Neuigkeiten
Die Lücke zwischen funktionaler- und Cybersicherheit schließen
Die Integration von funktionaler Sicherheit und Cybersicherheit bleibt eine Herausforderung für den Eisenbahnsektor. Eine zielgerichtete gemeinsame Betrachtung beider Sicherheitsformen sowie die Arbeit mit bestehenden Normen und Standards sind notwendig, um lebensbedrohliche Vorfälle bei beiden Sicherheitsformen zu verhindern.
Das Zusammenwirken von Functional Safety und Cyber Security im Bahnbereich ist für die Zuverlässigkeit von Bahnsystemen von entscheidender Bedeutung.
Der Eisenbahnsektor hat sich in den letzten Jahrzehnten erheblich verändert. Die Technologie hat sich aufgrund der Digitalisierung weiterentwickelt, Systeme sind zunehmend miteinander verbunden und somit sind die Anforderungen an die funktionale Sicherheit sowie die Cybersicherheit (auch Cyber Security, CySec) gestiegen. Das Schließen der Lücke, die Stand heute bei praktisch allen Bahnunternehmen zwischen den Prozessen für funktionale Sicherheit (FuSi) und Cybersicherheit besteht, ist ein wichtiger Schritt, um sicherzustellen, dass Bahnsysteme sicher und zuverlässig betrieben werden können.
Eine der größten Herausforderungen bei der Integration von funktionaler Sicherheit und Cybersicherheit ist, dass beide Bereiche unterschiedliche Ansätze und Methoden verwenden. Die funktionale Sicherheit konzentriert sich darauf, sicherzustellen, dass unter allen Bedingungen das Risiko für Verletzungen, Beschädigung, Umweltschäden oder Tod minimiert ist. Dies wird durch die Verwendung von Redundanz, Überwachung und Prüfungen erreicht. Die Cybersicherheit hingegen konzentriert sich auf den Schutz von Systemen und Daten vor unbefugtem Zugriff, Manipulation und (Daten-)Diebstahl, beispielsweise durch Hacker. Dies wird durch die Verwendung von Verschlüsselung, Authentifizierung und Firewall-Systemen erreicht.
Eines der dramatischsten Vorkommnisse einer unzulänglichen funktionalen Sicherheit stellt das Zugunglück aus dem Jahr 2013 im Nordwesten Spaniens dar, bei welchem 80 Menschen ums Leben kamen. Untersuchungen ergaben, dass nebst menschlichem Versagen auch das Versagen des Sicherheitssystems eine Ursache des Unglücks war. Der Zug war mit einem ETCS-Zugsicherungssystem ausgestattet, das bei Überschreiten der zulässigen Geschwindigkeit eine automatische Bremsung einleiten sollte. Das System war jedoch nicht aktiv, und der Zug fuhr mit mehr als doppelter Geschwindigkeit in eine Kurve, was zum Unfall führte.
Im Cybersecurity-Bereich gab es im Eisenbahnsektor noch keine derart dramatischen Zwischenfälle; gleichwohl gibt es einige aktuelle Beispiele von Angriffen auf Eisenbahnen. Im November 2022 stoppten Züge in Dänemark infolge eines Cyberangriffs auf einen Anbieter einer mobilen Anwendung, über welche Lokführer auf kritische Informationen wie Geschwindigkeitsbegrenzungen und Arbeiten an der Eisenbahn zugreifen. Außerdem wurde 2021 durch die mysteriöse Hacker-Gruppe Indra, vermutlich eine Bande ideologisierter autodidaktischer Jugendlicher, die Eisenbahn im Iran lahmgelegt, wodurch potenziell Menschenleben gefährdet wurden. Dieselbe Gruppe hatte in den Vorjahren ebenfalls Finanz- und Luftfahrtunternehmen in Syrien attackiert. Ein weiteres aktuelles Beispiel ist der Hackerangriff auf das Kommunikationsnetz der polnischen Bahn. Im August 2023 wurde der Funkverkehr gestört, falsche Haltesignale gesendet und dadurch Zugverspätungen verursacht.
Solche Beispiele zeigen, wie wichtig es ist, dass die funktionale Sicherheit und die Cybersicherheit in der Eisenbahnindustrie gleichermaßen berücksichtigt werden. Ein Versagen in einem dieser Bereiche kann schwerwiegende Konsequenzen haben, und umso mehr, wenn beide Sicherheitsaspekte betroffen sind. Es ist daher entscheidend, dass geeignete Vorschriften und Standards einerseits entwickelt und verbindlich gemacht und andererseits in Form von angemessenen Sicherheitsmaßnahmen implementiert werden, um sowohl Safety- als auch Security-Vorfälle zu verhindern.
Ein Hilfsmittel, um funktionale und Cybersicherheit zu gewährleisten und zu testen sind Normen und Standards. IEC 61508 ist eine international längst anerkannte Norm für funktionale Sicherheit von elektrischen, elektronischen und programmierbaren elektronischen (E/E/PE) Systemen. Sie wurde entwickelt, um sicherzustellen, dass die sicherheitsrelevanten Funktionen dieser Systeme unter allen Betriebsbedingungen zuverlässig ausgeführt werden. Die Norm – und genauso ihre bahnspezifischen Ableitungen CENELEC EN 50126, 50128, 50129, 50159 und 50657 – definiert eine Reihe von Anforderungen an die Entwicklung sicherheitsrelevanter Systeme, einschließlich der Verwendung von standardisierten Methoden für die Analyse von Fehlfunktionen und der Durchführung von Tests, um sicherzustellen, dass die Systeme die festgelegten Sicherheitsziele erreichen. Die Norm bietet zudem eine Rahmenbedingung für die Überwachung und Wartung von sicherheitsrelevanten Systemen. Dies beinhaltet die Implementierung von Wartungsplänen und die Durchführung von regelmäßigen Überprüfungen, um sicherzustellen, dass die Systeme in einem sicheren und zuverlässigen Zustand bleiben.
