Cybersecurity Sensibilisierung
Projektaufgaben
- PROSE-Präsentation zum aktuellen Stand der Bahnindustrie
- PROSE-Präsentation zur zukünftigen Entwicklung der Bahnindustrie
- Vertiefung zu TS 50701, Security vs. Safety und Diskussion über Standards
- Interaktives Brainstorming zur Lückenanalyse
- Konsolidierung der Ergebnisse der Lückenanalyse und Priorisierung
- Analyse der Security Dokumentation des Kunden
- Zusammenfassung und Definition der nächsten Schritte und Ziele
Unsere Umsetzung
Die digitale Transformation der Bahnindustrie beschleunigt sich in einem beispiellosen Tempo. Mit zunehmender Konnektivität wächst der dringende Bedarf, Cybersicherheitsrahmen zu verbessern, um Widerstandsfähigkeit gegen sich entwickelnde Bedrohungen zu gewährleisten. Ein kürzlich abgehaltener Branchen-Workshop beleuchtete zentrale Erkenntnisse über den aktuellen Stand der Cybersicherheit in Bahnsystemen sowie die erwarteten regulatorischen Veränderungen, die die Zukunft prägen werden.
Die Sicherheit im Bahnsektor hat sich traditionell auf den Schutz von Menschen und Maschinen konzentriert. Inzwischen ist jedoch die Cybersicherheit zu einem entscheidenden Faktor geworden, um IT-Systeme, Infrastrukturen und sensible Daten zu schützen. Trotz ihrer Relevanz bieten viele bestehende Bahnstandards nur begrenzte Leitlinien zur Cybersicherheit. Wichtige Normen wie EN 50126, EN 50716 und EN 50129 erkennen Sicherheitsbedenken zwar an, liefern jedoch keine konkreten Massnahmen. Die in den 2010er-Jahren entstandene IEC-62443-Serie hat sich zu einem grundlegenden Sicherheitsrahmen entwickelt, jedoch ist ihre vollständige Integration in Bahnsysteme noch in Arbeit.
Eine zentrale Herausforderung der Cybersicherheit ist der menschliche Faktor. Unklar definierte Rollen in Projekten können zu Sicherheitsrisiken führen – beispielsweise durch Software-Updates, die ohne ausreichende Validierung implementiert werden und kritische Systeme beeinträchtigen können. Klare Rollendefinitionen und strukturierte Sicherheitsprozesse sind notwendig, um solche Risiken zu minimieren.
Die Zukunft der Bahnsicherheit wird durch neue Richtlinien und harmonisierte Standards geprägt, die bestehende Sicherheitslücken schliessen sollen. Mehrere regulatorische Entwicklungen werden die Sicherheitsanforderungen im Sektor neu definieren. Die NIS-2-Richtlinie verpflichtet Betreiber kritischer Infrastrukturen, einschliesslich der Bahnindustrie, zu umfassenden Cybersicherheitsmassnahmen. Auch Unternehmen in der Lieferkette müssen künftig ihre Compliance nachweisen.
Der Cyber Resilience Act (CRA) stellt strenge Sicherheitsanforderungen an Hersteller und Lieferanten digitaler Produkte, darunter Bahntechnologie. Die IEC 63452 wird voraussichtlich zu einem globalen Massstab für Cybersicherheit in Bahnsystemen und kombiniert Elemente aus IEC 62443 und TS 50701, um ein einheitliches Sicherheitsframework zu schaffen. Darüber hinaus zeichnet sich ein Trend zu gemeinsamen Cybersicherheitsdiensten ab – beispielsweise in den Bereichen Authentifizierung, Protokollierung und Netzwerksicherheit, um standardisierte Schutzmassnahmen für kritische Bahnsysteme zu gewährleisten.
Kundennutzen
Bahnbetreiber, Hersteller und Zulieferer müssen sich proaktiv an diese neuen Vorschriften anpassen. Wichtige Empfehlungen umfassen:
- Identifikation und Inventarisierung aller Assets (insb. SW)
- Durchführung von Cybersicherheits-Risikobewertungen zur Identifikation von Schwachstellen
- Festlegung klarer Sicherheitsanforderungen für Lieferanten und Sicherstellung der Compliance in der gesamten Wertschöpfungskette
- Implementierung von Security-by-Design-Prinzipien in der Entwicklung neuer Produkte
- Stärkung der Reaktionsfähigkeit auf Sicherheitsvorfälle, um Bedrohungen effektiv zu bewältigen
Durch einen proaktiven Ansatz kann die Branche die Sicherheit, Zuverlässigkeit und Widerstandsfähigkeit von Bahnsystemen in einer zunehmend vernetzten Welt gewährleisten.