Die Signale stehen auf Sicherheit: Das IT-Sicherheitsgesetz und die Bahnindustrie
Stuttgart, 4. Juli 2017 – Kostenfreies WLAN in ICE-Zügen, vollautomatische Schienenfahrzeuge – die Bahnbranche treibt mit großen Schritten die Digitalisierung voran. Doch wie können Bahnbetreiber und Zulieferer in Zeiten von WannaCry & Co. sicherstellen, dass Hacker bei ihnen keine Chance haben? Wie passen Safety und Security zusammen und gewährleisten auch bei IT-Sicherheitsvorfällen ein reibungsloses Fortführen des Betriebs? Und welche Vorgaben macht das IT-Sicherheitsgesetz? Mit diesen Themen beschäftigt sich seit Anfang 2016 die Forschungskooperation Cyber-Security für sicherheitskritische Infrastrukturen (CYSIS). Die ICS AG aus Stuttgart ist aktiv dabei.
Mit der fortschreitenden Digitalisierung werden Anlagen und Fahrzeuge mit komplexen Softwaresystemen kombiniert und an öffentliche Netze angebunden. „Früher hatte man eigene Server-Systeme und Netze. Heute muss man sich mit Cyberkriminalität auseinandersetzen“, warnt Andreas Langer, Key Account Manager Transportation bei der ICS AG. Obwohl sich dieses Bewusstsein in der Bahnbranche in den letzten zwei bis drei Jahren geschärft hat, ist es immer noch ein weiter Weg zur Umsetzung von Sicherheitsmaßnahmen.
Die Zeit drängt: IT-Sicherheit ist ein komplexes Thema
Ziel von CYSIS ist der Informationsaustausch zwischen Industrie und Wissenschaft, um die Security in den sicherheitskritischen Strukturen der Bahnbetreiber zu verbessern. Dazu gehört auch die Umsetzung der Vorgaben aus dem IT-Sicherheitsgesetz, das Betreiber kritischer Infrastrukturen (KRITIS) in die Pflicht nimmt. Nach der Verabschiedung der für die Bahnindustrie geltenden BSI-Verordnung haben Betreiber zwei Jahre Zeit, konkrete Sicherheitsmaßnahmen zu implementieren. „Die Betroffenen denken, dass sie sich Zeit lassen können“, weiß Andreas Langer aus Erfahrung. „Dabei wird die Komplexität des Themas unterschätzt.“
Das IT-Sicherheitsgesetz schreibt nicht vor, welche Normen und Vorschriften angewendet werden sollen. Es verweist lediglich auf den „neuesten Stand der Technik“.
Patric Birr, RAMS Engineer bei der ICS AG meint: „Bei CYSIS sitzen alle Beteiligten am selben Tisch um Lösungsansätze zu diskutieren und dabei geeignete Standards für die Branche zu identifizieren.“ Bislang wird die bahnspezifische Vornorm DIN VDE V 0831-104 angewendet. „Die international anerkannte Normenreihe für industrielle Kommunikationsnetze ISO/IEC 62443 wird aber immer konkreter und vollständiger“, so Birr. Ein IT-Sicherheitsnachweis in Anlehnung an den neu entstehenden Teil ISO/IEC 62443-3-2 (IT-Sicherheits- Risikobewertung für Systementwicklung) funktioniert sehr gut. Birr: „Bei der ICS AG haben wir ein entsprechendes Vorgehensmodell bereits erfolgreich angewendet.“…