IT-Risikomanagement in der Hafentelematik
Die Seehäfen sind für die deutsche Volkswirtschaft von zentraler Bedeutung. Um einen reibungslosen Ablauf beim Ladungsumschlag in Seehäfen zu garantieren, werden Kommunikationsplattformen – sogenannte Hafentelematik-Systeme – eingesetzt. Sie sind die zentrale Datendrehscheibe in den Seehäfen und verbinden die am Seeverkehr beteiligten Unternehmen und Behörden wie Reeder, Speditionen, Containerterminals, Bahn und Zoll.
Ein Ausfall oder eine Störung der Hafentelematik-Systeme kann erhebliche Auswirkungen auf die Leistungsfähigkeit der Seehäfen haben. Je nach Art und Dauer der Störung kann es infolgedessen zu Versorgungsengpässen der nachgelagerten Industrien oder der Bevölkerung kommen. Die Unversehrtheit und der Schutz vertraulicher Daten sind somit oberstes Gebot bei der Nutzung von Informationstechnik in der Hafentelematik.
Ziel des Verbundprojekts PortSec ist die Erforschung eines systematischen und umfassenden IT-Risikomanagements in der Hafentelematik. Die Heterogenität der Software in den verschiedenen Systemen der beteiligten Unternehmen und Behörden und deren Interaktionen bergen spezifische IT-Sicherheitsrisiken, die es zu identifizieren gilt.
Im Projekt wird ein unterstützendes Werkzeug entwickelt, das die Gesamtheit der Software mit formalisierten Geschäftsprozessen sowie rechtlichen und betriebswirtschaftlichen Anforderungen abgleicht. Die Ergebnisse dieses Abgleichs erlauben es, die spezifischen IT-Sicherheitsrisiken zu identifizieren und zu bewerten. Der softwarezentrierte Ansatz des Vorgehens stellt die Prävention, nicht primär die Erkennung und Abwehr von Angriffen in den Fokus.
Sowohl die Akzeptanz des Werkzeugs bei unterschiedlichen Nutzergruppen als auch die Effektivität des Vorgehens werden berücksichtigt.
Ein adäquates IT-Risikomanagement schafft Transparenz über den aktuellen Stand der IT-Sicherheit in der Systemlandschaft. Ersteller und Betreiber von Hafentelematik-Systemen sowie Verantwortliche für die Qualitätssicherung oder Sicherheitsbeauftragte werden somit in die Lage versetzt, Risiken besser einschätzen und geeignet agieren zu können.
Dies trägt dazu bei, Manipulationen an Datenbeständen und -flüssen sowie den Missbrauch von vertraulichen Daten zu verhindern – nicht nur in der Hafentelematik. Im Projekt wird daher auch die Übertragbarkeit der Ergebnisse auf weitere Anwendungsszenarien betrachtet.