Cyber-Sicher auf Schienen

Züge sind einzigartig in ihren Anforderungen an die Cybersicherheit. Deshalb nutzt Siemens Mobility einen risikobasierten Ansatz, um sicherzustellen, dass Menschen wie Güter sicher von A nach B gelangen.

Wer würde sich schon wünschen, dass ein Hacker Zugriff auf die Steuerung eines fahrenden Zuges erhält? Niemand – außer dem Hacker natürlich und gleichgesinnten üblen Gesellen. Möglich macht ein solches Alptraumszenario die Digitalisierung. Denn wie so manche technische Innovation, bringt sie Risiken mit sich. Und im Falle des Schienenverkehrs – einem Teil unserer kritischen Infrastruktur – müssen dagegen Maßnahmen getroffen werden.

 

Keine triviale Aufgabe:  Ohne Digitalisierung ist moderner Schienenverkehr nicht denkbar. Signalsteuerung und Leitzentralen müssen ebenso gegen Angriffe gewappnet sein wie die Züge selbst. Dabei stellen die Schienenfahrzeuge für den Personenverkehr Cybersecurity-Experten vor besondere Herausforderungen, muss ein Hacker doch nur eine Fahrkarte kaufen, um bequem von seinem Fensterplatz seinen Angriff zu starten. „Anders als bei einem Kraftwerk, können um Züge herum keine Zäune gezogen oder biometrische Zugangskontrollen eingeführt werden“, sagt Christian Paulsen, Product and Solution Security Officer bei Siemens Mobility. „Die Systeme müssen also sicher sein, wenn ein Angreifer mit an Bord ist.“

Die Ausgangslage ist herausfordernd. So gibt es in einem Personenzug drei Netzwerke, die eine angenehme Fahrt von A nach B erst möglich machen. Da gibt es das Fahrgastnetzwerk, über das Passagiere Filme ansehen können, Mails schreiben usw. Auch ein Betreibernetz ist vorhanden, z.B. zur Anzeige des nächsten Halts, oder zur Steuerung der Klimaanlage. Und schließlich ist da das Steuerungssystem des Zugs, zu dem nur wenige autorisierte Personen Zugang haben. Zwischen den Netzwerken gibt es zudem mitunter Schnittstellen. Die Anzeige im Betreibernetzwerk kann beispielsweise mit der Cloud verbunden sein, damit etwa Informationen über Anschlusszüge im nächsten Bahnhof angezeigt werden. Ein dichtes Gespinst von Systemen also, die mit all ihrer Komplexität vor Eindringlingen – die sich natürlich strafbar machen – geschützt werden müssen. „Hier kommen wir ins Spiel“, sagt Krishna Pandit, Cybersecurity-Experte, der bei Siemens Mobility für die Umsetzung von Cybersecurity-Konzepten in Zügen mit verantwortlich ist. „Unsere Aufgabe ist es, diese Systeme gegen alle erdenklichen Angriffsszenarien zu schützen – etwa durch Verschlüsselung, Firewalls oder Systeme zur Erkennung unbefugter Eindringlinge.“

Bei Siemens sind die Cybersecurity-Systeme für die Schienenfahrzeuge maßgeschneidert.

Risikobasierter Ansatz

Klar ist immerhin, dass nicht alle Systeme gleich geschützt sind. Die Infobildschirme eines Siemens-Velaro (oder ICE in Deutschland) sind etwa nicht so stark gesichert wie das Zugsteuerungsnetz. Kein Wunder, würde das doch auch die Preise für Bahnreisen deutlich in die Höhe treiben. Deshalb ist es zumindest vorstellbar, dass jemand auf der Zugfahrt nach Hause seiner neben ihm sitzenden Freundin auf einem Bildschirm einen Heiratsantrag macht.

Die Unterschiede in der Cybersicherheit erklärt Pandit mit einem risikobasierten Ansatz, dessen Ziel es ist, eine adäquate Sicherheit zu akzeptablen Kosten zu erreichen. Die Gefährdung eines Netzwerkes wird mittels drei Faktoren bewertet: Zuerst wird ein potenzieller Angreifer definiert – das Spektrum reicht dabei zum Beispiel vom gelangweilten Fahrgast mit Hackerexpertise bis hin zu Kriminellen mit Erpresserabsichten. Dann betrachten Cybersicherheitsexperten, welche Barrieren ein Angreifer überwinden müsste, sollten doch Schwachstellen aufkommen. Und schließlich bewerten sie, wie leicht es ist, sofern jemand Zugang zu einer möglichen Schwachstelle erlangt hat, diese für seine Zwecke – wie etwa Erpressung – auszunutzen. 

