Jahrzehntelang existierten OT (Operational Technology) und IT (Information Technology) an Bord in getrennten Welten. Die Automation lief auf proprietären Bussystemen, Navigation auf dedizierten Netzwerken, und die IT beschränkte sich auf ein paar PCs im Büro des Kapitäns. Diese Trennung war nie geplant — sie war ein Nebeneffekt der Tatsache, dass die Systeme technologisch inkompatibel waren.
Das hat sich grundlegend geändert. Moderne Automationssysteme kommunizieren über Ethernet. ECDIS, Radar und AIS teilen sich Netzwerkinfrastruktur. Power-Management-Systeme senden Daten an Land-basierte Analyseplattformen. Alarmmanagement-Systeme aggregieren Informationen aus Dutzenden von Quellen über ein gemeinsames Netzwerk. Die technologische Konvergenz von OT und IT ist auf modernen Schiffen bereits Realität.
Für die Klassifikation hat das weitreichende Konsequenzen. Bisher wurden Automationssysteme nach ihrer Funktion bewertet — leistet das System, was es soll? Jetzt kommt die Frage hinzu: Ist das System auch cyber-resilient? Kann ein Angriff auf das IT-Netzwerk die OT-Systeme beeinträchtigen? Sind die Übergangspunkte zwischen IT und OT kontrolliert?
IACS hat mit UR E26 und E27 reagiert und Cyber-Resilienz als Klassifikationsanforderung etabliert. Aber die Umsetzung trifft auf eine Branche, in der die organisatorische Trennung von IT und OT oft tiefer verwurzelt ist als die technische. Der Superintendent kümmert sich um die Maschine, die IT-Abteilung um E-Mail und SAP. Wer kümmert sich um das VSAT-System, das beides verbindet?
For decades, OT (Operational Technology) and IT (Information Technology) onboard existed in separate worlds. Automation ran on proprietary bus systems, navigation on dedicated networks, and IT was limited to a few PCs in the master's office. This separation was never planned — it was a side effect of the systems being technologically incompatible.
This has fundamentally changed. Modern automation systems communicate via Ethernet. ECDIS, radar and AIS share network infrastructure. Power management systems send data to shore-based analysis platforms. Alarm management systems aggregate information from dozens of sources over a shared network. The technological convergence of OT and IT is already reality on modern vessels.
For classification, this has far-reaching consequences. Previously, automation systems were assessed by their function — does the system do what it should? Now the question is added: is the system also cyber-resilient? Can an attack on the IT network affect OT systems? Are the transition points between IT and OT controlled?
IACS responded with UR E26 and E27, establishing cyber resilience as a classification requirement. But implementation meets an industry where the organisational separation of IT and OT is often more deeply rooted than the technical one. The superintendent looks after the machinery, the IT department handles email and SAP. Who looks after the VSAT system that connects both?
Die Neubewertung betrifft alle Systeme, die an der Schnittstelle zwischen OT und IT stehen oder beide Domänen überbrücken. Konkret sind das:
Automationssysteme: Moderne Alarm- und Monitoring-Systeme (AMS) kommunizieren über Ethernet und haben oft Webinterfaces für die Konfiguration. Sie sind funktional OT, technologisch aber IT. Ein kompromittierter AMS-Server kann Alarme unterdrücken oder falsche Zustände anzeigen — mit direkten Sicherheitsfolgen.
Brückensysteme: ECDIS, Radar, AIS und Autopilot sind zunehmend vernetzt. Die Integration über INS (Integrated Navigation Systems) schafft Abhängigkeiten: Wenn das zentrale Netzwerk ausfällt, sind potenziell alle Navigationssysteme gleichzeitig betroffen. Klasse bewertet deshalb nicht mehr nur die einzelne Funktion, sondern auch die Resilienz der Gesamtarchitektur.
Leistungselektronik: Power Management Systeme auf Schiffen mit elektrischer Propulsion oder DP-Systemen sind sicherheitskritisch. Wenn ein PMS kompromittiert wird und Generatoren falsch zu- oder abschaltet, kann das zum Blackout führen — auf einem DP-Schiff mit möglicherweise katastrophalen Folgen.
Fernzugriffsarchitektur: VSAT-Systeme, OEM-VPN-Tunnel und Shore-to-Ship-Verbindungen sind die Brücke zwischen dem Internet und den Bordsystemen. Sie fallen in keine klassische Domäne — weder IT noch OT — und werden deshalb oft von niemandem systematisch verwaltet. Genau das macht sie zum kritischsten Punkt in der Gesamtarchitektur.
