Anzeige

Tunnel

Sicherheitsanforderungen zum Schutz der Alarmempfangsstellen definiert, sowie die internationale Norm ISO 27002, die generisch beschriebene technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit enthält. Die IT-Grundschutz-Kataloge enthalten eine

Vielzahl von Maßnahmen zu u.a. den Aspekten Infrastruktur, IT-Systeme, Netze und Anwendungen und bieten, wie der Name sagt, lediglich einen Basisschutz. Bei höheren Anforderungen in Bezug auf den Schutzbedarf, so die Risikoanalyse, sind ggf. zusätzliche, wirksamere Maßnahmen zur Erreichung der definierten Schutzziele zu ergreifen.

Das vom Bundesministerium für Bildung und Forschung geförderte und 2018 abgeschlossene Forschungsprojekt Cyber-Safe unter Beteiligung der Bundesanstalt für Straßenwesen (BASt), der Studiengesellschaft für Tunnel und Verkehrsanlagen e.V. (STUVA), des Lehrstuhls für Systemsicherheit der Ruhr-Universität Bonn sowie privater und lokaler Partner verfolgte das Ziel, die Widerstandsfähigkeit von Verkehrs-, Tunnel- und ÖPNV-Leitzentralen gegen Cyberangriffe zu erhöhen. Betreiber, Planer und Ausstatter von Tunnel- und Verkehrsleitzentralen sollten in die Lage versetzt werden, Gefährdungen durch mögliche Cyber-Angriffe besser einschätzen und geeignete Schutzmaßnahmen ergreifen zu können. Dazu wurden zunächst bestehende Sicherheitskonzepte auf ihre Wirksamkeit hin überprüft. Für Defizite werden anschließend Verbesserungen erarbeitet und deren Effektivität durch „White-Hats“ geprüft. Dies sind professionelle Hacker, die unter Beachtung des gesetzlichen Rahmens legal Hacker-Angriffe (sogenannte „Penetrationstests“) durchführen. Bei der Abschlusskonferenz Cyber-Safe: Schutz von Verkehrs- und Tunnelleitzentralen vor Cyber-Angriffen wurden konkrete Handlungshilfen für die Praxis vorgestellt.

Handlungsempfehlungen für cybersichere Tunnelautomatisierung 

Dr.-Ing. Selcuk Nisancioglu vom Referat für Tunnel- und Grundbau, Tunnelbetrieb und Zivile Sicherheit der BASt und Dr.-Ing Christian Thienert von der STUVA e.V. gehören zu den Projektverantwortlichen von Cyber-Safe und sind Mitverfasser des Tagungsbeitrags Erhöhung der Cyber-Sicherheit von Tunnelleitzentralen. Darin halten die Autoren fest: „Ausgehend vom Angriffspunkt „Leitzentrale“ bestehen für Cyber-Angriffe diverse Möglichkeiten der Einflussnahme auf die Steuerungseinheiten der Tunnelanlagen. Hier besteht die Möglichkeit der Manipulation von Sensordaten, des Blockierens von Steuerbefehlen oder auch einer Ausführung von nicht situationskonformen Steuerungsmaßnahmen.“ Geeignete Schutzmaßnahmen, so eine ihrer Schlussfolgerungen, seien von Planern, Ausstattern und Betreibern von Tunnelleitzentralen bereits in der Planungsphase zu berücksichtigen.

Bei Projektabschluss bzw. Erscheinen des zitierten Tagungsbeitrags konstatierten die Cyber-Safe-Beteiligten diesbezüglich sowohl Nachholbedarf als auch eine nicht zuletzt durch Initiativen wie Cyber-Safe gestiegene Sensibilität für die Thematik. Etwas mehr als drei Jahre später sagt Dr. Nisancioglu auf Anfrage, dass der auf Basis der BSI-Grundschutzkataloge gemeinsam von BASt, STUVA, DÜRR, Ruhr-Universität Bochum und Straßen NRW erarbeitete und um im Forschungsprojekt erarbeitete spezifische Maßnahmen ergänzte Leitfaden zur Verbesserung der Cybersicherheit für Tunnel und Tunnelleitzentralen eine solide Grundlage für Betreiber, Planer und Ausstatter darstellt. Die Umsetzung der Empfehlungen liegt in deren Verantwortungsbereich. 

