58 4 · 2016 TR ANSFORMING CITIES THEMA Städtische Infrastrukturen Angriffssicherheit im Lebenszyklus Kritischer Infrastrukturen Schutzkonzepte für Bahnanwendungen Schienenverkehr, Kritische Infrastruktur, IT-Security, Sicherheitsnachweis, Sicherheit Lars Schnieder Das Schienenverkehrsnetz ist eine Kritische Infrastruktur. Ein Versagen führt zu erheblichen volkswirtschaftlichen Schäden. Leit- und Sicherungssysteme gewährleisten den sicheren Verkehrsablauf für Züge des Nah- und Fernverkehrs. Mit dem zunehmenden Einsatz seriengefertigter Produkte aus dem Elektronik- und Softwarebereich steigt die Verwundbarkeit von Verkehrsinfrastrukturen gegen unerlaubte Eingriffe und kriminelle Attacken. „What ’s not secure is not safe“ - Die IT-Sicherheit hat einen erheblichen Einfluss auf die signaltechnische Sicherheit. Die IT-Sicherheit muss daher in der Sicherheitsnachweisführung und Begutachtung elektronischer Steuerungssysteme für Bahnanwendungen zwingend berücksichtigt werden. Bild 1: Ermittlung des erforderlichen Schutzgrades für den Entwurf angriffssicherer Systeme. © pixabay 59 4 · 2016 TR ANSFORMING CITIES THEMA Städtische Infrastrukturen Einleitung Vom Kraftwerk bis zum Krankenhaus, in der Flugsicherung oder bei Bahnsystemen: Alle so genannten Kritischen Infrastrukturen müssen gegen Bedrohungen gerüstet werden, die sie aus der weltweiten Anonymität des Internets bedrohen können. Schienenverkehrssysteme werden als Kritische Infrastrukturen eingestuft [1]. Mit der Einführung des IT-Sicherheitsgesetzes im Juli 2015 wurden erweiterte Vorgaben für Kritische Infrastrukturen eingeführt. Im Gesetzestext heißt es: „Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten dieser Rechtsverordnung […] angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.“ Bei der Signaltechnik handelt es sich um ein solches für die Funktionsfähigkeit des Verkehrsträgers Schiene maßgebliches System (vgl. Bild 1). Die Signaltechnik ist immer mehr von Informations- und Kommunikationstechnologie durchdrungen. Wurden bislang hauptsächlich spezifische proprietäre Komponenten und Ende-zu-Ende-Kommunikationsverbindungen eingesetzt, entwickelt sich die Systemlandschaft - auch im Feld - hin zu generischen Rechnersystemen und deren Verbindung durch universelle Datennetzwerke. Derzeit ist der Trend zur Nutzung industrieller Standards bei Betriebssystemen, Schnittstellen, Kommunikationsprotokollen und Netzwerkgeräten deutlich erkennbar und wird sich zukünftig weiter verstärken. Die Architektur signaltechnischer Systeme nähert sich damit immer mehr der Architektur verteilter IT-Systeme und Anlagen der Industrieautomatisierung an. Dies bringt auch für Bahnanwendungen ähnliche IT-Sicherheits-Implikationen mit sich wie für sonstige verteilte Rechnersysteme [2]. In Abwesenheit wirkungsvoller Schutzmaßnahmen wird die Signaltechnik immer verwundbarer für Angriffe von außen. Die sorgfältige Berücksichtigung der Angriffssicherheit (Security) wird in der Entwicklung und im Betrieb signaltechnischer Systeme immer bedeutender. Dies stellt die Hersteller, Betreiber und Gutachter von Bahnanwendungen vor große Herausforderungen. 