37C3: Sicherheitskonzepte beim Schienenverkehr auf Kollisionskurs
Die Bahn kommt - wenn sie nicht gehackt wird. Der bisherige Digitalisierungsstand sei anfällig, warnt eine Forscherin in Hamburg.
(Bild: DS_93/Shutterstock.com)
Der Hauptunterschied zwischen IT-Sicherheit und klassischer Betriebssicherheits-Konzepte seien die Planungshorizonte. Während IT-Sicherheit als stetiges Ringen begriffen würde, wäre die Bahnbetriebssicherheit vor allem von einem statischen Sicherheitsverständnis über üblicherweise 30 Jahre hinweg geprägt. Und entsprechend seien auch die Technologien designt - was heute im Einsatz sei, sei anfällig. Das müsse sich ändern, forderte Katja Assaf, die am Hasso-Plattner-Institut in Potsdam zu Cybersicherheit im Bahnverkehr forscht, von der IT-Sicherheits-Community: "Man muss die Ingenieure überzeugen." Die Ingenieure im Bahnwesen hätten viel Erfahrung, betonte Assaf, aber bei der Herangehensweise bestünden wesentliche Unterschiede zu den Konzepten der IT-Sicherheit.
In der Welt der Bahningenieure würden Rückwirkungen von Problemen bei der IT-Sicherheit oft grundsätzlich verneint. Weitverbreitet sei etwa das "Märchen vom geschlossenen Netzwerk", in das kein Angreifer eindringen könne. Das sei heutzutage aber eine Chimäre, wie auch verschiedene Vorfälle in – von Wannacry bei der DB im Mai 2017 über Vorfälle bei Skånetrafiken in Schweden und bei FS Italiane 2022 gezeigt hätten. Außerdem würde über eine Vielzahl an Interoperabilitätsanforderungen zwischen verschiedenen Systemen die Angriffsfläche vergrößert, so Assaf.
Derzeitige Standards problembehaftet
Tatsächlich sei es in der Branche nach wie vor üblich, Sicherheit erst im Nachhinein in bereits vorhandene Systeme und Standards hineinbringen zu wollen, was aufgrund der Langlebigkeit der Standards problematisch sei. Denn die sähen wenig Anpassung vor – hardgecodet seien dort für Jahrzehnte nicht nur die Anforderungen, sondern auch deren Implementierungen, so Assaf.
Das Europäische Zugbeeinflussungssystem ERTMS/ETCS sei auch deshalb vor allem "Sicherheit auf dem Papier", meint Assaf. Denn darin wären viele bereits bekannte Probleme mit festgelegt – von den Problemen mit dem Zugfunk GSM-R, das auf vielfältige Weise angreifbar sei, über das Euroradio-Protokoll, dessen 3DES-Keys nicht vollständig sicher implementiert wären, bis zum Rail Safe Transport Application (RaSTA)-Standard, das nicht nach heutigem Standard sicher sei und auf einem 1992er-RFC basiere.
Genauer beschreiben, welche Folgen diese Probleme haben könnten, wollte Assaf das in ihrem Vortrag in Hamburg nicht. Sie forderte stattdessen zum grundsätzlichen Umdenken bei allen Beteiligten auf - für eine engere Zusammenarbeit zwischen Bahningenieuren und IT-Sicherheitsfachleuten. "Die Bahningenieure sind in der Regel glücklich, wenn der Zug stoppt", sagte Assaf. Aus Sicht der IT-Fachleute sei aber das Ziel nicht nur, den einzelnen Schadensfall zu verhindern, sondern auch das Funktionieren des Gesamtsystems dauerhaft zu garantieren. Insbesondere bei der Arbeit an den künftigen Kommunikations- und Sicherheitsstandards im Bahnwesen sei hier eine engere Zusammenarbeit nötig.
Zugprobleme ab Werk
Bereits gestern hatten polnische Sicherheitsforscher auf dem 37. Chaos Communication Congress vorgestellt, wie sie einem ganz anderen Problem auf die Schliche gekommen waren: Ein polnischer Zughersteller hatte demnach absichtlich DRM-artig Fehlfunktionen in einen Zug verbaut: per Geofencing sollte, so berichteten es die Hacker von "Dragon Sector, verhindert werden, dass diese von Fremdfirmen gewartet werden konnten. Mehrere Monate brauchte die polnische Gruppe, um dem Problem auf die Spur zu kommen.
(mki)