Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Gefahrgut/Transport / See / MSC

Siehe Fn. *

1 Der Schiffssicherheitsausschuss hat in seiner sechsundneunzigsten Sitzung (11.- 20. Mai 2016) die im Anhang aufgeführten Interimsrichtlinien für maritimes Cyber-Risikomanagement verabschiedet, nachdem er den dringenden Bedarf, auf Cyber-Bedrohungen und -Schwachstellen aufmerksam zu machen, festgestellt hatte.

2 Die Richtlinien beinhalten allgemeine Empfehlungen für das maritime Cyber-Risikomanagement, um die Seeschifffahrt vor derzeitigen und aufkommenden Cyber-Bedrohungen und -Schwachstellen zu schützen. Die Richtlinien enthalten außerdem funktionale Elemente, die das effektive Cyber-Risikomanagement unterstützen.

3 Die Mitgliedsregierungen werden hiermit aufgefordert, dieses Rundschreiben allen Betroffenen zur Kenntnis zu bringen.

Interimsrichtlinien für maritimes Cyber-Risikomanagement

1 Einführung

1.1 Diese Richtlinien beinhalten allgemeine Empfehlungen für das maritime Cyber-Risikomanagement. Für die Zwecke dieser Richtlinien bezieht sich das maritime Cyber-Risiko auf das Ausmaß, in dem ein Technologiebestandteil durch einen potenziellen Umstand oder ein Ereignis bedroht ist, das zu schifffahrtsbedingten, betrieblichen Schutz- oder Sicherheitsversagen infolge beschädigter, verlorener oder gefälschter Informationen oder Systeme führen kann.

1.2 Die Interessenvertreter sollten die erforderlichen Schritte unternehmen, um die Schifffahrt vor aktuellen und in Entstehung befindlichen Bedrohungen und Schwachstellen in Verbindung mit der Digitalisierung, Integration und Automatisierung von Prozessen und Systemen in der Schifffahrt zu schützen.

1.3 Für Einzelheiten und Anleitung bezüglich der Entwicklung und Implementierung spezifischer Risikomanagementprozesse sollten die Nutzer dieser Richtlinien die jeweiligen Anforderungen der Mitgliedsstaaten und Flaggenstaatsverwaltungen zu Rate ziehen sowie die einschlägigen internationalen und Industriestandards und bewährte Verfahren.

1.4 Das Risikomanagement ist wesentlich, um den Schiffsbetrieb zu schützen und zu sichern. Das Risikomanagement hat sich traditionell auf Vorgänge im physikalischen Bereich beschränkt, jedoch hat der zunehmende Rückgriff auf die Digitalisierung, Integration und Automatisierung netzwerkbasierter Systeme in der Schifffahrtsbranche zu einem wachsenden Bedarf an Cyber-Risikomanagement geführt.

1.5 Ausgerichtet auf das Ziel, den Schutz und die Sicherheit der Schifffahrt zu unterstützen, die gegenüber Cyber-Risiken betrieblich belastbar ist, stellen diese Richtlinien Empfehlungen zur Verfügung, die in die vorhandenen Risikomanagementprozesse integriert werden können. In dieser Hinsicht stellen die Richtlinien eine Ergänzung der Managementpraktiken zur Sicherheit und Gefahrenabwehr dar, die von dieser Organisation eingerichtet wurden.

2 Allgemein

2.1 Hintergrund

2.1.1 Cyber-Technologien sind für den Betrieb und das Management zahlreicher Systeme unerlässlich geworden, die für die Sicherheit und die Gefahrenabwehr in der Schifffahrt und den Schutz der Meeresumwelt entscheidend sind. In einigen Fällen müssen diese Systeme internationale Standards einhalten und mit Anforderungen der Flaggenstaatsverwaltung übereinstimmen. Die Schwachstellen, die durch den Zugriff, das Verbinden oder Vernetzen dieser Systeme erzeugt werden, können zu Cyber-Risiken führen, mit denen man sich befassen sollte. Verletzbare Systeme können folgendes beinhalten, ohne darauf beschränkt zu sein:

• Brückensysteme;
• Ladungsbehandlungs- und -managementsysteme;
• Antriebs- und Maschinenmanagement und Leistungsregelungssysteme;
• Zugangskontrollsysteme;
• Passagierversorgungs- und -managementsysteme;
• für Passagiere zugängliche öffentliche Netzwerke;
• administrative und Versorgungssysteme der Besatzung; und
• Kommunikationssysteme.

2.1.2 Die Unterscheidung zwischen informationstechnologischen und betriebstechnischen Systemen sollte beachtet werden. Systeme der Informationstechnologie können betrachtet werden als Systeme, deren Fokus auf der Verwendung von Daten als Information liegt. Betriebstechnische Systeme können betrachtet werden als Systeme, deren Fokus auf der Verwendung von Daten für die Steuerung und Überwachung physikalischer Prozesse liegt. Darüber hinaus sollte auch der Schutz des Informations- und Datenaustauschs innerhalb dieser Systeme beachtet werden.

2.1.3 Obgleich diese Technologien und Systeme beträchtliche Effizienzzuwächse für die maritime Industrie bringen, stellen sie auch Risiken für kritische Systeme und Prozesse dar, die mit dem Betrieb der Schifffahrtssysteme verknüpft sind. Diese Risiken können aus Schwachstellen resultieren, die durch inadäquaten Betrieb, Integration, Instandhaltung und Konzeption cyberbezogener Systeme entstehen, sowie durch beabsichtigte und unbeabsichtigte Cyber-Bedrohungen.

2.1.4 Bedrohungen ergeben sich durch böswillige Handlungen (z.B. Hacking oder Eindringen von Malware) oder die unbeabsichtigten Folgen unkritischer Handlungen (z.B. Softwarewartung oder Nutzerberechtigungen). In der Regel legen diese Handlungen Schwachstellen auf (z.B. veraltete Software oder unwirksame Firewalls), oder sie nutzen eine Schwachstelle in der Betriebstechnik oder Informationstechnologie aus. Ein effektives Cyber-Risikomanagement sollte beide Arten von Bedrohung in Betracht ziehen.

2.1.5