Seit vergangenem Jahr sind Jens Rohlandt für Niedersachsen und Jan Schirrmacher für Bremen als Port Cyber Security Officer tätig – als Erste in Deutschlands Seehäfen. Mit dem LOGISTICS PILOT haben sie über ihre Aufgaben und die größten Herausforderungen der Häfen in puncto Sicherheit gesprochen.
Fotos: Darwin Laganzon/Pixabay, Openclipart-Vectors/Pixabay, Claudia Behrend, JadeWeserPort
Seit wann genau sind Sie als Port Cyber Security Officer tätig?
Jens Rohlandt: Ich bin neben meinem Hauptjob als Systemadministrator für den JadeWeserPort seit dem 1. Januar 2019 zusätzlich als Port Cyber Security Officer für für die landeseigenen niedersächsischen Häfen tätig.
Jan Schirrmacher: Und ich habe zum 1. April 2019 im Auftrag der Senatorin für Wissenschaft und Häfen in Bremen mit einer vollen Stelle als Port Cyber Security Officer bei bremenports angefangen.
Wie kam es zur Schaffung dieser Stellen?
Schirrmacher: Cybersecurity ist natürlich schon länger ein wichtiges Thema. Seit Jahren findet eine immer stärkere Vernetzung der Unternehmen und Behörden in den bremischen Häfen statt. Um der damit einhergehenden Gefahr von Cybersecurity-Vorfällen entgegenzuwirken, wurde dann meine Stelle geschaffen.
Rohlandt: Bei mir war es ähnlich. Unter den IT-Fachleuten ist Cybersicherheit seit circa zehn Jahren sehr wichtig. Der Cyberangriff auf Maersk hat 2017 letztendlich alle wachgerüttelt. Seitdem wird das Thema verstärkt in den Häfen diskutiert; es dauert etwas, bis das in den Institutionen ankommt. Bei mir geht es derzeit vor allem darum, Kontakte zu den anderen Häfen und dortigen Fachleuten zu knüpfen, zum Beispiel zu Jan Schirrmacher.
Schirrmacher: Wir beide treffen uns regelmäßig und tauschen uns viel aus.
Rohlandt: Und weil es mittlerweile sehr viele Veranstaltungen zum Thema IT-Sicherheit in der maritimen Wirtschaft gibt, wechseln wir uns zum Teil auch mit der Teilnahme ab und briefen uns dann gegenseitig.
Wie sind denn die anderen Häfen aufgestellt?
Rohlandt: In Deutschland sind Niedersachsen und Bremen bisher die einzigen Bundesländer, die dafür eine solche Stelle geschaffen haben. In Hamburg gibt es ein Team mit Mitarbeitern von der Wasserschutzpolizei und der Hamburg Port Authority, der HPA. Soweit ich weiß, gibt es in Schleswig-Holstein und Mecklenburg-Vorpommern noch gar nichts Vergleichbares. Rotterdam und Antwerpen sind diesbezüglich bereits sehr gut aufgestellt, da umfassen die Teams 10 bis 20 Mitarbeiter. Letztlich ist es eine Frage der Ressourcen.
Logistics Pilot
Die aktuelle Printausgabe – jetzt kostenlos anfordern.
„Ganz wichtig ist es, Spaß an der Cybersecurity zu haben.“
Jan Schirrmacher
Fakten
Jan Schirrmacher
Ausbildungsabschluss zum Fachinformatiker, Anwendungsentwickler und Fachberater für Softwaretechniken
Studienabschluss Informatik
Arbeitet seit 2006 als Cybersecurity-Experte
Seit April 2019 Port Cyber Security Officer bei bremenports im Auftrag der Senatorin für Wissenschaft und Häfen in Bremen
Wie arbeiten Sie mit den anderen Häfen, deren Port Cyber Security Officers und den Beteiligten der bremischen und niedersächsischen Hafenwirtschaft zusammen?
