Handelsschiffahrt und IT-Sicherheit?

[Elektroheizer]

Eben auf heise online (ua Computerzeitschrift ct) gelesen, dürfte für einige hier bestimmt von Interesse sein: Studie: Schifffahrtsindustrie nicht auf Cyber-Angriffe vorbereitet. Da heißt es:

Eine Untersuchung der EU-Behörde für Netzwerk- und IT-Sicherheit Enisa stellt der Schifffahrtsindustrie ein schlechtes Zeugnis in Sachen "Cyber Security" aus. Die Aufmerksamkeit für derartige Belange und Herausforderungen sei derzeit "niedrig bis nicht vorhanden", heißt es in einem Anfang der Woche veröffentlichten Bericht. [...] Derzeit würden einschlägige Seefahrtsbestimmungen nur physikalische Sicherheitsaspekte im Blick haben, moniert der Bericht. Entscheidungsträger sollten die Vorsorge auf die IT-Sicherheit erweitern. [...]

Kann dazu jemand sagen, inwieweit da was dran ist? Es gibt ja Sachen, an die denkt man erstmal gar nicht und schlägt sich irgendwann nur noch vor die Stirn.

[Captain Hans]

die IT-Sicherheit auf Frachtschgiffen und Passagierschiffen  ist miserabel.

Klinkt sich jemand auf einen Schiffssteuerungscomputer ein (Maschine, Navigation, Beladung usw) kann er
eine Katastrophe auslösen.
Bei den vielen Crewwechsel sind auch Passwörter und Codes schnell bekannt.
Viele Schiffe und besonders Fahrgastschiffe sind heute absolut on-line und von Land vollständig überwachbar
und sogar steuerbar.
leider bin ich shon zu lange heraus und weis nicht wie es heute im Einzeln aussieht aber ich glaube
nicht, daß da viel im Bereich IT-Sicherheit passiert ist.

Es ist a.....sch gefährlich.

viele Grüße

Hans

[Elektroheizer]

An die Sache mit den Crewwechseln, Passwörter und Codes hätte ich zB jetzt erstmal nicht gedacht. Eher an Ladungslisten, Besatzungslisten oder vorgesehenen Kurs bzw aktuellen Standort.

[Captain Hans]

Auch an Bord ist es manchmal sehr gefährlich.

Bei einer großen deutschen in Zypern (1999)ansässigen Reederei hatte ein Filipino ein
virenverseuchtes Computerspiel auf den Hauptrechner zur Maschinensteuerung aufgespielt was
natürlich ein Chaos auslöste und die Maschinenanlagen mußten von Hand gefahren werden, da es
am Bord keine IT-Experten gab und gibt.
Ist nur ein Beispiel.
Passwörter und  Zugangscodes sollten nur dem Kapitän und dem LI bekannt sein, leider geben die
die Informationen oft an andere Offiziere und Ings weiter

Die Programme mußten im nächsten Hafen vom Hersteller neu geladen werden und wir lieferten
eine spezielle Firewall, die zukünftig solche Sachen verhinderte.

Oft haben die Reeder IT-Spezialisten, die kurzfristig auf die Schiffe gehen und die Anlagen warten.
Lade- und Löschlisten bei Containerschiffen kommen von Land und werden und werden manchmal schon
vorab on-line übertragen.
Auf See geht alles über Satelitten (Inmarsat), die sehr gut geschützt sind.
Position, Speed, Kurs und sogar Art der Ladung werden on-line öffentlich ausgestrahlt (siehe AIS usw.)
Gefahrengut muß beim Vorbeifahren an Küstenstellen der Länder gemeldet werden.
Crewlisten werden in jedem Hafen an Landbehörden übergeben, Crewwechsel wird on-line übertragen d.h.
von Crew-Agents zur Reederei und zum jeweiligen Schiff.
Wenn keine generelle on-line Verbindung besteht,geschieht dies alles im Hafen.

