Irgendwo im Hamburger Hafen bewegt sich eine Containerbrücke. Der Steuerbefehl kommt aus einem Betriebssystem, das in den frühen 2000ern entwickelt wurde. Das Netzwerk, über das er läuft, wurde nie für externe Verbindungen gebaut — und ist trotzdem seit Jahren mit dem Internet verbunden, weil die Fernwartung das so erfordert. Es gibt keine dedizierte Cyber-Response-Einheit für die Kran-Infrastruktur. Es gibt keinen direkten Kommunikationspfad zur nationalen Cyberabwehrbehörde. Und es gibt kein dokumentiertes Playbook dafür, was passiert, wenn die Kransteuerung nicht mehr reagiert — nicht wegen eines Ausfalls, sondern wegen eines Angriffs.
Dieser Artikel analysiert, warum maritime Infrastruktur zur am stärksten vernachlässigten Kategorie kritischer Infrastrukturen (KRITIS) in Deutschland gehört — und was der Hafen Ashdod, der während eines Krieges unter 100.000 Angriffsversuchen pro Woche funktionsfähig blieb, anders gemacht hat. Er richtet sich an KRITIS-Verantwortliche, Hafenbetreiber und alle, die verstehen wollen, was das neue KRITIS-Dachgesetz operativ bedeutet.
Ich habe keinen Beleg dafür, dass das auf Hamburg im Einzelnen so zutrifft. Ich habe einen Beleg dafür, dass es auf europäische Hafeninfrastruktur strukturell so zutrifft — dokumentiert in einer NATO-Kompetenzzentrum für Cyberabwehr (CCDCOE)-Analyse vom Juli 2025 📎, die auf einer Umfrage unter NATO-Mitglieds- und Partnerstaaten basiert. Nahezu alle befragten Länder haben in den vergangenen fünf Jahren Cyberangriffe auf maritime Infrastruktur erlebt. Zugriffskontrollsysteme und Vessel Traffic Management Systeme — digitale Systeme, die Schiffsbewegungen im Hafen koordinieren — wurden als die am häufigsten betroffenen Kategorien identifiziert.
Das ist der Ausgangspunkt für eine Debatte, die in Deutschland noch nicht ernsthaft begonnen hat.
Warum ein Hafen kein IT-System ist — und das den Unterschied macht
Bevor die eigentliche Analyse beginnt, ist eine Klarstellung nötig, die in der deutschen Cybersicherheitsdebatte regelmäßig ausgelassen wird: Ein Hafen ist kein Rechenzentrum. Er ist eine physische Infrastruktur, in der digitale Systeme direkte Wirkung auf materielle Prozesse haben.
Das klingt wie eine Selbstverständlichkeit. Es ist keine — weil die meisten Cybersicherheitskonzepte, die heute auf Häfen angewendet werden, aus der IT-Welt stammen. Verschlüsselte Verbindungen, Firewalls, Incident Response Playbooks. Diese Instrumente sind notwendig. Sie reichen nicht aus, weil das Angriffsziel ein anderes ist.
In einem Hafen gibt es mindestens drei Kategorien sogenannter Operational Technology (OT) — also steuernder Industriesysteme —, die unter direktem Angriffsdruck stehen: Vessel Traffic Management Systeme, die Schiffsbewegungen koordinieren und bei Kompromittierung Kollisionsrisiken erzeugen. Containerbrücken und Kransteuerungen, deren Ausfall nicht zu Datenverlust führt, sondern zu physischen Schäden und operativer Lähmung. Und Schleusensysteme sowie Hafenzufahrtskontrolle, deren Manipulation den Zugang zum Hafen selbst betrifft — nicht die Daten darüber.
Der Unterschied zu einem IT-Angriff ist nicht graduell. Er ist kategorial. Marlink registrierte in der zweiten Jahreshälfte 2024 📎 auf 1.998 überwachten Handels- und Freizeitschiffen 9 Milliarden Sicherheitsereignisse, 39 Milliarden Firewall-Ereignisse, 10.700 Malware-Incidents und 50 schwerwiegende Vorfälle. Das ist kein Hintergrundrauschen. Das ist das Operationsniveau einer industrialisierten Angreiferökonomie. Maritime Cyberangriffe haben sich im Jahr 2025 im Vergleich zum Vorjahr verdoppelt 📎, angeführt von Malware und DDoS-Angriffen — mit Worst-Case-Szenarien, die zerstörte Geräte, gehackte Navigationssysteme und ferngesteuerte Ballasttanks einschließen.
