Technologie

Tüv Nord: Digitalisierung der Bahn erfordert mehr IT-Sicherheit

Tüv Nord zu Digitalisierung
Bild: Holzijue | pixabay

[Tüv Nord] Schneller, zuverlässiger und sicherer – das verspricht die zunehmende Digitalisierung und Vernetzung der Bahntechnik. Gleichzeitig steigt damit aber das Risiko von Cyberangriffen, warnt der Tüv Nord.

Die Bahn wird zunehmend „digitaler“: Züge sollen, durch immer komplexere und digital hochvernetzte Systeme gesteuert, zuverlässig durch die Republik fahren, die Technik dafür soll über Funk und Sensoren funktionieren. Immer mehr Prozesse sollen automatisch ablaufen. Am Ende könnten Züge fahrerlos unterwegs sein, Personal wäre nur noch an Bord, um im Notfall eingreifen zu können. Man erhofft sich, dass alles schneller, zuverlässiger und sicherer wird als heute. Doch die Digitalisierung hat auch ihre Schattenseite: Sie sorgt dafür, dass das komplette System Bahn angreifbar wird. Technische Sicherheit und Ausfallsicherheit sind nach Aussage der Bahntechnik-Fachleute von Tüv Nord nur dann gegeben, wenn Vorkehrungen gegen Schadsoftware und Hacker getroffen werden.

Gemäß der Planung des BMVI [1] sollen bis zum Jahr 2023 etwa 2.070 Kilometer Bahntrasse mit den neuen Zugsicherungssystemen ETCS [2] Level 1 LS oder ETCS Level 2 ausgerüstet sein. Zunächst werden die Hauptdurchgangsstrecken durch Deutschland [3] und Neubaustrecken ausgestattet, später werden nach und nach große Bereiche des Netzes folgen.

Zur Einordnung: Die Bahn betreibt zurzeit ein Streckennetz von mehr als 33.000 Kilometern. Bei ETCS werden alle Züge über Funkund Transponder in den Gleisen, den sogenannten Eurobalisen, lokalisiert und auch die Signaltechnik entsprechend umgestellt. Fahrbefehle erhalten die Züge aus der ETCS-Streckenzentrale. Die neuen Systeme ETCS Level 1 LS und ETCS Level 2 sind gemäß dem nationalen Umsetzungsplan in der Kapazität ungefähr vergleichbar mit den bestehenden Altsystemen PZB90 und LZB.

Wesentliche Kapazitätssteigerungen werden mit zusätzlichen Erweiterungen erwartet. In ETCS Level 3 können Zugfolgeabstände verkürzt werden, weil die Belegung von Gleisen nicht mehr abschnittsweise von streckenseitigen Überwachungseinrichtungen an festen Positionen gemeldet wird, sondern sich mit dem Zug mitbewegt auf Basis von Positions- und Vollständigkeitsmeldungen, die die Züge digital an die Stellwerke übertragen. Bei bestimmten ETCS-Implementierungen verzichtet man auf streckenseitige Signale und überträgt stattdessen die Information digital in den Führerstand. Diese Beispiele zeigen, wie wichtig eine sichere digitale Technik ist.

System Bahn ist nicht mehr abgeschottet
Die Bahn war lange Jahre ein technisch geschlossenes System. Komponenten in Triebfahrzeugen und Waggons, in Stellwerken und Bahnhöfen wurden genau für den vorgesehenen Zweck gefertigt. Das jedoch hat sich geändert. Wurden anfangs elektronische Komponenten ausschließlich für Bahnanwendungen entwickelt, werden heute immer mehr Teile verbaut, die ebenso in anderen Systemen genutzt werden. Dazu gehören Komponenten zur Datenkommunikation und Software [4], die sehr generisch anwendbar sind und daher auch in Massenprodukten verwendet werden. „Diese Komponenten können Schwachstellen enthalten, die zum Einfallstor für Hacker oder Schadsoftware werden können“, sagt Gernot Krage, Hard- und Softwaregutachter für Bahntechnik bei Tüv Nord. „Oft hat Software vielfältige Funktionalitäten, die man für einen konkreten Anwendungsfall gar nicht benötigt. Werden sie dennoch nicht abgeschaltet, ergeben sich weitere Angriffsflächen“, so der Experte.

