Digitalisierung der Bahn : Wie der Schienenverkehr cybersicher wird

Nur wenige Tage nach dem russischen Überfall auf die Ukraine Ende Februar wurde die staatliche Bahngesellschaft von Belarus zum Ziel großangelegter Hackerangriffe. Die Angreifer wollten damit den russischen Vormarsch erschweren. Urheber:innen und technische Details zu diesen Angriffen sind nur wenige bekannt – in einem Krieg stirbt die Wahrheit bekanntlich zuerst. Berichten zufolge konnten Aktivisten IT-Systeme der Bahngesellschaft kompromittieren: Webseiten waren über einen längeren Zeitraum nicht erreichbar und der Verkauf von Fahrkarten unterbrochen. Eingesetzt wurden offenbar Verschlüsselungstrojaner, die zentrale Rechner lahmlegten und so die Verfügbarkeit wichtiger Dienste beeinträchtigten.

Laut einem Bericht von Bloomberg gingen die Angriffe jedoch in einem entscheidenden Schritt weiter – betroffen waren offenbar auch verschiedene operative Systeme zur Steuerung des Bahnbetriebs. Solche Angriffe können nicht nur die Verfügbarkeit des „Systems Bahn“ stören, sondern potentiell auch Gefahr für Leib und Leben hervorrufen.

Verkehrsinfrastrukturen vor kriminellen sowie staatlichen Akteuren schützen

Bisher sind nur wenige erfolgreiche Cyberangriffe auf den Eisenbahnbetrieb bekannt. Jedoch mehren sich in den letzten Monaten Berichte über größere Ereignisse im europäischen Ausland, deren Ursachen bisher nicht geklärt sind. Die Vorfälle sollten uns zu denken geben: auch die Kritischen Verkehrsinfrastrukturen in Deutschland sind verwundbar und werden in Zukunft zunehmend zum Ziel von Kriminellen, aber auch von staatlich gelenkten Akteuren. Der einzige großflächige Angriff auf Bahnsysteme in Deutschland war bisher der Trojaner WannaCry, der im Mai 2017 bundesweit Anzeigetafeln an Bahnhöfen lahmlegte. Aber dieser Angriff hatte eine andere Intensität: er war nicht zielgerichtet, die Bahn war zum zufälligen Opfer geworden. Der Trojaner war lediglich über einen verwundbaren Server eingedrungen. Es hätte auch jedes andere Unternehmen treffen können.

In der Öffentlichkeit herrscht zeitweise ein verklärtes Bild über „Hacker:innen“ als Jugendliche, die quasi „im Keller des Elternhauses“ der Welt ihr Können zeigen. Dieses Bild entspricht seit vielen Jahren nicht mehr der Realität. Heute haben Angreifer:innen in der Regel kriminelle Absichten und sind finanziell motiviert. Ob Diebstahl und Verkauf privater oder geschäftlicher Daten, Erpressung oder Manipulation: es entstand quasi eine Ökonomie im Untergrund. Auch staatliche oder halb-staatliche Akteure prüfen seit geraumer Zeit Möglichkeiten, um bei geopolitischen Auseinandersetzungen virtuell eingreifen und die Infrastrukturen des Gegners lahmlegen zu können, wie wir nun eindrucksvoll sehen. Dies steht ganz im Gegensatz zu dem als „Hacktivismus“ bekannten Phänomen, bei dem Angreifer:innen bewusst keinen dauerhaften Schaden anrichten wollen, sondern die mediale Aufmerksamkeit auf ein Thema lenken wollen.

Der Schutz unserer Verkehrsinfrastrukturen – sowohl gegen Kriminelle als auch gegen staatlich gelenkte Akteure – ist für das Funktionieren des öffentlichen Lebens in Deutschland essentiell. Dabei ist es unerheblich, ob ein Eisenbahnunternehmen die weitgehend willkürlich definierte Schwelle, ab der ein Betrieb als Teil der Kritischen Infrastruktur zählt und ab der gesetzliche Vorgaben wie die Einhaltung eines angemessenen Niveaus der IT-Sicherheit sowie Meldepflichten eintreten, erreicht oder nicht. Handlungsbedarf besteht in jedem Fall.