1. Grundlegende Begriffsdefinitionen Gemäß § 2 der Eisenbahnbau- und Betriebsordnung (EBO) müssen „Bahnanlagen und Fahrzeuge so beschaffen sein, dass sie den Anforderungen der Sicherheit und Ordnung genügen“. Gleichlautend ist § 2 der Straßenbahn-Bau- und Betriebsordnung (BOStrab) für den Bereich städtischer Infrastrukturen. Der Begriff „Sicherheit“ wird hierbei allerdings in zwei unterschiedlichen Konnotationen verwendet. Dies wird genau dann deutlich, wenn man sich die verschiedenen Möglichkeiten einer englischsprachigen Übersetzung des Terminus Sicherheit verdeutlicht. Die beiden unterschiedlichen Bedeutungsausprägungen müssen für das Verständnis des Entwurfs sicherer Steuerungssysteme differenziert betrachtet werden, da sie in der Entwicklung und im Betrieb signaltechnischer Systeme in unterschiedliche technische und organisatorische Schutzkonzepte resultieren:  Der englischsprachige Terminus Safety bezeichnet üblicherweise die Betriebssicherheit einer signaltechnischen Anlage. Die Betriebssicherheit beschreibt hierbei den Zustand der Gefahrenfreiheit der Systemumgebung (Reisende, Betriebspersonal) vor einer durch eine Fehlfunktion des jeweils betrachteten signaltechnischen Systems hervorgerufenen Gefährdung. Die Aspekte der Betriebssicherheit sind in den üblichen Normen für Eisenbahnsteuerungs- und -überwachungssysteme (vgl. [3] - [6]) umfassend behandelt [2]. Allerdings decken diese Normen aktuell jedoch bei weitem nicht alle Bereiche der IT-Sicherheit explizit ab. Beispiele hierfür sind Anforderungen bezüglich Virenschutz, Ferndiagnose oder automatische Software-Updates.  Der englischsprachige Terminus Security bezeichnet die Angriffssicherheit und beschreibt den Schutz des jeweils betrachteten signaltechnischen Systems vor Störeinflüssen aus der Systemumgebung. Eine mögliche Ursache einer solchen Gefährdung ist ein zielgerichteter Angriff von außen [2]. Die Betrachtung der Security wird bislang über bahnspezifische Normen kaum abgedeckt. Ein Beispiel für einen auf das signaltechnische System einwirkenden Bedrohungsvektor ist das willentliche Eindringen eines Angreifers in die Systemumgebung einer Funkstreckenzentrale der Zugbeeinflussung mit der damit verbundenen Möglichkeit eines Absetzens einer gefährlichen Fahrerlaubnis. Die Konzepte Safety und Security stehen nicht separat nebeneinander, sondern sind aufeinander bezogen. Im englischen Sprachgebrauch hat sich daher das Sprichwort herausgebildet „What ’s not secure is not safe“. Fehlende IT-Sicherheit (Angriffssicherheit, Security) kann die signaltechnische Sicherheit (Betriebssicherheit, Safety) negativ beeinflussen. Es ist daher mittlerweile unstrittig, dass ein Nachweis 60 4 · 2016 TR ANSFORMING CITIES THEMA Städtische Infrastrukturen der IT-Sicherheit als ein Bestandteil der „klassischen“ Sicherheitsnachweisführung gemäß der einschlägigen Normen der funktionalen Sicherheit behandelt werden muss, wenn die signaltechnische Sicherheit betroffen ist [7]. Die Frage ist jedoch nur, wie genau diese Sicherheitsanforderungen im Lebenszyklus von Bahnsystemen, d. h. im Entwurf und Betrieb _sicherheitsgerichteter Systeme für den Schienenverkehr einfließen. 