08. Juli 2021
Pünktlichere und zuverlässigere Züge, die in dichterem Takt mehr Menschen befördern und Waren transportieren, will die Bahn mit groß angelegten Digitalisierungsmaßnahmen auf die Schiene bringen. Doch die Vernetzung eröffnet Hackerinnen und Hackern auch ganz neue Möglichkeiten. Wo die Risiken der Digitalisierung im Zugverkehr liegen und wie man ihnen begegnen kann, erklärt Gernot Krage, Software- und Hardwaregutachter im Arbeitsgebiet Bahntechnik von TÜV NORD.
#explore: Wie hat sich das System Bahn durch die Digitalisierung verändert?
Gernot Krage: Technisch gesehen war der Schienenverkehr früher ein geschlossenes System – die verwendete Elektronik wurde speziell für den Bahnbereich entwickelt. Das machte sie von außen kaum angreifbar. Hackerinnen und Hacker hätten sich zunächst mal dieses sehr spezifische Know-how erarbeiten müssen. Außerdem konnten Angriffe nur lokal erfolgen. Heute kann man per Netzwerk auf jeden Ort der Welt zugreifen. Außerdem kommen im Bahnbereich zunehmend Komponenten zum Einsatz, die für den Massenmarkt produziert sind. Diese werden von Technikfirmen nur noch eingebaut, konfiguriert und programmiert. Diese Komponenten können aber Schwachstellen enthalten, die zum Einfallstor für Hacker oder Schadsoftware werden können. Auch hat Software oft vielfältige Funktionalitäten, die man für den konkreten Anwendungsfall nicht zwangsläufig benötigt. Werden sie dennoch verwendet, ergeben sich weitere Angriffsflächen. Zwar gibt es auch Komponenten, die auf IT-Sicherheit zertifiziert sind. Doch die sind naturgemäß etwas teurer – ein Kostenfaktor, den manche Bahntechnikfirmen scheuen. Auch das Internetangebot für die Fahrgäste im Zug hat eine Kehrseite, weil dieses System netzwerktechnisch nicht immer vollständig von der Leittechnik getrennt ist. Damit wächst das Risiko, dass sicherheitsrelevante Systeme auf diesen Wegen gestört oder manipuliert werden können.
Was könnten Cyberkriminelle konkret anstellen?
Ein prominentes Beispiel ist etwa der Trojaner „WannaCry“, der 2017 zahlreiche digitale Anzeigetafeln und Ticketautomaten an deutschen Bahnhöfen lahmlegte. Dabei handelte es sich noch um einen vergleichsweise harmlosen Angriff, der nur die Betriebsabläufe an den betroffenen Bahnhöfen beeinflusste. Viel gefährlicher wäre es, wenn es Hackerinnen und Hackern gelingen würde, sicherheitsrelevante Systeme wie die Bremsen direkt zu manipulieren. Das ist zwar nicht einfach, denn man muss nicht nur ins System hineinkommen, sondern auch genau wissen, was man dort zu tun hat, um bestimmte Fahrfunktionen auszulösen. Aber Hacker lernen dazu, und die Vernetzung schreitet weiter voran. Daher benötigen wir gegen mögliche Angriffe auch entsprechende Schutzmaßnahmen.
„Über kurz oder lang werden Züge automatisiert fahren. Wenn gleichzeitig die Zugleittechnik immer stärker vernetzt wird, muss man sich darüber Gedanken machen, wie sie sich verlässlich gegen Beeinflussung von außen absichern lässt.“
Züge sollen in Zukunft hochautomatisiert betrieben werden – verschärft sich damit das Problem?
Das ist in der Tat der Fall. Bei technischen Defekten greifen heute die Triebfahrzeugführer ein. Gibt es beispielsweise ein Problem in der elektronischen Bremssteuerung, können sie die Bremsleitung manuell öffnen – der Druck fällt ab, und der Zug bremst. Das ist ein redundantes Schutzsystem, das auch bei technischem Versagen immer funktionieren sollte. Bislang sind vor allem U-Bahnen fahrerlos unterwegs – wie beispielsweise in Nürnberg. Untergrundbahnen sind ja geschlossene Systeme ohne Bahnübergänge, wo Triebfahrzeugführer die Strecke nicht beobachten müssen. Daher wurde der vollautomatische Betrieb dort zuerst eingeführt. Aber über kurz oder lang werden auch andere Züge automatisiert fahren. Wenn gleichzeitig die Zugleittechnik immer stärker vernetzt wird, muss man sich darüber Gedanken machen, wie sie sich verlässlich gegen Beeinflussung von außen absichern lässt. Erschwert wird das Problem dadurch, dass im Fall eines erkannten Angriffs gerade bei einem autonomen Zug nicht einfach alle Kommunikationswege abgeschaltet und alle Fahrzeugfunktionen in einen sicheren Grundzustand gebracht werden können, denn ein solcher Grundzustand existiert nicht immer: Zum Beispiel sollte ein Zug im Notfall möglichst nicht im Tunnel oder auf Brücken zum Stehen kommen, und Notruffunktionen und andere Systeme müssen nicht nur sicher gegen Fehlfunktionen, sondern auch verfügbar sein.