Schirrmacher: Ich bin dabei, ein möglichst umfassendes Netzwerk aufzubauen, wozu unter anderem der regelmäßige Austausch mit Jens Rohlandt gehört. Auch wenn es diese Rolle in den anderen Bundesländern in dieser Form explizit noch nicht gibt, tauschen wir uns natürlich mit den dort Verantwortlichen aus. Durch die Teilnahme an den europäischen Veranstaltungen habe ich erste Kontakte mit den Häfen in den Niederlanden geknüpft. Mein Hauptaugenmerk liegt aber klar auf den bremischen Häfen. Hier bin ich an einem Forschungsprojekt mit einem hiesigen Terminalbetreiber, aber auch mit einem anderen Hafen beteiligt. Darüber hinaus plane ich derzeit, mit weiteren Hafenbeteiligten eine prototypische Kooperation aufzubauen.
Rohlandt: Bei mir ist es ähnlich. Auch ich bin derzeit noch dabei, alle Kontakte zusammenzutragen – gerade in den Fällen, in denen es keine so klare Verantwortung gibt wie bei uns als Port Cyber Security Officer. Die europäischen Treffen nehme ich ebenfalls als sehr hilfreich wahr. Da habe ich zum Beispiel die Spezialisten des Bundesamts für Seeschifffahrt und Hydrographie und vom Bundesamt für Sicherheit in der Informationstechnik getroffen, die sich ebenfalls mit dem Thema beschäftigen. Während das Netzwerk für Hafen und Sicherheit seit Jahren sehr erfolgreich funktioniert, wurde mit dem Aufbau des Netzwerks für Cybersecurity erst 2019 begonnen, sodass hier noch viel Aufbauarbeit erforderlich ist. Mein Ziel ist es, einen stabilen Kern von Ansprechpartnern zu haben.
Was sind im digitalen Zeitalter die derzeit größten Risiken und Herausforderungen für die Häfen und die dortige Infrastruktur?
Rohlandt: Vorweg: Eine hundertprozentige Sicherheit ist nicht möglich. Gerade kleinere Unternehmen sollten aber wissen, was wichtig ist, um erst einmal 90 Prozent zu erreichen. Darüber zu informieren und zu beraten, ist eine wichtige Aufgabe von Jan Schirrmacher und mir. Denn eins steht fest: Die größte Schwachstelle sind immer die Menschen. Während die meisten Systeme inzwischen gut vor normalen Hackern geschützt sind, bleiben die Mitarbeiter insbesondere über E-Mail-Kontakte und Phishing am angreifbarsten. Da können die Systeme noch so gut sein. Deshalb informieren wir hier im JadeWeserPort regelmäßig die Mitarbeiter, um die Aufmerksamkeit immer wieder auf dieses Thema zu lenken.
Schirrmacher: Wir haben in der Hafenwirtschaft eine hohe Funktionsabhängigkeit von vielen, zum Teil sehr unterschiedlichen Beteiligten. Es müssen alle operativen Tätigkeiten, also der Reeder, der Schiffsverkehrslenkung und der Schleusensteuerung, der Terminals, Spediteure, Eisenbahnverkehrsunternehmen sowie der IT-Serviceprovider und vieler mehr, funktionieren. Nur so ist der Gesamtbetrieb sichergestellt.
Inwieweit spielt dabei das Vertrauen eine Rolle?
Schirrmacher: Nahezu alle Beteiligten sind an das Port Community System angebunden und auch darüber hinaus IT-technisch miteinander verbunden. Das setzt in der Tat eine gewisse Vertrauensstellung voraus. Und genau diese erleichtert oder ermöglicht erst spezifische Cybersecurity-Angriffe.
Die Sicherheitsvorkehrungen sind sicherlich auch nicht einheitlich, oder?
Rohlandt: Ich würde so weit gehen zu sagen, dass diese sich fundamental unterscheiden. In den Häfen sind Hunderte Unternehmen mit sehr heterogenen Cybersecurity-Standards aktiv. Während die großen Terminalbetreiber, Logistikdienstleister und Reedereien da natürlich weit entwickelt sind, ist das bei kleineren Unternehmen nicht immer der Fall. Das gilt zum Beispiel für manche Reederei mit nur wenigen Schiffen. Da gibt es dann uralte Systeme an Bord, auf die alle Besatzungsmitglieder zugreifen können.
