Digitalisierung bei der Bahn
Konzepte aus der IT-Sicherheit lassen sich auch in der OT-Welt anwenden
Die Digitalisierung ist aus der Bahnwelt nicht mehr wegzudenken. Stellwerke sind digital zentralisiert, die Zugbeeinflussung erfolgt durch das ETCS und für die Instandhaltung überwachen Sensoren die Komponenten und Züge. Erkannte Störungen lösen automatisiert Behebungsprozesse aus. Die Wartung der Fahrzeuge ist nicht mehr ohne ERP-Systeme möglich, die eine detaillierte Wartungsplanung und ein effizientes Ersatzteilmanagement ermöglichen.
Operational-Technology-Systeme (OT) wurden meist vor Jahren für eine lange Einsatzdauer konzipiert. Sie sind heute oft veraltet, kommunizieren über unsichere Protokolle und weisen schwer behebbare Softwareschwachstellen auf. Häufig fehlen zudem wichtige Authentisierungsfunktionen. Da solche Systeme bis dato meist in isolierten Umgebungen betrieben wurden und der Fokus vor allem auf den funktionalen Aspekten lag, fehlt es heutigen Anbietern und Herstellern am Bewusstsein für Cybergefahren – ganz im Gegensatz zur IT-Welt, die sich damit schon lange auseinandersetzt.
Digitalisierung und Automatisierung vernetzen heute IT und OT zunehmend. Die klaren Grenzen von früher verschwinden zusehends. Industrieanlagen, oder eben die Eisenbahn, sind zunehmend Cybergefahren ausgesetzt, ohne dafür gewappnet zu sein. So kann beispielsweise bereits die Fernwartung mit einem Malware-verseuchten PC zu grossem Schaden führen.
Deshalb ist es entscheidend, dass wir angemessene Sicherheitsmassnahmen implementieren. Dort, wo wir die Resilienz der Systeme nicht direkt verbessern können, müssen wir flankierende Massnahmen ergreifen, wie die Aufteilung der Systeme in Sicherheitszonen und eine konsequente Zugriffskontrolle an den Zonenübergängen. Aber auch die Hersteller und Anbieter sollten wir vermehrt verpflichten, sicherere Anlagen auszuliefern, denn hier wäre deutlich mehr möglich: Fast alle bewährten Konzepte aus der IT-Sicherheit lassen sich nämlich auch in der OT-Welt anwenden, da weniger die Technik, sondern vielmehr die Anwendungsszenarien die Unterschiede zwischen IT und OT bestimmen.
Kommentare