Die Anlagensteuerung im Blick behalten

Durch die Auswahl cybersicherer Komponenten können Projektverantwortliche somit spätere Schadensszenarien verhindern. Gemäß IEC 62443 sind aber auch Hersteller in der Pflicht, für Automatisierungslösungen zentrale Systeme wie etwa die Anlagensteuerung mit Cybersicherheitsfunktionen auszustatten. Im aktualisierten Referentenentwurf des Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme heißt es konkret: „Neben technischen Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse, muss durch die Betreiber der Kritischen Infrastrukturen daher auch eine Erklärung des Herstellers eingeholt werden, dass dieser in der Lage ist, die gesetzlich geforderten Bestimmungen (…) selbst einzuhalten. Dies ist der Tatsache geschuldet, dass mit zunehmender informationstechnischer Komplexität der eingesetzten kritischen Komponenten ein wesentlicher Teil der Beherrschbarkeit der Technologie im Rahmen der Produktpflege (…) beim Hersteller selbst oder auch in der weiteren Lieferkette verbleibt.“ 

Die überarbeitete BBK-Leitlinie Ereignismanagement für Straßentunnel für Betriebs- und Einsatzdienste benennt beispielsweise den Ausfall der Datenkommunikation mit der Tunnelleitzentrale infolge eines Cyber-Angriffs als mögliches Schadensszenario. Solche Szenarien müssen Planer berücksichtigen, etwa redundante Zugriffsmöglichkeiten schaffen und kritische Komponenten entsprechend auswählen. Praxisbeispiel: Bei der Automatisierung eines Tunnels wird ein dreistufiges Kommunikationsnetz eingerichtet. Die erste Schicht bildet die Feldebene mit allen Sensoren, Aktoren, Mess- und Anzeigesystemen mit einer modularen Lokalsteuerung darüber, die die Erfassung, Archivierung und Steuerung der Daten und Zustände eines Gewerks übernimmt.

Über jeweils gewerkspezifische Protokolle kommunizieren diese Lokalsteuerungen mit der Feldebene, um so etwa Beleuchtung oder Belüftung zu regeln. Die zweite Kommunikationsebene ist die den Lokalsteuerungen übergeordnete Anlagensteuerung, über die jedes Gewerk verfügt. Zwischen ihr und den Lokalsteuerungen wird gemäß geltender Sicherheitsrichtlinien via Ethernet ein zweites, unabhängiges Kommunikationsnetzwerk mit einer gewerkspezifischen Zugriffsverwaltung geschaffen. Darüber befindet sich die dritte und letzte Kommunikationsebene, der Abschnittsrechner (AR), der das eigentliche Leitsystem darstellt. 


Artikel zu diesem Thema

OT-Security
Apr 16, 2021

Masterplan für die OT-Security

Traditionell hatten OT-Umgebungen (Operational Technology) eine sehr eingeschränkte…
IT-Sicherheitsgesetz
Feb 25, 2021

IT-Sicherheitsgesetz 2.0 soll Cybersicherheit erhöhen

Das neue IT-Sicherheitsgesetz 2.0 des Bundesinnenministeriums steht kurz vor der…
KRITIS
Apr 03, 2020

IT-Schutz für kritische Infrastruktur dringend notwendig

Cyber-Security-Experte Avi Kravitz warnt vor zu lockerem Umgang mit IT-Security und…

Weitere Artikel

Spyware

Pegasus-Projekt: Wie kann man sich gegen die Spyware schützen?

Hunderte Journalist:innen und Oppositionelle sind Opfer der israelischen Spyware Pegasus geworden. Die Software kann unbemerkt auf die Smartphones der Zielpersonen installiert werden – mit verheerenden Folgen.
Cyber Security

Cybersecurity aktuell: Was wir heute von gestern für morgen lernen können

Der enorme Anstieg von Ransomware-Angriffen zeigt einmal mehr, wie verwundbar noch viele IT-Systeme in Unternehmen sind. Bis heute treffen zahlreiche Firmen nicht die richtigen Maßnahmen, um sich vor Cyberkriminellen effektiv zu schützen.
IT Sicherheit

Schwerwiegende Sicherheitslücke in Druckern von HP, Xerox und Samsung

Die Sicherheitsforscher von SentinelLabs, der Research-Einheit von SentinelOne, haben einen seit sechzehn Jahren bestehenden schwerwiegenden Fehler in HP-, Xerox- und Samsung-Druckertreibern entdeckt und dazu einen Forschungsbericht veröffentlicht.
Cybersecurity

So gestaltet sich mehrstufiger IT-Schutz

Arbeitet man in einem kleinen Unternehmen wird eine wichtige Sache oft vergessen: Computersicherheit. Da der Fokus mehr darauf liegt, Aufträge zu bekommen und zu erfüllen, rückt das Thema IT-Schutz eher in den Hintergrund.
Insider-Threats

Insider-Threats durch übermäßige Berechtigungen

Das Knacken des Codes, das Besiegen eines Endgegners oder das Entdecken eines verlorenen Schlüssels – all das sind Möglichkeiten, in Videospielen aufzusteigen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.