Informationstechnologie (IT) wird zunehmend zur Einführung neuer Funktionalitäten und zur Steigerung der Prozesseffizienz in Bahnanlagen genutzt. Infolge der Digitalisierung der Bahninfrastruktur und der Ablösung proprietärer Netzwerkinfrastrukturen durch IP-basierte Netzwerke steigt jedoch auch das Risiko von Cyberangriffen und es werden neue Anforderungen an die IT-Sicherheit gestellt. Da die Bahnanlagen Bestandteil der kritischen Infrastrukturen sind und durch das IT-Sicherheitsgesetz stark reguliert werden, müssen passende Sicherheitslösungen entwickelt werden. Ziel des Forschungsprojekts HASELNUSS ist die Entwicklung einer hardwarebasierten Sicherheitsplattform für Leit- und Sicherungstechnik, die an die speziellen Anforderungen der Bahn angepasst ist und notwendige IT-Sicherheitsfunktionen bereitstellt, ohne dabei die funktionale Sicherheit zu beeinflussen. Die Plattform bietet Maßnahmen zur Sicherstellung der Systemintegrität und dient als Basis für eine sichere Vernetzung der Bahninfrastruktur. Sie umfasst Dienste für sicheres Patch- und Update-Management, Health Monitoring, Anomalie- und Angriffserkennung sowie Maßnahmen gegen Seitenkanalattacken. Die entwickelte Sicherheitsplattform soll im Laufe des Projekts in Demonstratoren umgesetzt werden.

Weitere Informationen: https://haselnuss-projekt.de/

Gefördert von: BMBF

Cybersecurity für sicherheitskritische Infrastrukturen (CYSIS)

Die CYSIS-Arbeitsgruppe wurde am 25. Januar 2016 von der Deutschen Bahn AG und der TU Darmstadt im Rahmen der Innovationsallianz und des bestehenden DB RailLab gegründet. Ziel der Arbeitsgruppe ist es, den durch die zunehmende Digitalisierung im Eisenbahnsektor steigenden Herausforderungen der Cybersecurity wirksam begegnen zu können. CYSIS ist die Basis für einen intensiven Informationsaustausch zwischen Industrie und Wissenschaft im Eisenbahnsektor, um von den gegenseitigen Erkenntnissen zu profitieren. Mit Hilfe der Partner aus dem wissenschaftlichen Bereich können effektive Abwehrtechniken und Gegenmaßnahmen erforscht und weiterentwickelt werden. CYSIS veröffentlicht regelmäßig Whitepaper und technische Leitlinien.

CYSIS besteht aus folgenden Projektgruppen:

• Resiliente Architekturen (beendet): Die Gruppe befasst sich mit resilienten Architekturen in der Eisenbahn-Signaltechnik. Hierzu wurde ein Whitepaper veröffentlicht. Es nennt Anforderungen, die von der Signaltechnik zu erfüllen sind, um gegen Cyberangriffe gewappnet zu sein.
• Business Continuity Management (beendet): Die Bediener von Signalanlagen müssen auf mögliche Angriffe vorbereitet sein. Es werden Konzepte erarbeitet, mit denen selbst bei einem Angriff ein minimaler Bahnbetrieb aufrechterhalten werden kann.
• Security for Safety (beendet): Im Bahnbetrieb muss die Sicherheit immer im Blickfeld sein. Um die Sicherheit zukünftiger Stellwerkanlagen zu gewährleisten, müssen schon heute Entscheidungen für deren Planung und Entwicklung getroffen werden. Diese Entscheidungen betreffen die Systemarchitektur, den Lebenszyklus, den Betrieb und die Zulassung. Die Projektgruppe hat ein Whitepaper erstellt, das in der Ausgabe 5/2018 der "Signal + Draht" sowohl in englischer als auch in deutscher Kurzform veröffentlicht wurde.
• ETCS mit Security (beendet): Diese Gruppe untersucht Sicherheitsaspekte des Europäischen Zugsicherungssystems (ETCS). Derzeit ist das ETCS das einzige Signalsystem in Deutschland, das mit einer drahtlosen Informationsübertragung arbeitet und somit eine bedeutend größere Angriffsfläche bietet.
• Ganzheitliche Sicherheit (beendet): Üblicherweise werden Sicherheitsaspekte in der Eisenbahn-Signaltechnik, bei Schienenfahrzeugen und bei ortsfesten Anlagen getrennt voneinander betrachtet. Ein solides Sicherheitskonzept verlangt jedoch einen ganzheitlichen Ansatz, der alle drei Bereiche gemeinsam berücksichtigt.
• Internet of Railway Things: Die Gruppe befasst sich durch Betrachtung zweier realistischer Anwendungsfälle mit den wesentlichen Sicherheitsaspekten des Bahn-IoT. Es werden Sicherheitsanforderungen, Angriffsvektoren, Bedrohungen, Gegenmaßnahmen, Sicherheitsarchitekturen sowie weitere Aspekte in die Überlegungen einbezogen.

