Cyber-Resilienz im Hafen: Innovative IT Architektur sichert die Kommunikation in See- und Binnenhäfen
Umfangreiche Analysen als Grundlage für die praktische Umsetzung
Die Funktion moderner See- und Binnenhäfen basiert auf elektronisch verfügbaren Informationen, welche die physischen Waren begleiten oder diesen vorauseilen. Alle am Hafentransport beteiligten Akteure (wie z. B. Terminalbetreiber, Reeder, Spediteure, Betreiber von Port-Community-Systemen, Bahn, Hafenbehörden und Zoll) sind hierzu in einem komplexen Hafenkommunikationsverbund miteinander vernetzt und tauschen untereinander Informationen aus. Die Hafenprozesse sind davon abhängig, dass dieser gesamte IT-Kommunikationsverbund reibungslos funktioniert. Selbst, wenn die einzelnen Systeme der Hafenakteure nach dem Stand der Technik abgesichert sind, bedeutet das nicht automatisch, dass der gesamte Hafenkommunikationsverbund im Zusammenspiel sicher ist. Ein Ausfall oder eine Manipulation von Nachrichten an einer Stelle kann zu erheblichen betriebs- und volkswirtschaftlichen Schäden in der Gesamtkette führen. Genau hier setzt SecProPort an: Die beteiligten Partner aus Forschung und Wirtschaf t haben ein global abgestimmtes Sicherheitskonzept entwickelt, so dass der Kommunikationsaustausch in einem gesamthaft gesicherten und geschützten Umfeld ablaufen kann.
Hierzu wurde zunächst eine detaillierte Prozessanalyse der vier das Projekt begleitenden Szenarien (Gefahrgutanmeldung über das National Single Window, Container Logistik, XXL-Logistik, die den Transport und die Verschiffung von großen Gütern wie Windturbinen- oder Flugzeugteilen umfasst und Binnenhafenterminal) durchgeführt. Federführend geschah dies durch Susanne Ficke, verantwortliche Projektleiterin beim ISL Institut für Seeverkehrswirtschaft und Logistik – Bremen/Bremerhaven und ihrem Team: "Es wurden systematisch die komplexen Hafenprozesse, Kommunikationsstrukturen und die jeweiligen Sicherheitsanforderungen bei den beteiligten Akteuren analysiert bevor Risikobewertungen und Maßnahmen zur Risikobehandlung am Beispiel des Seehafens Bremerhaven erarbeitet werden konnten."
"Jeder Akteur betreibt in der Regel seine eigenen, mitunter langjährig etablierten Anwendungen, die mit IT-Systemen anderer Partner über dedizierte Schnittstellen verbunden sind. Für die praktische Umsetzbarkeit einer zentralen Sicherheitsarchitektur war es uns wichtig, diese vorhandenen Strukturen zu berücksichtigen.", erläutert Michael Schröder, Projektmanager beim Projektpartner Hapag Lloyd den SecProPort Ansatz. Um den Datentransfer zwischen den logistischen Akteuren abzusichern, setzt SecProPort daher auf einen einheitlichen Message Adaptor, der die Systeme der einzelnen Beteiligten effizient ergänzt und sicher miteinander verknüpft.
Integrität und Vertraulichkeit von Daten im Fokus
Um die Zurechenbarkeit und Manipulationsfreiheit von Daten zu gewährleisten, müssen in der SecProPort Sicherheitsarchitektur kryptographische Verfahren angewendet werden. Dazu setzt der SecProPort Message Adaptor eine Publik Key Infrastruktur ein. Jeder Akteur erhält von der Zertifizierungsstelle ein eigenes Zertifikat, mit dem ein öffentlicher und privater Schlüssel zur digitalen Signatur, sowie zur Ver- und Entschlüsselung von Nachrichten verbunden ist. Das verhindert die Manipulation von Nachrichten und ermöglicht es, die Echtheit des Absenders zu bestätigen.
Der Sicherheitsarchitektur liegt darüber hinaus eine rollenbasierte Zugriffskontrolle (RBAC – Role Based Access Control) zugrunde. Für jeden Akteur ist detailliert definiert, welche Informationen geschrieben, gelesen oder nicht eingesehen werden dürfen. "In der Kombination mit kryptographischen Verfahren bietet sich damit sogar die Möglichkeit, dass Daten von beteiligten Akteuren zwar weitergegeben, aber erst vom berechtigten Empfänger der Informationen entschlüsselt werden können", erklärt Prof. Dr. Dieter Hutter vom Forschungsbereich Cyber-Physical Systems des Deutschen Forschungszentrums für Künstliche Intelligenz (DFKI) die Eigenschaften der entwickelten Sicherheitsarchitektur.
Geschäftskontinuität für den Gesamtverbund auch bei Cybervorfällen gewährleisten
"Heutzutage sind nicht nur Sicherheitsmechanismen benötigt, um sich vor Cyberbedrohungen zu schützen, sondern auch eine Resilienzstrategie, um die Geschäftskontinuität auch bei Cybervorfällen zu gewährleisten", erläutert Konsortialpartner Prof. Dr. Thomas Kemmerich (Universität Bremen). Unter Cyber-Resilienz versteht man die Fähigkeit, sich effektiv auf Cyber-Vorfälle vorzubereiten, diese zu verhindern, zu erkennen, darauf zu reagieren und sich davon zu erholen.