The reassessment affects all systems sitting at the interface between OT and IT or bridging both domains. Specifically these are:
Automation systems: modern alarm and monitoring systems (AMS) communicate via Ethernet and often have web interfaces for configuration. They are functionally OT but technologically IT. A compromised AMS server can suppress alarms or display false states — with direct safety consequences.
Bridge systems: ECDIS, radar, AIS and autopilot are increasingly networked. Integration through INS (Integrated Navigation Systems) creates dependencies: if the central network fails, potentially all navigation systems are affected simultaneously. Class therefore no longer assesses only the individual function but also the resilience of the overall architecture.
Power electronics: power management systems on vessels with electric propulsion or DP systems are safety-critical. If a PMS is compromised and incorrectly connects or disconnects generators, this can cause a blackout — on a DP vessel with potentially catastrophic consequences.
Remote access architecture: VSAT systems, OEM VPN tunnels and shore-to-ship connections are the bridge between the internet and onboard systems. They fall into no classic domain — neither IT nor OT — and are therefore often systematically managed by nobody. This is precisely what makes them the most critical point in the overall architecture.
In Neubauprojekten und größeren Retrofits werden IT- und OT-Entscheidungen traditionell in getrennten Projektspuren getroffen. Der Automation-Lieferant definiert sein Netzwerk, der Navigations-Lieferant seins, und die IT-Abteilung kümmert sich um VSAT und Crew-Internet. Am Ende treffen drei unkoordinierte Netzwerke aufeinander, und die Integration wird zur Improvisation.
UR E26 verlangt, dass die Netzwerktopologie als Gesamtsystem geplant wird. Das erfordert einen Integrator — jemanden, der versteht, wie OT- und IT-Systeme zusammenspielen, welche Datenflüsse zwischen den Domänen existieren und wo kontrollierte Übergänge nötig sind. In der Praxis ist das oft weder der Automation-Ingenieur noch der IT-Manager, sondern eine Rolle, die neu geschaffen werden muss.
Für Projektteams hat das konkrete Auswirkungen auf den Zeitplan. Cyber-Aspekte müssen in der Spezifikationsphase berücksichtigt werden, nicht erst bei der Inbetriebnahme. Die Netzwerktopologie muss vor der Bestellung der Subsysteme stehen, damit die Lieferanten ihre Systeme entsprechend konfigurieren können. FAT und SAT müssen um Cyber-Tests erweitert werden.
Das bedeutet mehr Koordinationsaufwand, aber es verhindert die teure Nachbesserungsphase vor der Ablieferung. Projekte, die IT und OT von Anfang an als eine vernetzte Domäne behandeln, haben in der Endphase weniger Überraschungen als solche, die das Thema bis zum Schluss ignorieren.
In newbuilding projects and major retrofits, IT and OT decisions are traditionally made in separate project tracks. The automation supplier defines their network, the navigation supplier theirs, and the IT department handles VSAT and crew internet. At the end, three uncoordinated networks meet, and integration becomes improvisation.
UR E26 requires that the network topology be planned as an overall system. This requires an integrator — someone who understands how OT and IT systems interact, which data flows exist between domains and where controlled transitions are needed. In practice this is often neither the automation engineer nor the IT manager but a role that must be newly created.
For project teams this has concrete implications for the schedule. Cyber aspects must be considered during the specification phase, not only during commissioning. The network topology must be established before subsystems are ordered so that suppliers can configure their systems accordingly. FAT and SAT must be extended with cyber tests.
This means more coordination effort but prevents the expensive remediation phase before delivery. Projects that treat IT and OT as one networked domain from the outset have fewer surprises in the final phase than those that ignore the topic until the end.
Die technische Konvergenz von OT und IT erfordert eine organisatorische Antwort. Betreiber müssen Verantwortlichkeiten klarer definieren und die Schnittstellen zwischen den Abteilungen aktiv moderieren. Die Frage "Wer ist für die Cyber-Sicherheit an Bord zuständig?" muss eine eindeutige Antwort haben — und diese Antwort muss im SMS verankert sein.
