Kritische Infrastrukturen (KRITIS)

Cybersecurity-Anforderungen und Lösungen für Tunnel und Tunnelleitzentralen

Genau wie andere Infrastruktureinrichtungen sind Tunnel und Tunnelleitzentralen zunehmend intelligent und vernetzt. Moderne Steuerungssysteme treiben die Automatisierung von Tunnelanlagen voran und müssen deshalb Schutzfunktionen gegen Cyberangriffe bieten.

Vergleichsweise junge Rechtsgrundlagen und Normen für kritische Infrastrukturen

Das IT-Sicherheitsgesetz des Bundes stammt aus dem Jahr 2015, die Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) trat 2016 in Kraft. Die Verordnung schreibt verbindliche Mindestanforderungen und Meldepflichten für die Betreiber kritischer Infrastrukturen (KRITIS) vor. Tunnel und Tunnelleitzentralen fallen unter den Geltungsbereich der Kritis-Verordnung, sofern sie bestimmte Kriterien erfüllen. In der ersten Verordnung zur Änderung der BSI-Kritisverordnung wurden diese Schwellenwerte konkretisiert. Welche Unternehmen letztlich als KRITIS-Betreiber gelten, richtet sich im Einzelfall aber auch nach Landesgesetzen und Kriterien lokaler Behörden. 

Anzeige

Deutlich älter als die BSI-KritisV ist die Richtlinie 2004/54/EG des Europäischen Parlamentes und des Rates über Mindestanforderungen an die Sicherheit von Tunneln im transeuropäischen Straßennetz aus dem Jahr 2004. Mit den Richtlinien für die Ausstattung und den Betrieb von Straßentunneln (RABT) wurde sie 2006 in nationales Recht überführt. Eine Ergänzung der RABT (Vgl. EABT 80/100, FGSV-Verlag, 2019) soll den technologischen Entwicklungen seither Rechnung tragen und die Anforderungen an die Cybersicherheit der Automatisierungstechnik auf den neuesten Stand bringen.

Die steigende Vernetzung physikalischer Komponenten wie Steuerungen, Sensoren und integrierter Systeme, die bei der Automatisierung von Tunneln eingesetzt werden, schafft neue Cyberrisiken. Denn bei Angriffen auf diese Bestandteile der Operativen Technologie (OT) steht die Verfügbarkeit und Integrität der Anlage auf dem Spiel. Die IEC-Normenreihe 62443, die ihren Ursprung in der Automatisierungstechnik der Prozessindustrie hat und auf die Cybersicherheit von industriellen Automatisierungs- und Steuerungssystemen (Industrial Automation and Control Systems, IACS) abzielt, deckt zwar auch kritische Infrastrukturen ab und kommt oft als Security-Standard zum Einsatz, stellt aber keinen verbindlichen Rechtsrahmen dar. Schutzmaßnahmen müssen jedoch immer auch die Risiken im Bereich der zunehmend vernetzten OT adressieren.

Geringe Wahrscheinlichkeit, aber enormes Schadenspotenzial

In der vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe veröffentlichten Risikoanalyse für Tunnelleitzentralen (TLZ) stehen Cyberangriffe unter verschiedenen Gefährdungsszenarien (etwa Brand, Terroranschlag, Stromausfall, Hochwasser usw.) nicht an oberster Stelle: Auf einer vierstufigen Plausibilitätsskala werden sie in die Kategorie II („unplausibel“) eingestuft. 

Allerdings wird einem Cyberangriff mit Abstand das höchste Schadenspotenzial zugemessen. Die sogenannte Verwundbarkeit, das Schadensausmaß, wird bei einem solchen Ereignis in die höchste Kategorie IV („sehr hoch“) eingestuft. In ihr findet sich sonst nur noch das Szenario Sprengstoffanschlag, allerdings mit einer geringeren Plausibilität. Das mögliche Schadensausmaß bei einem Cyberangriff übersteigt der Risikoanalyse zufolge somit selbst das eines Brandes (Kategorie III, „hoch“). 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Falsche Sicherheit?

Die bislang niedrige Plausibilität solcher Ereignisse vermittelt ein falsches Gefühl der Sicherheit und führt zu einer Unterschätzung der Bedrohung, sagt Prof. Ulrike Lechner, Inhaberin des Lehrstuhls für Wirtschaftsinformatik an der Universität der Bundeswehr München, deren Forschungsschwerpunkt auf der vernetzten IT-Sicherheit für kritische Infrastrukturen liegt: Im Jahr 2016 wurden 85 Prozent der Betreiber kritischer Infrastrukturen von Hackern angegriffen. Betreiber, so Lechner im Interview mit der Bayerischen Staatszeitung, unterschätzten die Bedrohungslage, auch, weil es in Deutschland noch keinen großen Vorfall gegeben habe. 

Das sieht in anderen Teilen der Welt, wo bereits Kraftwerke, Staudämme, Strom- oder Wasserversorgung und auch Tunnel Ziel von Cyberangriffen wurden, ganz anders aus. Und auch in Deutschland steigt die Bedrohung rasant an. Von Januar bis Anfang November 2020 wurden 171 erfolgreiche Hackerangriffe auf Einrichtungen der Kritischen Infrastruktur gezählt. 2019 waren es 121, 2018 62. Der BSI-Lagebericht zur IT-Sicherheit 2020 vermerkt zum Sektor Transport und Verkehr, dass „bei vielen Betreibern die getroffenen technischen und organisatorischen Maßnahmen noch nicht vollständig über einen ganzheitlichen Managementprozess, wie etwa ein Informationssicherheits-Managementsystem (ISMS), abgebildet werden.“

Bestehende Sicherheitsstandards für Tunnel und Tunnelleitzentralen

Die Risikoanalyse Tunnelleitzentrale vermerkt, dass zur Auswahl geeigneter Schutzmaßnahmen zur Gewährleistung der IT-Sicherheit von Tunnelleitzentralen verschiedene Normen und IT-Grundschutz-Kataloge heranzuziehen sind, etwa die Norm DIN EN 50518, die bauliche, technische und betriebliche

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.