Fähren auf kurzen Strecken übertragen ihre Daten via eigenen Wire-less Netzwerke.(Funkbrücke)   

Du siehst es gibtvieleMöglichkeiten für einen guten Hacker sich einzuklinken

lies mal:

http://forum-marinearchiv...dex.php/topic,7871.0.html

viele Grüße

Hans

[JotDora]

Beispiel: Mein Schwager ist studierter Informatiker und arbeitet sehr hardwarenah. Das heißt er programmiert z.B. Steuerungen für Roboter oder komplexe medizinische Geräte. egal. Er hat sich auf alle Fälle neulich ein nagelneues Auto gekauft, mit viel technischem Schnickschnack, man kennt das ja heutzutage.
Er kam dann relativ schnell auf die Idee den Datenbus des Autos anzuzapfen und zu schauen was man da so alles machen kann. Der Zugang zur Bordelektronik ist ja meist nur hinter einer Plastikabdeckung verborgen.
einen Stecker hat er sich relativ schnell selbst gebaut, die Verbindung war also recht schnell hergestellt. Was er dann genau getan hat weiß ich nicht, aber mit ein bisschen Recherche und Programmierarbeit war er innerhalb kürzester Zeit in der Lage die Fenster durch den Laptop zu bedienen, Beleuchtung ein und auszuschalten, Bremsassistenten zu deaktivieren usw. Er meinte es gäbe auch Steuerungen für die Bremssysteme allgemein, an die hat er sich aber nicht ran gewagt.

Will sagen: Jemand der Ahnung von Hard und Software hat kann heute recht einfach die Steuerung über ein Auto übernehmen. Ich möchte nicht wissen wie leicht es auf z.B. Kreuzfahrtschiffen ist. Wahrscheinlich sind relativ viele Netzwerkschnittstellen ungeschützt.. und ich will nicht wissen über welche Systeme man die Kontrolle übernehmen könnte.. wenn man wollte.

Man darf nicht zu viel drüber nachdenken.
Filmzitat aus "Demolition Man": Böse Menschen planen böse Dinge!

Gruß

Sebastian

[Captain Hans]

Hallo Sebastian

Du hast vollkommen Recht.
Es gab ja schon einen Film wo Terroristen einen Passagierdampfer mittels Computer übernommen haben.
Ich find es immer toll wenn Filme die solche Möglichkeiten schön publik machen 

aber man kann ja im Internet nachlesen wie man die Atombombe des kleinen Mannes baut

viele Grüße
Hans

[Elektroheizer]

Danke @Hans; Deinen link anzuschauen fehlt mir im Moment die Muße.

Manche sicherheitskritischen Dinge sind ja scheinbar undenkbar und genau deshalb so einfach angreifbar (sofern man das nötige Handwerk beherrscht). Ich hatte übrigens sowas wie 9-11 vorausgesehen - allerdings einige Größenordnungen kleiner. In den USA ist ja Privatfliegerei recht weit verbreitet, und man hört oder liest da regelmäßig von Amokläufen. Ein Chef feuert einen Mitarbeiter, der Mitarbeiter dreht durch, sein früherer Arbeitsplatz, eine Cessna... Daß Terroristen mal eine Passagiermaschine kapern für so eine Aktion, daran hätte ich nie gedacht. Andere offenbar auch nicht. Und jetzt denke ich an einen LNG Tanker, eine Queen Elizabeth mit dekadenten Ungläubigen, festgemacht in einem Hafen... Aber ich vermute, daran immerhin wird schon gedacht. Oder?

[Elektroheizer]

Es gab ja schon einen Film wo Terroristen einen Passagierdampfer mittels Computer übernommen haben.
Ich find es immer toll wenn Filme die solche Möglichkeiten schön publik machen 

Kenne den Film zwar nicht, aber ich hätte gedacht das wär künstlerische Freiheit. War wohl ziemlich naiv gedacht. Wie kann man nur Windows als Grundlage für so einen Steuerungscomputer einsetzen, das ist doch gar nicht echtzeitfähig. Abgesehen von so Scherzen wie daß da jeder Torfkopp Programme drauf installieren kann.

aber man kann ja im Internet nachlesen wie man die Atombombe des kleinen Mannes baut

Das Wissen dafür war auch schon in öffentlichen Quellen frei verfügbar, bevor es das Internet gab. Das ist der Preis für unsere Freiheit, und das ist auch gut so. Nicht gut ist, daß der Westen sich viele Terroristen selbst heranzüchtet. Oder Piraten

[Captain Hans]

Du hast Recht Windows ist eine sehr anfällige Krücke.
Echtzeitsysteme laufen aber nicht auf Windows sondern Unix QNX über einen Datenkonzentrator
und standardisierte Schnittstellen wird die Auswertung und auch die Steuerung über Windows Systeme
möglich.

wenn du Zeit hast meinen link  zu lesen wird die Problematik der Schiffe klar.

Bei Passagierschiffen und den LNG Tanker ist das Risikopotential bekannt und es sind schon enorme Schutzsysteme
vorhanden.

Leider bin ich nicht mehr up to date und kann deshalb nichts über den heutigen Zustand im Detail aussagen.
Meine Aussagen gelten so etwa bis 2006.

viele Grüße

Hans