Multidimensionaler, integrierter Rahmen zur Risikobewertung und dynamische, kollaborative Risikomanagement-Tools für kritische Informationsinfrastrukturen
Mit jedem neuen Vorfall wächst das allgemeine Bewusstsein für die Notwendigkeit von Cybersicherheit und Cyber-Risikomanagement. Moderne Risikomanagementmethoden für maritime Umgebungen konzentrieren sich jedoch nur in begrenztem Maße auf die Cybersicherheit. Aus diesem Grund wurde im Rahmen des MITIGATE-Projekts ein neuartiger Risikomanagement-Ansatz entwickelt, der die Zusammenarbeit der Beteiligten bei der Identifizierung, Bewertung und Minderung von Risiken im Zusammenhang mit Cybersicherheitsressourcen und Lieferkettenprozessen fördert. Das Gesamtkonzept besteht darin, ein kollaboratives Risikobewertungssystem aufzubauen, das Einblicke in die Risikobewertung und -minderung bietet. IKT-Systeme in Häfen werden als kritische Informationsinfrastrukturen (KII) eingestuft, da Häfen für die ungehinderte Versorgung, den Handel und die Wirtschaft von entscheidender Bedeutung sind. In jüngster Zeit wurden mehrere Initiativen und Richtlinien zur Verbesserung der IT-Sicherheit im maritimen Bereich ins Leben gerufen, z. B. von der EU, der IMO (Internationale Seeschifffahrtsorganisation) und der US-Regierung. MITIGATE geht auf diese Anforderungen ein und bietet ein dynamisches Risikomanagementsystem für Akteure in der maritimen Prozesskette, um sie vor Cyberkriminalität zu schützen.
Das MITIGATE-System
- deckt Schwachstellen in der IT-Infrastruktur auf,
- ermöglicht die Entwicklung optimaler Sicherheitsmaßnahmen,
- nutzt soziale Medien zur Aufdeckung neuer Cyber-Bedrohungen und
- ermöglicht die Zusammenarbeit mit Partnern in der Prozesskette.
Das MITIGATEC-System baut auf der umfassenden MITIGATE-Methodik auf, die in diesem Bericht sehr detailliert beschrieben wird. Die Entwicklung der MTITGATE-Methodik dient dem Zweck die Cyber-Risiken für alle an einer maritimen Lieferkette (SCS) beteiligten Geschäftspartner zu bewerten und die Grundlage für die Erstellung der MITIGATE-Softwarelösung, des MITIGATE-Systems, zu schaffen.
Die MITIGATE-Methodik entspricht den wichtigsten Normen für die Gefahrenabwehr in Häfen, dem ISPS-Code (IT-Teil), ISO 27001 und ISO 28001. Die Entwicklung des MITIGATE-Systems erfolgte in enger Anlehnung an die vollständige Methodik. Das MITIGATE-System wurde als Prototyp-Software mit TRL 7 für Systemexperten entwickelt, mit der eine Risikobewertung der eigenen Umgebung oder von Prozessen innerhalb der Lieferkette durch die Verknüpfung von
- Vermögenswerte als CPE,
- Schwachstellen als CVE,
- Standorte,
- Netzwerke: Der Ansatz zur Berechnung der Kaskadeneffekte erfordert jedoch die Zustimmung der beteiligten Geschäftspartner.
MITIGATE wurde bei vielen verschiedenen geschäftlichen und wissenschaftlichen Anlässen vorgestellt. Es wurde intern und extern an fünf verschiedenen Hafen-Pilotstandorten in Europa ausgiebig getestet, darunter in den Häfen von Bremen, Piräus, Ravenna, Valencia und Livorno. Diese umfangreichen Benutzertests dienten dem Zweck, die Funktionalitäten und die Benutzerfreundlichkeit zu testen und gemeinsam mit den Benutzern die Ergebnisse der Risikobewertung zu bewerten.
Im Allgemeinen erkennen potenzielle Nutzer die Nützlichkeit solcher Instrumente und Methoden an, während jedoch insbesondere in kleineren Häfen und maritimen Logistikorganisationen der Aufwand für die Durchführung einer solchen nützlichen Analyse von Schwachstellen und Bedrohungen oft als zu hoch angesehen wurde. Das Bewusstsein für Cybersicherheit scheint bei vielen maritimen Akteuren nur verfrüht entwickelt zu sein. MTIGATE ging über den Stand der Technik hinaus, indem es eine evidenzbasierte Methode zur Risikobewertung der maritimen Versorgungskette (g-MSRA) einführte und validierte, die in der Lage ist, die verteilte und miteinander verbundene Natur der komplexen, miteinander verbundenen Cyber-Komponenten, Netzwerke und Betriebsumgebungen, aus denen sich die Versorgungskette der Häfen zusammensetzt, zu berücksichtigen.
- Partner:Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung EV (Koordinator), AIT, UNIVERSITY OF PIRAEUS RESEARCH CENTER, MAGGIOLI SPA, SINGULARLOGIC ROMANIA COMPUTER APPLICATIONS SRL, UNIVERSITY OF BRIGHTON, PIRAEUS PORT AUTHORITY SA, FONDAZIONE ISTITUTO TECNICO SUPERIORE MOBILITA SOSTENIBILE NEI SETTORITRASPORTI MARITTIMI E DELLA PESCA-ACCADEMIA ITALIANA DELLA MARINA MERC, FUNDACION DE LA COMUNIDAD VALENCIANA PARA LA INVESTIGACION, PROMOCION Y ESTUDIOS COMERCIALES DE VALENCIAPORT, dbh Logistics IT AG, AUTORITA DI SISTEMA PORTUALE DEL MARE ADRIATICO CENTRO-SETTENTRIONALE- PORTO DI RAVENNA, SINGULARLOGIC ANONYMI ETAIREIA PLIROFORIAKON SYSTIMATON KAI EFARMOGONPLIROFORIKIS
- Projektlaufzeit: 09/2015-02/2018
- Förderprogramm: H2020-EU.3.7. - Secure societies - Protecting freedom and security of Europe and its citizens, DS-06-2014 - Risk management and assurance models