 

Die Risikobewertung erfolgt aus einer Kombination dieser drei Faktoren. Je größer die potenzielle Gefahr, desto höher und stärker der Schutzwall, der errichtet wird.  Weil jedes Modell eines Schienenfahrzeugs anders ist, mehr noch, je nach Kundenwunsch konfiguriert ist, sind auch die Cybersecurity-Systeme für die Schienenfahrzeuge maßgeschneidert.

Cybersecurity muss über Jahrzehnte gewährleistet werden

Komponenten können freilich Schwachstellen enthalten. Bei Siemens-Mobility kümmert sich ein ProductCERT (Computer Emergency Response Team) darum. Es überwacht die Komponenten kontinuierlich. Allerdings nicht im fahrenden Zug, sondern in Cybersecurity-Zentren von Siemens Mobility. Wird eine Schwachstelle entdeckt, wird schnellstmöglich eine Lösung gefunden und dem Betreiber in Software-Update angeboten. Das Ergebnis spricht für sich: Nicht nur für Katastrophenszenarien, die Sicherheitsbilanz von Siemens-Zügen ist weltweit hervorragend.

Schienenfahrzeuge zeichnen weitere Aspekte in Sachen Cybersicherheit aus. Sie sind oftmals 30 Jahre und mehr im Einsatz.  Deshalb muss der Hersteller – etwa Siemens Mobility – für diese Zeit Unterstützung anbieten. Dazu gehört nicht nur das Schwachstellen-Monitoring, sondern auch die Aufgabe, Lösungen für Komponenten von Drittanbietern zu finden, die selbst keinen Service für Cybersicherheit mehr anbieten. „Die sind aber nicht immer unbedingt technischer Natur“, sagt Pandit. „Um beispielsweise sicher zu gehen, dass in einem Zug eine Kamera im Netzwerk des Betreibers nicht von Hackern übernommen wird, müsste der Betreiber sie einfach regelmäßig überprüfen, ob sie ordnungsgemäß funktioniert.“ Und das wiederum zeigt, dass alle in einem Unternehmen ein ausgeprägtes Bewusstsein für Cybersicherheit haben müssen.

 

Solche Überwachungsaufgaben können langfristig auch von Künstlicher Intelligenz übernommen werden. „Mit sogenannten Deep-Learning-Verfahren kann man aus dem Meer der Daten, die der Betrieb einer Zugflotte erzeugt, einen KI-Agenten bauen, der die Datenströme der Züge überwacht und Muster, die auf einen Hackerangriff hindeuten, erkennt“, sagt Pandit, der für eine solche Anwendung kürzlich sogar ein Patent angemeldet hat.

Cybersecurity-Standard für die Bahn

Schließlich sind Standards und Vorschriften für Cybersicherheit von Schienenfahrzeugen essenziell. Heute ist das weder in Europa, geschweige denn weltweit einheitlich reglementiert. Aber es gibt immerhin einen weltweit akzeptierten industriellen Cybersecurity-Standard — den IEC 62443 für IT-Netzwerke. Siemens Mobility ist dabei der einzige Zughersteller, der für diesen Standard (genauer gesagt den Teil 2-4 der IEC 62443) zertifiziert wurde.

 

Doch dieser Standard ist allgemein gefasst und nicht auf den Bahnsektor zugeschnitten. Das ist der Branche selbstredend nicht verborgen geblieben. Europäische Zughersteller und -betreiber haben deshalb an einem technischen Cybersecurity-Standard für die Bahn namens TS 50 701 gearbeitet, der im Sommer 2021 veröffentlicht wird. Er hat das Ziel, die IEC 62443 für die Besonderheiten von Zügen und des Bahnsektors anzupassen. Ein guter Anfang.  „Wir brauchen klare, horizontal harmonisierte Sicherheitsstandards und -regeln, die der Technologie angepasst sind, leicht umsetz- und überprüfbar“, sagt Natalia Oropeza, Chief Cybersecurity Officer bei Siemens. „Nicht standardisierte Lösungen führen nur zu höheren Herstellungskosten, ohne nicht unbedingt die Sicherheit zu erhöhen.“

Abonnieren Sie unseren Newsletter

Bleiben Sie auf dem Laufenden: Alles was Sie über Elektrifizierung, Automatisierung und Digitalisierung wissen müssen.