Wachsende Vernetzung verändert unsere Mobilität. Das bietet enorme Potenziale für die Zukunft: mehr Effizienz, mehr Nachhaltigkeit, mehr Komfort. Doch eine zunehmende Vernetzung bedeutet auch steigende Risiken – Cyber-Angriffe werden wahrscheinlicher und gefährlicher. Umso zentraler ist es, hochkomplexe Verkehrssysteme sicher aufzustellen. Doch wie kann das gelingen?
von Tobias Bowald und Dr. Fabian Böhm*
12. Februar 2024
Die Zukunft der Mobilität liegt in ihrer Vernetzung. Kooperative, intelligente Transportsysteme werden in Zukunft die Art und Weise, wie wir uns fortbewegen, fundamental verändern. Ein Beispiel: Ein herannahender Krankenwagen sendet ein Signal, die vorausfahrenden Fahrzeuge bilden autonom eine Rettungsgasse und gleichzeitig schalten die Ampeln in Fahrtrichtung auf Grün. Diese Vision kann Wirklichkeit werden, wenn verschiedene Verkehrsmittel, Transportsysteme und einzelne Akteure untereinander vernetzt sind und kontinuierlich mit der Verkehrsinfrastruktur kommunizieren.
Das klingt nicht nur spannend, eine solche Vernetzung eröffnet auch hochinteressante Möglichkeiten für effizientere und nachhaltigere Verkehrssysteme. Kooperative und intelligente Transportsysteme, Digitalisierung und Automatisierung sind entscheidende Puzzleteile, um künftig deutlich mehr Verkehr auf bestehende Strassen und Schienen zu bringen. Damit können Infrastrukturbetreiber und die öffentliche Hand von Milliardeninvestitionen in Beton, Stahl und Teer entlastet werden. Gleichzeitig wird ein Beitrag zum gesellschaftlichen Ziel einer effizienteren, kundenfreundlicheren, emissionsärmeren und sichereren Mobilität geleistet.
Diese Potenziale betreffen dabei nicht nur den Individualverkehr. Dieser wird zweifelsohne von der Vernetzung der Zukunft profitieren, da sich Komfort und Effizienz massiv erhöhen. Umso wichtiger ist es daher für öffentliche Verkehrsunternehmen und private Anbieter geteilter und kollektiver Mobilität, diese Entwicklung nicht an sich vorbeiziehen zu lassen. Befassen sie sich nicht aktiv mit den Potenzialen der Digitalisierung und Automatisierung, laufen sie Gefahr, den Anschluss an diese dynamische Entwicklung zu verpassen und vom Individualverkehr marginalisiert zu werden.
Die Chancen steigen – die Risiken auch
Dabei bieten sich gerade dem kollektiven Verkehr hochinteressante Chancen, um effizienter und kundenorientierter zu werden: Fahrzeuge können automatisiert und on demand verkehren. Flächeneffizientere Fahrzeuge wie Strassenbahnen oder Busse des öffentlichen Nahverkehrs können in einer dynamischen Verkehrssteuerung bevorzugt werden oder modulare Passagierfahrzeuge können sich automatisiert und in voller Fahrt zu Fahrverbänden koppeln. Dies ermöglicht völlig neue Fahrzeug- und Betriebskonzepte für den öffentlichen Verkehr auf Strasse und Schiene.
Doch ein stark vernetzter Verkehr bedeutet auch, dass die Anfälligkeit gegenüber Cyber-Attacken signifikant steigt. Denn in einer Welt, in der Fahrzeuge, Verkehrsinfrastruktur und digitale Systeme in Echtzeit miteinander kommunizieren, entstehen nicht nur neue Möglichkeiten, sondern auch wachsende Gefahrenpotenziale. Als kritische Infrastruktur ist der Verkehr ein attraktives Ziel für Cyber-Angriffe – mit potenziell schwerwiegenden Folgen. Möglich sind mutwillig herbeigeführte Unfälle ebenso wie die Blockade wichtiger Verkehrsachsen. Möglich sind auch vermehrt unberechtigte Zugriffe auf Kundendaten oder gezielte Erpressungsversuche. Dieser Bedrohung müssen sich Transportunternehmen sowie Betreiber von kritischen Infrastrukturen und Angeboten auf Strasse und Schiene bewusst sein – und sind es zum Teil auch bereits.
