Von der IT-Sicherheit zur Resilienz
Widerstandsfähigkeit gegen Störfaktoren von außen muss ganzheitlich gedacht werden – Cyber Security zentrales Thema auf der IT-TRANS
Ende Oktober 2022, die Dänischen Staatsbahnen (DSB) müssen auf Seeland für mehrere Stunden den gesamten Betrieb einstellen. Hacker haben die Testumgebung einer betriebskritischen Lokführer-App geknackt. Da zunächst nicht ausgeschlossen werden kann, dass weitere Bereiche betroffen sind, wird der Zugverkehr vorsichtshalber stillgelegt - ein Albtraum für die DSB.
Digitalisierung und Sicherheit: Wo Prozesse Computern überlassen werden, steigt leider auch die Gefahr von Hackerangriffen – das ist längst auch dem Bahnsektor klar. Inzwischen wird Risiken aber nicht mehr nur noch mit Konzepten für Cybersecurity vorgebeugt. Vielmehr macht das Schlagwort von der technischen Resilienz die Runde. „Es braucht Sicherheitskonzepte, die weit umfassender sind als bisher. Auch auf der kommenden IT-TRANS 2024 ist das Thema Resilienz daher selbstverständlich mit an Bord. Denn viele unserer Ausstellenden bieten ausgefeilte Konzepte an – und die IT-TRANS ist die bewährte Plattform, wo Anbietende, Kunden und Partnerinnen und Partner sich vernetzen, voneinander zu lernen und Synergien erkennen,“ so Markus Kocea, Senior Product Manager der IT-TRANS. Rund 280 Ausstellende werden erwartet und stellen unter andere Lösungen in Sachen Cyber Security, Big Data oder Künstliche Intelligenz im öffentlichen Personenverkehr vor.
Im Bereich Bahnverkehr stellte Frauscher Sensortechnik aus St. Marienkirchen in Österreich im Sommer ein schönes Beispiel für ein resilientes Sicherheitskonzept vor: Gemeinsam mit der Fachhochschule St. Pölten hat das Unternehmen eine Lösung entwickelt, um Attacken auf Sensoren an Achszählern abzuwehren. Dabei lernt das System bei jedem Angriff hinzu – möglich machen das Maschinelles Lernen und Deep Learning, Methoden künstlicher Intelligenz (KI) also. Auch für mittelständische Unternehmen wird es immer wichtiger, solche Lösungen anzubieten. Ein Grund: Große Fahrzeughersteller wie Siemens Mobility und Alstom – die sich längst ebenfalls intensiv mit KI befassen – erfordern von Zulieferern immer mehr Cybersicherheits-Nachweise.
Eine sinnvolle Strategie, um solche Herausforderungen zu bewältigen, heißt Security by Design. Dabei wird Sicherheit bereits bei der Produktentwicklung mitgedacht, statt sie als Lösung nachzurüsten. Auch im Bahnsektor spiele Security by Design eine wachsende Rolle, sagt Gottfried Greschner, Vorstandsvorsitzender von INIT - das Unternehmens bietet Sicherheits-IT für den Mobilitätsbereich an. Man dürfe jedoch nicht vergessen, dass sich der Bahnsektor in einer „Übergangszeit“ befinde. Auch auf Grund ihrer hohen Lebensdauer seien immer noch viele Altsysteme im Einsatz, „die eben diese sicherheitsrelevanten Prozesse nicht abbilden“. Das Thema Nachrüstung wird die Schienenbranche daher auch weiterhin begleiten.
Neue Lösungen digitaler Konnektivität drängen jedoch schon heute in den Markt. Wichtig sind sie etwa, um moderne Zugbeeinflussungssysteme wie ETCS oder den digitalen Zugfunk FRMCS auszubauen. Zudem bieten Cloud Computing oder neue Mobilfunkstandards nicht zuletzt den Fahrgästen mehr Komfort. Damit die Infrastruktur entlang der Strecke und im Fahrzeug für solche Lösungen nicht mehrfach aufgebaut werden muss, hat Unternehmen Sysgo eine Plattform gebaut, auf der jeglicher Datenaustausch zentral gesteuert werden kann. Dabei werde Informationssicherheit und Datenübertragung durch eine „strikte Kapselung und Trennung aller Kommunikationskanäle“ gewährleistet, sagt Oliver Kühlert, Head of Innovation Lab bei dem Unternehmen. In der Autoindustrie ist Sysgo mit einer solchen Plattform bereits erfolgreich unterwegs.
Der Begriff der Resilienz bezieht sich allerdings nicht ausschließlich auf digitale Sicherheit. Vielmehr wird darunter auch der Schutz analoger kritischer Infrastruktur wie Schienen oder die gesamte Betriebstechnologie verstanden – Fachleute sprechen hier von operationaler Sicherheit (OT). Dass auch hier Risiken bestehen, zeigte etwa der Anschlag im Oktober 2022 in Norddeutschland, bei dem Lichtwellenkabel beschädigt wurden, und so die Kommunikation zwischen Leitstellen gestört wurde.
Im Bahnsektor wird deshalb inzwischen dazu übergegangen, das Thema Sicherheit ganzheitlicher zu denken – die Rede ist von der IT/OT-Sicherheit. Mit der Thematik hat sich etwa auch schon das Deutsche Zentrum für Schienenverkehrsforschung (DZSF) beschäftigt. Das Ergebnis einer DZSF-Studie: Viele Bahnunternehmen wünschen sich eine prominentere Rolle des Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Schienensektor, weil geltende Normen wie KritisV oder EN 50657 als zu allgemein empfunden werden.
Dass zumindest IT-Sicherheit den Bahnsektor auch künftig stark beschäftigen wird, ist sicher. Eine Umfrage von Trend Micro, Anbieter von Cyber-Sicherheitslösungen, ergab: 63 Prozent der befragten Unternehmen wollen mehr in ihre IT-Sicherheit investieren. Wirklich effizient kann das aber nur sein, wenn die OT-Sicherheit Schritt hält. Doch das Bundesverkehrsministerium und die Deutsche Bahn haben bereits Maßnahmen angekündigt: Auch auf Grund der Anschläge in Norddeutschland sollen Kameras und Sensoren an Strecken aufgebaut werden sowie die Sicherheit durch Polizei und Wachdienste verstärkt werden. So wachsen IT- und OT-Sicherheit immer stärker zusammen.
Egal ob Pandemie, Energiekrise, Hackerangriffe oder andere unvorhergesehene Ereignisse: Das öffentliche Verkehrswesen kann sich, gerade dank moderner Softwarelösungen immer umfassender auf Krisenfälle vorbereiten, Modelle durchspielen, um in Ernstfall schnell einsatzbereit zu sein oder ihre Infrastruktur oder IT-Systeme zu schützen. Auf der IT-TRANS sind unter anderem Ausstellende wie Funkwerk Security Solutions oder Stahl Computertechnik vor Ort, um ihre Lösungen rund um Sicherheit in der IT vorzustellen.