Anzeige

Tunnel

Genau wie andere Infrastruktureinrichtungen sind Tunnel und Tunnelleitzentralen zunehmend intelligent und vernetzt. Moderne Steuerungssysteme treiben die Automatisierung von Tunnelanlagen voran und müssen deshalb Schutzfunktionen gegen Cyberangriffe bieten.

Vergleichsweise junge Rechtsgrundlagen und Normen für kritische Infrastrukturen

Das IT-Sicherheitsgesetz des Bundes stammt aus dem Jahr 2015, die Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) trat 2016 in Kraft. Die Verordnung schreibt verbindliche Mindestanforderungen und Meldepflichten für die Betreiber kritischer Infrastrukturen (KRITIS) vor. Tunnel und Tunnelleitzentralen fallen unter den Geltungsbereich der Kritis-Verordnung, sofern sie bestimmte Kriterien erfüllen. In der ersten Verordnung zur Änderung der BSI-Kritisverordnung wurden diese Schwellenwerte konkretisiert. Welche Unternehmen letztlich als KRITIS-Betreiber gelten, richtet sich im Einzelfall aber auch nach Landesgesetzen und Kriterien lokaler Behörden. 

Deutlich älter als die BSI-KritisV ist die Richtlinie 2004/54/EG des Europäischen Parlamentes und des Rates über Mindestanforderungen an die Sicherheit von Tunneln im transeuropäischen Straßennetz aus dem Jahr 2004. Mit den Richtlinien für die Ausstattung und den Betrieb von Straßentunneln (RABT) wurde sie 2006 in nationales Recht überführt. Eine Ergänzung der RABT (Vgl. EABT 80/100, FGSV-Verlag, 2019) soll den technologischen Entwicklungen seither Rechnung tragen und die Anforderungen an die Cybersicherheit der Automatisierungstechnik auf den neuesten Stand bringen.

Die steigende Vernetzung physikalischer Komponenten wie Steuerungen, Sensoren und integrierter Systeme, die bei der Automatisierung von Tunneln eingesetzt werden, schafft neue Cyberrisiken. Denn bei Angriffen auf diese Bestandteile der Operativen Technologie (OT) steht die Verfügbarkeit und Integrität der Anlage auf dem Spiel. Die IEC-Normenreihe 62443, die ihren Ursprung in der Automatisierungstechnik der Prozessindustrie hat und auf die Cybersicherheit von industriellen Automatisierungs- und Steuerungssystemen (Industrial Automation and Control Systems, IACS) abzielt, deckt zwar auch kritische Infrastrukturen ab und kommt oft als Security-Standard zum Einsatz, stellt aber keinen verbindlichen Rechtsrahmen dar. Schutzmaßnahmen müssen jedoch immer auch die Risiken im Bereich der zunehmend vernetzten OT adressieren.

Geringe Wahrscheinlichkeit, aber enormes Schadenspotenzial

In der vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe veröffentlichten Risikoanalyse für Tunnelleitzentralen (TLZ) stehen Cyberangriffe unter verschiedenen Gefährdungsszenarien (etwa Brand, Terroranschlag, Stromausfall, Hochwasser usw.) nicht an oberster Stelle: Auf einer vierstufigen Plausibilitätsskala werden sie in die Kategorie II („unplausibel“) eingestuft. 

Allerdings wird einem Cyberangriff mit Abstand das höchste Schadenspotenzial zugemessen. Die sogenannte Verwundbarkeit, das Schadensausmaß, wird bei einem solchen Ereignis in die höchste Kategorie IV („sehr hoch“) eingestuft. In ihr findet sich sonst nur noch das Szenario Sprengstoffanschlag, allerdings mit einer geringeren Plausibilität. Das mögliche Schadensausmaß bei einem Cyberangriff übersteigt der Risikoanalyse zufolge somit selbst das eines Brandes (Kategorie III, „hoch“). 

Falsche Sicherheit?