2. Anforderungen an den Entwurf angriffssicherer Systeme Der wesentliche Unterschied zwischen Angriffssicherheit und funktionaler Sicherheit ist der, dass es sich bei den Bedrohungen der Angriffssicherheit im Wesentlichen um bewusste menschliche Handlungen (Angriffe) handelt. Menschliche Fehler oder Auswirkungen von Hardware-Ausfällen spielen im Vergleich dazu nur eine untergeordnete Rolle oder tragen dazu bei, dass gewisse Angriffe möglich oder erleichtert werden. Dies bedeutet aber, dass im Kontext der einschlägigen Normen für die funktionale Sicherheit von Bahnanwendungen (vgl. [3] - [6]) solche Bedrohungen wie systematische Fehler behandelt werden müssen. Dies bedeutet, dass keine Quantifizierung stattfindet, sondern die Anforderungen qualitativ in Form von IT-Sicherheitsanforderungsstufen ähnlich den Sicherheitsintegritätslevels (SIL) der funktionalen Sicherheit definiert werden müssen [7]. In der Praxis wird hierbei die klassische für die Betriebssicherheit (Safety) durchgeführte Risikoanalyse um eine für die Angriffssicherheit (Security) durchgeführte Bedrohungsanalyse ergänzt. Ergebnis der Bedrohungsanalyse sind IT-Sicherheits-Anforderungsstufen für technische Systeme, die IT-Sicherheitsbedrohungen ausgesetzt sind. Ziel ist hierbei, die systematische und strukturierte Definition und Implementierung geeigneter Schutzmaßnahmen. Hierbei können vorhandene Normen und Standards für Industrieanlagen [8] analog für Bahnanwendungen angewendet werden. Die Norm [8] beschreibt die Anforderungen an ein System mit Security-Eigenschaften in einer nachvollziehbaren, strukturierten Form. Der erforderliche Schutzgrad (Angriffssicherheit) wird hierbei durch einen sogenannten Security Level (SL) festgelegt. Der Security Level charakterisiert a.) die Zufälligkeit oder Absicht des Angriffes, b.) die verfügbaren Ressourcen des potenziellen Angreifes, c.) das erforderliche Wissen des Angreifers sowie d.) seine für die Attacke vorhandene Motivation. Bild 2 stellt dar, wie sich die Ermittlung des Security Levels in die Entwicklung sicherungstechnischer Systeme für den Bahnbetrieb nach [3] einfügt. Für Bahnanwendungen gilt generell, dass die vorhandenen Safety- Normen bereits den untersten Level SL1 (zufällige oder durch unglückliche Gleichzeitigkeit von Ereignissen hervorgerufene Beeinflussung) behandeln (Tabelle- 1). Nicht ausreichend behandelt wird in den Safety-Normen die willentliche Einflussnahme mit einfachen oder hoch qualifizierten Mitteln durch Personen mit Basiswissen oder erheblichem Know-how, aber mit nur moderater Motivation. Diese Abstufungen werden in [8] mit Security Level 2 und 3 bezeichnet. Bei ihnen werden sieben Basisanforderungen mit Systemanforderungen und Implementierungsempfehlungen vorgegeben (vgl. [9] und [10]). Bild 3 stellt dar, wie beispielsweise die Basisanforderung „Zugriffskontrolle“ in konkrete Systemanforderungen (SR) und weitergehende Anforderungen (RE) dekomponiert werden kann. Diese auf die Umsetzung von Schutzmechanismen bezogenen Anforderungen werden in der Systementwicklung nachverfolgt und ihre Umsetzung im Rahmen der Eigenschaftsabsicherung (Verifikation / Validierung) nachgewiesen. Bild 2: Systematische Ableitung von Systemanforderungen für den Entwurf angriffssicherer Systeme für Bahnanwendungen nach DIN EN 50126. © Schnieder Intention Verfügbare Ressourcen Erforderliches Wissen Vorhandene Motivation SL1 Zufall n.a. n.a. n.a. SL2 Absicherung Gering Allgemein Gering motiviert SL3 Absicherung Moderat Spezielles Systemwissen Motiviert SL4 Absicherung erweitert Spezielles Systemwissen Hoch motiviert Tabelle 1: Security Level beim Bahnbetrieb. 