Offensive Services

Cybersicherheit im Eisenbahnbetrieb – Enisa stellt schlechtes Zeugnis aus!

Aktualisiert am

Enisa, eine europäische IT-Sicherheitsbehörde, untersuchte die verwendeten Systeme des europäischen Eisenbahnsektors. Dabei konnte festgestellt werden, dass viele Schutzmaßnahmen nicht mehr ausreichen und generell die Cybersicherheit im Eisenbahnbetrieb überarbeitet werden muss.

Cybersicherheit im Eisenbahnbetrieb, kein neues Thema

Das die Cybersicherheit im Eisenbahnbetrieb bzw. generell im Bahnsektor nicht ausreichend behandelt wird, haben Angreifer bereits in der Vergangenheit häufig ausgenutzt. Eines der größten Beispiele war der WannaCry-Angriff auf die Deutsche Bahn im Jahr 2017. WannaCry ist eine Ransomware, die versucht, viele Systeme zu verschlüsseln und anschließend Lösegeld zu erpressen. Es waren viele Unternehmen betroffen, unter anderem auch die Deutsche Bahn.

Als Event gekennzeichnet sammelten Twitter-Nutzer deutschlandweit Bilder von verschlüsselten Anzeigetafeln der Deutschen Bahn. (Quelle: https://twitter.com/i/events/863371602779615232)

Durch die verschlüsselten Anzeigetafeln an vielen Bahnhöfen in Deutschland konnte schnell erkannt werden, dass einige Hauptsysteme der Deutschen Bahn verschlüsselt werden konnten. Ein weiteres Beispiel für die schwache Cybersicherheit im Eisenbahnbetrieb war ein großer Denial-of-Service-Angriff gegen die Ukraine im Jahr 2015.

Das in dem Gebiet IT-Sicherheit ein großes Defizit vorhanden ist, wissen die Verantwortlichen des Eisenbahnbetriebs auch eines der größten Probleme um dieses Defizit zu behandeln, ist die Durchsetzung von Sicherheitsmaßnahmen. Die komplexe Betriebstechnik in Zügen und anderen Systemen der Bahnindustrie erlauben keine leichte Veränderung. Die vorhandenen Sicherheitsmaßnahmen vollständig umzusetzen, würde der Eisenbahnindustrie viel Geld kosten, da diese Maßnahmen umgesetzt werden müssen und alle anderen Systeme davon nicht beeinträchtigt werden dürfen.

Sicherheit vs. Wettbewerbsfähigkeit

In der IT-Sicherheit spielen sich häufig verschiedene Eigenschaften eines Programms gegenseitig aus. In klassischen Programmen oder Webseiten ist dieses Gegenspiel häufig mit den Begriffen “Sicherheit” und “Komfort” gekennzeichnet. In dem Eisenbahnsektor nannte die Enisa dieses Gegenspiel aus den Bereichen Cybersicherheit vs. Wettbewerbsfähigkeit vs. operativer Effizienz.

Da ein hoher Kostendruck entsteht und die Bahntickets nicht teurer werden sollen, ist es schwierig für die Eisenbahnindustrie die Cybersicherheit zu verbessern. Durch die Umsetzung dieser Maßnahmen würden hohe Kosten entstehen und die Wettbewerbsfähigkeit könnte stark leiden, da die deutschlandweit verteilten Systeme durch die Anpassung beeinträchtigt werden könnten.

Neben dem Faktor Geld ist es in manchen Bereichen gar nicht möglich, die Systeme an den aktuellen Stand der Cybersicherheit anzupassen, da die verwendeten Systeme teilweise so alt sind, dass diese gar nicht unter den aktuellen Bedingungen laufen würden. Von solchen alten Systemen und alten Versionen von verwendeter Software gibt es eine hohe Anzahl bei der Deutschen Bahn. Diese zu ersetzen oder anzupassen würde Zeit und Geld kosten.

Foto des Autors

Vincent Reckendrees

Hallo, ich bin Vincent Reckendrees und leite das Team Offensive Services bei der AWARE7 GmbH. In meinem Bachelor und Master Studium habe ich mich auf IT-Sicherheit spezialisiert und BSI zertifizierter IS-Penetrationstester. Meine Leidenschaft gilt Reverse Engineering, Hardware- und Web-Sicherheit. Als Experte für Penetrationstests finde ich Schwachstellen in Systemen und Netzwerken und nutze sie, um realistische Cyberangriffe zu simulieren und Sicherheitsmaßnahmen zu verbessern. Durch Reverse Engineering entdecke ich Fehler und Verbesserungsmöglichkeiten in Software und Hardware. Meine Fähigkeiten in Hardware- und Web-Sicherheit ermöglichen es mir, physische Geräte und Online-Plattformen vor einer Vielzahl von Cyberbedrohungen zu schützen und ihre Integrität und Zuverlässigkeit zu gewährleisten.