Ein weiterer gravierender Sicherheitsaspekt ist die Vernetzung. Beispielsweise sollte das WLAN, das Fahrgästen während ihrer Reise zur Verfügung steht, immer hinreichend von der Leittechnik getrennt sein. Dabei sollte man sich vergegenwärtigen, dass Systeme, die durch Gateways oder Firewalls miteinander verbunden sind, keineswegs vollständig voneinander getrennt sind. Ohne Trennung wachse das Risiko, dass sicherheitsrelevante Systeme gestört oder manipuliert werden können, so der Experte. Je mehr Fahrzeuge und Zugsteuerungssysteme miteinander vernetzt sind, desto größer ist natürlich die Gefahr, über ein Einfallstor in einer Komponente letztlich eine ganz andere lahmzulegen: Das kann die Manipulation einer Zugbremse sein oder die komplette Verkehrslenkung in einem digitalen Stellwerk.

Trojaner zeigt Verwundbarkeit
Alles nur düstere Zukunftsmusik? Der Trojaner „WannaCry“ hatte gezeigt, dass das System Bahn verwundbar ist, wenngleich in diesem Fall an einer eher harmlosen Stelle: 2017 hatte er viele Anzeigetafeln und Fahrscheinautomaten der Deutschen Bahn stillgelegt. „Viel gefährlicher wäre es, wenn es Hackern gelingen würde, sicherheitsrelevante Systeme wie Bremsen direkt zu manipulieren“, so der Experte. „Das ist zwar nicht einfach, denn man muss nicht nur ins System hineinkommen, sondern auch genau wissen, was man dort zu tun hat, um bestimmte Fehlfunktionen auszulösen. Aber Hacker lernen dazu, und die Vernetzung schreitet weiter voran. Daher benötigen wir gegen mögliche Angriffe entsprechende Schutzmaßnahmen, die sich keineswegs nur auf die Datenübertragung beziehen dürfen, sondern auch die Sicherheit der Systeme selbst und die darauf laufenden Anwendungen einbeziehen müssen“.

Ein Schlüssel zum Nachweis der IT-Sicherheit sind entsprechend zertifizierte Produkte. Für Gernot Krage gibt es jedoch einen weiteren wichtigen Knackpunkt: „Insgesamt geht es mit nachweisbarer IT-Sicherheit zumindest bei den Bahn-Fahrzeugen nur sehr zögerlich voran.“ Die Normen blieben bei diesem Thema an vielen Stellen vage, konkrete Anweisungen gebe es kaum, „es bleibt ein großer Interpretationsspielraum. Und der kann dazu führen, dass sich manche Hersteller im Zweifelsfall eher für die kostengünstige und damit vergleichsweise unsichere Lösung entscheiden.“

Die Absicherung darf keinesfalls allein auf einer Firewall beruhen, denn im Gegensatz zu einer Brandschutzmauer ist eine Firewall ziemlich porös, wie ein löchriges Sieb; sie lässt entsprechend ihrer Konfiguration bestimmte Arten von Datenübertragungen zu, aber man kann nicht ausschließen, dass genau über diese freigegebenen Wege unerwünschte Beeinflussungen erfolgen. Krage: „Jedes einzelne Gerät muss eigene Schutzmaßnahmen aufweisen, die es gegen Schadsoftware schützen.“ Also einerseits gegen das absichtliche Aufspielen von Schadsoftware durch Cyberkriminelle oder andererseits gegen das Infizieren des Systems durch beispielsweise unabsichtlich aufgespielte Schadsoftware durch autorisiertes Personal.“ Ist erst einmal ein Teil des Systems infiziert, kann sich die Schadsoftware durch die Vernetzung viral verbreiten. „IT-Sicherheit ergibt sich schlussendlich nur durch die Gesamtheit der Einzelmaßnahmen“, so Gernot Krage vom Tüv Nord. „Das macht das System sehr komplex und eben auch kostspielig, wenn man es wirklich richtigmachen will.“


  1. Nationaler Umsetzungsplan ETCS, Stand 11.12.2017, Version 1.1
  2. ETCS: Das Europäische Zugbeeinflussungssystem (European Train Control System) ist grundlegender Bestandteil des künftigen einheitlichen Eisenbahnverkehrsleitsystems ERTMS. ETCS soll langfristig die unterschiedlichen Zugbeeinflussungssysteme in Europa ablösen.
  3. Bestandteile der durch die EU festgelegten Korridore
  4. Betriebssysteme und Softwarekomponenten aller Art