Anzeige

Anzeige

Tunnel

Genau wie andere Infrastruktureinrichtungen sind Tunnel und Tunnelleitzentralen zunehmend intelligent und vernetzt. Moderne Steuerungssysteme treiben die Automatisierung von Tunnelanlagen voran und müssen deshalb Schutzfunktionen gegen Cyberangriffe bieten.

Vergleichsweise junge Rechtsgrundlagen und Normen für kritische Infrastrukturen

Das IT-Sicherheitsgesetz des Bundes stammt aus dem Jahr 2015, die Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) trat 2016 in Kraft. Die Verordnung schreibt verbindliche Mindestanforderungen und Meldepflichten für die Betreiber kritischer Infrastrukturen (KRITIS) vor. Tunnel und Tunnelleitzentralen fallen unter den Geltungsbereich der Kritis-Verordnung, sofern sie bestimmte Kriterien erfüllen. In der ersten Verordnung zur Änderung der BSI-Kritisverordnung wurden diese Schwellenwerte konkretisiert. Welche Unternehmen letztlich als KRITIS-Betreiber gelten, richtet sich im Einzelfall aber auch nach Landesgesetzen und Kriterien lokaler Behörden. 

Deutlich älter als die BSI-KritisV ist die Richtlinie 2004/54/EG des Europäischen Parlamentes und des Rates über Mindestanforderungen an die Sicherheit von Tunneln im transeuropäischen Straßennetz aus dem Jahr 2004. Mit den Richtlinien für die Ausstattung und den Betrieb von Straßentunneln (RABT) wurde sie 2006 in nationales Recht überführt. Eine Ergänzung der RABT (Vgl. EABT 80/100, FGSV-Verlag, 2019) soll den technologischen Entwicklungen seither Rechnung tragen und die Anforderungen an die Cybersicherheit der Automatisierungstechnik auf den neuesten Stand bringen.

Die steigende Vernetzung physikalischer Komponenten wie Steuerungen, Sensoren und integrierter Systeme, die bei der Automatisierung von Tunneln eingesetzt werden, schafft neue Cyberrisiken. Denn bei Angriffen auf diese Bestandteile der Operativen Technologie (OT) steht die Verfügbarkeit und Integrität der Anlage auf dem Spiel. Die IEC-Normenreihe 62443, die ihren Ursprung in der Automatisierungstechnik der Prozessindustrie hat und auf die Cybersicherheit von industriellen Automatisierungs- und Steuerungssystemen (Industrial Automation and Control Systems, IACS) abzielt, deckt zwar auch kritische Infrastrukturen ab und kommt oft als Security-Standard zum Einsatz, stellt aber keinen verbindlichen Rechtsrahmen dar. Schutzmaßnahmen müssen jedoch immer auch die Risiken im Bereich der zunehmend vernetzten OT adressieren.

Geringe Wahrscheinlichkeit, aber enormes Schadenspotenzial

In der vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe veröffentlichten Risikoanalyse für Tunnelleitzentralen (TLZ) stehen Cyberangriffe unter verschiedenen Gefährdungsszenarien (etwa Brand, Terroranschlag, Stromausfall, Hochwasser usw.) nicht an oberster Stelle: Auf einer vierstufigen Plausibilitätsskala werden sie in die Kategorie II („unplausibel“) eingestuft. 

Allerdings wird einem Cyberangriff mit Abstand das höchste Schadenspotenzial zugemessen. Die sogenannte Verwundbarkeit, das Schadensausmaß, wird bei einem solchen Ereignis in die höchste Kategorie IV („sehr hoch“) eingestuft. In ihr findet sich sonst nur noch das Szenario Sprengstoffanschlag, allerdings mit einer geringeren Plausibilität. Das mögliche Schadensausmaß bei einem Cyberangriff übersteigt der Risikoanalyse zufolge somit selbst das eines Brandes (Kategorie III, „hoch“). 

Falsche Sicherheit?

Die bislang niedrige Plausibilität solcher Ereignisse vermittelt ein falsches Gefühl der Sicherheit und führt zu einer Unterschätzung der Bedrohung, sagt Prof. Ulrike Lechner, Inhaberin des Lehrstuhls für Wirtschaftsinformatik an der Universität der Bundeswehr München, deren Forschungsschwerpunkt auf der vernetzten IT-Sicherheit für kritische Infrastrukturen liegt: Im Jahr 2016 wurden 85 Prozent der Betreiber kritischer Infrastrukturen von Hackern angegriffen. Betreiber, so Lechner im Interview mit der Bayerischen Staatszeitung, unterschätzten die Bedrohungslage, auch, weil es in Deutschland noch keinen großen Vorfall gegeben habe. 

Das sieht in anderen Teilen der Welt, wo bereits Kraftwerke, Staudämme, Strom- oder Wasserversorgung und auch Tunnel Ziel von Cyberangriffen wurden, ganz anders aus. Und auch in Deutschland steigt die Bedrohung rasant an. Von Januar bis Anfang November 2020 wurden 171 erfolgreiche Hackerangriffe auf Einrichtungen der Kritischen Infrastruktur gezählt. 2019 waren es 121, 2018 62. Der BSI-Lagebericht zur IT-Sicherheit 2020 vermerkt zum Sektor Transport und Verkehr, dass „bei vielen Betreibern die getroffenen technischen und organisatorischen Maßnahmen noch nicht vollständig über einen ganzheitlichen Managementprozess, wie etwa ein Informationssicherheits-Managementsystem (ISMS), abgebildet werden.“

Bestehende Sicherheitsstandards für Tunnel und Tunnelleitzentralen

Die Risikoanalyse Tunnelleitzentrale vermerkt, dass zur Auswahl geeigneter Schutzmaßnahmen zur Gewährleistung der IT-Sicherheit von Tunnelleitzentralen verschiedene Normen und IT-Grundschutz-Kataloge heranzuziehen sind, etwa die Norm DIN EN 50518, die bauliche, technische und betriebliche


Artikel zu diesem Thema

OT-Security
Apr 16, 2021

Masterplan für die OT-Security

Traditionell hatten OT-Umgebungen (Operational Technology) eine sehr eingeschränkte…
IT-Sicherheitsgesetz
Feb 25, 2021

IT-Sicherheitsgesetz 2.0 soll Cybersicherheit erhöhen

Das neue IT-Sicherheitsgesetz 2.0 des Bundesinnenministeriums steht kurz vor der…
KRITIS
Apr 03, 2020

IT-Schutz für kritische Infrastruktur dringend notwendig

Cyber-Security-Experte Avi Kravitz warnt vor zu lockerem Umgang mit IT-Security und…

Weitere Artikel

Open Source

Open Source Intelligence erhöht die IT-Sicherheit in Unternehmen

Open Source Intelligence (OSINT) ist ein Konzept, das als Element der IT-Sicherheitsstrategie in Unternehmen zunehmend an Bedeutung gewinnt.
Cyber Security Risk

Wie COVID-19 die IT-Sicherheit in KMU beeinträchtigt

Capterra, die Bewertungsplattform für Unternehmenssoftware, veröffentlicht eine Studie zum Stand der IT-Sicherheit in deutschen KMU.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.