28C3: Hacker nehmen Eisenbahnsicherungen unter die Lupe

Der Informatikwissenschaftler Stefan Katzenbeisser sieht die Einführung des Mobilfunksystems GSM-R in das neue EU-weite Kontrollsystem für Züge skeptisch. Außer der Betriebssicherheit werde damit die IT-Security künftig eine wichtigere Rolle spielen.

In Pocket speichern vorlesen Druckansicht 135 Kommentare lesen
Lesezeit: 3 Min.

Der Sicherheitsforscher Stefan Katzenbeisser sieht die Einführung des Mobilfunksystems GSM-R in das neue, EU-weit harmonisierte Kontrollsystem für Züge skeptisch. Neben der Betriebssicherheit, auf welcher der Fokus bei Eisenbahnanlagen bislang gelegen habe, werde mit dem European Train Control System (ETCS) künftig die IT-Security eine wichtigere Rolle spielen, prophezeite der Leiter der Security Engineering Group der TU Darmstadt auf dem 28. Chaos Communication Congress in Berlin. Mit dem Einstieg in die Funkkommunikation zur kritischen Informationsübermittlung sei eine neue Qualität von Angriffen denkbar.

(Bild: Stefan Krempl)

In der 1. ETCS-Stufe solle es zwar weiter Signale, sogenannte Balisen zur Datenübermittlung und klassische Freimeldungen für Gleise und "Blockfelder" zwischen zwei Bahnhöfen geben, führte der Informatikprofessor aus. Mit dem Folgelevel sei aber geplant, auf die "ortsfeste Signalisierung" zu verzichten und Statusmeldungen mithilfe der auf den Bahnverkehr zugeschnittenen GSM-Variante an den Lokführer zu senden. Die ETCS-Entwickler hätten zwar aus dem "Desaster" rund um den gängigen Mobilfunkstandard gelernt und setzten auf eine Authentifikation fast aller Nachrichten basierend auf dem Algorithmus Triple-DES.

Kopfschmerzen bereitet Katzenbeisser dabei aber etwa der geplante Schlüsselaustausch für das gewählte symmetrische Kryptographieverfahren. Dokumentiert seien bislang nur Offline-Varianten, sodass der Schlüssel offenbar etwa bei der Deutschen Bahn generiert und dann "per Diskette" an die einzelnen Führerstände verschickt werden solle. Auch die sichere Speicherung des Codes in einem Fahrzeug sei ungeklärt. Die Tatsache, dass Haltaufträge nicht verifiziert werden müssten, stelle zudem ein Einfallstor für Denial-of-Service-Attacken dar. Der Dialog mit der Hackergemeinde sei daher wichtig, um Fehlern und Schwachstellen frühzeitig auf die Spur zu kommen.

Die 28C3-Besucher waren zu dem Vortrag zahlreich erschienen, da dieser mit der Frage: "Können Züge gehackt werden?" überschrieben war. Mit großem Interesse nahmen die Tüftler auch die Ausführungen Katzenbeissers zu den herkömmlichen Bahnsicherungsanlagen auf, die sich von mechanischen über mit Drucktasten zu bedienende bis hin zu elektronischen Stellwerken weiterentwickelt haben.

Dabei gebe es "einige neuralgische Punkte", räumte der Computerwissenschaftler auf Drängen der Zuhörer ein. Die eingesetzten Systeme zur induktiven Zugsicherung (Indusi), die eine automatische Zwangsbremsung beim Nichtbeachten von Haltevorsignalen durchführen, oder Speichereinrichtungen für Betriebsinformationen könnten Probleme auslösen, erläuterte Katzenbeisser. Solange um Gleise und Stromleitungen aber keine hohen Zäune gebaut würden, gebe es einfachere Angriffspunkte zum Unterbrechen des Bahnverkehrs.

Er selbst fahre "noch sorglos Bahn", beteuerte der Experte. Er wolle "keine großen Horrorszenarien" schüren, zumal sein Vortrag schon im Vorfeld Staub aufgewirbelt habe und Siemens-Vertreter im Raum seien. Vor 70 Jahren hätten sich Ingenieure aber noch nicht vorstellen können, dass kreativ-kritische Technikbeobachter Interesse etwa an Indusi-Magneten entwickeln könnten. Zudem halte sich standhaft das Gerücht, dass man einen ganzen Bahnhof lahmlegen könne, wenn man mit einer kleinen magnetischen Kupferspule an entscheidende, über die Streckenfreigabe wachende Sensoren komme. (pmz)