Denn schon jetzt nehmen die Zahl und Raffinesse von Cyber-Attacken stetig zu. So ist die SBB laut eigenen Angaben jährlich mit 2 bis 3 Millionen Angriffsversuchen konfrontiert. Aber auch kleinere und mittlere Transportunternehmen sind vor Angriffen nicht mehr gefeit. So wurden beispielsweise die Verkehrsbetriebe Luzern im Mai 2022 Opfer eines gezielten Cyber-Angriffs und Erpressungsversuchs. In der Folge konnten die Abfahrtszeiten auf den Abfahrtsanzeigen für einige Tage nicht mehr in Echtzeit angezeigt werden und Verkaufsgeräte fielen aus.
Schwachstellen minimieren
Während Grossunternehmen wie die Deutsche Bahn oder die SBB mittlerweile umfassende dedizierte Abteilungen, Strukturen und Prozesse zur Gewährleistung der Cyber-Sicherheit aufgebaut haben, stellt dies kleine und mittlere Verkehrsunternehmen vor erhebliche personelle und finanzielle Herausforderungen. Doch ist es aus den geschilderten Gründen unerlässlich, die eigenen IT-Systeme gegen Cyber-Attacken abzusichern. Mit der Frage, wie das gelingen kann, hat sich das Beratungsunternehmen Q_PERIOR gemeinsam mit der Zürcher Hochschule für Angewandte Wissenschaften (ZHAW) in einem Whitepaper beschäftigt.
Eine digitale Infrastruktur umfassend zu schützen bedeutet: Alle beteiligten Systeme müssen hohe Sicherheitsanforderungen erfüllen. Absolut grundlegend dafür sind die gegenseitige Authentisierung und korrekte Autorisierung aller Akteure, die Sicherstellung der Systemverfügbarkeit sowie der Schutz der Privatsphäre von Mitarbeiter:innen und Kunden. Darüber hinaus müssen alle Daten und Datenflüsse sowohl vor unberechtigtem Zugriff als auch vor unberechtigter Veränderung geschützt werden. Dies stellt sicher, dass Angreifer:innen nichts aus den Daten lernen und auch keine gefälschten Daten ins System einschleusen können. Generell sollte jede eingesetzte Software frei von Schwachstellen sein, die von Cyber-Kriminellen ausgenutzt werden könnten. Was logisch klingt, bedeutet in der Realität grosse Herausforderungen. Das Verkehrssystem ist komplex. Alle potenziellen Schwachstellen zu erkennen und abzusichern, ist eine grosse Aufgabe, die niemals perfekt erfüllt werden kann.
Prävention und aktive Abwehr
Für den effektiven Schutz dieser Systeme sind daher zwei Bereiche entscheidend: Die präventiven Massnahmen sowie die Cyber Defense. Das Ziel präventiver Massnahmen ist es, wie der Name sagt, Cyber-Angriffe zu verhindern, indem Angreifer:innen erst gar nicht in ein System gelangen können. Um das zu erreichen, sind verschiedene Mittel möglich. So können Daten beispielsweise mit Verschlüsselungen, kryptographischen Hash-Funktionen und digitalen Signaturen übertragen werden. Dadurch kann nicht unbefugt auf sie zugegriffen werden, sie können nicht unbefugt geändert werden und insbesondere ist es möglich, nachzuweisen, dass die Daten wirklich vom angegebenen Sender verschickt wurden. Ein weiteres Beispiel sind sogenannte Tamper Proof Devices (TPD), mit denen Daten fälschungssicher aufbewahrt werden können und ihre Integrität gewährleistet werden kann. Solche Hardwaregeräte erlauben zwar das Speichern von Daten, es ist jedoch nicht möglich, diese zu verändern oder gar zu löschen. Darüber hinaus ist zentral, Systeme kontinuierlich auf Schwachstellen zu prüfen. Dazu können automatisierte Tools genutzt werden, aber auch die manuelle Prüfung und Suche nach Einfallstoren ist essenziell.
Präventive Massnahmen sind absolut unerlässlich, um die Basissicherheit eines Systems überhaupt möglich zu machen. Klar ist jedoch: Bei komplexen Systemen können Cyber-Angriffe nie vollständig verhindert werden – je vielschichtiger das System, umso mehr Ansatzpunkte für Hacker:innen. Daher ist es unerlässlich, auch reaktive Instrumente zu implementieren. So ermöglicht eine kontinuierliche Überwachung der Systeme und ihrer Funktionalitäten eine schnelle Erkennung von Vorfällen sowie eine effiziente Abwehr von Angreifer:innen. Dieser Aufgabenbereich wird im Kontext von Cyber Security als Cyber Defense bezeichnet.
