Forschungsprojekt SecProPort erfolgreich abgeschlossen

Das vom Bundesministerium für Verkehr und digitale Infrastruktur (BMVI) im Rahmen des Programms „Innovative Hafentechnologien (IHATEC)“ geförderte Forschungsprojekt SecProPort ist abgeschlossen. Die Konsortialpartner sind mehr als zufrieden. “Mit den Ergebnissen aus SecProPort haben wir für die komplexen Kommunikationsstrukturen in Häfen eine moderne Sicherheitsarchitektur geschaffen, die sich in bestehende Prozesse integrieren lässt” fasst Projektkoordinatorin Karin Steffen-Witt, dbh Logistics IT AG zusammen. “Sie sichert den Hafenkommunikationsverbund in seiner Gesamtheit zuverlässig gegen gezielte Angriffe und fahrlässiges menschliches Fehlverhalten ab.”

Umfangreiche Analysen als Grundlage für die praktische Umsetzung

Die Funktion moderner See- und Binnenhäfen basiert auf elektronisch verfügbaren Informationen, welche die physischen Waren begleiten oder diesen vorauseilen. Alle am Hafentransport beteiligten Akteure (wie z. B. Terminalbetreiber, Reeder, Spediteure, Betreiber von Port-Community-Systemen, Bahn, Hafenbehörden und Zoll) sind hierzu in einem komplexen Hafenkommunikationsverbund miteinander vernetzt und tauschen untereinander Informationen aus. Die Hafenprozesse sind davon abhängig, dass dieser gesamte IT-Kommunikationsverbund reibungslos funktioniert. Selbst, wenn die einzelnen Systeme der Hafenakteure nach dem Stand der Technik abgesichert sind, bedeutet das nicht automatisch, dass der gesamte Hafenkommunikationsverbund im Zusammenspiel sicher ist. Ein Ausfall oder eine Manipulation von Nachrichten an einer Stelle kann zu erheblichen betriebs- und volkswirtschaftlichen Schäden in der Gesamtkette führen. Genau hier setzt SecProPort an: Die beteiligten Partner aus Forschung und Wirtschaft haben ein global abgestimmtes Sicherheitskonzept entwickelt, so dass der Kommunikationsaustausch in einem gesamthaft gesicherten und geschützten Umfeld ablaufen kann.

Cyber-Resilienz im Hafen: Innovative IT Architektur sichert die Kommunikation in See- und Binnenhäfen 1
Message Adaptor als Kommunikationsschnittstelle agiert als lokaler Durchsetzungspunkt der Politik

Hierzu wurde zunächst eine detaillierte Prozessanalyse der vier das Projekt begleitenden Szenarien (Gefahrgutanmeldung über das National Single Window, Container Logistik, XXL-Logistik, die den Transport und die Verschiffung von großen Gütern wie Windturbinen- oder Flugzeugteilen umfasst und Binnenhafenterminal) durchgeführt. Federführend geschah dies durch Susanne Ficke, verantwortliche Projektleiterin beim ISL Institut für Seeverkehrswirtschaft und Logistik – Bremen/Bremerhaven und ihrem Team: “Es wurden systematisch die komplexen Hafenprozesse, Kommunikationsstrukturen und die jeweiligen Sicherheitsanforderungen bei den beteiligten Akteuren analysiert bevor Risikobewertungen und Maßnahmen zur Risikobehandlung am Beispiel des Seehafens Bremerhaven erarbeitet werden konnten.”.

“Jeder Akteur betreibt in der Regel seine eigenen, mitunter langjährig etablierten Anwendungen, die mit IT-Systemen anderer Partner über dedizierte Schnittstellen verbunden sind. Für die praktische Umsetzbarkeit einer zentralen Sicherheitsarchitektur war es uns wichtig, diese vorhandenen Strukturen zu berücksichtigen.”, erläutert Michael Schröder, Projektmanager beim Projektpartner Hapag Lloyd den SecProPort Ansatz. Um den Datentransfer zwischen den logistischen Akteuren abzusichern, setzt SecProPort daher auf einen einheitlichen Message Adaptor, der die Systeme der einzelnen Beteiligten effizient ergänzt und sicher miteinander verknüpft.

Integrität und Vertraulichkeit von Daten im Fokus

Um die Zurechenbarkeit und Manipulationsfreiheit von Daten zu gewährleisten, müssen in der SecProPort Sicherheitsarchitektur kryptographische Verfahren angewendet werden. Dazu setzt der SecProPort Message Adaptor eine Publik Key Infrastruktur ein. Jeder Akteur erhält von der Zertifizierungsstelle ein eigenes Zertifikat, mit dem ein öffentlicher und privater Schlüssel zur digitalen Signatur, sowie Ver- und Entschlüsselung von Nachrichten verbunden ist. Das verhindert die Manipulation von Nachrichten und ermöglicht es, die Echtheit des Absenders zu bestätigen.

Cyber-Resilienz im Hafen: Innovative IT Architektur sichert die Kommunikation in See- und Binnenhäfen 2
Der Message Adaptor sorgt für eine einheitliche Absicherung des Datenaustausches im Datenkommunikationsverbund – ohne in bestehende Geschäftslogiken einzugreifen

Der Sicherheitsarchitektur liegt darüber hinaus eine rollenbasierte Zugriffskontrolle (RBAC – Role Based Access Control) zugrunde. Für jeden Akteur ist detailliert definiert, welche Informationen geschrieben, gelesen oder nicht eingesehen werden dürfen. “In der Kombination mit kryptographischen Verfahren bietet sich damit sogar die Möglichkeit, dass Daten von beteiligten Akteuren zwar weitergegeben, aber erst vom berechtigten Empfänger der Informationen entschlüsselt werden können”, erklärt Prof. Dr. Dieter Hutter vom Forschungsbereich Cyber-Physical Systems des Deutschen Forschungszentrums für Künstliche Intelligenz (DFKI) die Eigenschaften der entwickelten Sicherheitsarchitektur.

