Cybersicherheit und Nationale Hafenstrategie

Nachdem im Dezember vergangenen Jahres bereits ein Referentenentwurf kursierte, hat das Kabinett am Mittwoch die Nationale Hafenstrategie beschlossen. Damit sollten die Länder unterstützt werden, die Häfen voranzubringen, sagte Bundesverkehrsminister Volker Wissing (FDP) am Mittwoch in Berlin: „Mit 139 Maßnahmen wollen wir dafür sorgen, dass unsere Häfen resilient und digital werden. Wir brauchen unsere Seehäfen“, sagte Wissing. Sie seien wichtig für den Export und für energiepolitische Fragen.

Sicherheit spielt in dem Dokument natürlich auch eine Rolle. Es gliedert sich in einen Strategieteil und einen Maßnahmenteil mit aktuell 139 Maßnahmen, die in Zuständigkeit des Bundes, der Länder und der Hafenwirtschaft liegen. Er werde kontinuierlich weiterentwickelt und aktualisiert, die Maßnahmen stünden unter dem Vorbehalt verfügbarer Haushaltsmittel, wie das Papier festhält – ohne konkreter zu werden. Häfen müssten vor physischen und Cyberangriffen geschützt werden, hält die Strategie unter anderem fest. Dies gelte umso mehr im Hinblick auf die geopolitische Zeitenwende. Hierzu seien regelmäßige Risikoanalysen durch Hafenbetreiber und Aufsichtsbehörden erforderlich, hält der Entwurf fest: „Sie setzen die identifizierten Maßnahmen zur Risikobewältigung unverzüglich um.“ Hafenseitig müssten flexible und wirkungsvolle Strukturen geschaffen werden, um Cyberrisiken und hybriden Angriffen entgegenzuwirken, und Cybersecurity-Maßnahmen ergriffen, umgesetzt und nachgewiesen werden – auch jetzt schon nach bestehenden gesetzlichen Grundlagen und zukünftig beispielsweise nach dem Kritis-Dachgesetz.

Mehr Vernetzung gefordert

Zudem sieht das Papier die Notwendigkeit eines Ausbaus und angemessener standortübergreifender Vernetzung der Port Cyber Security Officer in den Häfen, die Weiterentwicklung der Kompetenz, der IT und der Schnittstellen mit Blick auf die Cybersicherheit der Häfen sowie eine proaktive Umsetzung der Anforderungen zur Abwehr von Cyberrisiken durch die Hafenwirtschaft. Hier sollen gezielt Förderungen durch die Berücksichtigung von Cybersecurity-Aspekten der Häfen in neuen und existierenden Forschungs- und Förderprogrammen angestoßen werden. Wie solche Programme konkret aussehen können, zeigte beispielsweise Anfang März ein Blick nach Israel: Der Hafen von Ashdod ist sowohl für den Frachtverkehr als auch für Kreuzfahrttourismus wichtig. Um das Drehkreuz zu schützen unterzeichnete der Hafenbetreiber eine Partnerschaft mit dem Nationalen Cyberdirektorat INCD. Im Rahmen der Zusammenarbeit sollen etwa Weiterbildungen oder Technologie-Scouting betrieben werden, wie aus einer Mitteilung hervorgeht. Der Hafen selbst betreibt seit 2021 einen Inkubator mit entsprechender Start-up-Strategie. Ähnliches gibt es auch in Deutschland: In Hamburg ist beispielsweise ein Logistics Hub angesiedelt. Doch es braucht wohl deutlich mehr: Andreas Rohr, Gründungsmanager und Geschäftsführer bei der Deutschen Cyber-Sicherheitsorganisation DCSO, kritisierte gegenüber Tagesspiegel Background das fehlende Bewusstsein für die Cybersicherheit von Häfen: „Häfen sind über Jahrzehnte hinweg gewachsene technische Strukturen, in denen verschiedene proprietäre Systeme zusammenwirken – daraus resultieren Schwachstellen, die Betreiber in der Regel nicht einfach so ausbessern können.“ Und sie sind ein Ziel von Cyberakteuren: So verzeichnete etwa Bremenports mehr als 10.000 Angriffsversuche täglich, wie die „Nordsee Zeitung“ bereits 2022 berichtete. Daniel Hosseus, Hauptgeschäftsführer den Zentralverband der deutschen Seehafenbetriebe (ZDS), sagte im Vorfeld gegenüber Tagesspiegel Background, dass die Hafenwirtschaft kontinuierlich im Eigeninteresse sowie unter Einhaltung gesetzlicher Regelungen ihre Fähigkeit optimiere, sich an Cyberbedrohungen anzupassen. Zudem verweist er auf bereits getroffenen Maßnahmen: „Um der Gefahr von Cybersecurity-Vorfällen entgegenzuwirken, gehört es bisher schon zu den wesentlichen Aufgaben der Port Cyber Security Officer, sich ein möglichst umfassendes Netzwerk aufzubauen, wozu unter anderem der regelmäßige Austausch zwischen den Verantwortlichen in den Küstenländern, den Hafenbehörden, den Wasserschutzpolizeirevieren sowie der Bundesämter für Seeschifffahrt und Hydrografie und für Sicherheit in der Informationstechnologie gehört.“