In der Praxis haben sich verschiedene Modelle herausgebildet. Einige Reedereien haben die Verantwortung beim Superintendenten angesiedelt, weil dieser die Bordsysteme am besten kennt. Andere haben einen dedizierten Cyber-Verantwortlichen geschaffen, der zwischen IT und technischem Management vermittelt. Wieder andere haben das Thema beim DPA (Designated Person Ashore) verankert, weil dieser ohnehin für die Gesamtheit des SMS verantwortlich ist.
Keines dieser Modelle ist per se besser als das andere. Entscheidend ist, dass die Rolle klar definiert ist, dass der Verantwortliche die nötigen Kompetenzen hat oder erhält und dass die Schnittstellen zwischen IT-Abteilung, technischem Management und Bordbetrieb funktionieren. Ein Superintendent, der für Cyber zuständig ist, aber keinen Zugang zu Netzwerkdiagnosetools hat und keine Schulung erhalten hat, wird die Rolle nicht ausfüllen können.
The technological convergence of OT and IT demands an organisational response. Operators must define responsibilities more clearly and actively manage the interfaces between departments. The question "Who is responsible for cyber security onboard?" must have a clear answer — and this answer must be embedded in the SMS.
In practice, various models have emerged. Some shipping companies have placed responsibility with the superintendent because they know the onboard systems best. Others have created a dedicated cyber responsible party who mediates between IT and technical management. Still others have anchored the topic with the DPA (Designated Person Ashore) because they are already responsible for the SMS as a whole.
None of these models is inherently better than the others. What matters is that the role is clearly defined, that the responsible person has or receives the necessary competencies, and that the interfaces between IT department, technical management and onboard operations function. A superintendent who is responsible for cyber but has no access to network diagnostic tools and has received no training will not be able to fill the role.
Die Konvergenz von OT und IT an Bord lässt sich an konkreten Beispielen illustrieren. Ein modernes Schiff hat typischerweise folgende Netzwerkdomänen: das Automationsnetzwerk (Kongsberg, Wärtsilä, ABB oder andere — proprietäres Protokoll über Ethernet), das Navigationsnetzwerk (ECDIS, Radar, AIS — zunehmend über standardisiertes Ethernet), das administrative Netzwerk (E-Mail, ERP-Zugang, Dokumentenmanagement), das Crew-Welfare-Netzwerk (Internet für die Besatzung) und das Shore-to-Ship-Netzwerk (VSAT, 4G/5G, Fleetbroadband).
In der Theorie sind diese Domänen getrennt. In der Praxis gibt es zahlreiche Übergänge: Der Automation-Server sendet Betriebsdaten an eine Cloud-Plattform an Land — über das VSAT-Netzwerk. Der ECDIS-Rechner empfängt Chart-Updates über das Internet. Der Superintendent greift per VPN auf das Automationsnetzwerk zu, um Logs zu prüfen. Jeder dieser Übergänge ist ein Punkt, an dem die OT/IT-Grenze durchbrochen wird.
Die IEC 62443-Norm, die in der Industrie-Automation als Standard gilt, bietet einen nützlichen Rahmen für die Segmentierung. Sie definiert Zonen (Gruppen von Systemen mit gleichem Schutzniveau) und Conduits (kontrollierte Übergänge zwischen Zonen). Übertragen auf den maritimen Kontext bedeutet das: Die Automation ist eine Zone, die Navigation eine andere, das Crew-Internet eine dritte. Jeder Datenfluss zwischen diesen Zonen muss über einen kontrollierten Conduit laufen — eine Firewall, einen Application Gateway oder eine Data Diode.
Die Herausforderung liegt in der Umsetzung. Viele maritime OEMs haben ihre Systeme nicht nach IEC 62443 entwickelt. Die Härtungsrichtlinien fehlen, die Netzwerk-Anforderungen sind nicht dokumentiert, und die Systeme setzen Zugriffsmuster voraus, die mit einer strikten Segmentierung kollidieren. Hier müssen Betreiber und Integratoren pragmatische Kompromisse finden — ohne die Sicherheitsintegrität zu untergraben.
The convergence of OT and IT onboard can be illustrated with concrete examples. A modern vessel typically has the following network domains: the automation network (Kongsberg, Wärtsilä, ABB or others — proprietary protocol over Ethernet), the navigation network (ECDIS, radar, AIS — increasingly over standardised Ethernet), the administrative network (email, ERP access, document management), the crew welfare network (internet for crew) and the shore-to-ship network (VSAT, 4G/5G, Fleetbroadband).
