Am Freitagmorgen des 26. Juli musste die französische Nation und ganz Europa mit ansehen, wie das französische Hochgeschwindigkeitsnetz von unbekannten Akteuren auf koordinierte Weise angegriffen wurde. Am Freitag und Samstag habe ich auf LinkedIn mehrere Gedanken gelesen, die besagten, dass der Schutz der französischen Eisenbahn sowohl gegen Vandalismus als auch gegen Cybersecurity nicht gut genug ist. Es gab auch Aussagen, dass die französische Regierung versagt hat und so weiter. Obwohl ich mit einigen dieser Aussagen aus verschiedenen Gründen nicht einverstanden bin, ist es interessant, dass niemand einen Vorschlag gemacht hat, wie man das Problem in Zukunft entschärfen könnte. Um ehrlich zu sein, ist dies keine wirkliche Überraschung, denn das Thema ist nicht einfach! Vor einigen Jahren habe ich für einen der größten Bahnbetreiber in Europa gearbeitet, und aus diesem Grund möchte ich in diesem Beitrag kurz auf die Situation in Frankreich und Europa im Allgemeinen eingehen.
Kommentar von Christian Schlehuber, Geschäftsführer Cybershield
Was am Freitag in Frankreich geschah, war ein klassischer Angriff auf die physische Eisenbahninfrastruktur. Bei diesem Angriff wurden sowohl Elemente der Signaltechnik als auch die Kabelverbindungen der Infrastrukturelemente angegriffen. Es mag seltsam klingen, aber dies ist ein recht häufiger Angriff und kommt auch in anderen Ländern häufig vor. So kam es in Deutschland im September 2023 zu einer größeren Störung zwischen Berlin und Hamburg aufgrund eines durchgebrannten Kabelstrangs. Auch vor einigen Jahren, als Abschiebeflüge vom Düsseldorfer Flughafen aus stattfanden, verbrannten einige Aktivisten dort fast wöchentlich Kabelkanäle als Protestaktion, was ebenfalls zu Störungen führte. Das Besondere an der aktuellen Aktion in Frankreich war, dass sie an mehreren Orten im Land gleichzeitig stattfand. Der Angriff selbst ist ziemlich häufig.
Sie fragen sich jetzt vielleicht, wenn das so oft passiert, warum gibt es dann keine technischen Maßnahmen?
In modernen Stellwerken gibt es bereits einige Maßnahmen, z.B. haben die Netzwerkverbindungen zwischen den Leitstellen und den Stellwerken redundante Verbindungen, die meist auch unterschiedliche physikalische Wege haben. Der Weg vom Stellwerk zum Feldelement (Signal, Weichenantrieb, etc.) ist abhängig von der verwendeten Technologie. Bei „normalen“ elektronischen Stellwerken haben Sie dort keine Datenkabel mehr, sondern Kabel, die das Licht des Signals oder den Motor des Weichenantriebs versorgen (vereinfachte Erklärung!).
Bei den „digitalen“ Stellwerken (DSTW- oder EULYNX-basierte Stellwerke) haben Sie auch vom Stellwerk zum Schrank neben dem Feldelement ein Kabel für die Datenkommunikation und einen separaten Energiebus. Hier befindet sich die Steuerung des Feldelements direkt neben dem Feldelement. Auch hier werden redundante Kommunikationsleitungen verwendet, die räumlich getrennt sein sollten.
Letztlich sind beide Technologien aus Gründen der Zuverlässigkeit auf kabelgebundene Kommunikation angewiesen, was sie natürlich im Falle von Vandalismus wie brennenden Kabelkanälen in Gefahr bringt.
Sollte ein solcher Angriff auf die Signalisierungsinfrastruktur erfolgen, ist die Sicherheit in jedem Fall gewährleistet. Bei einem Ausfall einer der redundanten Verbindungen wird das Problem in der Regel direkt angezeigt und gemeldet, damit eine rechtzeitige Wartung möglich ist. Gleichzeitig können die Systeme eine weitere Sicherheitsmaßnahme aktivieren, um auf den Verlust der redundanten Verbindung zu reagieren und die Verdopplung von Kommunikationstelegrammen einzuführen, um Bitflips oder Ähnliches auf der Kommunikationsverbindung erkennen zu können.
Im Falle eines Totalausfalls der Kommunikation wird der Heartbeat-Mechanismus dieser Systeme den Ausfall rechtzeitig erkennen und die Elemente in einen sicheren Zustand versetzen (z. B. rotes Licht oder Stoppschild). Selbst im Falle eines totalen Stromausfalls gibt es noch eine weitere Ebene von Betriebsverfahren: An den Signalen (sofern sie auf dieser Strecke verwendet werden) sind feste Schilder angebracht, die dem Zugführer mitteilen, was er im Falle eines dunklen Signals zu tun hat.
