Das Projekt startete mit der Durchführung einer Anforderungsanalyse, um die komplexen Kommunikationsstrukturen in Häfen und das mögliche Gefährdungspotenzial zu untersuchen und hieraus anschließend im weiteren Projektverlauf geeignete, effiziente und akzeptierte Sicherheitsmechanismen entwickeln zu können.

Prozessanalyse und Ermittlung der Gefährdungen

Im Rahmen der Anforderungsanalyse wurde eine detaillierte Prozessanalyse der vier das Projekt begleitenden Szenarien („Gefahrgutanmeldung über das National Single Window“, „Container-Logistik“, „XXL-Logistik“ und „Binnenhafenterminal“) durchgeführt. Es wurden zunächst systematisch die komplexen Hafenprozesse sowie die Kommunikationsstrukturen und ihre jeweiligen Sicherheitsanforderungen bei den beteiligten Akteuren aus der Hafenwirtschaft aufgenommen und detailliert dokumentiert. Hierzu wurden Workshops bei den Praxispartnern BLG Logistics Group, dbh, Hapag-Lloyd sowie dem Binnenhafen Duisburg durchgeführt und die Abläufe, Akteure und deren Rollen sowie Daten und Vertrauensverhältnisse der einzelnen Rollen/Akteure zueinander aufgenommen. Dazu gehörte auch die Aufnahme von Umfang, Art und Struktur der eingesetzten Kommunikationsmittel, d.h. Schnittstellen, Protokolle und Nachrichtenstrukturen.

Es entstanden zahlreiche komplexe Prozessmodelle, die die Grundlage für die weiteren Arbeiten im Projekt bildeten.

Auf Basis der entstandenen Prozessaufnahmen wurden für die einzelnen beteiligten Praxispartner individuelle Fragebögen entwickelt. Diese wurden dazu genutzt, die jeweiligen Gefährdungen bei ihnen zu ermitteln. Hierbei erfolgte die Unterteilung in lokale, d.h. unmittelbare, Gefahren und globale Gefahren mit weiterreichenden Folgen. Außerdem wurde das Risiko der Eintrittswahrscheinlichkeit in fünf Kategorien von „unwahrscheinlich“ (weniger als einmal in 10 Jahren zu erwarten) bis „sehr wahrscheinlich“ (einmal monatlich oder häufiger zu erwarten) sowie die Relevanz bezüglich der Wahrscheinlichkeit des Eintritts und dem Grad der Auswirkung abgefragt. Die Gefährdungen sind die Grundlage für die Risikoanalyse und die Ermittlung der Schutzbedarfe der betroffenen Systeme.

Analyse der IT-Landschaft/Schutzbedarf und Risikoanalyse

In die Beschreibung einer IT-Landschaft flossen die Informationen aus einer Vielzahl von Experteninterviews mit den eingebundenen Praxispartnern, Erfahrungsaustausch mit Hafenbehörden und weiteren Unternehmen aus dem Hafenumfeld sowie den Ergebnissen aus der Prozessanalyse ein. Hierfür wurden dann typische Gefährdungen und Schwachstellen analysiert.

Im nächsten Schritt folgte die Ermittlung des konkreten Risikos und des Schutzbedarfs der einzelnen Assets. Für die Bewertung des Risikos eines Teilprozesses wurde die jeweilige Eintrittswahrscheinlichkeit und Auswirkung einbezogen und somit der Schutzbedarf ermittelt. Basis waren die vorliegenden Antworten aus der Fragebogenumfrage bei den Praxispartnern.

Abschließend wurden Maßnahmen zur Risikobehandlung erarbeitet. Hierbei wurde die Risikominderung, die Risikoakzeptanz, der Risikotransfer sowie Risikovermeidung betrachtet.

Rechtsgutachten Anforderungen HKV

Parallel wurde ein fast 40-seitiges Rechtsgutachten erstellt, in dem die Gesetzeslage hinsichtlich möglicher Anforderungen an die einzelnen Akteure des Hafenverbunds zum Thema Cyber-Sicherheit geprüft wurde. Neben dem IT-Sicherheitsgesetz umfasste die Analyse auch die Datenschutzanforderungen aus der Datenschutzgrundverordnung (DSGVO).