Maritime Cybersecurity: IMO MSC.428(98) und das ISM-SMS
Kernaussage
IMO Resolution MSC.428(98) verlangt nicht den Aufbau eines separaten "Cyber-Managementsystems", sondern die Integration von Cyberrisiken in das vorhandene Safety Management System (SMS) nach dem ISM-Code. Cybersicherheit wird damit zum Bestandteil der Schiffssicherheit und zur Führungspflicht der Reederei, nicht zum isolierten IT-Projekt.
Die Resolution wurde 2017 vom Maritime Safety Committee (MSC) angenommen. Praktisch verbindlich wird sie über das Document of Compliance (DOC): Cyberrisiken müssen spätestens ab der ersten jährlichen DOC-Verifizierung nach dem 1. Januar 2021 im SMS adressiert sein ("IMO 2021"). Für Führung und CISO ist damit nicht mehr die Frage, ob Cyberrisiken auftauchen, sondern ob ihre Behandlung auditierbar im SMS verankert ist.
Problem in der Praxis
Viele Reedereien behandeln Cybersicherheit als Anhang an die SMS-Dokumentation: ein zusätzliches Kapitel, eine Policy, eine Awareness-Folie. Im DOC-/SMC-Audit zeigt sich dann, dass die Cyberrisiken nicht wie andere Risiken bewertet, mit Maßnahmen verknüpft und mit Verantwortlichkeiten hinterlegt sind.
Erschwerend kommt hinzu, dass an Bord IT und OT eng verzahnt sind. Navigations-, Maschinen-, Ladungs- und Kommunikationssysteme sind immer stärker vernetzt, oft über Lieferanten gewartet und nicht im klassischen IT-Inventar erfasst. Wer Cyberrisiken nur als Büro-IT-Thema betrachtet, übersieht genau die Systeme, deren Ausfall die Schiffssicherheit berührt.
CISO-Einordnung
MSC.428(98) ändert den ISM-Code nicht textlich, sondern stützt sich auf dessen bestehende Pflicht, alle erkannten Risiken zu bewerten, und ordnet Cyberrisiken ausdrücklich dieser Pflicht zu. Für den CISO heißt das: keine neue Norm mit eigener Struktur, sondern die konsequente Anwendung der vorhandenen SMS-Logik.
Der ISM-Code (International Safety Management Code) ist über SOLAS Kapitel IX verbindlich. Cyber-Anker ist der ISM-Code, nicht der ISPS-Code: dieser adressiert physische Gefahrenabwehr und ist hier ausdrücklich nicht das Trägerinstrument.
Die zugehörigen IMO-Leitlinien (MSC-FAL.1/Circ.3) haben Empfehlungscharakter und strukturieren das Cyberrisikomanagement in der Logik des NIST-Frameworks. Sie bilden die Brücke zwischen der abstrakten ISM-Pflicht und einem etablierten Steuerungsmodell, das im Korpus bereits über NIST CSF und ISO/IEC 27001 abgebildet ist.
Umsetzungsperspektive
Der pragmatische Weg ist, Cyberrisiken in dieselben Regelkreise zu heben, in denen das SMS ohnehin arbeitet: identifizieren und bewerten, Maßnahmen und Verantwortlichkeiten festlegen, schulen, Notfall- und Wiederanlaufverfahren bereithalten und über DOC/SMC nachweisbar halten.
- Asset-Sicht über IT und OT an Bord aufbauen, statt nur die Büro-IT zu betrachten.
- Cyberrisiken in das bestehende SMS-Risikoverfahren integrieren, nicht in ein paralleles Register.
- Rollen klären, insbesondere das Zusammenspiel von DPA, Bordführung, IT/OT und CISO an Land.
Für den deutschen Kontext bietet sich das frei verfügbare BSI IT-Grundschutz-Profil für den Schiffsbetrieb an. Es strukturiert die Betrachtung entlang von vier Geschäftsprozessen: technischer Betrieb, nautischer Betrieb, Ladungsbetrieb und Kommunikation. Ein ISMS nach ISO/IEC 27001 liefert dazu das methodische "Wie", das MSC.428(98) als "Was" fordert. Derselbe IT-Grundschutz-Pfad trägt zugleich die deutsche NIS2-/BSIG-Pflicht im Teilsektor Schifffahrt: Adressat und Durchsetzung bleiben getrennt (Flaggenstaat/ISM vs. Einrichtung/BSIG), das Umsetzungsraster lässt sich jedoch gemeinsam nutzen.
Typische Fehler
- Cybersicherheit wird als separates Handbuchkapitel angehängt, statt in die SMS-Risikologik integriert zu werden.
- OT- und Bordsysteme bleiben außerhalb der Asset- und Risikobetrachtung.
- Der ISPS-Code wird fälschlich als Cyber-Anker behandelt; die Leitlinien MSC-FAL.1/Circ.3 werden als verbindliche Pflicht missverstanden.
- ISM/IMO, IACS-Klasse und NIS2 werden vermischt statt als getrennte Regime geführt.