Das ist die Realität, in der Häfen operieren. Das KRITIS-Dachgesetz, das am 17. März 2026 in Kraft getreten ist 📎, erfasst kritische Anlagen im Sektor Transport und Verkehr und begründet dafür Registrierungs- und Resilienzpflichten. Die Cybersicherheits-Managementhaftung liegt im Regime der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2): § 38 BSIG 📎 verankert ausdrücklich Managementverantwortung und haftungsrelevante Pflichten für Cybersicherheitsmaßnahmen. Die Lücke zwischen Regulierungspflicht und operativer Umsetzung ist nirgendwo größer als hier.
Was Europa in seinen eigenen Häfen erlebt — und wie wenig es darüber redet
Es gibt keinen Mangel an Vorfällen. Es gibt einen Mangel an öffentlicher Einordnung.
Hamburg, Antwerpen-Zeebrügge, Gent, Rotterdam — alle waren Teil der Ransomware-Welle, die 2022 westeuropäische Hafeninfrastruktur traf und die die CCDCOE-Analyse als Referenzfall für strukturelle Verwundbarkeit zitiert 📎. Ransomware ist Erpressungssoftware, die Systeme verschlüsselt und erst gegen Lösegeld wieder freigibt. Die Angriffe zwangen Mineralöllieferanten zur Umleitung ihrer Produkte und störten Betriebsabläufe über Wochen. Die Zuordnung zu konkreten Tätergruppen ist komplex — die Vorfälle bewegen sich zwischen staatlich gesteuerten Akteuren und klassisch krimineller Ransomware-Logik. Was sich sicher sagen lässt: Die strukturellen Schwachstellen, die diese Welle ermöglicht haben, sind seitdem nicht verschwunden. Laut Berichterstattung unter Verweis auf NORMA Cyber waren mindestens 45 maritime Organisationen 📎 allein 2024 von Ransomware betroffen — die reale Zahl dürfte erheblich höher liegen.
Im Mai 2025 veröffentlichten NATO und mehrere europäische Regierungen ein gemeinsames Advisory, das APT28 — „Fancy Bear“, dem russischen Militärgeheimdienst GRU zugeordnet — mit Angriffen auf westliche Logistikinfrastruktur in Verbindung brachte 📎, einschließlich Häfen, die Ukraine-Hilfsgüter abwickeln. APT steht für Advanced Persistent Threat — staatlich gesteuerte Angreifergruppen, die langfristig und gezielt operieren. Parallel dokumentierte Forschung die chinesische Gruppe Mustang Panda in norwegischen, griechischen und niederländischen Häfen 📎 — mit USB-Schadsoftware als initialem Angriffsvektor, direkt auf Frachtschiff-Systemen gefunden.
Was diese Vorfälle verbindet: Sie fanden nicht in einer fernen Bedrohungslandschaft statt. Sie fanden in der unmittelbaren Nachbarschaft der deutschen Hafeninfrastruktur statt — und wurden von Gruppen durchgeführt, für die maritime KRITIS kein Zufallsziel ist, sondern ein strategisches.
Was Ashdod anders gemacht hat — und warum das kein Zufall ist
Am 27. Januar 2026 saß Shaul Schneider, Vorstandsvorsitzender des Hafens Ashdod — Israels größtem Warenumschlagplatz, der 14 Prozent aller ein- und ausgehenden Güter des Landes abwickelt — auf der CyberTech Global Tel Aviv 📎 und sagte einen Satz, der weniger Schlagzeile als Befund ist: „Ich kann Ihnen sagen, dass die Zahlen enorm sind. Manchmal kann man nicht einmal das Ausmaß von 100.000 Angriffen pro Woche verstehen.“
Und dann: Der Hafen blieb während des gesamten Krieges vollständig funktionsfähig.
Das ist kein Glück. Es ist ein Architekturergebnis. Für einen Angreifer, der Israel unter Druck setzen will, ist Ashdod ein offensichtliches Primärziel — eine Inselökonomie, die auf Seehäfen für 99 Prozent ihrer Importe angewiesen ist. Irans APT35 und Crimson Sandstorm haben israelische Häfen gezielt mit Ransomware und Schadsoftware angegriffen 📎. Die Angriffe kamen. Der Hafen blieb dennoch funktionsfähig. Drei Elemente erklären das.
