Wie können sich die Bahnen vor Hackerangriffen schützen?

Nachaufnahme mehrerer Computerbildschirme in einer Leitstelle.

Sicherheit

15. Oktober 2024

„Diese Täter/innen wollen, dass unsere Infrastruktur Schaden nimmt“

Jeden Tag werden Unternehmen in Deutschland Opfer von Angriffen durch Hacker/innen. Auch die Nahverkehrsbahnen geraten ins Visier dieser Kriminellen. Cyberexperte Pavel Klasek erklärt, wie sie sich gegen solche Attacken schützen können.


Die Internetseite der Deutschen Bahn: kurzfristig nicht erreichbar. Die Informationstafeln an Bahnhöfen: defekt. Hinter diesen beiden Störungsmeldungen steckten beizeiten auch Cyberkriminelle. Insgesamt dreizehn „informationstechnische Angriffe“, so der Fachjargon, wurden dem Bundesamt für Sicherheit in der Informationstechnik im Jahr 2023 allein von der Deutschen Bahn übermittelt. Auch wenn der Schaden am System Schiene durch Cyberangriffe bislang eher gering war, wird klar: Hacker/innen haben die Eisenbahnverkehrsunternehmen und die Schieneninfrastruktur längst ins Visier genommen –  seien es Kriminelle, die finanzielle Gewinne machen wollen, oder ausländische Stellen, die es auf die deutsche Infrastruktur abgesehen haben. Im Interview mit Fokus Bahn NRW erläutert Cyberexperte Pavel Klasek, warum sich die Bahnakteure stärker als bisher mit den Gefahren durch Hackerangriffe auseinandersetzen sollten und wie man diesen begegnen kann.


Von Sabotage auf die Bahninfrastruktur liest man immer wieder, von Cyberangriffen auf die Bahnen hingegen nicht. Gibt es sie nicht oder sind die IT-Systeme der Bahnakteure so gut geschützt?


Pavel Klasek: Angriffe auf das System Eisenbahn sind nicht neu, sie haben eine Geschichte von über 150 Jahren. Erst waren es Überfälle, später kamen Diebstähle, etwa von Kabeln, dazu. Heutzutage haben wir durch die Cyberattacken eine ganz neue Gefahr – und das nicht erst seit dem russischen Krieg in der Ukraine. Das liegt daran, dass immer mehr Systeme und Prozesse bei der Bahn digitalisiert werden. Das führt zu Cyberangriffen, die nicht nur auf die Infrastruktur abzielen, sondern auch die Bahnunternehmen selbst treffen. Diese sind natürlich eher zurückhaltend, was die Veröffentlichung solcher Angriffe angeht.


Wie oft kommen solche Angriffe denn vor?


Pavel Klasek: Es ist schwierig, das genau zu beziffern. Das Bundesamt für Sicherheit in der Informationstechnik, an das schwere Cyberangriffe gemeldet werden müssen, publiziert keine Listen über gehackte Unternehmen, daher gibt es in den öffentlich zugängigen Quellen auch keine Statistik dazu.


Warum sind Infrastruktur und Systeme von Eisenbahnverkehrsunternehmen interessante Ziele für Cyberangriffe?    


Pavel Klasek: In erster Linie geht es den Angreifer/innen darum, Schaden zu verursachen, rein physisch, wenn zum Beispiel Züge kollidieren und es Tote und Verletzte gibt. Aber auch wirtschaftlich kann großer Schaden entstehen. Wir haben während der Coronapandemie gesehen, wie anfällig unsere Lieferketten sind. Wenn Unternehmen wegen gehackter Systeme ihre Fahrleistungen nicht mehr durchführen können oder Güterverkehre schlicht lahmgelegt werden, kann das schnell dazu führen, dass ganze Versorgungsketten zusammenbrechen.


Wer hat ein Interesse daran?


Pavel Klasek: Es sind eher größere Tätergruppen, die diese Angriffe planen, Täter/innen, die über große Ressourcen verfügen oder sogar von ausländischen Staaten unterstützt werden. Diese Täter/innen wollen, dass unsere Infrastruktur Schaden nimmt. Dazu kommen Schwerstkriminelle, die Unternehmen erpressen. Cyberangriffe, um Daten zu stehlen und zu verkaufen, kommen bei der Bahn – so ist zumindest unsere Wahrnehmung – bisher aber eher seltener vor.


Im Schienennetz NRWs fahren Züge unterschiedlichster Verkehrsunternehmen, die über verschiedene Leitstellen koordiniert werden. Die Stellwerke in NRW sind teils digitalisiert, teils aber auch viele Jahrzehnte alt: Wie schützt man ein solch komplexes System überhaupt vor Cyberangriffen?


Pavel Klasek: Was die Abwehr von Cyberangriffen angeht, hat es natürlich einen Vorteil, wenn ein Stellwerk noch mechanisch betrieben wird. Aber dann können einfach andere Teile des Systems angegriffen werden, zum Beispiel die Verwaltung, das Flottenmanagement oder die Leitstellen. Die einzige Lösung lautet daher, die Komponenten im System Bahn zu standardisieren.


Was meinen Sie damit?


Pavel Klasek: Bisher sind viele Komponenten im Bahnsystem Einzelstücke: Nehmen Sie zwei Stellwerke, beispielweise in Essen und Bochum, die theoretisch komplett unterschiedlich aufgebaut werden können – von unterschiedlichen Herstellern gebaut und mit unterschiedlicher Software betrieben. Damit brauchen sie auch unterschiedliche Schutzmechanismen. Sie vor Angriffen zu schützen, ist dadurch sehr viel aufwändiger.


Wie würde ein besserer Schutz aussehen?