Die europäische IT-Sicherheitsbehörde ENISA hat dem Zugverkehrssektor ein mangelndes Bewusstsein für Cybersecurity attestiert. Würden Sie sich diesem Befund anschließen?
Das lässt sich nicht verallgemeinern. Insgesamt gesehen geht es mit der IT-Sicherheit allerdings nur sehr zögerlich voran. Seit wenigen Jahren ist sie aufgrund der Normenlage eigentlich eine Voraussetzung für die Zulassung von Zügen. Wenn man eine Risikoanalyse für sein System durchführt, muss man entsprechend auch die IT-Sicherheit berücksichtigen. Man muss also untersuchen, welche Gefährdungen auftreten können und welche Abwehrmaßnahmen dagegen erforderlich sind. Aber wie die IT-Sicherheit konkret umgesetzt und nachgewiesen werden soll, wird in den entsprechenden bahntechnischen Normen nicht genau definiert. Hier bleibt ein großer Interpretationsspielraum. Und das kann dazu führen, dass sich manche Hersteller im Zweifelsfall für die kostengünstige und damit vergleichsweise unsichere Lösung entscheiden.
Müsste hier auf regulatorischer Seite nachgeschärft werden?
Tatsächlich sind die bisherigen Regelungen vielfach zu allgemein gehalten. Ich sehe bei der Prüfung von Leittechnikkomponenten üblicherweise nicht den gesamten Zug, sondern prüfe nur einzelne Steuerungen für Antrieb, Bremsen und Türen auf funktionale Sicherheit und nun zunehmend auch IT-Sicherheit. Dabei berücksichtige ich zwar die vorgesehene Einsatzumgebung, aber das tatsächliche Zusammenwirken aller Komponenten im Gesamtsystem sehe ich nicht. Wenn in der weiteren Überprüfungskette auf dem Weg zur Zulassung des Fahrzeugs – das heißt bei Prüfung der Leittechnik aus Sicht des Gesamtsystems und bei Betrachtung des Fahrzeugs als Ganzes – die Anforderungen an die IT-Sicherheit nicht genau definiert sind und damit auch nicht vollständig umgesetzt werden, können Lücken entstehen.
Was sind aus Ihrer Sicht die wichtigsten Schritte und Maßnahmen, um eine möglichst umfassende IT-Sicherheit im Bahnsektor zu gewährleisten?
Zunächst gilt es, den Zugang auf das System so zu beschränken, dass Schadsoftware oder Hacker nach Möglichkeit gar nicht erst Zugriff bekommen. Solche Firewall-Funktionen, wie sie jeder Privathaushalt, jede Firma und Behörde verwendet, sind natürlich nur die absolute Minimalmaßnahme. Sie sind eher ein Sieb als eine hermetische Abdichtung. Ähnlich wie eine Passkontrolle an der Grenze: Nur weil jemand einen gültigen Ausweis vorzeigt, heißt das nicht, dass keine Schmuggelware im Gepäck ist. Zusätzlich zu diesen filternden Sicherheitsfunktionen, die Zugriff gestatten oder verbieten, braucht es daher auch weitere Funktionen, die es erlauben, „Gutes von Bösem“ zu trennen. Sprich: Jedes einzelne Gerät, das von den Herstellern kommt, muss eigene Schutzmaßnahmen aufweisen, die sie gegen Schadsoftware schützt – für den Fall, dass Cyberkriminelle solche Software gezielt lancieren oder dass Wartungspersonal sie versehentlich bei einem Update aufspielt. Zugleich dürfen diese Geräte im Netzwerk nicht mit unsicheren Komponenten verknüpft werden, über die sich ihre IT-Sicherheit „durch die Hintertür“ umgehen lässt. IT-Sicherheit ergibt sich schlussendlich nur durch die Gesamtheit der Einzelmaßnahmen. Das macht das Thema sehr komplex und eben auch kostspielig, wenn man es wirklich richtigmachen will.
Das könnte Sie auch noch interessieren
ZUR PERSON
Gernot Krage ist Software- und Hardwaregutachter im Aufgabengebiet Bahntechnik bei TÜV NORD.