Erstens: Direkte Integration in die nationale Cyberabwehr. Ashdod arbeitet nicht mit dem nationalen Cyber-Notfallteam zusammen wie eine Behörde mit einer anderen — der Hafen ist operativ eingebunden in die Israel National Cyber Directorate (INCD) 📎, die israelische Bundesbehörde für Cyberabwehr, als kontinuierliche Echtzeit-Partnerschaft, nicht als reaktive Eskalationskette. Das ist der Unterschied zwischen einem Feuerwehrnotruf und einer permanenten Feuerwache im Gebäude.
Zweitens: Ko-Entwicklung statt Einkauf. Das Maritime Technology Hub „Blue Ocean CVC“ 📎 hat Dutzende Startups in realen Betriebsumgebungen getestet und gezielt in ausgewählte investiert. Eines davon ist Salvador Technologies 📎, das kompromittierte OT-Systeme in unter 60 Sekunden in einen sauberen Betriebszustand zurückversetzt. Ashdod hat eine Million Dollar investiert — nach einem erfolgreichen Pilot im laufenden Portbetrieb. Das Labor ist der Hafen selbst.
Drittens: Strukturelle Wissensbildung. Schneider benennt es direkt: „Wir müssen eine akademische Lücke schließen — was Menschen über Cybersicherheit gelernt haben, entspricht nicht dem, was maritime und Supply-Chain-Herausforderungen verlangen.“ Ashdod baut deshalb in Partnerschaft mit der Ben-Gurion University und dem INCD 📎 einen MBA in Risikomanagement mit Schwerpunkt maritime Cybersicherheit — zunächst für Hafenangestellte, mit geplanter Ausweitung auf einen Bachelorstudiengang.
Im Dezember 2025 folgte der nächste Schritt: Ashdod und der INCD haben gemeinsam einen Open Call für Cyber-Startups ausgeschrieben 📎, der explizit auf maritime OT-Umgebungen zielt — Kransteuerungen, Schiffsidentifikationssysteme, autonome Luftsysteme, Industriesteuerungsinfrastruktur. Startups, die ausgewählt werden, erhalten Zugang zu realen Betriebssystemen, echten Daten und echten Prozessen.
Diese Struktur ist kein Exportprodukt, das man kaufen kann. Sie ist das Ergebnis eines Jahrzehnts permanenter Konfrontation — und des institutionellen Willens, diese Konfrontation als Designanforderung zu behandeln, nicht als Ausnahmezustand.
Die unbequeme Pointe: Was Hamburg regulatorisch schuldet
Hamburg ist der drittgrößte Containerhafen Europas. Mit dem KRITIS-Dachgesetz ist er seit dem 17. März 2026 in einem Regulierungsrahmen, der konkrete Pflichten erzeugt: Risikoanalyse, Lieferanten-Governance, Meldepflichten, Notfallplanung. Umschlaganlagen in See- und Binnenhäfen werden erfasst ab einem Schwellenwert von 3,27 Millionen Tonnen umgeschlagener Fracht pro Jahr 📎 — große Seehäfen wie Hamburg, Bremen und Rostock sowie bedeutende Binnenhafenstandorte wie Duisburg, Mannheim und Karlsruhe können daher gleichermaßen betroffen sein.
Was dieser Regulierungsrahmen nicht liefert: eine operative Antwort auf das Szenario, das Ashdod beschreibt. 100.000 Angriffsversuche pro Woche. Staatlich gesteuerte Angreifergruppen, die maritime Infrastruktur als strategisches Ziel behandeln. OT-Systeme, die nie für externe Verbindungen gebaut wurden und heute trotzdem extern erreichbar sind.
Das ist kein Vorwurf an einzelne Hafenbetreiber. Es ist eine strukturelle Beobachtung: Der regulatorische Rahmen verlangt Nachweisfähigkeit. Die operative Realität verlangt Resilienz. Beides ist nicht dasselbe.
Die Frage, die ein Hafenbetreiber heute beantworten können muss, ist nicht: „Haben wir ein Cybersicherheitskonzept?“ Die Frage lautet: Wenn morgen eine Kransteuerungsanlage durch Ransomware ausfällt — wie lange bis zur Wiederherstellung, wer entscheidet, welcher Kommunikationspfad zur Cyberabwehrbehörde existiert, und was passiert mit den 12 Schiffen, die in dieser Zeit auf Einfahrt warten? Wer diese Frage nicht mit konkreten Zahlen und dokumentierten Prozessen beantworten kann, hat kein Cybersicherheitsproblem. Er hat ein Governance-Problem — und seit dem 17. März 2026 eines, das rechtliche Konsequenzen trägt.
