Barracuda full logo

Cybersicherheit für die maritime Infrastruktur: Neue Exekutivverordnung

Themen:
29. März. 2024
|
Tony Burgess

Während und nach der COVID-19-Pandemie haben wir alle gelernt, wie fragil globale Lieferketten sein können. Und der jüngste Einsturz der Francis-Scott-Key-Brücke in Baltimore, Maryland, der voraussichtlich erhebliche Auswirkungen auf die Schifffahrt in der Automobilindustrie haben wird, erinnert uns daran, dass diese Lieferketten in hohem Maße von einer sicheren Infrastruktur abhängig sind.

Bei der Kollision, die zum Einsturz der Brücke führte, handelte es sich höchstwahrscheinlich um einen Unfall. Es gibt jedoch allen Grund zu der Annahme, dass im Falle einer internationalen Krise oder eines Konflikts die vorsätzliche Sabotage der Hafeninfrastruktur ein wirksames Mittel wäre, um strategischen Schaden anzurichten. Und diese Infrastruktur ist zunehmend automatisiert und IT-abhängig, was sie potenziell anfällig für Cyberangriffe macht.

Neue Exekutivverordnung

Am 21. Februar dieses Jahres kündigte die Regierung Biden-Harris eine neue Exekutivverordnung an, die darauf abzielt, die Cybersicherheit der maritimen Infrastruktur der Vereinigten Staaten zu stärken.

Die Exekutivverordnung besteht aus mehreren Komponenten:

  • Die Verordnung erweitert die Befugnisse des Department of Homeland Security (DHS), sich mit den Bedrohungen der Cybersicherheit im Seeverkehr zu befassen, und gibt der US-Küstenwache die Befugnis, bestimmte Cybersicherheitsstandards für Schiffe und Hafenanlagen vorzuschreiben und durchzusetzen. Cyber-Vorfälle, in die maritime Technologiesysteme (MTS) verwickelt sind, müssen künftig der Küstenwache gemeldet werden. Die Küstenwache erhält außerdem die Befugnis, die Bewegung von Schiffen zu kontrollieren, die als Bedrohung für die Cybersicherheit gelten.
  • Gemäß der Exekutivverordnung hat die US-Küstenwache eine Notice of Proposed Rulemaking zur Cybersicherheit im Seeverkehrssystem herausgegeben, um Mindestanforderungen an die Cybersicherheit festzulegen, die internationalen und branchenweit anerkannten Standards für den bestmöglichen Umgang mit Cyberbedrohungen entsprechen.
  • Die Anordnung weist die Küstenwache außerdem an, eine Richtlinie für die Sicherheit im Seeverkehr zu erlassen, die spezifische Maßnahmen zum Management von Cybersecurity-Risiken in Bezug auf Ship-to-Shore-Kräne vorschreibt, die in der Volksrepublik China (VRC) hergestellt werden.

Aus Sicht Chinas

Interessant ist die besondere Aufmerksamkeit, die den in China hergestellten Kränen gewidmet wird. Es basiert auf den Erkenntnissen, dass diese Kräne – die in zahlreichen Häfen auf der ganzen Welt, darunter auch in den USA, im Einsatz sind – Schwachstellen aufweisen, die sie für die Ausnutzung durch böswillige Parteien anfällig machen könnten.

Darüber hinaus besteht die Sorge, dass die Software dieser Kräne Hintertüren oder andere Arten von Malware enthalten könnte, die es chinesischen Regierungsbehörden ermöglichen, im Falle einer Krise oder eines Konflikts die Kontrolle über diese wichtigen Geräte zu übernehmen oder sie zu sabotieren.

Das US-Verkehrsministerium hat auch ein neues Beratungsdokument herausgegeben, in dem die spezifische Art dieser Bedenken dargelegt wird. In dem Dokument wird darauf hingewiesen, dass der größte Teil der Ship-to-Shore-Kräne von ZPMC (Shanghai Zhenhua Heavy Industries Company Limited) hergestellt wird und dass sie so konzipiert sind, dass sie je nach Konfiguration von entfernten Standorten aus gesteuert, gewartet und programmiert werden können.

Darüber hinaus weist das Dokument darauf hin, dass die zunehmende Integration und Nutzung der Logistikmanagementplattform LOGINK, die Logistikdaten aus vielen Quellen zusammenfasst, einschließlich potenziell geschützter und sensibler Daten über Versand und Transport, Risiken birgt.

Schließlich wird auf die Risiken bei der Verwendung von Sicherheitsinspektionsgeräten hingewiesen, die von der Nuctech Company, Ltd. hergestellt werden, einem vom chinesischen Staat kontrollierten Unternehmen. Die Tatsache, dass diese Ausrüstung unter anderem hochentwickelte künstliche Intelligenz und Gesichtserkennungsfunktionen umfasst, stellt ein erhebliches potenzielles Risiko für die nationale Sicherheit dar. Darüber hinaus hat die US-Regierung festgestellt, dass die leistungsschwächere Ausrüstung von Nuctech die Bemühungen der USA beeinträchtigen könnte, den internationalen Handel mit nuklearem und anderem radioaktiven Material abzufangen.

Das Advisory schließt mit einer langen und spezifischen Liste von empfohlenen Maßnahmen, die von allen Eigentümern oder Betreibern von MTS-Geräten ergriffen werden sollten, einschließlich der Verbesserung der Zugangskontrollen, der Segmentierung und der Überwachung der Kommunikation.

Kosten und Nutzen

Diese neuen Vorschriften werden den Eigentümern und Betreibern von Schifffahrts- und Hafenausrüstungen erhebliche Kosten auferlegen. Viele dieser Kosten werden jedoch durch Mittel aus dem Bipartisan Infrastructure Law and Inflation Reduction Act 2023 ausgeglichen.

Darüber hinaus stellt die Regierung Mittel zur Verfügung, um die Verlagerung der Herstellung von MTS-Geräten durch US-Unternehmen zu unterstützen, damit die anfälligen Geräte aus chinesischer Produktion im Laufe der Zeit kostengünstig durch sicherere Geräte aus heimischer Produktion ersetzt werden können.

Was den Nutzen dieser Maßnahmen angeht, so besteht der offensichtliche Hauptnutzen in der Verringerung der Cyberrisiken für die USA und die globalen Lieferketten. Ein zusätzlicher Nutzen wird in neuen Arbeitsplätzen im verarbeitenden Gewerbe für US-Beschäftigte gemessen.

Erfahren Sie mehr über die IoT/OT-Sicherheitslösungen von Barracuda
Tony Burgess

Der Veteran Tony Burgess ist seit zwanzig Jahren in der IT-Sicherheitsbranche tätig und Senior Copywriter von Barracuda für Content und Customer Marketing. In dieser Funktion beschäftigt er sich mit komplexen technischen Themen und fasst seine Erkenntnisse in verständlicher, nützlicher und von Menschen lesbarer Prosa zusammen.

Hier können Sie sich auf LinkedIn mit Tony vernetzen.

Verwandte Beiträge:
Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Die wichtigsten Bedrohungsakteure im August: Ransomware, Spionage und Infostealer
Die wichtigsten Bedrohungsakteure im August: Ransomware, Spionage und Infostealer
 Malware-Info: Raffiniertes Phishing, BYOVD und Android-RATs
Malware-Info: Raffiniertes Phishing, BYOVD und Android-RATs
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.