„Die größte Schwachstelle sind immer die Menschen.“
Jens Rohlandt
Fakten
Jens Rohlandt
Ausbildungsabschluss als Industrieelektroniker
Studium der Elektrotechnik und Wirtschaftsinformatik
Arbeitet seit 2008 als Systemadministrator für den JadeWeserPort
Seit Januar 2019 Port Cyber Security Officer für Niedersachsen (Niedersachsen Ports und JadeWeserPort)
Rohlandt: Grundsätzlich muss jedes Unternehmen, also die niedersächsischen Hafen- und Terminalbetreiber, mit einer eigenen IT für sich selbst sorgen. Ich habe keine Weisungsbefugnis; die Unternehmen müssen das aus Eigeninteresse machen. Der Austausch ist daher sehr wichtig, um einen gemeinsamen Standard zu entwickeln.
Gibt es bei Ihnen jeweils ein Port-Cybersecurity-Programm beziehungsweise eine entsprechende Strategie?
Schirrmacher: Natürlich verfolgt bremenports eine Cybersecurity-Strategie, auch wenn wir derzeit nicht dem IT-Sicherheitsgesetz unterliegen. Das könnte sich jedoch mit der Novellierung in diesem Jahr ändern.
Rohlandt: Wir folgen in erster Linie den Empfehlungen des BSI, also dem Bundesamt für Sicherheit in der Informationstechnik. Wir unterliegen ebenfalls nicht dem IT-Sicherheitsgesetz, versuchen es aber bereits jetzt, so gut es geht, einzuhalten.
Wie sieht ein typischer Arbeitstag als Port Cyber Security Officer aus, gibt es den überhaupt?
Schirrmacher: Nein, den habe ich in der Form nicht. Ein wichtiger Aspekt ist die Bewertung und verständliche Darstellung von Sachverhalten und die Begleitung von IT-Sicherheitskonzepten, beispielsweise für das neue Hafenbahnsystem oder die neue Hafengebührenabrechnung. Natürlich sitze ich dafür zum Teil ganz klassisch im Büro, aber im ersten Dreivierteljahr war mein Arbeitstag immer sehr unterschiedlich. Zum Beispiel veranstalte ich bei bremenports Awarenessworkshops für die Mitarbeiter und führe simulierte Angriffe auf unsere IT-Netze durch. Ich bin aber auch oft auf Veranstaltungen. Im November war ich beispielsweise in Lissabon bei einem internationalen Cybersecurity-Workshop für die maritime Wirtschaft. Das macht für mich auch den Reiz aus: Ich treffe sehr viele unterschiedliche und interessante Menschen.
Ein klassischer, eher menschenscheuer Programmierer wäre in dem Job dann falsch, oder?
Rohlandt: Auf jeden Fall. Man sollte zwar einen IT-Hintergrund haben, vor allem aber Lust am Erfahrungsaustausch und an der Vernetzung. Die Vorfälle sind global, sodass hier eine internationale Zusammenarbeit enorm wichtig ist. Noch gibt es immer wieder sicherheitspolitische Bedenken, wenn es um den Austausch geht. Sowohl die Europäische Agentur für die Sicherheit des Seeverkehrs (EMSA) als auch die Agentur der Europäischen Union für Cybersicherheit (ENISA) haben mehr Austausch innerhalb Europas über problematische Vorfälle angemahnt, selbst wenn es den Betroffenen gegebenenfalls unangenehm für ihr Standing sein sollte.
Welche Fähigkeiten sollte man für diese Aufgabe mitbringen?
Schirrmacher: Ganz wichtig ist, Spaß an der Cyber-security zu haben. Außerdem den Drang, immer wieder etwas Neues zu lernen. Die IT und die damit einhergehenden Schwachstellen sowie Bedrohungen sind sehr schnelllebig, sodass man sich ständig weiterbilden muss. Zudem ist eigenständiges Arbeiten gefragt, da es kein Lehrbuch oder Schema F gibt, das man anwenden kann. Außerdem ist analytisches Denkvermögen gefragt. Man muss auch eine gewisse Frustrationstoleranz mitbringen, da nicht alles, was man ausprobiert, auch funktioniert. Das Allerwichtigste ist aber, dass man gern mit anderen Menschen umgeht. (cb)
