Suchen

IT-Sicherheit in Transport und Verkehr Netzwerksicherheit bei Hapag-Lloyd

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

In den letzten Folgen unserer Serie über IT-Sicherheit in unterschiedlichen KRITIS-Branchen haben wir uns mit staatlichen Einrichtungen wie der Landesregierung NRW oder auch der Bundeswehr befasst. Nun wenden wir uns wieder der Privatwirtschaft zu. Für den Sektor „Transport und Verkehr“ sprachen wir mit der Reederei Hapag-Lloyd.

Firmen zum Thema

Hapag-Lloyd hat weltweit mehr als 1,1 Millionen Container (TEU) im Einsatz. Die Schiffe der Reederei sind auf allen Weltmeeren unterwegs.
Hapag-Lloyd hat weltweit mehr als 1,1 Millionen Container (TEU) im Einsatz. Die Schiffe der Reederei sind auf allen Weltmeeren unterwegs.
(Bild: Hapag-Lloyd AG)

Das BSI hat neun Sektoren definiert, die in Deutschland die kritische Infrastruktur (KRITIS) abbilden. Zum Sektor „Transport und Verkehr“ gehören die Branchen Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr und Logistik. In der Sektorendefinition betont das BSI außerdem: „Grundvoraussetzung für moderne arbeitsteilige Volkswirtschaften, die auf die Mobilität von Gütern und Personen angewiesen sind, ist ein funktionsfähiges und leistungsfähiges Transport- und Verkehrssystem.“

Für unser Gespräch über IT-Sicherheit in Transport und Verkehr standen uns Peter Wirwoll, Director Information Security Officer und Samuel Stüber, Manager Corporate Communications bei der Hapag-Lloyd AG zur Verfügung. Zu Beginn des Interviews gab uns Herr Stüber einen kurzen Überblick über Hapag-Lloyd als Unternehmen. Bei der Hapag-Lloyd AG handelt es sich um die momentan fünftgrößte Linienreederei der Welt. 239 Containerschiffe transportieren bis zu 1,7 Millionen Standardcontainer nach einem strikten Fahrplan über festgelegte Transportlinien. Das Liniennetz umspannt den ganzen Globus (insgesamt werden 600 Häfen angefahren) und die Reederei ist mit 392 Büros in 129 Ländern vertreten. Die Mitarbeiterzahl beträgt etwa 13.000. Die wichtigsten Märkte liegen in Lateinamerika, dem Nahen Osten und auf der Transatlantikroute.

Das Netz

Was die IT-Infrastruktur angeht, so hat Hapag-Lloyd bereits vor über 20 Jahren einen Outsourcing-Vertrag mit IBM geschlossen. Sämtliche Core-Apps laufen in einem Dual-Hochverfügbarkeits­rechenzentrum von IBM in der Nähe von Frankfurt. So können bei einem Ausfall eines Rechenzentrums die Dienste nahtlos weiterhin zur Verfügung gestellt werden.

In den einzelnen Niederlassungen stehen nur Basis-Dienste wie DNS, DHCP sowie File- und Print-Services zur Verfügung. Gegebenenfalls kommt da noch ein länderspezifischer lokaler App-Server – beispielsweise für Human Resources – hinzu, im Großen und Ganzen läuft aber die ganze IT in dem eben genannten Rechenzentrum.

Hapag-Lloyd setzt im Betrieb zwei unterschiedliche Verzeichnisdienste ein. Zum einen das Active Directory von Microsoft, über das interne Anwender authentifiziert werden, zum anderen IBMs Resource Access Control Facility (RACF) zur Authentifizierung bei den Mainframes. Über RACF greifen beispielsweise Kunden ohne Hapag-Lloyd-Konto aus dem Internet auf ihre Daten zu.