Geschäftskontinuität für den Gesamtverbund auch bei Cybervorfällen gewährleisten

“Heutzutage sind nicht nur Sicherheitsmechanismen benötigt, um sich vor Cyberbedrohungen zu schützen, sondern auch eine Resilienzstrategie, um die Geschäftskontinuität auch bei Cybervorfällen zu gewährleisten”, erläutert Konsortialpartner Prof. Dr. Thomas Kemmerich (Universität Bremen). Unter Cyber-Resilienz versteht man die Fähigkeit, sich effektiv auf Cyber-Vorfälle vorzubereiten, diese zu verhindern, zu erkennen, darauf zu reagieren und sich davon zu erholen.

BMWI Förderlogo

Dementsprechend trägt als weiterer Projektbaustein die Erkennung und konsequente Behandlung von Angriffen zu einer sicheren IT-Infrastruktur im Hafenkommunikationsverbund bei. Das SecProPort Netz erfüllt Resilienzanforderungen, indem es potentiell mit Schadsoftware befallene oder böswillig agierende Akteure erkennt, die entsprechenden Kommunikationswege einschränkt und gegebenenfalls auf zusätzlich definierte Sicherheitsmechanismen zurückgreift. Zielsetzung ist es, Auswirkungen auf andere Akteure zu minimieren und das betroffene System kontrolliert wieder in einen Normalzustand zu überführen.

Eine Blaupause für andere Kommunikationsverbünde

Im Rahmen des Projektes ist ein Migrationskonzept erstellt worden, das beschreibt, wie die entwickelte Sicherheitsarchitektur nach und nach in einen Produktivbetrieb überführt werden kann. Konzipiert wurde SecProPort dabei ausdrücklich so, dass eine Umsetzung nicht nur im Seehafen, sondern auch für Binnenhäfen oder andere Strukturen möglich ist. Es wurde eine branchenspezifische Prüfgrundlage für kritische Infrastrukturen entwickelt, die mit allen relevanten Interessensgruppen abgestimmt werden kann. Diese erfüllt bereits die Anforderungen des IT Sicherheitsgesetzes, der DSGVO und der ISO 27001 und kann somit als Vorlage für andere Häfen dienen. Die eingesetzten offenen Datenformate und Plattformtechnologien erleichtern es ebenfalls, die entwickelte Sicherheitsarchitektur für andere Strukturen zu adaptieren. Dennoch stellt Projektkoordinatorin Karin Steffen-Witt heraus: “Sicherheit in einem Kommunikationsverband kann nur gemeinsam erreicht werden. Sicherheitsregeln müssen von allen Akteuren gemeinsam erarbeitet und vereinbart werden. Dafür müssen sich alle Akteure am Prozess beteiligen und allen die Mechanismen und Handlungsanweisungen transparent zugänglich gemacht werden.”

Weitere Informationen, sowie ein Video über das Projekt finden Interessierte auf der Projektwebseite www.secproport.de

Über das Projekt SecProPort

Für ein außenhandelsorientiertes Land wie Deutschland ist die Funktion moderner See- und Binnenhäfen von existenzieller Bedeutung. Diese basiert zunehmend auf elektronisch verfügbaren Informationen, welche die physischen Warenketten begleiten. Alle am Hafentransport beteiligten Akteure (wie z.B. Terminalbetreiber, Reeder, Spediteure, Betreiber von Hafen-IT, Bahn, Hafenbehörden und Zoll) sind in einem komplexen Hafenkommunikationsverbund (HKV) miteinander vernetzt und tauschen Informationen untereinander aus. Ein Ausfall der Kommunikation kann zu erheblichen betriebs- und volkswirtschaftlichen Schäden führen. Diese Kommunikation wird heute massiv durch Cyberangriffe bedroht. Ziel des Vorhabens ist es, eine Sicherheitsarchitektur für den HKV auf Basis einer Prozess- und Bedrohungsanalyse zu entwickeln. Diese Sicherheitsarchitektur soll Resilienzanforderungen erfüllen, so dass das Gesamtsystem auch im Falle eines Angriffs weiterarbeitet. Aus der Sicherheitsarchitektur werden Sicherheitsanforderungen für die Anwendungen der einzelnen Hafenakteure abgeleitet und Migrationspläne entwickelt. Bei einzelnen Anwendungspartnern wird dann die Sicherheitsarchitektur beispielhaft umgesetzt, um ihre praktische Relevanz nachzuweisen. Die Projektergebnisse werden zudem in einen branchenspezifischen Standard für die Informationssicherheit im Bereich Hafen einfließen.

Projektvolumen / -laufzeit

3.527.228,69 € (davon 75% Förderanteil durch BMVI) / 11/2018 – 12/2021

Projektpartner

  • dbh Logistics IT AG, Bremen
  • BLG LOGISTICS GROUP AG & Co. KG, Bremen
  • datenschutz cert GmbH, Bremen
  • Deutsches Forschungszentrum für Künstliche Intelligenz, Bremen
  • Duisburger Hafen AG, Duisburg
  • Hapag-Lloyd AG, Hamburg
  • ISL Institut für Seeverkehrswirtschaft und Logistik (ISL), Bremen/Bremerhaven
  • Universität Bremen

Assoziierte Partner

  • bremenports GmbH & Co. KG, Bremen/Bremerhaven
  • EUROGATE GmbH & Co. KGaA, KG, Bremen
  • Niedersachsen Ports GmbH & Co. KG, Oldenburg
  • JadeWeserPort Realisierungs GmbH & Co. KG, Wilhelmshaven