News
ISO 9001-Revision: So bereiten Sie Ihr Unternehmen erfolgreich vor | Kostenloses Whitepaper
Panagiotis Anastasiou
IM GESPRÄCH MIT...
Panagiotis Anastasiou
Cybersecurity Technical & Strategy Leader
Cybersecurity an Bord – von der Pflicht zur Praxis
Cybersecurity ist heute so unverzichtbar wie das Rettungsboot. Mit neuen internationalen Vorgaben wird sie für die Branche zur Pflicht, entscheidend ist jedoch die Umsetzung im täglichen Betrieb. Panagiotis Anastasiou, Cybersecurity Technical & Strategy Leader bei Bureau Veritas Marine & Offshore, erläutert im Gespräch, wie sich Vorgaben in gelebte Praxis übersetzen lassen.
Herr Anastasiou, wann hat Bureau Veritas begonnen, sich systematisch mit Cybersecurity zu befassen?
Panagiotis Anastasiou: 2019 – damals begann alles mit einer einzigen Person. Heute arbeiten wir als weltweit vernetztes Team, koordiniert vom Head Office in Paris und unterstützt von Expertinnen und Experten in unseren lokalen Niederlassungen. So können wir Kunden direkt vor Ort in ihrer Sprache begleiten und gleichzeitig nationale Besonderheiten berücksichtigen. Cybersecurity ist zu einem festen Bestandteil der maritimen Sicherheit geworden.
Viele denken bei Cyberangriffen an spektakuläre Hacker-Szenarien. Wie sehen die realen Risiken aus?
Anastasiou: Die größten Risiken entstehen in den Routinen des Alltags. Ein einziger unbedachter Klick kann Schadsoftware einschleusen – ob daraus ein gravierender Vorfall wird, hängt von den vorhandenen Sicherheitskontrollen und den definierten Prozessen im Umgang mit Cyberangriffen ab. Sauber segmentierte Netzwerke und klar definierte Datenflüsse verhindern, dass sich ein Angriff ausbreitet.
Daneben begegnen wir in der maritimen Branche immer wieder gezielten Manipulationen wie GPS- oder AIS-Spoofing. Schiffe werden dabei virtuell verschoben, was Navigation und Lagebild massiv verfälscht.
Und nicht zu vergessen der menschliche Faktor: schwache Passwörter, offene Zugänge oder private Geräte, die sich unbemerkt mit dem Bordnetz verbinden. Darum verstehen wir Cybersecurity als ganzheitlichen Ansatz – Technik, Prozesse und Crew müssen in einer hochvernetzten Industrie ineinandergreifen.
Welche Regularien bestimmen derzeit die Cybersecurity in der Schifffahrt?
Anastasiou: 2021 hat die IMO festgelegt, dass Reedereien Cyberrisiken in ihr Sicherheitsmanagement aufnehmen müssen. Ein wichtiger Einstieg, doch wirklich verbindlich wurde es erst mit den neuen Vorgaben der IACS (UR E26 und E27). Seit dem 1. Juli 2024 müssen Neubauten von Beginn an mit Cyber-Schutz konzipiert werden. Werften und Zulieferer müssen schon während des Baus nachweisen, dass ihre Technik den Anforderungen entspricht.
Dafür wurde eine entscheidende neue Rolle eingeführt: der System Integrator. Er führt die verschiedenen Anlagen an Bord zusammen, prüft die Sicherheitsmaßnahmen und dokumentiert die Ergebnisse. Diese Nachweise bestätigen, dass die Cybersecurity-Maßnahmen ordnungsgemäß umgesetzt sind.
Europa verschärft diesen Kurs. NIS-2 verpflichtet Reedereien nicht nur, ihre Betriebs- und Kommunikationsumgebungen abzusichern, sondern auch Vorfälle zu melden. Mit dem Cyber Resilience Act kommen weitere Pflichten für Hersteller und Zulieferer hinzu: Schon im Produktdesign müssen sie belegen, dass ihre Lösungen den neuen Anforderungen entsprechen. Aus allgemeinen Empfehlungen sind so verbindliche Standards geworden – nachvollziehbar, prüfbar und für alle Beteiligten relevant.