Das Herzstück der Cyber Defense: Das Security Operations Center
Organisatorisches Herzstück dieser Cyber Defense ist das Security Operations Center (SOC), das für die Überwachung der IT-Infrastruktur sowie die Erkennung, Analyse und Eindämmung möglicher Sicherheitsvorfälle zuständig ist. Die zunehmende Bedrohungslage macht entsprechende Elemente für die IT Security unabdingbar. Cyber-Angriffe werden immer ausgefeilter und Unternehmen müssen darauf vorbereitet sein und schnell und effektiv reagieren können. Um dies zu ermöglichen, werden in einem SOC die notwendigen Strukturen und Prozesse mit Personal und Technologie ausgestattet. Denn in hochkomplexen Systemen ist die zu überwachende und zu analysierende Datenmenge so gewaltig, dass die SOC-Analyst:innen technologische Unterstützung benötigen.
Dazu gehört unter anderem das sogenannte Security Information and Event Management (SIEM), welches als das technische Rückgrat des SOC gilt. SIEM-Systeme erlauben durch Datenaufbereitung, -zentralisierung und -visualisierung die effiziente Überwachung grosser Datenmengen und -flüsse. Dadurch sind sie der technische Dreh- und Angelpunkt der SOC. Zusätzlich unterstützen Überwachungsprogramme die Prozesse des SOC, indem Tools Netzwerkverkehr und Systeme monitoren, um Anzeichen für unbefugten Zugriff, bösartige Aktivitäten oder Richtlinienverstösse zu finden. Diese Programme warnen oder ergreifen automatische Massnahmen, um potenzielle Bedrohungen zu verhindern oder zu entschärfen. Das Ziel: Schafft es ein:e Angreifer:in, die präventiven Massnahmen zu überwinden, ist es die Aufgabe des SOC, den Angriff zu identifizieren, einzudämmen, mögliche Folgen zu analysieren und Lösungen für diese zu finden. Damit das gelingen kann, müssen verschiedene state-of-the-art Technologien intelligent und automatisiert ineinandergreifen – vollendet durch menschliche Intelligenz und Kompetenz.
Denn trotz fortschrittlicher Informationstechnologie können die Kernaufgaben des SOC niemals vollständig ohne menschliche Expertise erfüllt werden. Entsprechend arbeitet im SOC ein Team von Sicherheitsfachkräften eng zusammen, um Sicherheitsvorfälle zu erkennen und darauf zu reagieren. Sie überwachen relevante Datenquellen, darunter Netzwerkverkehr und -protokolle, Zugriff auf kritische Ressourcen und andere sicherheitsrelevante Ereignisse. Ein:e dedizierte:r SOC-Manager:in übernimmt die Steuerung und Verantwortung, wobei die Anzahl der Mitarbeiter:innen und die Feingranularität der Aufgaben je nach Grösse des SOC variieren.
Der Aufbau eines solchen SOC ist jedoch alles andere als trivial. Schon für eine klassische Organisation, ist der Aufbau ein herausforderndes Unterfangen, das mitunter Jahre dauern kann. Die Implementation eines SOC für hochkomplexe Verkehrssysteme stellt alle Beteiligten vor zusätzliche technische und organisatorische Herausforderungen. Umso wichtiger ist es, dass sich Verkehrsunternehmen und Infrastrukturbetreiber im Zeitalter der Vernetzung und Digitalisierung intensiv mit dem immer wichtiger werdenden Thema Cyber Security und insbesondere Cyber Defense auseinandersetzen. Denn so können sie einen zentralen Beitrag für eine effiziente und nachhaltige Mobilität der Zukunft leisten.
* Tobias Bowald ist Manager sowie Mobilitätsexperte bei Q_PERIOR und seit über zehn Jahren im Entwicklungs- und Innovationsumfeld in der Mobilitätsbranche tätig. Als langjähriger Projektleiter bei der SBB entwickelte er operative Bereiche der Bahn weiter und prägte Vorhaben rund um die Mobilität der Zukunft. Heute berät er Unternehmen, Behörden und öffentliche Organisationen zu Digitalisierung, Innovation und Nachhaltigkeit im Kontext von Mobilität sowie zu Mobilitätsdaten und -plattformen. Bei Schrittmacher.in engagiert er sich für eine nachhaltige Mobilität der Zukunft.
Dr. Fabian Böhm ist Consultant für Cyber Security bei Q_PERIOR und beschäftigt sich mit Themen rund um die Cyber Security, insbesondere Cyber Defense (Security Information Event Management, Security Operations Center). Er berät Kunden zu Themen der Cyber Defense, IAM sowie beim Aufbau und der Umsetzung umfassender Sicherheitsstrategien.
Schreiben Sie einen Kommentar