew and tested? A recovery plan that nobody onboard knows is worthless. Auditors will ask spot-check questions such as: "What are your first three steps when the power management system fails?"
Das größte Risiko bei Cyber-Audits ist die Diskrepanz zwischen Dokumentation und Realität. Wenn der Netzwerkplan drei getrennte Netzwerksegmente zeigt, aber an Bord ein einziger unkontrollierter Switch alles verbindet, ist das ein Finding. Wenn die Risikobewertung Firewalls als Schutzmaßnahme aufführt, aber keine Firewall installiert ist, ist das ein Finding. Wenn das SMS ein Fernzugriffs-Protokoll beschreibt, aber der Chief Engineer noch nie davon gehört hat, ist das ein Finding.
Auditoren prüfen auf Plausibilität. Sie vergleichen, was geschrieben steht, mit dem, was sie an Bord vorfinden. Diese Prüfung ist nicht destruktiv — es geht nicht darum, Fehler zu suchen. Es geht darum zu verifizieren, dass das Cyber-Risikomanagement tatsächlich funktioniert und nicht nur auf dem Papier existiert.
Die häufigsten Plausibilitätslücken in der Praxis: Netzwerkpläne, die den Zustand bei Ablieferung zeigen, aber nicht die nachträglichen Änderungen (VSAT, neue Systeme, Austausch von Rechnern). Risikobewertungen, die von externen Beratern erstellt wurden und keinen Bezug zu den tatsächlichen Systemen an Bord haben. SMS-Verfahren, die generisch formuliert sind und keine konkreten Handlungsanweisungen für die Besatzung enthalten.
Für Betreiber bedeutet das: Die Investition in aktuelle, akkurate Dokumentation ist wichtiger als die Investition in teure Technik. Ein gut dokumentiertes Schiff mit einer geschulten Besatzung besteht ein Audit besser als ein technisch perfekt gesichertes Schiff, dessen Dokumentation nicht stimmt.
The greatest risk during cyber audits is the discrepancy between documentation and reality. When the network plan shows three separate network segments but onboard a single uncontrolled switch connects everything, that is a finding. When the risk assessment lists firewalls as a protective measure but no firewall is installed, that is a finding. When the SMS describes a remote access protocol but the Chief Engineer has never heard of it, that is a finding.
Auditors check for plausibility. They compare what is written with what they find onboard. This check is not destructive — it is not about searching for faults. It is about verifying that cyber risk management actually functions and does not merely exist on paper.
The most common plausibility gaps in practice: network plans showing the state at delivery but not subsequent changes (VSAT, new systems, computer replacements). Risk assessments created by external consultants with no connection to the actual systems onboard. SMS procedures formulated generically with no concrete instructions for the crew.
For operators this means: investing in current, accurate documentation is more important than investing in expensive technology. A well-documented vessel with a trained crew passes an audit better than a technically perfectly secured vessel whose documentation does not match.
Die beste Vorbereitung auf ein Cyber-Audit ist keine Audit-Vorbereitung, sondern ein funktionierendes Cyber-Risikomanagement im Tagesgeschäft. Wer das hat, muss sich vor keinem Auditor fürchten. Wer es nicht hat, wird durch kurzfristiges Aufbereiten von Dokumenten keine Substanz vortäuschen können.
Dennoch gibt es pragmatische Schritte, die Betreiber vor einer Besichtigung durchgehen sollten: Erstens den Netzwerkplan aktualisieren — stimmt er mit der Realität überein? Gibt es Systeme, die nicht erfasst sind? Zweitens die Fernzugriffe prüfen — welche VPN-Tunnel sind aktiv? Sind alle dokumentiert? Gibt es Zugänge, die seit der letzten Wartung nicht deaktiviert wurden?
Drittens die Besatzung briefen — nicht um Antworten auswendig zu lernen, sondern um sicherzustellen, dass die grundlegenden Verfahren bekannt sind. Wer ist für Cyber-Themen zuständig? Was wird gemeldet und an wen? Was sind die ersten Schritte bei einem Systemausfall?
Viertens realistische Bordszenarien durchspielen: Wer darf auf welches System zugreifen? Was passiert bei einem ECDIS-Ausfall? Wie wird ein Fernzugriff autorisiert und dokumentiert? Diese Übungen sind nicht nur Audit-Vorbereitung — sie sind der operative Kern eines funktionierenden Cyber-Managements.
The best preparation for a cyber audit is not audit preparation but a functioning cyber risk management in daily operations. Those who have this need not fear any auditor. Those who do not will be unable to simulate substance through short-term document preparation.
Nevertheless, there are pragmatic steps operators should review before a survey: first, update the network plan — does it match reality? Are there systems not captured? Second, check remote access — which VPN tunnels are active? Are all documented? Are there access points not deactivated since the last maintenance?
Third, brief the crew — not to memorise answers but to ensure that basic procedures are known. Who is responsible for cyber topics? What is reported and to whom? What are the first steps during a system failure?
Fourth, walk through realistic onboard scenarios: who may access which system? What happens during an ECDIS failure? How is remote access authorised and documented? These exercises are not merely audit preparation — they are the operational core of functioning cyber management.