Hmm… aber wie wird ein Angreifer in diesen Mechanismen berücksichtigt?
Dies ist ein Dauerthema für viele Systeme im Bereich der kritischen Infrastrukturen. Diese Systeme wurden vor Jahrzehnten entwickelt, wobei die Überlegungen hauptsächlich auf Ausfälle innerhalb des Systems oder auf Fehler des Betreibers abzielten. Dahinter stand der Gedanke: „Warum sollte jemand unseren Dienst angreifen, wenn wir doch etwas Wichtiges für alle liefern, wie Wasser, Energie oder Verkehr“. Das mag vor Jahrzehnten noch gegolten haben, aber angesichts interner und externer Spannungen und des zunehmenden Interesses nationalstaatlicher Akteure sowie von Kriminellen muss sich diese Denkweise ändern, und kritische Infrastrukturen müssen widerstandsfähiger gegen Angriffe werden.
Was kann getan werden?
Nun zurück zu unserer aktuellen Situation mit Vandalismus, der auf Signale und Signalanlagen abzielt: Was kann getan werden, um diese Situation zu verbessern? Schon vor einigen Jahren habe ich nach den Düsseldorfer Kabelkanalbränden mit Kollegen über diese Situation diskutiert, und eine mögliche Lösung könnte die Nutzung von Mobilfunknetzen als Ausweichlösung sein. Es gibt Firewalls, die nicht nur physische Netze absichern können, sondern auch die Fähigkeit haben, sich mit 4G-Netzen zu verbinden (z.B. Fortinet FGR-70F-3G4G). Wenn ein Schaltschrank an einem Signal der neuen „digitalen“ Stellwerksgeneration mit dieser Lösung ausgestattet ist, könnte im Falle eines Kommunikationsverlusts über das kabelgebundene Netz die Mobilfunkverbindung aktiviert und dann eine Fallback-Verbindung zur Kerneinheit des Stellwerks hergestellt werden (in einem degradierten Modus – je nach den Betriebsverfahren), und der Angreifer wäre nicht in der Lage, das Ziel der Verkehrsunterbrechung zu erreichen, da eine Kommunikation mit der Signalisierungseinrichtung weiterhin möglich wäre.
Natürlich sind damit nicht alle möglichen Probleme gelöst, denn es besteht die Gefahr, dass die Hauptstromkabel zerstört werden und ohne Strom auch kein Rückfall möglich ist. Und natürlich sind bei den „normalen“ elektronischen Stellwerken die Verbindungen zu den Feldelementen immer noch anfällig.
Ich hoffe, dass Sie nach der Lektüre dieses Artikels zustimmen, dass es schwer ist, zu behaupten, dass die Regierung oder der Bahnbetreiber sich nicht gut vorbereitet haben, denn die Herausforderung ist nicht einfach. Natürlich gibt es Lösungen, die einige der Bedrohungen entschärfen können, aber sie müssen umgesetzt werden und sind natürlich nicht perfekt.
P.S.: Falls jetzt jemand denkt: „Ja, warum verlegt ihr die Kabel nicht einfach in der Erde statt in den Kabelkanälen?“. Neben dem fast vollständigen Verlust der Wartbarkeit gibt es auch genügend Fälle, in denen Erdkabel von Baggern angefahren wurden!
Über CyberShield:
CyberShield ist ein führendes Unternehmen für Eisenbahn- und industrielle Cybersicherheit mit Sitz in Deutschland. Mit unserem Expertenteam tragen wir zur Entwicklung von Cybersecurity Industriestandards wie CENELEC TS 50701 & IEC 63452 bei.
Als One-Stop-Shop bietet CyberShield umfassende OT-Sicherheitsdesigns, Verifizierung und Validierung, Management von Sicherheitssystemen sowie maßgeschneiderte Schulungen für Ihr OT-Personal. CyberShield liefert pragmatische, hochwertige Lösungen, die auf Ihre Bedürfnisse zugeschnitten sind und IT/OT-Systeme effektiv schützen.
Weitere Informationen unter https://cybershield-consulting.com/
Firmenkontakt
CyberShield
Christian Schlehuber
Julius-Hatry-Straße 1
68163 Mannheim
+49 172 6184408
https://cybershield-consulting.com
Pressekontakt
Sprengel & Partner GmbH
Lisa Dillmann
Nisterstraße 3
56472 Nisterau
+49 (2661) 912600
https://www.sprengel-pr.com/de/