Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Cybersicherheit im Eisenbahnbetrieb – Enisa stellt schlechtes Zeugnis aus!

M.Sc. Jan Hörnemann

Enisa, eine europäische IT-Sicherheitsbehörde, untersuchte die verwendeten Systeme des europäischen Eisenbahnsektors. Dabei konnte festgestellt werden, dass viele Schutzmaßnahmen nicht mehr ausreichen und generell die Cybersicherheit im Eisenbahnbetrieb überarbeitet werden muss.

Cybersicherheit im Eisenbahnbetrieb, kein neues Thema

Das die Cybersicherheit im Eisenbahnbetrieb bzw. generell im Bahnsektor nicht ausreichend behandelt wird, haben Angreifer bereits in der Vergangenheit häufig ausgenutzt. Eines der größten Beispiele war der WannaCry-Angriff auf die Deutsche Bahn im Jahr 2017. WannaCry ist eine Ransomware, die versucht, viele Systeme zu verschlüsseln und anschließend Lösegeld zu erpressen. Es waren viele Unternehmen betroffen, unter anderem auch die Deutsche Bahn.

Als Event gekennzeichnet sammelten Twitter-Nutzer deutschlandweit Bilder von verschlüsselten Anzeigetafeln der Deutschen Bahn. (Quelle: https://twitter.com/i/events/863371602779615232)

Durch die verschlüsselten Anzeigetafeln an vielen Bahnhöfen in Deutschland konnte schnell erkannt werden, dass einige Hauptsysteme der Deutschen Bahn verschlüsselt werden konnten. Ein weiteres Beispiel für die schwache Cybersicherheit im Eisenbahnbetrieb war ein großer Denial-of-Service-Angriff gegen die Ukraine im Jahr 2015.

Das in dem Gebiet IT-Sicherheit ein großes Defizit vorhanden ist, wissen die Verantwortlichen des Eisenbahnbetriebs auch eines der größten Probleme um dieses Defizit zu behandeln, ist die Durchsetzung von Sicherheitsmaßnahmen. Die komplexe Betriebstechnik in Zügen und anderen Systemen der Bahnindustrie erlauben keine leichte Veränderung. Die vorhandenen Sicherheitsmaßnahmen vollständig umzusetzen, würde der Eisenbahnindustrie viel Geld kosten, da diese Maßnahmen umgesetzt werden müssen und alle anderen Systeme davon nicht beeinträchtigt werden dürfen.


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Sicherheit vs. Wettbewerbsfähigkeit

In der IT-Sicherheit spielen sich häufig verschiedene Eigenschaften eines Programms gegenseitig aus. In klassischen Programmen oder Webseiten ist dieses Gegenspiel häufig mit den Begriffen „Sicherheit“ und „Komfort“ gekennzeichnet. In dem Eisenbahnsektor nannte die Enisa dieses Gegenspiel aus den Bereichen Cybersicherheit vs. Wettbewerbsfähigkeit vs. operativer Effizienz.

Da ein hoher Kostendruck entsteht und die Bahntickets nicht teurer werden sollen, ist es schwierig für die Eisenbahnindustrie die Cybersicherheit zu verbessern. Durch die Umsetzung dieser Maßnahmen würden hohe Kosten entstehen und die Wettbewerbsfähigkeit könnte stark leiden, da die deutschlandweit verteilten Systeme durch die Anpassung beeinträchtigt werden könnten.

Neben dem Faktor Geld ist es in manchen Bereichen gar nicht möglich, die Systeme an den aktuellen Stand der Cybersicherheit anzupassen, da die verwendeten Systeme teilweise so alt sind, dass diese gar nicht unter den aktuellen Bedingungen laufen würden. Von solchen alten Systemen und alten Versionen von verwendeter Software gibt es eine hohe Anzahl bei der Deutschen Bahn. Diese zu ersetzen oder anzupassen würde Zeit und Geld kosten.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Jan Hörnemann

Hallo liebe/r Leser/in, mein Name ist Jan Hörnemann. Ich bin TeleTrust Information Security Professional (T.I.S.P.) und beschäftigte mich seit 2016 nahezu tagtäglich mit Themen rund um die Informationssicherheit. Der CeHv10 war meine erste praktische Zertifizierung in dem Bereich. Durch den Abschluss Master of Science in dem Fachbereich Internet-Sicherheit habe ich viele verschiedene Aspekte kennengelernt und versuche diese sowohl in Live Hacking Shows als auch in unserem Blog zu vermitteln. Darüber hinaus bin ich als Informationssicherheitsbeauftragter tätig und vom TÜV für diese Tätigkeit qualifiziert worden (ISB nach ISO 27001)