Die konkrete Prüfpraxis variiert zwischen Klassifikationsgesellschaften, folgt aber einem gemeinsamen Muster. Bei Neubauten unter UR E26 wird die gesamte Cyber-Dokumentation geprüft: CBS-Inventar, Netzwerktopologie, Risikobewertung, Schutzmaßnahmen, Recovery-Verfahren. Der Surveyor vergleicht die Dokumentation mit der tatsächlichen Installation und verifiziert, dass kritische Maßnahmen umgesetzt sind.
Bei bestehenden Schiffen konzentriert sich die Prüfung auf das SMS. Gemäß MSC.428(98) müssen Cyber-Risiken im SMS adressiert sein. Der Surveyor prüft: Gibt es ein Cyber-Kapitel? Enthält es eine Risikobewertung? Sind Verfahren für Fernzugriff, Software-Updates und Incident-Response definiert? Kennt die Besatzung diese Verfahren?
Typische Prüfschritte im Detail: Der Surveyor lässt sich den Netzwerkplan zeigen und geht dann mit dem Chief Engineer durch den Maschinenraum, um die tatsächlichen Netzwerkverbindungen zu verifizieren. Er fragt nach der Software-Version des ECDIS und vergleicht sie mit dem Inventar. Er prüft, ob Standardpasswörter geändert wurden, indem er einen Login-Versuch beobachtet. Er fragt nach dem letzten Fernzugriff und prüft, ob ein Protokoll existiert.
Bei Findings unterscheiden die Gesellschaften zwischen Observations (Verbesserungsempfehlungen) und Non-Conformities (Abweichungen, die korrigiert werden müssen). Ein fehlendes CBS-Inventar ist typischerweise eine Non-Conformity. Eine veraltete Software-Version kann eine Observation sein, wenn eine Mitigationsmaßnahme vorhanden ist.
The concrete survey practice varies between classification societies but follows a common pattern. For newbuildings under UR E26, the entire cyber documentation is surveyed: CBS inventory, network topology, risk assessment, protective measures, recovery procedures. The surveyor compares documentation with the actual installation and verifies that critical measures are implemented.
For existing vessels, the survey focuses on the SMS. Per MSC.428(98), cyber risks must be addressed in the SMS. The surveyor checks: is there a cyber chapter? Does it contain a risk assessment? Are procedures defined for remote access, software updates and incident response? Does the crew know these procedures?
Typical survey steps in detail: the surveyor asks to see the network plan and then walks through the engine room with the Chief Engineer to verify actual network connections. They ask for the ECDIS software version and compare it with the inventory. They check whether default passwords have been changed by observing a login attempt. They ask about the last remote access and check whether a log exists.
For findings, societies distinguish between observations (improvement recommendations) and non-conformities (deviations that must be corrected). A missing CBS inventory is typically a non-conformity. An outdated software version may be an observation if a mitigation measure is in place.
Die fünf häufigsten Cyber-Findings bei Bordaudits basieren auf Erfahrungswerten aus der Branche:
1. Netzwerkplan veraltet oder nicht vorhanden. Vermeidung: Den Netzwerkplan bei jeder Systemänderung aktualisieren. Ein einfaches Netzwerkdiagramm, das alle CBS und ihre Verbindungen zeigt, reicht als Grundlage.
2. Kein CBS-Inventar oder unvollständig. Vermeidung: Ein Inventar erstellen, das mindestens Systemname, Hersteller, Software-Version, Betriebssystem und Netzwerkanbindung enthält. Bei der nächsten Besichtigung systematisch vervollständigen.
3. Standardpasswörter nicht geändert. Vermeidung: Alle Standardpasswörter bei Inbetriebnahme oder spätestens bei der nächsten Wartung ändern. Eine Liste der geänderten Credentials sicher verwahren.
4. Fernzugriffe nicht dokumentiert. Vermeidung: Ein Fernzugriffs-Logbuch einführen. Für jeden Zugriff: Datum, System, Techniker, Zweck, Dauer, Autorisierung durch. Kann in Papierform sein — Hauptsache es wird geführt.
5. Kein Recovery-Verfahren für Navigation. Vermeidung: Ein einfaches, einseitiges Dokument erstellen: Was tun bei ECDIS-Ausfall? Backup-Navigation? Wer informiert die Reederei? Im Brückenbereich aushängen und einmal pro Quartal durchsprechen.
The five most common cyber findings during onboard audits, based on industry experience:
1. Network plan outdated or non-existent. Avoidance: update the network plan with every system change. A simple network diagram showing all CBS and their connections suffices as a basis.
2. No CBS inventory or incomplete. Avoidance: create an inventory containing at minimum system name, manufacturer, software version, operating system and network connection. Systematically complete during the next survey.
3. Default passwords not changed. Avoidance: change all default passwords at commissioning or at the latest during the next maintenance. Keep a list of changed credentials securely stored.
4. Remote access not documented. Avoidance: introduce a remote access logbook. For each access: date, system, technician, purpose, duration, authorised by. Paper-based is fine — as long as it is maintained.
5. No recovery procedure for navigation. Avoidance: create a simple, one-page document: what to do during ECDIS failure? Backup navigation? Who informs the company? Post in the bridge area and discuss once per quarter.
Unverbindliches Erstgespräch – wir analysieren Ihre Situation und finden den besten Weg.Free initial consultation – we analyze your situation and find the best path forward.
Beratung anfragenRequest Consulting