61 4 · 2016 TR ANSFORMING CITIES THEMA Städtische Infrastrukturen 3. Anforderungen an den Betrieb angriffssicherer Systeme Die Verantwortung für die Aufrechterhaltung eines angemessenen Schutzniveaus der betrachteten Systeme endet nicht mit dem Zeitpunkt der Inbetriebnahme (vgl. Bild 4). Dies rückt einerseits technische Aspekte wie ein Software-Patchmanagement zwischen Hersteller und Betreiber in den Vordergrund. Außerdem werden aber auch darüber hinaus gehende organisatorische Aspekte seitens des Betreibers - wie ein Betriebskontinuitätsmanagement (BKM; englisch business continuity management (BCM)) - erforderlich. Werden beispielsweise kommerzielle Softwarekomponenten in sicherheitsrelevanten Systemen eingesetzt, ist davon auszugehen, dass systematisch Schwächen analysiert und veröffentlicht werden. Allerdings ist leider auch davon auszugehen, dass es Anwender geben wird, die Schwächen in solchen Systemen ausnutzen. Sie entwickeln beispielsweise Viren oder andere Schadsoftware und bringen diese in Umlauf. Deshalb sind im Betrieb von Eisenbahnsteuerungs- und -überwachungssystemen Maßnahmen zu ergreifen, die entweder wirksam ausschließen, dass Schadsoftware die sicherheitsgerichtete Anwendung beeinflusst oder aber, dass Schadsoftware ausreichend schnell erkannt wird. Das bedeutet, dass die Software bei kommerziellen Betriebssystemen oder bei Schadsoftware-Schutzprogrammen häufiger ausgetauscht werden muss. In Abhängigkeit einer Änderungsauswirkungsanalyse für das betroffene System (Änderung von Konfigurationsdaten, Fehlerbehebung ohne Funktionserweiterung, Funktionserweiterung) ist ggf. eine erneute Validierung und Sicherheitszulassung des Systems erforderlich [7]. Hierbei zahlt es sich aus, wenn Gegenmaßnahmen für die Angriffs- und Betriebssicherheit in der Implementierung signaltechnischer Systeme unabhängig voneinander umgesetzt wurden. Dies ermöglicht eine klare Aufgabenteilung zwischen IT-Sicherheitsexperten für den Bereich der Angriffssicherheit und Experten für die anwendungsspezifische Betriebssicherheit. Darüber hinaus ist eine Entkopplung der Maßnahmen auch aus Sicht der Systempflege anzuraten. Der Lebenszyklus von Maßnahmen zur Angriffssicherheit ist üblicherweise deutlich kürzer als der von Maßnahmen zur Betriebssicherheit. Dies ist in den immer leistungsfähigeren Rechnern und mathematisch optimierten Bild 3: Dekomposition der grundlegenden Anforderung „Zugriffskontrolle“ in konkrete Systemanforderungen. © Schnieder Bild 4: Integration des Software-Patchmanagements in den Lebenszyklus von Bahnanwendungen nach DIN EN 50126. © Schnieder 62 4 · 2016 TR ANSFORMING CITIES THEMA Städtische Infrastrukturen AUTOR Dr.-Ing. Lars Schnieder Leiter Assessment Service Center ESE Engineering und Software-Entwicklung GmbH Kontakt: lars.schnieder@ese.de Angriffsverfahren begründet. Werden Maßnahmen der IT-Sicherheit in einem dedizierten Architekturbereich angeordnet, können somit seriengefertigter Produkte aus dem Elektronik- und Softwarebereich (sog. commercial-of-the-shelf, COTS) für die Sicherstellung der Angriffssicherheit eingesetzt werden. Ein Beispiel hierfür sind kommerzielle Bibliotheken für Verschlüsselungsalgorithmen. Über die zuvor dargestellten Maßnahmen des Software-Patchmanagements hinaus ist von den Betreibern auch ein Betriebskontinuitätsmanagement auszuarbeiten. Dies umfasst ein leistungsfähiges Notfall- und Krisenmanagement zwecks systematischer