Viel Arbeit, wenig Geld

Das Netzwerk für Hafensicherheit funktioniere seit Jahren bereits sehr erfolgreich, so Hosseus. Doch für den Aufbau eines Cybersicherheitsnetzwerks sei noch Aufbauarbeit erforderlich, um einen stabilen Kern von nationalen, europäischen und weltweiten Ansprechpartnern zu haben, meint er – denn die Vorfälle fänden global statt: „Noch gibt es immer wieder sicherheitspolitische Bedenken, wenn es um den Austausch geht“, bemängelt der ZDS-Geschäftsführer. Sowohl die Europäische Agentur für die Sicherheit des Seeverkehrs Emsa als auch die Agentur der Europäischen Union für Cybersicherheit Enisa hätten mehr Austausch innerhalb Europas über problematische Vorfälle angemahnt. Hosseus bemängelte zudem: „Die IT und die damit einhergehenden Schwachstellen und Bedrohungen sind sehr schnelllebig, sodass Weiterbildung und Qualifizierung sowie ein verstetigter Personalaufbau ständig stattfinden muss.“ Letztlich sei das alles selbstverständlich auch eine Frage der zur Verfügung gestellten öffentlichen Finanzressourcen, so der Interessenvertreter: „Allerdings fehlen in der Nationalen Hafenstrategie leider jegliche finanziellen Zusagen für Investitionen in den Erhalt, den Ausbau und die Transformation von Häfen.“ Ähnliche Kritik kam am Mittwoch auch von weiteren Verbänden sowie Ländervertretern. Die Zuständigkeiten seien klar verteilt, entgegnete hingegen Wissing. „Die Zuständigkeit für die Häfen liegt bei den Ländern. Der Bund ist zuständig für die Verkehrsanbindung.“ Der Bund habe in den vergangenen zehn Jahren jeweils eine halbe Milliarde im Jahr investiert. Der Bund stehe zu seiner Finanzverantwortung. „Klar ist: Wenn es Projekte gibt, die wir gemeinsam vorantreiben wollen, die im Bundesinteresse auch liegen, dann stehen wir auch dazu, finanzielle Mittel bereitzustellen. Wir wollen aber so vorgehen, dass wir sagen: Erst brauchen wir die Pläne, dann können wir die Finanzfragen klären.“

Zahlreiche Gesetzesvorhaben

Dabei gibt es genug zu tun: Zum verbesserten Schutz sollen Wirtschaft und Länder bei der Ausgestaltung neuer Anforderungen der NIS2-Richtlinie und dem Kritis-Dachgesetz in Bezug auf Anwendung der Häfen beteiligt werden und bei der Umsetzung der neuen Anforderungen unterstützt werden, hält nun die Strategie fest. Als relevante Punkte listet das Dokument etwa die Abgrenzung der betroffenen Unternehmen und Tätigkeiten, eine Kosten-Nutzen-Abwägung, die Arbeitsteilung zwischen Behörden und Unternehmen oder die Bereitstellung von Ressourcen für die Umsetzung ein. Kritis-Dachgesetz, Außenwirtschaftsgesetz und die Hafenstrategie – es gebe viele Ansätze, um die Sicherheit von Häfen zu verbessern, sagt auch Cybersicherheitsexperte Rohr: „Aber sie alle müssen klar voneinander abgegrenzt ihre eigenen Risiken adressieren und nicht die Betreiber überfordern, außerdem braucht es Kohärenz zur Erreichung einer Resilienz des Gesamtkonstruktes.“ Dabei sieht auch Rohr noch Bedarf: „Es bräuchte eine eigene Strategie nur für die Cybersicherheit von Häfen – auch mit konkreten Hilfestellungen und Programmen“, ist er überzeugt. Das läge im staatlichen Interesse, denn die Sicherheit von Häfen sei auch vor dem Hintergrund der geopolitischen Herausforderungen zentral, meint Rohr.

