Resiliente Häfen: Lehren aus der Vergangenheit, Herausforderungen von heute

Resiliente Häfen waren schon in der Antike ein relevantes Thema. Mit zunehmender Digitalisierung und Automatisierung kam eine neue Dimension hinzu: Informationssicherheit und Vermögensverwaltung. Wilco Vahrmeijer (ShipLogic) nimmt Sie mit auf eine Reise durch die Geschichte, projiziert Lehren aus der Vergangenheit auf die Gegenwart und erläutert diese anhand einer Fallstudie.

Einleitung

Wir befinden uns im 4. Jahrhundert v. Chr., in der blühenden Hafenstadt Karthago. Die Stadt floriert durch Handel und Handwerk, mit einer Bevölkerung vergleichbar mit dem heutigen Gent. Der Hafen ist streng organisiert: Es gibt einen Außenhafen, einen Binnenhafen für den Handel und dahinter einen Militärhafen – eine pentagonartige Festung mit strengem Zugangskontrollsystem. Fremde sehen nur eine hohe Mauer. Das Heer sichert das Hinterland. Alles scheint unter Kontrolle.

Doch Karthago wird in kurzer Zeit vollständig zerstört. Was ist schiefgelaufen? Die einzige ernstzunehmende Gegenmacht jener Zeit waren die Römer. Sie verfügten weder über eine Flotte noch über nautische Erfahrung. Dennoch beschlossen sie, eine Flotte zu bauen. Mit Hilfe griechischer Schiffsbauer und einem nachgebauten karthagischen Schiff errichteten sie in sechs Monaten 120 Kriegsschiffe und trainierten 30.000 Ruderer.

Die Karthager waren auf See überlegen, doch die Römer führten eine Innovation ein: die Enterbrücke. Dadurch wurden Seeschlachten in Landkämpfe verwandelt – ein Terrain, auf dem die Römer brillierten. Karthago verlor seine Überlegenheit und wurde schließlich zerstört.

Haben wir unsere Risiken im Blick?

Auch in den Niederlanden und Belgien scheint alles gut organisiert zu sein. Handel, Logistik und Schifffahrt laufen reibungslos. Zoll und Militärpolizei überwachen, Behörden arbeiten zusammen, und Hafenareale sind gut gesichert. Doch es gibt eine neue, weniger sichtbare Bedrohung: digitale Risiken.

Die drei größten digitalen Risiken für Häfen sind:

1. Nichtverfügbarkeit von Daten
2. Infiltration digitaler Prozesse
3. Manipulation von Daten

Jeder, der eine Ausbildung oder Schulung mit einem Modul zum Risikomanagement absolviert hat, kennt die Formel:
Risiko = Wahrscheinlichkeit × Auswirkung.
Darauf folgen Maßnahmen zur Risikominderung. Große Seehäfen sind sich dessen bewusst und haben entsprechende Fachkräfte eingestellt. Doch wie steht es um die Binnenhäfen im Hinterland? Und um die Kommunen, die Binnenhäfen eher als Belastung denn als öffentliche, notwendige Infrastruktur betrachten?

Wenn das Hinterland digital nicht widerstandsfähig ist, hat das direkte Auswirkungen auf die großen Häfen. Ladung bleibt stehen, Schiffe können nicht entladen oder ablegen, die Staus nehmen rasch zu. Die Lösung beginnt mit Bewusstsein und Zusammenarbeit. Und das ist nötig: Bei einem kürzlich veranstalteten Webinar zu NIS2, das sich an alle Binnenhäfen richtete, waren nur drei Häfen vertreten. Das ist besorgniserregend. Die Großen müssen den Kleinen helfen.

Case Study: ShipLogic

ShipLogic ist ein Hafenmanagementsystem für Häfen und wassergebundene Unternehmen. 28 See- und Binnenhäfen nutzen ShipLogic täglich, und Seehäfen verwalten ihren Betrieb rund um die Uhr mit unserer Software. Von Anfang an lag der Fokus auf digitaler Sicherheit. Wir haben Maßnahmen ergriffen, noch bevor eine einzige Codezeile geschrieben wurde:

• Netzwerkarchitektur: Unser Netzwerk ist einfach aufgebaut. Wir verwenden das „Internet-Café“-Modell. Die Verteidigungslinie liegt dort, wo sie hingehört: so nah wie möglich an den Daten und den Geräten. Unser WLAN ist für Hacker enttäuschend – es gibt nichts zu holen.

• Datenspeicherung: Wir haben uns bewusst für Cloud-Lösungen entschieden – wegen Skalierbarkeit, Geo-Redundanz und Verfügbarkeit. Cloud-Anbieter investieren massiv in Cybersicherheit:
  Google: fast 2 Milliarden Euro jährlich
  Microsoft: über 3 Milliarden Euro jährlich
  AWS: über 7 Milliarden Euro in eine europäische Cloud

• Benutzersicherheit: Verpflichtende Multi-Faktor-Authentifizierung (MFA). Anfangs waren unsere Nutzer wenig begeistert – zu umständlich –, aber inzwischen ist die Arbeit mit einer Authenticator-App zur Routine geworden.

Nach der Anbindung der ersten Kunden haben wir Penetrationstests durch eine externe Partei durchführen lassen. Sie haben ShipLogic einem Stresstest unterzogen: Was kann jemand ohne Account erreichen, und was kann ein eingeloggter Nutzer außerhalb seiner Rechte tun? Wir haben beide Tests mit Bravour bestanden. Danach folgte der Schritt zu ISO 27001. Das interne Audit steht kurz bevor, gefolgt vom externen Audit. Der Prozess ist intensiv, aber notwendig.

Europäische Cloud?

Amerikanische Cloud-Anbieter stehen unter besonderer Beobachtung – insbesondere seit der Sperrung der E-Mail-Adresse des Chefanklägers des Internationalen Strafgerichtshofs. Auf der Messe Transport and Logistic in München haben wir einen europäischen Cloud-Anbieter besucht, mit Rechenzentren unter anderem in Deutschland, Österreich und der Schweiz. Wir prüfen derzeit, ob dieser Anbieter ein geringeres Risikoprofil bietet als unser aktueller. Digitale Sicherheit erfordert ständige Neubewertung.

Fazit

Sind wir unbesiegbar? Sicher nicht. Aber wir können die Wahrscheinlichkeit von Vorfällen erheblich reduzieren. Vollständige Sicherheit ist eine Utopie – man kann sich ihr annähern, aber nie ganz erreichen.

Wie Karthago können auch wir von einer neuen Bedrohung überrascht werden. Wir wurden von KI überrascht; die nächste Überraschung wird das Quantencomputing sein. Die Technologie entwickelt sich, und die Auswirkungen auf z. B. die Kryptografie werden erheblich sein. ISO 27001 verlangt ständige Wachsamkeit.

Lass die Enterbrücke von damals nicht zur Entertaste von heute werden.

Wilco Vahrmeijer