Jeder Mitarbeiter verfügt zudem auch über einen RACF-Account, da dieser für gewisse Anwendungen benötigt wird. Hapag-Lloyd ist aber momentan dabei, den Wechsel von RACF auf das Active Directory (AD) zu forcieren. So könnte zum Beispiel in Zukunft die Anmeldung beim Hapag-Lloyd-Internetportal nicht mehr über RACF, sondern über AD abgewickelt werden. Herr Wirwoll sagte dazu: „Diese Umstellung läuft aber nicht über Nacht. Sie gestaltet sich langwierig und auch wegen der Berechtigungen aufwendig.“

Der Aufbau des Netzes und die Sicherheitskonfiguration

Das Unternehmensnetz von Hapag-Lloyd besteht aus einem Service-Netz und dem Rechenzentrumsnetz, das Backbone, Core-Server sowie die interne und die externe DMZ umfasst. Im Wesentlichen werden über das Netz Voice- und Datenkommunikationen abgewickelt.

Die Core-Systeme sind nur über die externe DMZ erreichbar. Davor versehen Load Balancer, Firewalls und Cisco Adaptive Security Appliances (ASAs) ihren Dienst und sorgen dafür, dass unerlaubte Zugriffe unterbleiben. Remote-Zugriffe laufen direkt oder über VPNs mit Multi-Faktor-Authentifizierung.

Diese Multi-Faktor-Authentifizierung in Verbindung mit den ASAs, den Load Balancern und den Firewalls zeigen bereits, dass das Thema Sicherheit bei Hapag-Lloyd eine große Rolle spielt. Zusätzlich wird der Datenverkehr vom und zum Internet durch Filter von Cloud-Providern wie Forcepoint und Zscaler geschützt, die Spam und Malware abfangen. Es ist also eine gewisse Vielschichtigkeit im Sicherheitsbereich gegeben.

Herr Wirwoll meinte dazu, dass es ein sichtbarer Erfolg sei, wenn die Websense-Lösung tausende von Spam-Mails ausfiltere: „Da sieht man, dass die erste Barriere wirkt und das Sicherheitskonzept setzt sich von dort aus fort.“

Mitarbeiterschulung als weiteres Standbein der IT-Sicherheit

Abgesehen von den technischen Maßnahmen gibt es auch Mitarbeiterschulungen zum Thema Datenschutz. Zusätzlich existiert eine verpflichtende Corporate Guideline mit Verhaltensregeln. Außerdem werden bald hausinterne Phishing-Kampagnen als permanentes Programm stattfinden.

Neben IBM kooperiert Hapag-Lloyd im Bereich Collaboration auch mit Microsoft. Abgesehen davon wird geplant, in Zukunft mehr Cloud-Dienste zu nutzen. Momentan ist die IT-Infrastruktur von Hapag-Lloyd aber noch relativ on-premise-lastig, die Cloud spielt zur Zeit folglich noch keine maßgebliche Rolle.

Die Schiffs-IT

Von den 239 Containerschiffen der Hapag-Lloyd-Reederei fahren 40 unter deutscher Flagge. Andere sind unter anderen Flaggen unterwegs oder wurden gechartert. Deswegen ist die Schiffs-IT nicht homogen. Die Schiffe stellen eigene Anlagen dar, die kaum mit der „Land-IT“ verknüpft sind. Momentan werden vom Land aus lediglich bestimmte Anwendungen, wie Stau- und Routenplaner, zur Verfügung gestellt. Das wird sich aber in Zukunft ändern.

Zum Schluss unserer Gesprächs wies uns Herr Wirwoll noch darauf hin, dass Hapag-Lloyd zu den kritischen Infrastrukturen gehört. Das Unternehmen fällt in den KRITIS-Sektor „Transport und Verkehr“ und dort in den Bereich „Seeschifffahrt“. Deswegen gibt es Prüfungsvorgaben des BSI, in denen Auditoren untersuchen, ob die Maßnahmen von Hapag-Lloyd dem aktuellen Stand der Technik entsprechen. Sämtliche Sicherheitsmaßnahmen werden demzufolge im Rahmen der Überprüfungen zertifiziert und bewertet.

(ID:46845500)

Über den Autor

Dr. Götz Güttich

Dr. Götz Güttich

Journalist, IAIT