- Nachweise werden erst kurz vor dem DOC-Audit erzeugt statt im laufenden Betrieb.
Risiken und Trade-offs
Ein zu schmal verstandenes Programm, das nur die Büro-IT abdeckt, besteht zwar formal das Audit, schützt aber die sicherheitskritischen Bordsysteme nicht. Ein zu schweres, IT-zentriertes Modell überfordert die Bordorganisation. Die Lieferkette ist ein eigener Trade-off: Wartung und Updates von Bordsystemen liegen oft bei Herstellern, was die Verantwortungsverteilung verkompliziert.
Bei Mehrfachregulierung droht Doppelarbeit oder eine Lücke. MSC.428(98)/ISM, IACS UR E26/E27 und NIS2/BSIG-neu adressieren weitgehend gemeinsame Themen, doch Adressat und Durchsetzung unterscheiden sich: Wird dies ignoriert, entstehen redundante Strukturen oder unzuständige Verantwortliche.
Entscheidungspunkte
- Wird Cyberrisiko in das bestehende SMS-Risikoverfahren integriert oder parallel geführt?
- Wie weit reicht die Asset- und Risikobetrachtung in die OT- und Bordsysteme hinein?
- Dient ein bestehendes ISMS oder das BSI-Profil als Umsetzungsraster?
- Wie werden ISM-Pflicht, Klassenanforderungen (Neubauten) und NIS2 organisatorisch getrennt und konsistent gehalten?
Praktische Empfehlungen
- Behandeln Sie Cyberrisiken als reguläres SMS-Risiko mit Owner, Maßnahme und Nachweis, nicht als Sonderthema.
- Erstellen Sie eine gemeinsame IT/OT-Asset- und Risikosicht je Schiffstyp und verankern Sie Schulung und Notfallverfahren so, dass sie an Bord tragen.
- Nutzen Sie das BSI-Profil Schiffsbetrieb als deutschen Umsetzungspfad und ein vorhandenes ISMS als Methodik.
- Führen Sie ISM/IMO, IACS-Klasse (Neubauten) und NIS2 in einer Regulierungslandkarte; lassen Sie Nachweise aus dem Regelbetrieb entstehen, damit sie im DOC-/SMC-Audit ohne Sonderaktion vorliegen.
Relevante Normreferenzen
- IMO Resolution MSC.428(98) "Maritime Cyber Risk Management in Safety Management Systems": verbindlicher Anker im SMS, 2017 angenommen, wirksam ab erster DOC-Verifizierung nach dem 1.1.2021. Reference-only.
- ISM-Code (International Safety Management Code), verbindlich über SOLAS Kapitel IX: Trägerinstrument der Cyberrisiko-Integration. Reference-only.
- IMO MSC-FAL.1/Circ.3 "Guidelines on Maritime Cyber Risk Management" (Rev.3, 4.4.2025): nicht verbindliche Leitlinien in NIST-Logik. Reference-only.
- IACS UR E26 / UR E27 (Cyber resilience of ships bzw. of on-board systems and equipment): klassenbezogen, Neubauten mit Bauvertrag ab 1.7.2024. Reference-only.
- BSI IT-Grundschutz-Profil "Reederei - Schiffsbetrieb": frei verfügbarer deutscher Umsetzungspfad. Reference oder Zitat (öffentlich).
- ISO/IEC 27001: methodischer Rahmen für das "Wie" des Risikomanagements. Reference-only.
- IEC 63154 (Cybersecurity für Schiffsnavigations- und Funkausrüstung): produktbezogene Ergänzung auf Equipment-Ebene (Bezug zu IACS UR E27), lizenziert. Reference-only.
- NIS2 / BSIG-neu (Sektor Verkehr, Teilsektor Schifffahrt): horizontale gesetzliche Pflicht in Deutschland; zuständige Behörde ist das BSI, nicht die BNetzA. Reference oder Zitat (öffentlich).
Häufige Fragen
Schreibt MSC.428(98) ein eigenes Cyber-Managementsystem vor, und ab wann gilt das?+
Nein, kein separates System: Cyberrisiken werden in das bestehende SMS nach dem ISM-Code integriert. Verbindlich ist das spätestens ab der ersten jährlichen DOC-Verifizierung nach dem 1. Januar 2021 ("IMO 2021"). Anker ist der ISM-Code (SOLAS Kapitel IX), nicht der ISPS-Code.
Was gilt für Neubauten zusätzlich, und wie verhält sich das zu NIS2?+
Für Neubauten (Bauvertrag ab 1.7.2024) kommen die klassenbezogenen IACS UR E26/E27 hinzu: keine Gesetzgebung, sondern Klassifikationsvorgabe. NIS2/BSIG-neu ist die horizontale gesetzliche Pflicht im Sektor Verkehr (Teilsektor Schifffahrt) mit dem BSI als zuständiger Behörde; MSC.428(98)/ISM bleibt das flaggenstaatliche, sektorspezifische Regime.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Maritim (IMO/IACS) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: mari-001.