Daneben existieren Standards, vor allem der internationale CENELEC TS 50701, der IEC 62443 oder der deutsche BSI IT-Grundschutz, Abschnitt IND, welche sich mit Cybersicherheitsthemen im Eisenbahnsektor bzw. in der Operational Technology (OT) allgemein beschäftigen. Die Norm TS 50701 „Bahnanwendungen — Cybersecurity“ ist die Norm für Cybersicherheit im Eisenbahnsektor, die für international tätige Bahnunternehmen derzeit sicherlich die größte Relevanz hat. Ihre Zielsetzung ist, praxistaugliche Anforderungen an das Risikomanagement, die Netzwerksicherheit, die sichere Systementwicklung und den Betrieb von Schienenverkehrssystemen festzulegen, mit dem Ziel, Bahnsysteme vor Cyberangriffen zu schützen und die Auswirkungen von Sicherheitsvorfällen zu minimieren. Die TS 50701 schlägt auch die Brücke zwischen Cybersicherheits- und FuSi-Betrachtungen. Sie wird also der Goldstandard für einen einheitlichen Sicherheitsentwicklungsprozess darstellen; allein, die Norm ist heute selbst noch in der Entwicklung, was aber insofern für viele Unternehmen nicht schlimm ist, da die oft noch nicht einmal die grundlegenden Cybersecurity-Methoden in den Entwicklungsprozess eingebaut haben.
Um diesem Umstand Rechnung zu tragen, ist der „Code of Practice“ vom UK-Institute of Engineering and Technology (IET) und UK National Cyber Security Center (NCSC) empfehlenswert. Dieser verdeutlicht die Herausforderungen in der Schnittmenge von FuSi und Cybersicherheit. Die Risikoreduzierung kann für FuSi einfacher definiert werden als für CySec. Es besteht ein vermeintlicher Zielkonflikt, wenn beispielsweise durch die Cybersicherheit eine Verschlüsselung oder Authentifizierung erforderlich ist, diese dann aber von der funktionalen Sicherheit aufgrund von Latenzen abgelehnt wird. Hier kann es keine „low-level“ Lösung geben, sondern es müssen unweigerlich „high-level“ Design-Änderungen vorgenommen werden, wenn der Konflikt von Grund auf (und nicht durch einen Workaround) gelöst werden soll. Die FuSi benutzt bevorzugt quantitative Analysemethoden, wohingegen bei der CySec eher qualitativ analysiert wird. FuSi-Systemingenieure kennen und schätzen Systemgrenzen, Cybersecurity-Ingenieure schon vom Prinzip her nicht. Der häufigste Konflikt zwischen den beiden Disziplinen ist jedoch die Update-Häufigkeit; Sicherheitslücken müssen für die einen (CySec) sofort gepatcht werden, wohingegen jede Änderung für die anderen (FuSi) eine kleine Katastrophe in Form einer Rezertifizierung darstellt.
Wichtige Grundsätze aus dem „Code of Practice“, welche die funktionierende Kooperation zwischen den ungleichen Sicherheitsgeschwistern gewährleisten, sind eine risikobasierte Herangehensweise und ein integrierter Systems-Engineering-Prozess von Planung über Design, Entwicklung und Inbetriebnahme bis zur Wartung. Darüber hinaus kommt auch den Soft Skills der Prozessbeteiligten eine tragende Rolle zu, durch die sie nämlich eine Arbeitskultur mit hohem Fokus auf Kommunikation und Interaktion schaffen und letztlich auch eine gesunde Paranoia. Um einen integrierten Systementwicklungsprozess zu gewährleisten kann das im FuSi-Bereich bewährte V-Modell genutzt werden. Dieses wird auch in der TS 50701 vorgeschlagen und folgt einem risikobasierten Ansatz.
Was können wir daraus lernen?
Die funktionale Sicherheit kann durch Vorfälle im Bereich der Cybersicherheit beeinträchtigt werden. Wenn sicherheitsrelevante Systeme nicht ausreichend gegen Cyber-Attacken abgesichert sind, kann ein Angreifer die funktionale Sicherheit der Eisenbahn außer Kraft setzen. Um die allgemeine Sicherheit eines Zuges zu gewährleisten, müssen also die Sicherheitsexperten an der Schnittstelle von Cyber Security und funktionaler Sicherheit zusammenarbeiten. Es bedarf der gemeinsamen Betrachtung der zwei Sicherheitsformen, die komplementäre risikobasierte Ansätze haben, letzten Endes jedoch – jede für sich – unerlässlich für den sicheren Bahnbetrieb sind.
Critical Software's Erfahrungen im Eisenbahnsektor
Wir bieten Software und Systemdienstleistungen für sicherheits-, missions- und geschäftskritische Anwendungen für Kunden mit hohen Anforderungen an Sicherheit, Leistung und Zuverlässigkeit. Im Eisenbahnsektor verfügen wir über Expertise unter anderem in den Bereichen Entwicklung, Tests und Zertifizierung von eingebetteten Systemen von CENELEC-Standards bis zur höchsten Sicherheitsstufe.