Pavel Klasek: Grundsätzlich gilt, dass es immer effektiver ist, wenn möglichst viele Systeme und Prozesse gleich aufgebaut und damit vereinheitlicht sind. Dadurch können mehr Systeme einfacher überwacht werden. Nicht jeder Bahnakteur muss das Rad neu erfinden. Vielmehr kann auf bereits vorhandene Erfahrungen aufgebaut und somit das eigene System geschützt werden.

Portraitbild von Pavel Klasek Quote

Es zeigt sich deutlich, dass das Bewusstsein für die Gefahren durch Cyberangriffe noch nicht wirklich ausgeprägt ist.

Pavel Klasek

Deutsches Zentrum für Schienenverkehrsforschung


Was bedeutet das für die Kosten?


Pavel Klasek: Je mehr vereinheitlicht wird, desto günstiger werden die Komponenten. Besonders die Schnittstellen zwischen unterschiedlichen Bahnakteuren können so besser geschützt werden. Noch dazu verhindert man so die Abhängigkeit von nur einem Hersteller, was gerade beim Thema Cybersicherheit von großer Bedeutung ist.


Das gilt wahrscheinlich nicht nur für die Infrastruktur…


Pavel Klasek: Auch bei Fahrzeugen ist es so, dass sich die Technik aktuell noch sehr voneinander unterscheidet. Aber auch hier ist der Weg, Standards zu etablieren. Dafür wurde die Initiative OCORA, kurz für „Open CCS On-board Reference Architecture”, geschaffen, in der Eisenbahnverkehrsunternehmen IT-Architektur und Schnittstellen in Europa gemeinsam definieren und ein einheitliches Datensystem schaffen wollen.


Nordrhein-Westfalen ist das bevölkerungsreichste Bundesland, täglich werden über eine Million Fahrten mit dem SNPV durchgeführt. Wie groß ist hier die Gefahr von Cyberangriffen ?


Pavel Klasek: Nordrhein-Westfalen hat eine besonders dichte Infrastruktur. Das macht das Bundesland für Kriminelle natürlich besonders attraktiv. Wie viel größer die Bedrohung hier genau ist, lässt sich aber nur schwer abschätzen. Klar ist: Mehr Strecken, mehr Züge und mehr Verkehr als in anderen Ländern bedeuten auch mehr Hackerangriffe. Dazu kommt: Weiß der Angreifer oder die Angreiferin, dass die Infrastruktur bereits am Limit ist und wenig Schienenkapazitäten für Notfälle vorhanden sind, verursachen schon vergleichsweise kleine Angriffe einen großen Schaden. Dabei können nicht nur Leitstellen, Stellwerke oder Züge angegriffen werden. Es gab zum Beispiel einen Ransomware-Angriff, das heißt einen Angriff mit einem Trojaner, auf die Bahninformationstafeln. Das war ärgerlich für den Fahrgast, aber für das System Schiene noch auszuhalten. Es zeigt allerdings, dass es einige Systeme gibt, die als nicht so kritisch eingestuft werden – und da haben Hacker/innen dann leichtes Spiel.


In der Frage der IT-Sicherheit sind viele Unternehmen oder auch Kommunen in Deutschland noch nicht ausreichend für die Gefahren durch Cyberangriffe sensibilisiert. Wie sieht das bei den Akteuren auf der Schiene aus?


Pavel Klasek: Es gibt eine Studie aus dem Jahr 2022. Dort wurde ein Cybersecurity-Reifegrad für den Schienensektor bestimmt. Auf einer Skala von 0 bis 5, wobei 3 ein angemessener Basisschutz ist, sollten sich die Bahnakteure einordnen. Der Eisenbahnsektor insgesamt hat sich mit 2 eingestuft. Schauen wir uns die Werte genauer an, sehen wir, dass die Infrastruktur bei 1 liegt. Hier zeigt sich deutlich, dass in diesem Bereich das Bewusstsein für die Gefahren durch Cyberangriffe noch nicht wirklich ausgeprägt ist.


Warum ist das so?


Pavel Klasek: Die Eisenbahn hat sich viele Jahre auf den Bereich Maschinenbau fokussiert. Hier wurde Expertise aufgebaut, hier wurden die besten Fachkräfte eingestellt und das höchste Gehalt bezahlt. Der Digitalisierung hat man nicht in ausreichendem Maß Beachtung geschenkt. Es ist aber wichtig, dass es genügend Personal gibt, das sich um dieses wichtige Arbeitsfeld kümmern kann.


Also hat die Bahn ein Problem, was IT-Fachkräfte angeht?


Pavel Klasek: Die Bahnen haben dasselbe Problem wie beispielsweise Städte und Kommunen. Das liegt einerseits daran, dass die Verantwortlichen die Probleme zu lange ignoriert haben – das ändert sich zum Glück. Zum anderen sind die IT-Berufe bei der Bahn einfach noch nicht attraktiv genug. In anderen Branchen kann man ein Vielfaches verdienen. Aber auch hier bewegt sich langsam etwas.


Über Pavel Klasek

Pavel Klasek ist Diplom-Ingenieur der Elektrotechnik und spezialisiert auf Anwendungen der Elektronik und Kybernetik. Er ist wissenschaftlicher Referent mit dem Schwerpunkt Bahnkommunikationssysteme im Fachbereich Sicherheit und kritische Infrastruktur des Deutschen Zentrums für Schienenverkehrsforschung mit Sitz in Dresden und Bonn.

 
Das Bild zeigt das Titelmotiv der Leistungsbilanz von Fokus Bahn NRW: Gleise, an denen Bauarbeiten durchgeführt werden. Danaben fährt ein gelber Zug auf dem nebengleis vorbei.
Fünf Jahre Fokus Bahn NRW

Zur Leistungsbilanz