Neubauten sind geregelt. Wie sieht es bei der bestehenden Flotte aus?
Anastasiou: Die meisten Schiffe sind bereits in Betrieb; viele werden mit neuer Technik nachgerüstet – von Navigations- oder Antriebssystemen über IoT-Sensoren bis hin zu Lösungen für Effizienzsteigerung oder CO₂-Abscheidung. Für diese bestehende Flotte gibt es bislang keine verbindlichen technischen Anforderungen, die die Assets schützen. Das Risiko von Cyberangriffen steigt dadurch erheblich, denn Angreifer schlagen genau hier zu.
Wir empfehlen deshalb eine strukturierte Vorgehensweise: Zuerst Schnittstellen mit hoher Konnektivität und sicherheitskritische Bereiche absichern, dann Schritt für Schritt weitere Bereiche. Grundlage sind Maßnahmen wie Netzwerke trennen, Zugriffe absichern, Backups einrichten, Verantwortlichkeiten klar benennen und die Crew regelmäßig schulen. Entscheidend ist, dass alle Schritte dokumentiert werden, um sie im Audit nachweisen zu können. So lässt sich die Flotte systematisch auf ein modernes Sicherheitsniveau bringen.
Welche Rolle spielt Bureau Veritas in diesem Prozess?
Anastasiou: Wir unterstützen Reedereien auf zwei Ebenen. Einerseits wirken wir aktiv an der Gestaltung des maritimen Regelwerks mit. Andererseits helfen wir unseren Kunden, ihre Assets effizient und sicher zu bauen, zu betreiben und zu warten.
Mit unserer wegweisenden Regel NR 659 haben wir schon früh spezifische Leitlinien für Cybersecurity im Marine- und Offshore-Sektor entwickelt – orientiert am NIST-Framework und abgestimmt auf die späteren IACS-Vorgaben UR E26 und E27.
Wie gut ist die deutsche Schifffahrt aufgestellt?
Anastasiou: Deutschland ist in vielen Bereichen Vorreiter. Hersteller und Betreiber haben Cybersecurity schon früh in ihren Alltag integriert und Systeme teilweise freiwillig zertifizieren lassen, bevor die IACS-Vorgaben verpflichtend wurden. Das erleichtert die Arbeit erheblich – Cybersecurity ist hier kein Hemmschuh, sondern ein Treiber für Sicherheit.
Cybersecurity entwickelt sich rasant. Welche Themen sehen Sie in den nächsten Jahren auf uns zukommen?
Anastasiou: Einerseits brauchen wir mehr internationale Harmonisierung, um Wissen und Standards im gesamten Sektor zu verbessern. In Europa ist das Bewusstsein hoch, doch nicht in allen Regionen gelten dieselben Regeln oder ist die Erfahrung vorhanden. Nationale Vorgaben, internationale Standards, Flaggenstaat-Regeln – all das muss schneller aufeinander abgestimmt werden.
Andererseits bringen neue Technologien eine neue Dimension der Vernetzung – von autonomen Schiffen über KI-gestützte Systeme für Datenanalysen bis hin zu alternativen Antrieben wie Kernenergie sowie Wind- oder Solartechnik. All das erweitert die Angriffsflächen.
Besonders deutlich wird das an der Künstlichen Intelligenz. Sie kann wertvolle Analysen liefern, etwa zur Routenoptimierung. Werden die zugrunde liegenden Daten jedoch manipuliert, entstehen falsche Ergebnisse mit direkten Folgen für Effizienz und Sicherheit. Gleichzeitig kann KI selbst für Angriffe genutzt werden. Sie eröffnet völlig neue Möglichkeiten. Deshalb müssen Sicherheitsmechanismen von Anfang an Teil der Entwicklung sein und kontinuierlich weiterentwickelt werden.