Ansprechpartner für Sicherheitsfragen

Eine entsprechende Maßnahme wurde Ende Februar in den USA angestoßen: Das Weiße Haus hatte da eine Initiative zur Verbesserung der Cybersicherheit von Häfen vorgestellt (Tagesspiegel Background berichtete). Die Verordnung sieht etwa eine Meldepflicht für Cybervorfälle oder aktive Cyberbedrohungen vor, die ein Schiff, einen Hafen oder eine Hafenanlage gefährden. Zudem werde die Küstenwache eine Richtlinie für die Sicherheit im Seeverkehr herausgeben, die Maßnahmen zum Cyberrisikomanagement für Ship-to-Shore-Kräne aus China vorsieht, die sich in strategischen US-Handelshäfen befinden, so die Verordnung. Manager Rohr sieht zudem die Notwendigkeit für einen zentralen staatlichen Ansprechpartner für die Sicherheit von Häfen: „Auch vor dem Hintergrund der unterschiedlichen Regulierungsvorhaben entsteht sonst eine zusätzliche Unübersichtlichkeit der Zuständigkeiten.“ So etwas ist beispielsweise in Bremen vorgesehen, wo der Stadtstaat vergangene Woche eine Digitalisierungsstrategie für die Häfen vorstellte. Dort soll eine zentrale Einrichtung die bremischen Hafenbetriebe künftig vor Cyberangriffen schützen. Auch der Maßnahmenteil der Hafenstrategie formuliert „die Bereitstellung einer einheitlichen Ansprechstelle für die Unternehmen und Bündelung behördlicher Zuständigkeiten, soweit sachlich möglich“.

Kritis vor außereuropäischer Einflussnahme schützen

Das Thema Sicherheit adressiert das Papier auch auf anderen Ebenen: Zu Zwecken der Landes- und Bündnisverteidigung, insbesondere im Krisen-, Spannungs- und Verteidigungsfall, seien Häfen ein entscheidender Teil der Verkehrsinfrastruktur, der einerseits zur Aufrechterhaltung des regulären und ungehinderten Verkehrsflusses sowie Umschlags von zivilen Gütern beitrage, andererseits für die Verlegung von Personal und Material der Bundeswehr und verbündeter Streitkräfte zwingend erforderlich sei, so das Papier: „Daher kommt ihnen vor dem Hintergrund der aktuellen sicherheitspolitischen Lage, aber auch für die langfristige nationale Resilienz im Bündnis, eine besondere Bedeutung zu.“ Die Strategie greift dabei indirekt auch die Diskussion um den chinesischen Einstieg beim Hamburger Container-Terminal Tollerort auf und hält fest, dass Häfen teilweise als Kritische Infrastrukturen eingestuft würden: „Bei Investitionen und Beteiligungen aus Drittstaaten sind deshalb nicht nur die nationalen Sicherheitsinteressen, Interessen des jeweiligen Staates zu prüfen, sondern es ist auch eine enge europäische Koordinierung im Hinblick auf die Sicherung der europäischen Hafeninfrastruktur vorzunehmen.“ Konkreter wird es allerdings nicht. Die Unionsfraktion im Bundestag hatte im vergangenen Jahr etwa einen jährlichen „China-Check“ gefordert, um die Abhängigkeiten zu überprüfen – allerdings über Häfen hinaus (Tagesspiegel Background berichtete). In den USA sorgt etwa der Einsatz von chinesischer Technologie in Häfen immer wieder für Diskussionen. mit dpa

Von Johannes Steger, Redaktionsleiter bei Tagesspiegel Background