Recovery vs. Protection in der CyberabwehrRecovery vs. Protection in Cyber Defence

Kein System ist vollständig abschottbar. Recovery ist entscheidend.

No system can be fully isolated. Recovery is decisive.

Kritische Funktionen geordnet wiederherstellen oder sicher weiterfhren.

Restoring critical functions in an orderly manner or continuing operations safely.

Schutzmaßnahmen sind sichtbarer und leichter kommunizierbar.

Protective measures are more visible and easier to communicate.

Inventar, Priorisierung, getestete Verfahren und definierte Rollen.

Inventory, prioritisation, tested procedures and defined roles.

Maritime Recovery geht weit über das Wiederherstellen eines Backups hinaus. Moderne Schiffe betreiben zahlreiche vernetzte Systeme: ECDIS (Electronic Chart Display), AIS (Automatic Identification System), GMDSS (Global Maritime Distress and Safety System), Maschinensteuerung, Ballastwassermanagement, Ladungskontrolle und Kommunikationssysteme. Ein Cyberangriff kann mehrere dieser Systeme gleichzeitig beeinträchtigen.

Die IACS Unified Requirements UR E26 und E27 — seit Juli 2024 für Neubauten verbindlich — definieren erstmals Mindestanforderungen für Cyber-Resilienz. UR E26 richtet sich an das Schiff als System und verlangt unter anderem eine Inventarisierung aller Computer-Based Systems (CBS), Netzwerksegmentierung und die Fähigkeit zum kontrollierten Herunterfahren und Wiederstarten. UR E27 richtet sich an Systemlieferanten und fordert Sicherheits-by-Design.

Für Recovery bedeutet dies konkret: jedes kritische System muss eine dokumentierte Wiederanlaufprozedur haben, die von der Crew ohne externe Unterstützung durchgeführt werden kann — zumindest im Grundbetrieb. Dies setzt voraus, dass Backup-Medien an Bord verfügbar sind, Konfigurationsdaten gesichert wurden und die Crew die Reihenfolge der Systemstarts kennt.

Ein häufig übersehener Punkt ist die Abhängigkeit zwischen OT (Operational Technology) und IT (Information Technology). Wenn das IT-Netzwerk kompromittiert ist, darf das OT-Netzwerk — das die Maschinen- und Sicherheitssysteme steuert — nicht mitgerissen werden. Netzwerksegmentierung ist hier keine optionale Massnahme, sondern eine fundamentale Architekturentscheidung, die bereits beim Schiffsdesign getroffen werden muss.

Maritime recovery goes well beyond restoring a backup. Modern vessels operate numerous interconnected systems: ECDIS (Electronic Chart Display), AIS (Automatic Identification System), GMDSS (Global Maritime Distress and Safety System), engine controls, ballast water management, cargo control and communication systems. A cyber attack can affect several of these systems simultaneously.

The IACS Unified Requirements UR E26 and E27 — mandatory for newbuilds since July 2024 — define minimum requirements for cyber resilience for the first time. UR E26 addresses the vessel as a system and requires, among other things, an inventory of all Computer-Based Systems (CBS), network segmentation and the capability for controlled shutdown and restart. UR E27 addresses system suppliers and mandates security-by-design.

For recovery, this means concretely: every critical system must have a documented restart procedure that the crew can execute without external support — at least for basic operations. This presupposes that backup media are available on board, configuration data have been saved and the crew knows the sequence of system starts.

A frequently overlooked point is the dependency between OT (Operational Technology) and IT (Information Technology). If the IT network is compromised, the OT network — which controls machinery and safety systems — must not be dragged down with it. Network segmentation is not an optional measure here but a fundamental architectural decision that must be taken during vessel design.

Für bestehende Schiffe, die nicht unter UR E26/E27 fallen, ist die Ausgangslage oft schlechter. Viele ältere Systeme wurden ohne Cybersicherheit im Sinn entworfen — Default-Passwörter, fehlende Netzwerksegmentierung und keine dokumentierten Recovery-Prozeduren sind häufig.

Der pragmatische Ansatz beginnt mit einem System-Inventar: welche CBS sind an Bord, welche sind vernetzt, welche sind sicherheitsrelevant? Daraus ergibt sich eine Priorisierung: Navigationssysteme und Maschinensteuerung haben höchste Priorität, gefolgt von Kommunikation und Ladungskontrolle. Für jede Prioritätsstufe wird eine Recovery-Prozedur definiert — vom einfachen Neustart bis zum vollständigen System-Rebuild.

Entscheidend ist das Testen. Eine Recovery-Prozedur, die nie geprobt wurde, ist im Ernstfall wertlos. Tabletop-Übungen — bei denen die Crew ein Cyberszenario durchspielt, ohne tatsächlich Systeme herunterzufahren — sind ein praktikabler erster Schritt. Vollständige Drills, bei denen Systeme tatsächlich heruntergefahren und wieder gestartet werden, sollten mindestens jährlich stattfinden.

For existing vessels not covered by UR E26/E27, the starting position is often worse. Many older systems were designed without cybersecurity in mind — default passwords, absent network segmentation and no documented recovery procedures are common.