Die bislang niedrige Plausibilität solcher Ereignisse vermittelt ein falsches Gefühl der Sicherheit und führt zu einer Unterschätzung der Bedrohung, sagt Prof. Ulrike Lechner, Inhaberin des Lehrstuhls für Wirtschaftsinformatik an der Universität der Bundeswehr München, deren Forschungsschwerpunkt auf der vernetzten IT-Sicherheit für kritische Infrastrukturen liegt: Im Jahr 2016 wurden 85 Prozent der Betreiber kritischer Infrastrukturen von Hackern angegriffen. Betreiber, so Lechner im Interview mit der Bayerischen Staatszeitung, unterschätzten die Bedrohungslage, auch, weil es in Deutschland noch keinen großen Vorfall gegeben habe. 

Das sieht in anderen Teilen der Welt, wo bereits Kraftwerke, Staudämme, Strom- oder Wasserversorgung und auch Tunnel Ziel von Cyberangriffen wurden, ganz anders aus. Und auch in Deutschland steigt die Bedrohung rasant an. Von Januar bis Anfang November 2020 wurden 171 erfolgreiche Hackerangriffe auf Einrichtungen der Kritischen Infrastruktur gezählt. 2019 waren es 121, 2018 62. Der BSI-Lagebericht zur IT-Sicherheit 2020 vermerkt zum Sektor Transport und Verkehr, dass „bei vielen Betreibern die getroffenen technischen und organisatorischen Maßnahmen noch nicht vollständig über einen ganzheitlichen Managementprozess, wie etwa ein Informationssicherheits-Managementsystem (ISMS), abgebildet werden.“

Bestehende Sicherheitsstandards für Tunnel und Tunnelleitzentralen

Die Risikoanalyse Tunnelleitzentrale vermerkt, dass zur Auswahl geeigneter Schutzmaßnahmen zur Gewährleistung der IT-Sicherheit von Tunnelleitzentralen verschiedene Normen und IT-Grundschutz-Kataloge heranzuziehen sind, etwa die Norm DIN EN 50518, die bauliche, technische und betriebliche


Artikel zu diesem Thema

OT-Security
Apr 16, 2021

Masterplan für die OT-Security

Traditionell hatten OT-Umgebungen (Operational Technology) eine sehr eingeschränkte…
IT-Sicherheitsgesetz
Feb 25, 2021

IT-Sicherheitsgesetz 2.0 soll Cybersicherheit erhöhen

Das neue IT-Sicherheitsgesetz 2.0 des Bundesinnenministeriums steht kurz vor der…
KRITIS
Apr 03, 2020

IT-Schutz für kritische Infrastruktur dringend notwendig

Cyber-Security-Experte Avi Kravitz warnt vor zu lockerem Umgang mit IT-Security und…

Weitere Artikel

KRITIS

Die Energiewende als Herausforderungen für die Cybersicherheit

Die Energiewende ist in vollem Gange. Doch dabei sollte die Cybersicherheit nicht zu kurz kommen. Denn die neue Technologie bringt auch neue Angriffsvektoren mit sich.
Open Source

Gipfeltreffen zur Sicherheit von Open-Source-Software

Akamai Technologies hat an dem vom Weißen Haus veranstalteten Gipfeltreffen zur Sicherheit von Open-Source-Software teilgenommen und dabei die Gelegenheit genutzt, seine Ansichten und Empfehlungen zu diesem wichtigen Thema darzulegen. Ein Kommentar von…
Home Office Security

Hybrides Arbeiten: IT-Sicherheit neu gedacht

Durch die Coronapandemie haben sich die Koordinaten der Arbeitswelt nachhaltig verschoben. Hybride Arbeitsplätze sind in vielen Unternehmen zum Standard geworden. Das Thema Sicherheit spielt dabei eine zentrale Rolle – nicht nur in puncto Cyberabwehr. Dell…
Phishing

Phishing-Abwehr auf Basis von Crowd-Sourcing erfolgreich

Eine Schweizer Phishing-Studie mit rund 15.000 Teilnehmern in einem 15-monatigen Experiment brachte einige interessante Ergebnisse hervor. Die Studie wurde von Forschern der ETH Zürich in Kooperation mit einem Großunternehmen durchgeführt, das anonym bleiben…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.