Neue Angriffsflächen und leichteren Zugang für Hacker:innen

Die Digitalisierung des Schienenverkehrs ist voll im Gange. Sind Systeme für Komfort- und Sicherheitsfunktionen (Leit- und Sicherungstechnik) bisher zumeist abgeschlossen – vorstellbar wie Inseln – werden sie zunehmend vernetzt. Wenn auch nicht direkt das Internet zur Kommunikation genutzt wird, setzt man dennoch auf Internet-Technologien, angewendet in privaten und öffentlichen Netzen. Zudem nutzen Hersteller und Betreiber kommerzielle Standard-Hardware statt proprietäre Produkte und analoge Elektronik. Diese Trends haben zwei unmittelbare Konsequenzen für die IT-Sicherheit.

Einerseits „importiert“ man durch die Nutzung kommerzieller Hardware quasi bekannte Sicherheitslücken in kritische Systeme der Bahntechnik. Durch die Verfügbarkeit der genutzten Geräte am Markt kann ein:e Angreifer:in relativ einfach Wissen aufbauen, wie komplexe Systeme infiltriert werden – diese:r kann sogar ein eigenes „Experimentallabor“ aufbauen, darin selbst nach Schwachstellen suchen und diese dann auf Bahnsysteme im Feld anwenden.

Andererseits erlaubt die Nutzung von Internet-Technologien die direkte Anwendung vieler im Internet verfügbarer Angriffswerkzeuge, mit denen die Sicherheit von Netzen getestet werden kann. Diese Werkzeuge werden mit wenig Vorwissen auf künftige bahntechnische Systeme anwendbar sein und die Einstiegshürde für Angriffe weiter senken. Hinzu kommt, dass ein physischer Zugangsschutz aller im Feld installierten Geräte kaum umsetzbar scheint – haben doch Eisenbahnunternehmen das wohl ausgedehnteste Firmengelände der Welt.

Was tun? Sicherheitskonzepte, Risikoeinschätzung und Resilienz

Sollen wir die Digitalisierung im Schienenverkehr daher aufhalten? Keineswegs. Sie ist die einzige Möglichkeit, mit dem gestiegenen Kostendruck umzugehen. Zudem wird sie zentrales Element der angestrebten Verkehrswende sein. Digitalisierung muss jedoch sicher gestaltet werden. Drei Aspekte sind hier essentiell:

Erstens muss die IT-Sicherheit bei Projekten des Verkehrssektors stets mitgedacht werden. Kein Projekt – sei es der Ausbau der Infrastruktur oder die Beschaffung neuer Fahrzeuge – kann ohne IT-Sicherheits-Konzept und entsprechende Umsetzung auskommen. Hier ist die Unterstützung bis ins oberste Management und der Politik wichtig. Außerdem sollte rasch eine Bestandsaufnahme erfolgen: welche Maßnahmen zum Schutz vor Angriffen wurden bereits eingeleitet, welches Schutzniveau ist erreicht und welche – technischen und organisatorischen – Maßnahmen müssen ergriffen werden, um das Schutzniveau zu heben.

Zweitens sollte die Effektivität der getroffenen Maßnahmen im Hinblick auf die aktuelle weltpolitische Lage überprüft werden. Spätestens mit dem Krieg in der Ukraine wurde klar, dass kritische Infrastrukturen zum Ziel staatlicher Konflikte werden. Staatliche Akteure müssen daher in der Bewertung der Risiken neu eingeschätzt werden. Ein Schutz gegen solche Angreifer gilt üblicherweise als schwierig, sollte aber dennoch angestrebt werden.

Drittens müssen auch Bestandssysteme – die meist sehr lange Lebensdauern aufweisen – auf ihre Resilienz gegen Angriffe hin untersucht werden. Auch wenn diese nicht beliebig veränderbar sind, so kann deren Schutzniveau dennoch durch ergänzende Maßnahmen deutlich erhöht werden.

Bisher ist das „System Bahn“ in Deutschland weitgehend von Cyberangriffen verschont geblieben. Nun ist Zeit zu handeln, dass dies so bleibt.

Stefan Katzenbeisser ist Professor für Technische Informatik an der Universität Passau und Mitgründer der INCYDE GmbH.