The pragmatic approach begins with a system inventory: which CBS are on board, which are networked, which are safety-relevant? This yields a prioritisation: navigation systems and engine controls take highest priority, followed by communications and cargo control. For each priority level, a recovery procedure is defined — from a simple restart to a complete system rebuild.

Testing is decisive. A recovery procedure that has never been rehearsed is worthless in an actual incident. Tabletop exercises — where the crew works through a cyber scenario without actually shutting down systems — are a practicable first step. Full drills, where systems are actually shut down and restarted, should take place at least annually.

Der NotPetya-Angriff auf Maersk im Juni 2017 bleibt die wirkungsvollste Fallstudie für maritime Cyber-Recovery. Innerhalb weniger Stunden fielen 49.000 Laptops, 3.500 Server und die gesamte Netzwerkinfrastruktur aus. Die Gesamtkosten beliefen sich auf geschätzte 300 Millionen USD.

Die entscheidende Erkenntnis war nicht die Schwäche der Protection, sondern die anfängliche Abwesenheit von Recovery-Fähigkeit. Maersk hatte kein isoliertes Backup des Active Directory — die zentrale Authentifizierungsinfrastruktur. Ein einzelner Domain Controller in Ghana, der zum Zeitpunkt des Angriffs offline war, rettete die Wiederherstellung. Ohne diesen Zufall hätte der Rebuild Wochen länger gedauert.

Für Schiffsbetreiber ist die Lehre klar: wenn die grösste Containerreederei der Welt Wochen braucht, um ihre IT-Infrastruktur wiederherzustellen, kann ein kleinerer Betreiber ohne Recovery-Plan nicht davon ausgehen, innerhalb von Tagen wieder betriebsfähig zu sein.

The NotPetya attack on Maersk in June 2017 remains the most impactful case study for maritime cyber recovery. Within hours, 49,000 laptops, 3,500 servers and the entire network infrastructure were disabled. Total costs were estimated at 300 million USD.

The decisive insight was not the weakness of protection but the initial absence of recovery capability. Maersk had no isolated backup of the Active Directory — the central authentication infrastructure. A single domain controller in Ghana that happened to be offline at the time of the attack saved the restoration. Without this coincidence, the rebuild would have taken weeks longer.

For vessel operators, the lesson is clear: if the world's largest container shipping line takes weeks to restore its IT infrastructure, a smaller operator without a recovery plan cannot expect to be operational again within days.

Betreiber können ihren Recovery-Reifegrad anhand von fünf Stufen bewerten. Stufe 1: kein dokumentiertes Inventar kritischer Systeme. Stufe 2: Inventar vorhanden, aber keine Recovery-Prozeduren. Stufe 3: Prozeduren dokumentiert, aber nie getestet. Stufe 4: regelmässig getestete Prozeduren mit definierten Rollen. Stufe 5: integrierte Recovery-Fähigkeit mit automatisierter Überwachung und regelmässigen Drills.

Die meisten Betreiber befinden sich auf Stufe 2 oder 3. Der Sprung von 3 auf 4 — also das tatsächliche Testen der dokumentierten Prozeduren — bringt den grössten Sicherheitsgewinn bei vergleichsweise geringem Aufwand.

Operators can assess their recovery maturity against five levels. Level 1: no documented inventory of critical systems. Level 2: inventory exists but no recovery procedures. Level 3: procedures documented but never tested. Level 4: regularly tested procedures with defined roles. Level 5: integrated recovery capability with automated monitoring and regular drills.

Most operators sit at Level 2 or 3. The jump from 3 to 4 — actually testing the documented procedures — delivers the greatest security gain at comparatively modest effort.

• Maritime Recovery umfasst Navigationssysteme, Maschinensteuerung und Kommunikation — nicht nur IT-Backups.
• IACS UR E26/E27 setzen erstmals verbindliche Mindeststandards für Cyber-Resilienz auf Neubauten.
• Netzwerksegmentierung zwischen OT und IT ist eine fundamentale Architekturentscheidung.
• Recovery-Prozeduren, die nie getestet werden, sind im Ernstfall wertlos.
• Die NotPetya-Erfahrung zeigt: Recovery-Fähigkeit ist mindestens ebenso wichtig wie Protection.

• Maritime recovery encompasses navigation systems, engine controls and communications — not merely IT backups.
• IACS UR E26/E27 set mandatory minimum standards for cyber resilience on newbuilds for the first time.
• Network segmentation between OT and IT is a fundamental architectural decision.
• Recovery procedures that are never tested are worthless in an actual incident.
• The NotPetya experience shows: recovery capability is at least as important as protection.

• IACS Cyber Resilience erklärt
• IACS Cyber-Resilienz-Anforderungen für Schiffe
• UR E26/E27: Was Neubauten beachten müssen
• Digitale Projekte brauchen operative Verantwortliche
• Class & PSC Compliance
• Kontakt aufnehmen

• IACS Cyber Resilience Explained
• IACS Cyber Resilience Requirements for Vessels
• UR E26/E27: What Newbuilds Must Consider
• Digital Projects Need Operational Owners
• Class & PSC Compliance
• Get in Touch