Eisenbahnbetrieb: Mangelndes Bewusstsein für Cybersicherheit

Inhaltsverzeichnis

Mit 472 Milliarden Passagier- und 430 Milliarden Tonnenkilometern für den Güterverkehr auf 216.000 Kilometer aktiver Strecken pro Jahr in Europa spielt der Eisenbahnsektor eine große und schnell wachsende Rolle im Verkehrswesen. Die Digitalisierung stellt den Bereich aber vor große Herausforderungen bei der IT-Security, hat die europäische Behörde für Cybersicherheit Enisa herausgefunden.

Die Agentur attestiert dem Zugverkehrssektor in einem jetzt veröffentlichten Bericht "ein insgesamt mangelndes Bewusstsein für die Cybersicherheit". Dazu kämen Probleme aufgrund der eingesetzten komplexen Betriebstechnik. So ließen sich selbst die einfachsten Sicherheitsmaßnahmen auf operativen Systemen oft nicht vollständig durchführen. Es sei daher ein Bewusstseinswandel nötig, um mehr Fachwissen rund um IT-Sicherheit aufzubauen. Sonst werde es nichts mit der digitalen Transformation in dem Bereich, was dessen Wettbewerbsfähigkeit schmälern würde.

Cyberangriffe auf Bahnunternehmen

Die Autoren verweisen auf Vorfälle, die dem Sektor bereits zu schaffen machten. Dazu zählen sie etwa eine 2015 erfolgte Denial-of-Service-Attacke in der Ukraine sowie den WannaCry-Angriff auf die Deutsche Bahn 2017. Dabei seien unter anderem Anzeigetafeln beschädigt worden. Allein in diesem Jahr habe ferner ein Bahnunternehmen in Großbritannien mit einem gewaltigen Datenabfluss von 146 Millionen Einträgen über rund 10.000 Personen zu kämpfen gehabt, die das kostenlose WLAN genutzt hätten.

Der Schweizer Schienenfahrzeughersteller Stadler sei von einem Malware-Angriff heimgesucht worden, bei dem die Angreifer interne Dokumente gestohlen und online veröffentlicht hätten, ist der Studie zu entnehmen. Der spanische Infrastrukturmanager Adif sei ebenfalls von einer Lösegeldforderung betroffen gewesen.

Aktuell werde eine breite Palette an IT-Funktionalitäten und vernetzten Geräten rund ums Internet der Dinge in Eisenbahnsysteme eingeführt, konstatieren die Verfasser. Die Verantwortlichen beschafften und verwalteten die Technik oft aber nicht ordnungsgemäß. Dies führe zu Schwachstellen.

Veraltete Systeme bremsen Cybersicherheit aus

Mit dem Bericht bewertet die Enisa die Umsetzung der Richtlinie zur Netzwerk- und Informationssicherheit (NIS) in den Mitgliedstaaten. Über die Jahre hinweg habe die Agentur dazu bereits eng mit Eisenbahnunternehmen und Infrastrukturbetreibern zusammengearbeitet. Um den Stand der Dinge herauszufinden, führten die Prüfer nun eine Online-Umfrage in dem Sektor mit 41 Beteiligten aus 21 Mitgliedsstaaten inklusive Deutschland sowie aus Norwegen durch. 71 Prozent der Teilnehmer waren Betreiber "essenzieller Dienste".

Allgemein registrierten die Autoren, dass bei den befragten Firmen sehr viele Altsysteme sowie insgesamt eine hohe Anzahl an zu sichernden Apparaten und Netzwerken vorhanden seien. Viele davon basierten auf dem Stand der Technik von anno dazumal, seien aufgrund der langen Lebensdauer inzwischen veraltet oder überholt. Dies mache es schwierig, sie in Einklang mit aktuellen Anforderungen an Cybersicherheit zu bringen. Ferner seien die Systeme in der Regel über viele Bahnhöfe und Gleise verteilt, was eine umfassende Kontrolle erschwere.

Die starke Abhängigkeit von der Lieferkette mache die Sache nicht einfacher, heißt es in dem Report. In Bezug auf Systemaktualisierungen, Patch- und Lifecycle-Management seien die Betreiber auf ihre Lieferanten, externe Anbieter und andere Dritte angewiesen. Das Cybersicherheits-Bewusstsein und die damit verbundenen Fähigkeiten variierten auch bei diesen.

Dazu kommen laut der Studie Konflikte zwischen unterschiedlichen Formen von Sicherheitsdenken. Bei jeder Aktualisierung zur Einführung von Bestimmungen für die Cybersicherheit müssten die Zuständigen etwa gewährleisten, dass Mechanismen zum allgemeinen Schutz der Passagiere intakt blieben. Dies erfordere zusätzliche Zeit und Geld. Darüber hinaus seien die Verantwortlichen meist nicht für den Bereich IT-Security ausgebildet.

Zwischen Sicherheit und Wettbewerbsfähigkeit

Die Verfasser betonen die Notwendigkeit, das richtige Gleichgewicht zwischen Cybersicherheit, Wettbewerbsfähigkeit und operativer Effizienz zu finden. Es gebe hier einen großen Kostendruck, da die Kunden sonst auf alternative Verkehrsmittel wie das Auto oder Flugzeug zurückgriffen. Eisenbahnen erforderten ferner landesweite Investitionen. Werde die Sicherheit von IT-Systemen erhöht, könnten Datenflüsse und die Verfügbarkeit der Anlagen teils stark beeinträchtigt werden.

53 Prozent der befragten essenziellen Dienstebetreiber haben den Ergebnissen zufolge zumindest grundlegende Maßnahmen für die Cybersicherheit wie eine Zugangskontrolle oder Systemtrennung implementiert. Verfahren, die ein höheres technisches Fachwissen erforderten wie Verschlüsselung oder den Einbezug industrieller Kontrollsysteme, würden jedoch in geringerem Maße umgesetzt. Nur 38 Prozent hätten Sicherheitsindikatoren zumindest teilweise definiert und ein Prüfverfahren dazu aufgesetzt. 41 Prozent gaben an, ihr Ökosystem untersucht zu haben, nur 31 Prozent aber auch die Beziehungen zu Drittparteien.

Ihre Systeme konfigurierten zudem bloß 45 Prozent der wichtigen Betreiber angemessen, haben die Prüfer herausgefunden. Nur 24 Prozent verwendeten kryptographische Lösungen. Auch in den Kategorien Abwehr und Resilienz schnitten die Teilnehmer nicht gut ab. Besser aufgestellte Eisenbahnorganisationen führten aber Notfallübungen durch, um Cyberattacken zu simulieren.

Verbesserungspotenzial sieht die Enisa auch beim Europäischen Eisenbahnverkehrsleitsystem ERTMS zur Kontrolle von Signalen und der gefahrenen Geschwindigkeit. Es umfasst das Sicherungs- und Steuerungssystem ETCS, der GSM-R-Datenfunk und Betriebsvorschriften. Einige Vorkehrungen für IT-Sicherheit seien darin schon enthalten, eine eingehende Analyse potenzieller Bedrohungen, Angriffsvektoren und daraus abzuleitender Maßnahmen stehe aber noch aus. Auch hier seien Software-Updates "komplex, teuer und zeitaufwändig". Hacker hatten vor einigen Jahren bereits Angriffsflächen rund um vernetzte Systeme zur Zugkontrolle ausgemacht.

(olb)