Was fehlt — und wo die israelische Kompetenz anschlussfähig ist
Das Wissen, wie maritime OT-Resilienz unter Dauerangriff aufgebaut wird, existiert. Es ist dokumentiert, erprobt und in einem Ökosystem verfügbar, das mit der Ende Januar 2026 sichtbar intensivierten deutsch-israelischen Cyberkooperation — deren erster öffentlich sichtbarer Schritt die gemeinsame Übung „Blue Horizon“ war — erstmals eine formelle staatliche Grundlage hat.
Aber der Transfer findet nicht statt. Der Grund: Technologische Überlegenheit ist keine hinreichende Bedingung für Marktzugang. Was zählt, ist regulatorische Anschlussfähigkeit — und die ist im maritimen OT-Bereich besonders komplex, weil sie mehrere Ebenen gleichzeitig betrifft.
Auf NIS-2-Ebene muss ein israelischer OT-Sicherheitsanbieter nachweisen können, dass seine Lösung in deutsche Governance-Strukturen integrierbar ist. Auf IMO-Ebene — der Internationalen Seeschifffahrts-Organisation — unterliegen schiffsseitige Systeme einer eigenen Regulierungsarchitektur, die von der hafenseitigen getrennt ist. Und auf OT-Ebene definieren die seit Juli 2024 verpflichtenden IACS Unified Requirements E27 Mindestanforderungen für Cyber-Resilienz auf neu gebauten klassifizierten Schiffen — was bedeutet, dass der Weg von der israelischen Hafen-Referenz zur deutschen Typzulassung kein kurzer ist.
Das ist nicht unlösbar. Es ist die Aufgabe, die vor dem Transfer liegt.
Was dieser Artikel bewusst offen lässt
Drei Themen werden hier nur gestreift, weil sie jeweils eine eigene Analyse verdienen: die physische Angriffsdimension durch autonome Unterwasserfahrzeuge, die Insider-Dimension durch systematische Infiltration von Hafenbetrieben durch Organisierte Kriminalität — ein Phänomen, das das EU-geförderte Projekt INOK unter Federführung des Bundeskriminalamts adressiert — und die Frage, ob staatlich nahestehende Strukturen dieselben Zugangswege nutzen könnten. Alle drei gehören in eine vollständige Hafenresilienz-Architektur. Das KRITIS-Dachgesetz sieht Personalüberprüfungen für Mitarbeitende in sicherheitsrelevanten Bereichen vor, deren Reichweite auf externe Dienstleister in einer noch ausstehenden Rechtsverordnung konkretisiert wird.
Ob Hamburg, Bremen oder Duisburg eine dem Ashdod-Modell vergleichbare operative Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) haben, ist nicht öffentlich dokumentiert. Das ist, beim Vorliegen der beschriebenen Bedrohungslage, selbst ein Befund.
Ein Hafen, der unter 100.000 Angriffsversuchen pro Woche funktionsfähig bleibt, ist nicht das Ergebnis besserer Firewalls. Es ist das Ergebnis einer Architekturentscheidung, die vor Jahren getroffen wurde — unter dem Druck, der keine andere Wahl ließ. Europa wartet noch auf diesen Druck. Oder es wartet auf den ersten Incident, der ihn erzeugt.
Wer keine Kransteuerung verantwortet und trotzdem bis hier gelesen hat, hat eines gewonnen: das Bewusstsein, dass der nächste große Infrastrukturausfall in Europa nicht aus einem Rechenzentrum kommt — sondern aus einem Hafen, dessen Betriebssystem zuletzt in den frühen 2000ern aktualisiert wurde. Das reicht, um die Frage zu stellen. Stellen Sie sie.
Eine persönliche Anmerkung: Ich begleite israelische Technologieunternehmen beim Markteintritt in Deutschland und Europa — genau dort, wo Produktarchitektur auf Haftungsrealität trifft. Maritime Cybersicherheit ist dabei eine der Kategorien, in denen der Abstand zwischen israelischer operativer Reife und deutschem Regulierungsrahmen am größten ist. Wenn Sie Hafenbetreiber oder KRITIS-Verantwortlicher sind und konkret wissen möchten, was das KRITIS-Dachgesetz für Ihre maritime OT-Architektur bedeutet — oder wenn Sie israelischer Technologieanbieter mit maritimen Referenzen sind und den strukturierten Weg in den deutschen Markt suchen: Schreiben Sie mir direkt 📎.
Anmelden zu unserem Newsletter:
Schreibe einen Kommentar