Publikationen

• Bahn frei für die Firewall, bahn manager, #04-2016
• Cybersicherheitsrisiken in der Leit- und Sicherungstechnik, Der Eisenbahningenieur, März 2017
• Resiliente Architekturen:
  Whitepaper (Englisch)
  Whitepaper (Deutsch)
• Security for Safety:
  Security for Safety, Signal + Draht, 05/2018
  Whitepaper (Deutsch)
• ETCS mit Security:
  Whitepaper (Deutsch)

Gefördert von: Deutsche Bahn

Enhancing Critical Infrastructure Protection with innovative SECurity framework (CIPSEC) (2016-2019)

Mehr Sicherheit für kritische Infrastrukturen durch einen innovativen Sicherheitsrahmen

Im Laufe der vergangenen Jahre sind die meisten kritischen Infrastrukturen (KRITIS) weltweit flexibler und kosteneffizienter geworden, sodass sie heute bessere Leistungen und Bedingungen für Geschäftsmöglichkeiten bieten. Voraussetzung für diese Entwicklung war die Anpassung von KRITIS und KRITIS-Unternehmen an die jüngsten Fortschritte in der Informations- und Kommunikationstechnik (IKT). Diese Anpassung erfolgte jedoch übereilt und ohne eine gründliche Abschätzung der sicherheitsrelevanten Auswirkungen. Folglich sind KRITIS für eine ganze Reihe neuer Bedrohungen und Angriffe anfällig geworden, die ein hohes Risiko für die öffentliche Sicherheit, die Wirtschaft und das Wohl der Bevölkerung darstellen. Der Schutz von KRITIS soll vor allem dadurch gewährleistet werden, dass sie als komplexe Einheiten betrachtet werden, denen eine komplette Sicherheitslösung für ihre gesamten Infrastrukturen und Systeme (IT&OT-Abteilungen) zur Verfügung gestellt wird. Komplettlösungen zum Schutz von KRITIS nutzen jedoch einzelne Produkte individueller Unternehmen. Diese Produkte lassen sich nur in Tools/Lösungen integrieren, die von dem jeweiligen Unternehmen entwickelt wurden. Somit sind die technischen Lösungen begrenzt. CIPSEC will in erster Linie einen einheitlichen Sicherheitsrahmen schaffen, um modernste, heterogene Sicherheitsprodukte aufeinander abzustimmen und so in der IT (Informationstechnologie) und OT (operative Technologie) von KRITIS einen hohen Schutz zu gewährleisten. Als Teil dieses Sicherheitsrahmens wird CIPSEC ein vollständiges Sicherheitsökosystem mit zusätzlichen Dienstleistungen anbieten, die dazu beitragen, dass geplante technische Lösungen zuverlässig und professionell funktionieren. Dazu gehören Schwachstellen-Tests und -Empfehlungen, Schulungen für Schlüsselpersonen, forensische Analysen, öffentlich-private Partnerschaften (ÖPP), Standardisierung und Schutz vor Kaskadeneffekten. Alle Lösungen und Dienstleistungen werden in drei Pilotprojekten in drei verschiedenen CI-Umgebungen (Transport, Gesundheit, Umwelt) validiert. Darüber hinaus wird im Rahmen von CIPSEC eine Marketingstrategie zur optimalen Positionierung der Lösungen im CI-Sicherheitsmarkt entwickelt.

Weitere Informationen: https://www.cipsec.eu/

Erklärendes Video: https://youtu.be/eb02CUfK648

Gefördert von: Europäische Kommission (H2020)