Am 27. Juni 2017 ging bei der grossen Reederei A.P. Møller-Maersk nichts mehr: Computer fielen aus, es konnten keine Aufträge mehr angenommen werden und wo die einzelnen Container gerade waren, wusste auch niemand mehr.
Gleichzeitig hatte die Ransomware Notpety weitere rund achtzig Firmen aus der Logistik Branche, von der Fedex Tochter TNT bis hin zu den Häfen von New York, Los Angeles, Rotterdam und Mumbai lahmgelegt. Die Betreiber der Schiffe und Hafenanlagen hätten hohe Beträge in Bitcoin an die unbekannten Erpresser schicken sollen. Dann wäre ihnen der Zugang zu den Daten wieder gewährt worden.
Auf manuelle Prozesse zurückgegriffen
Møller Maersk war eines der am stärksten betroffenen Unternehmen: 90 Prozent der Aufträge bekommt die Firma über Online-Ordereingaben, weltweit landet alle 15 Minuten irgendwo in einem Hafen ein Schiff der Reederei und täglich werden 10 000 bis 20 000 Container abgefertigt.
Den Schaden bezifferte man auf 300 MillionenDollar. Im Sommer2018 berichtete Jim Hagemann Snabe, Verwaltungsratspräsident von Møller-Maersk, an einer Podiumsveranstaltung zum Thema Cyber-Sicherheit, wie man die zehn Tage ohne Computer «überlebt» habe: Man habe weitgehend wieder auf manuelle Prozesse zurückgegriffen. Viele Angestellte leisteten Überstunden bis zum Umfallen und auch dank der Hilfe der Kunden konnte man noch 80 Prozent des normalen Geschäftsvolumens bewältigen.
Auch davor und danach wurden weitere Logistikfirmen von Hackern gezielt angegriffen. Gemäss einer Umfrage des Marktforschungsunternehmens IHS Markit / Bimco aus dem Jahr 2016 hatten 60 Prozent der Reedereien Angriffe auf ihre Systeme gemeldet. Den Londoner Schiffsbroker Clarksons beispielweise hatte es vor der grossen Notpety-Attacke mit einem konventionellen Hacker-Angriff erwischt. Und die grosse chinesische Reederei Cosco meldete im Sommer 2018 einen «Netzzusammenbruch» in der Region Nordund Südamerika. Telefone und die Systeme funktionierten nicht mehr – um die Lage zu meistern, veröffentlichte Cosco Listen mit rasch bei Yahoo eingerichteten E-Mail-Adressen.
Ständige Überwachung
«Die CyberSicherheitsHerausforderungen, die wir sehen, sind nicht spezifisch für unsere Branche», sagt Santiago Jurkšaitis, Sprecher beim Logistikkonzern Panalpina. Die Transportund Logistikbranche sei im Prozess der digitalen Transformation und deshalb sei man zu einem wichtigeren Ziel von CyberAttacken geworden. Aber auch die entsprechenden Vorsorgeund Reaktionsmassnahmen habe man angepasst.
Die Risikenwürden sich ständig verändern und eigentlich alle Firmen inklusive Panalpina betreffen. «Obes einen Verstoss gegen unsere Systemsicherheitsvorschriften, einen unberechtigten Zugang zu Systemen oder den Versuch dazu gibt oder irgend etwas Weiteres in diese Richtung – wir überwachen diese CyberSicherheitsbedrohungen ständig und richten unsere Aufmerksamkeit vor allem auf Massnahmen zur Risikominimierung und zur Verbesserung der Widerstandsfähigkeit. »
Die Post könne ihre Dienstleistung nur dann zuverlässig und pünktlich erbringen, wenn die internen, hochautomatisierten Prozesse einwandfrei funktionierten, sagt PostSprecherinMasha Foursova. «Stört ein CyberAngriff ITSysteme der Post – zumBeispiel bei der Briefsortierung –, so hat dies eine Auswirkung auf die Verarbeitung der Briefe. Dies könnte zur Folge haben, dass die Post nicht pünktlich beimKundenankommt.»Dankmodernen Informatiktechnologien werden Logistikprozesse zunehmend effizienter und können flexibel gesteuert werden. Damit nehmen auch die CyberRisiken zu, die das Zusammenspiel zwischen ITBefehlen und physischen Logistikprozessen – wie beispielsweise Sortiermaschinen – behindern könnten. «Um Störungen zu vermeiden, beobachten und überprüfen ITSpezialisten der Post die ITSysteme laufend und schützen diese aktiv gegen potenzielle HackerAngriffe und Virenbefall», so Foursova. Dazu stellte die Post in den letzten Jahren weitere ITFachleute an. Die Post unterziehe die Systeme regelmässig HackerTests und Sicherheitsprüfungen. «Darüber hinaus beobachten wir laufend die Bedrohungslage und ergreifen rechtzeitig Massnahmen, um Schäden an der ITInfrastruktur – konzernübergreifend – zu verhindern», erklärt Foursova.
Kontinuierlicher Verbesserungsbedarf
«In der Logistik sind die Abhängigkeiten von Wirtschaft und Gesellschaft klar ersichtlich», sagt Hannes Lubich, auf ITSicherheit spezialisierter Lehrstuhlinhaber an der Fachhochschule Nordwestschweiz. «Bricht eine Lieferkette, sind die Auswirkungen auf Konsumenten und institutionelle Abnehmer der zu liefernden Produkte und Leistungen recht schnell sichtbar, da infolge der Justintime-Denkart in der Wirtschaft kaum Lager vorhanden sind.»
Ebenso wichtig sei in der Logistik die korrekte Bestandsaufnahme und Lokalisierung der transportierten oder bereitgestellten Waren in den Lieferketten. Erhöht werde die Komplexität durch den Betrieb der Logistikkette über diverse Länder inklusive Transitländer hinweg mit eigenen Rechtslagen, Vorschriften und Sprachen sowie durch die in der Ende-zu-Ende-Kette eingesetzten unterschiedlichen physischen und logischen Transport und Unterstützungssysteme inklusive oft nicht kompatibler IT und Kommunikation.
«Entsprechend empfindlich ist dieser Sektor, obwohl er nicht besonders reguliert ist, gegen Angriffe und Ausfälle und entsprechend attraktiv sind LogistikUnternehmen als Ziele von Angriffen zum Zweck der Erpressung (CryptoLocker und allgemeine DenialofServiceAngriffe) », stellt Lubich fest. «Nach den offenbar durchaus erfolgreichen Angriffen auf MøllerMaersk und Co. ist in der Branche das Verständnis für die ITSicherheit sicher gestiegen, aber das Credo der Branche ist weiterhin, dass der Erhalt der Lieferkette ‹um jeden Preis›, also gegebenenfalls auch unter Umgehung als mühsam empfundener Prozeduren und Vorschriften, oberste Priorität hat.»
Viele LogistikFirmen sind heute tief in die lokale Wertschöpfung und Produktionskette ihrer Kunden integriert. «Auch das ist für Angreifer potenziell interessant, da es im schlimmsten Fall Angreifern den Durchgriff auf die Systeme und Prozesse der Endkunden erlauben könnte», stellt Lubich fest. «Hier besteht also, wie in vielen anderen Industrien, auch kontinuierlicher Verbesserungsbedarf, sich über die Abhängigkeiten von der EndezuEndeLogistikKette zu informieren und dort gezielt Redundanzen zu schaffen, wo es als nötig zur Risikominderung erkannt wird.»