Dementsprechend trägt als weiterer Projektbaustein die Erkennung und konsequente Behandlung von Angriffen zu einer sicheren IT-Infrastruktur im Hafenkommunikationsverbund bei. Das SecProPort Netz erfüllt Resilienzanforderungen, indem es potentiell mit Schadsoftware befallene oder böswillig agierende Akteure erkennt, die entsprechenden Kommunikationswege einschränkt und gegebenenfalls auf zusätzlich definierte Sicherheitsmechanismen zurückgreift. Zielsetzung ist es, Auswirkungen auf andere Akteure zu minimieren und das betroffene System kontrolliert wieder in einen Normalzustand zu überführen.
Eine Blaupause für andere Kommunikationsverbünde
Im Rahmen des Projektes ist ein Migrationskonzept erstellt worden, das beschreibt, wie die entwickelte Sicherheitsarchitektur nach und nach in einen Produktivbetrieb überführt werden kann. Konzipiert wurde SecProPort dabei ausdrücklich so, dass eine Umsetzung nicht nur im Seehafen, sondern auch für Binnenhäfen oder andere Strukturen möglich ist. Es wurde eine branchenspezifische Prüfgrundlage für kritische Infrastrukturen entwickelt, die mit allen relevanten Interessensgruppen abgestimmt werden kann. Diese erfüllt bereits die Anforderungen des IT Sicherheitsgesetzes, der DSGVO und der ISO 27001 und kann somit als Vorlage für andere Häfen dienen. Die eingesetzten offenen Datenformate und Plattformtechnologien erleichtern es ebenfalls, die entwickelte Sicherheitsarchitektur für andere Strukturen zu adaptieren. Dennoch stellt Projektkoordinatorin Karin Steffen-Witt heraus: "Sicherheit in einem Kommunikationsverband kann nur gemeinsam erreicht werden. Sicherheitsregeln müssen von allen A kteuren gemeinsam erarbeitet und vereinbart werden. Dafür müssen sich alle Akteure am Prozess beteiligen und allen die Mechanismen und Handlungsanweisungen transparent zugänglich gemacht werden."
Weitere Informationen, sowie ein Video über das Projekt finden Interessierte auf der Projektwebseite www.secproport.de
Über das Projekt SecProPort
Für ein außenhandelsorientiertes Land wie Deutschland ist die Funktion moderner See- und Binnenhäfen von existenzieller Bedeutung. Diese basiert zunehmend auf elektronisch verfügbaren Informationen, welche die physischen Warenketten begleiten. Alle am Hafentransport beteiligten Akteure (wie z.B. Terminalbetreiber, Reeder, Spediteure, Betreiber von Hafen-IT, Bahn, Hafenbehörden und Zoll) sind in einem komplexen Hafenkommunikationsverbund (HKV) miteinander vernetzt und tauschen Informationen untereinander aus. Ein Ausfall der Kommunikation kann zu erheblichen betriebs- und volkswirtschaftlichen Schäden führen. Diese Kommunikation wird heute massiv durch Cyberangriffe bedroht. Ziel des Vorhabens ist es, eine Sicherheitsarchitektur für den HKV auf Basis einer Prozess- und Bedrohungsanalyse zu entwickeln. Diese Sicherheitsarchitektur soll Resilienzanforderungen erfüllen, so dass das Gesamtsystem auch im Falle eines Angriffs weiterarbeitet. Aus der Sicherheitsarchitektur werden Sicherheits anforderungen für die Anwendungen der einzelnen Hafenakteure abgeleitet und Migrationspläne entwickelt. Bei einzelnen Anwendungspartnern wird dann die Sicherheitsarchitektur beispielhaft umgesetzt, um ihre praktische Relevanz nachzuweisen. Die Projektergebnisse werden zudem in einen branchenspezifischen Standard für die Informationssicherheit im Bereich Hafen einfließen.
Projektvolumen / -laufzeit
3.527.228,69 € (davon 75% Förderanteil durch BMVI) / 11/2018 – 12/2021
Projektpartner
- dbh Logistics IT AG, Bremen
- BLG LOGISTICS GROUP AG & Co. KG, Bremen
- datenschutz cert GmbH, Bremen
- Deutsches Forschungszentrum für Künstliche Intelligenz, Bremen
- Duisburger Hafen AG, Duisburg
- Hapag-Lloyd AG, Hamburg
- ISL Institut für Seeverkehrswirtschaft und Logistik (ISL), Bremen/Bremerhaven
- Universität Bremen
Assoziierte Partner
- bremenports GmbH & Co. KG, Bremen/Bremerhaven
- EUROGATE GmbH & Co. KGaA, KG, Bremen
- Niedersachsen Ports GmbH & Co. KG, Oldenburg
- JadeWeserPort Realisierungs GmbH & Co. KG, Wilhelmshaven
Die dbh Logistics IT AG ist eines der führenden Unternehmen für Software und Beratung in den Bereichen Zoll und Außenhandel, Compliance, Transportmanagement, Hafenwirtschaft, SAP und Cloud Services. Mit diesem Portfolio lassen sich die Barrieren im weltweiten Fluss von Logistikketten zuverlässig und vorausschauend überwinden. Rund 260 Mitarbeiterinnen und Mitarbeiter engagieren sich für mehr als 2.700 Kunden aus Industrie und Handel, Spedition und Logistik, sowie Schiffahrt und Hafen. Neben dem Stammsitz in Bremen ist dbh an sieben weiteren Standorten in Würzburg, Frankfurt am Main, Dresden, Dortmund, Wilhelmshaven, Hamburg und Lübeck vertreten. Weitere Informationen unter www.dbh.de
dbh Logistics IT AG
Martinistraße 47 – 49
28195 Bremen
Telefon: +49 (421) 30902-0
Telefax: +49 (421) 30902-57
http://www.dbh.de
Standortleiterin Lübeck
Telefon: +49 451 707971-15
E-Mail: karin.steffen-witt@dbh.de