In theory these domains are separate. In practice there are numerous transitions: the automation server sends operational data to a cloud platform ashore — via the VSAT network. The ECDIS computer receives chart updates via the internet. The superintendent accesses the automation network via VPN to review logs. Each of these transitions is a point where the OT/IT boundary is breached.
The IEC 62443 standard, considered the benchmark in industrial automation, provides a useful framework for segmentation. It defines zones (groups of systems with the same protection level) and conduits (controlled transitions between zones). Applied to the maritime context this means: automation is one zone, navigation another, crew internet a third. Every data flow between these zones must pass through a controlled conduit — a firewall, application gateway or data diode.
The challenge lies in implementation. Many maritime OEMs have not developed their systems according to IEC 62443. Hardening guidelines are missing, network requirements are not documented, and the systems assume access patterns that conflict with strict segmentation. Here, operators and integrators must find pragmatic compromises — without undermining security integrity.
Ein Betreiber bringt ein 8 Jahre altes Container-Feederschiff zur Zwischenbesichtigung. Der Klasse-Surveyor fragt nach dem aktuellen Netzwerkplan. Der Superintendent zeigt den Plan aus der Bauzeit — aber seit der Ablieferung wurden ein neues VSAT-System installiert, das Ballastwasser-Treatment-System nachgerüstet und der Automation-Server durch ein neueres Modell ersetzt. Keiner dieser Eingriffe ist im Netzwerkplan dokumentiert.
Der Surveyor stellt fest, dass das VSAT-System über einen unkontrollierten Switch mit dem Automationsnetzwerk verbunden ist — eine Konfiguration, die bei der VSAT-Installation als "temporäre Lösung" eingerichtet wurde und nie bereinigt wurde. Das Ergebnis ist ein Finding, das bis zur nächsten Besichtigung geschlossen werden muss.
Dieses Szenario ist keine Ausnahme, sondern die Regel. Die meisten Bestandsschiffe haben Netzwerktopologien, die über die Jahre gewachsen sind und nicht mehr der Dokumentation entsprechen. Für Betreiber ist das ein klares Signal: Die Aktualisierung der Netzwerkdokumentation sollte Teil jeder größeren Systemänderung sein — nicht ein Nachgedanke, der bei der Besichtigung auffällt.
An operator brings an 8-year-old container feeder to an intermediate survey. The class surveyor asks for the current network plan. The superintendent shows the plan from build time — but since delivery a new VSAT system was installed, the ballast water treatment system was retrofitted and the automation server was replaced with a newer model. None of these changes is documented in the network plan.
The surveyor finds that the VSAT system is connected to the automation network via an uncontrolled switch — a configuration set up during VSAT installation as a "temporary solution" that was never cleaned up. The result is a finding that must be closed by the next survey.
This scenario is not an exception but the rule. Most existing vessels have network topologies that have grown over the years and no longer match documentation. For operators this is a clear signal: updating network documentation should be part of every major system change — not an afterthought that surfaces during a survey.
Betreiber, die die OT/IT-Konvergenz organisatorisch adressieren wollen, sollten drei Schritte priorisieren. Erstens: Einen Verantwortlichen für die Netzwerkintegrität des Schiffes benennen — nicht für IT oder OT einzeln, sondern für die Gesamttopologie. Zweitens: Jeden Netzwerkeingriff dokumentieren — jede neue Installation, jede Umkonfiguration, jeder Fernzugriffspunkt. Drittens: Die Schnittstelle zwischen IT-Abteilung und technischem Management formalisieren — gemeinsame Reviews, abgestimmte Entscheidungsprozesse, geteilte Verantwortung für Cyber-Themen.
Der Aufwand ist überschaubar. Der Nutzen — weniger Findings bei Besichtigungen, bessere Übersicht bei Störfällen, klarere Entscheidungswege — ist erheblich.
Operators wanting to address OT/IT convergence organisationally should prioritise three steps. First: appoint someone responsible for the network integrity of the vessel — not for IT or OT individually but for the overall topology. Second: document every network intervention — every new installation, every reconfiguration, every remote access point. Third: formalise the interface between IT department and technical management — joint reviews, aligned decision processes, shared responsibility for cyber topics.
The effort is manageable. The benefit — fewer findings at surveys, better oversight during incidents, clearer decision paths — is substantial.
Unverbindliches Erstgespräch – wir analysieren Ihre Situation und finden den besten Weg.Free initial consultation – we analyze your situation and find the best path forward.
Beratung anfragenRequest Consulting