Cybersicherheit auf Passagierschiffen: Schulung einer Besatzung, die nie am Schreibtisch sitzt

Die meisten Schulungen zur Cybersicherheit gehen von einer relativ standardisierten Arbeitsumgebung aus: einem Computer, einem festen Arbeitsplatz und festen Arbeitszeiten. Für die Besatzung eines Passagierschiffs trifft nichts davon zu. Sie arbeiten im Schichtdienst, verbringen Wochen auf See, teilen sich Geräte und haben selten Zugang zu einer festen Büroausstattung. Unterdessen verschärft sich die Bedrohungslage für die Cybersicherheit von Passagierschiffen von Jahr zu Jahr. In der ersten Hälfte des Jahres 2024 verzeichnete das Sicherheitsunternehmen Marlink mehr als 23.400 Malware-Erkennungen auf 1.800 überwachten Schiffen. Bis 2025 waren die Cybervorfälle in der Schifffahrt im Vergleich zum Vorjahr um 103 % gestiegen. Fast die Hälfte dieser Vorfälle begann mit Phishing. Das Gleiche gilt für die Cybersicherheit auf Frachtschiffen: Der Schiffstyp ändert sich, aber der menschliche Angriffspunkt bleibt derselbe.

STCW gilt für das Deck. Nicht für den Posteingang.

Für Seeleute auf Schiffen, die den ISPS-Code erfüllen, ist ein STCW-Zertifikat zur Sicherheitsschulung gesetzlich vorgeschrieben. Die Schulung umfasst die zu erwartenden Themen: das Erkennen physischer Bedrohungen an Bord, die Zugangskontrolle zu Sperrbereichen, das Verständnis der Sicherheitsstufen und das Wissen darüber, wie verdächtige Aktivitäten zu melden sind. Sie bildet eine solide Grundlage und erfüllt im Hinblick auf die physische Sicherheit genau ihren Zweck.

Digitale Bedrohungen sind eine ganz andere Sache. Ein Besatzungsmitglied, das bei einer unbefugten Person an der Gangway richtig reagiert, denkt vielleicht nicht zweimal darüber nach, bevor es auf einen Link in einer Nachricht klickt, die scheinbar aus dem Managementsystem der Reederei stammt. Das Bewusstsein für physische Sicherheit und das Bewusstsein für digitale Sicherheit sind unterschiedliche Fähigkeiten. STCW befasst sich nicht mit Phishing, Social Engineering oder dem Diebstahl von Zugangsdaten. Diese Lücke ist real und wird zunehmend ausgenutzt.

Mit NIS2 wird das digitale Bewusstsein auch zu einer gesetzlichen Verpflichtung

Europäische Seeverkehrsunternehmen stehen derzeit aus zwei Richtungen unter Druck. Zum einen ist da die Bedrohung selbst. Zum anderen sind da die gesetzlichen Vorschriften. Gemäß der NIS2-Richtlinie gelten Seeverkehrsunternehmen als Betreiber kritischer Infrastrukturen. Damit verbunden sind eine nachweisbare Sorgfaltspflicht, Meldepflichten bei Vorfällen sowie die ausdrückliche Verpflichtung, in die Sensibilisierung der Mitarbeiter für Sicherheitsfragen zu investieren. Wie dies in der Praxis aussieht, wird im NIS2-Leitfaden von Guardey für 2026 behandelt, der die Anforderungen an Sensibilisierungsschulungen detailliert beschreibt, die betroffene Organisationen erfüllen müssen.

Training, das ohne Schreibtisch und ohne festen Zeitplan funktioniert

Hier liegt die praktische Herausforderung. Die jährlichen E-Learning-Module wurden für Büroangestellte konzipiert. Untersuchungen zeigen, dass bis zu 90 % des in jährlichen Schulungen erworbenen Wissens innerhalb weniger Wochen wieder verloren gehen; für ein Besatzungsmitglied, das von einem vierwöchigen Einsatz auf See zurückkehrt, kann der Zeitraum zwischen den Schulungen jedoch weitaus länger sein. Herkömmliche Formate passen einfach nicht zum Rhythmus der Arbeit auf See.

Das effektivere Modell ist kurz und häufig: wöchentliche Einheiten von zwei bis drei Minuten, die auf jedem Gerät verfügbar sind und wann immer es der Zeitplan zulässt, absolviert werden können. Die Sicherheitsschulungen von Guardey basieren genau auf diesem Ansatz: auf „Mobile-First“-Mikroschulungen, die Gamification nutzen, um das Engagement langfristig aufrechtzuerhalten. Für Mitarbeiter, die selten am Schreibtisch sitzen, ist dies kein unbedeutender Vorteil. Es ist der Unterschied zwischen einem Schulungsprogramm, das die Menschen tatsächlich erreicht, und einem, das nur auf dem Papier existiert.

Reedereien, die bereits die Einhaltung der STCW-Vorschriften sichergestellt haben, verfügen bereits über die physische Sicherheitsebene. NIS2 verlangt nun auch die digitale Ebene. Die gute Nachricht ist, dass das Format, das sich am besten zur Erfüllung dieser Verpflichtung eignet, zufällig auch am besten zu den Arbeitsbedingungen in der Schifffahrt passt: kurz, mobil und kontinuierlich.