Enisa, eine europäische IT-Sicherheitsbehörde, untersuchte die verwendeten Systeme des europäischen Eisenbahnsektors. Dabei konnte festgestellt werden, dass viele Schutzmaßnahmen nicht mehr ausreichen und generell die Cybersicherheit im Eisenbahnbetrieb überarbeitet werden muss.
Cybersicherheit im Eisenbahnbetrieb, kein neues Thema
Das die Cybersicherheit im Eisenbahnbetrieb bzw. generell im Bahnsektor nicht ausreichend behandelt wird, haben Angreifer bereits in der Vergangenheit häufig ausgenutzt. Eines der größten Beispiele war der WannaCry-Angriff auf die Deutsche Bahn im Jahr 2017. WannaCry ist eine Ransomware, die versucht, viele Systeme zu verschlüsseln und anschließend Lösegeld zu erpressen. Es waren viele Unternehmen betroffen, unter anderem auch die Deutsche Bahn.
Durch die verschlüsselten Anzeigetafeln an vielen Bahnhöfen in Deutschland konnte schnell erkannt werden, dass einige Hauptsysteme der Deutschen Bahn verschlüsselt werden konnten. Ein weiteres Beispiel für die schwache Cybersicherheit im Eisenbahnbetrieb war ein großer Denial-of-Service-Angriff gegen die Ukraine im Jahr 2015.
Das in dem Gebiet IT-Sicherheit ein großes Defizit vorhanden ist, wissen die Verantwortlichen des Eisenbahnbetriebs auch eines der größten Probleme um dieses Defizit zu behandeln, ist die Durchsetzung von Sicherheitsmaßnahmen. Die komplexe Betriebstechnik in Zügen und anderen Systemen der Bahnindustrie erlauben keine leichte Veränderung. Die vorhandenen Sicherheitsmaßnahmen vollständig umzusetzen, würde der Eisenbahnindustrie viel Geld kosten, da diese Maßnahmen umgesetzt werden müssen und alle anderen Systeme davon nicht beeinträchtigt werden dürfen.
Sicherheit vs. Wettbewerbsfähigkeit
In der IT-Sicherheit spielen sich häufig verschiedene Eigenschaften eines Programms gegenseitig aus. In klassischen Programmen oder Webseiten ist dieses Gegenspiel häufig mit den Begriffen “Sicherheit” und “Komfort” gekennzeichnet. In dem Eisenbahnsektor nannte die Enisa dieses Gegenspiel aus den Bereichen Cybersicherheit vs. Wettbewerbsfähigkeit vs. operativer Effizienz.
Da ein hoher Kostendruck entsteht und die Bahntickets nicht teurer werden sollen, ist es schwierig für die Eisenbahnindustrie die Cybersicherheit zu verbessern. Durch die Umsetzung dieser Maßnahmen würden hohe Kosten entstehen und die Wettbewerbsfähigkeit könnte stark leiden, da die deutschlandweit verteilten Systeme durch die Anpassung beeinträchtigt werden könnten.
Neben dem Faktor Geld ist es in manchen Bereichen gar nicht möglich, die Systeme an den aktuellen Stand der Cybersicherheit anzupassen, da die verwendeten Systeme teilweise so alt sind, dass diese gar nicht unter den aktuellen Bedingungen laufen würden. Von solchen alten Systemen und alten Versionen von verwendeter Software gibt es eine hohe Anzahl bei der Deutschen Bahn. Diese zu ersetzen oder anzupassen würde Zeit und Geld kosten.