Vorbereitung auf die Bewältigung von Schadenereignissen [11]. Dies hat zum Ziel, dass wichtige Geschäftsprozesse selbst in kritischen Situationen und in Notfällen nicht oder nur temporär unterbrochen werden und die wirtschaftliche Existenz des Unternehmens trotz Schadenereignis gesichert bleibt. Zu diesem Zweck werden Prozesse erstellt und eingeführt und ein exakt auf das jeweilige Unternehmen abgestimmter Notfallvorsorgeplans erstellt. In Bezug auf Schienenverkehrsinfrastrukturen muss ein solches BCM Aussagen zur Zusammenarbeit von Herstellern, Behörden und dem betroffenen Unternehmen enthalten. Um im Krisenfall tatsächlich Bahnbetrieb durchführen zu können, sind die Vorgaben des BCM in betriebliche Regeln umzusetzen. Das betriebliche Regelwerk ist so zu erweitern, dass es Charakteristiken eines IT-Security-Angriffs berücksichtigt. So beruht das heutige Regelwerk auf Vertrauen in die Richtigkeit von Informationen und Identitäten, die nach einem erfolgreichen Angriff nicht mehr gewährleistet sein müssen [1]. 4. Fazit Aspekte der IT-Sicherheit und der signaltechnischen Sicherheit müssen im Systementwurf und im Betrieb gleichzeitig Berücksichtigung finden. Grundlegende Prozessschritte für den Entwurf und den Nachweis der Angriffssicherheit technischer Systeme können problemlos in die für den Entwurf und die Implementierung signaltechnischer Systeme (vgl. [3]) integriert werden. Insofern können bereits vorhandene Normen der IT-Sicherheit [8] weitestgehend verwendet und bahnspezifisch adaptiert werden. Die Berücksichtigung von IT-Security-Anforderungen bringt zusätzliche Einschränkungen oder höheren Aufwand in der Entwicklung und im Betrieb leit- und sicherungstechnischer Systeme für Bahnanwendungen mit sich. Allerdings ist beim Fehlen adäquater Schutzmechanismen damit zu rechnen, dass signaltechnische Systeme, die keinen ausreichenden Basisschutz besitzen, entweder gehackt oder öffentlich kompromittiert werden. Dies hätte negative wirtschaftliche Auswirkungen für die Verkehrsunternehmen und einen Vertrauensverlust in der Bevölkerung oder im schlimmsten Fall Unfallverluste zur Folge. LITERATUR [1] Milius, B., Huang, P.-C.: IT-Security-Angriffe: Herausforderung für das Krisenmanagement. In: EI-Der Eisenbahningenieur 67 (2016) 6, S. 29-32. [2] Mönig, N., Lemke, O., Cengiz, G.: Security-Betrachtungen im Safety-Life-Cycle von bahntechnischen Systemen. In: SIGNAL + DRAHT 105 (2013) 4, S. 6-10. [3] DIN EN 50126: 2000-03: Bahnanwendungen - Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit, Sicherheit (RAMS); Deutsche Fassung EN 50ß126: 1999 [4] DIN EN 50128: 2012-03: Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - Software für Eisenbahnsteuerungs- und Überwachungssysteme; Deutsche Fassung EN 50128: 2011 [5] DIN EN 50129: 2003-12: Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - Sicherheitsrelevante elektronische Systeme für Signaltechnik; Deutsche Fassung EN 50129: 2003. [6] DIN EN 50159: 2001-04: Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - Sicherheitsrelevante Kommunikation in Übertragungssystemen; Deutsche Fassung EN 50159: 2010. [7] Braband, J.: Safety trifft Security: Sicherheitsnachweis und Begutachtungsstrategien. In: SIGNAL + DRAHT 108 (2016) 4, S. 23 - 28. [8] IEC 62443-3-3: 2013 - Industrial communication networks - Network and system security - part 3-3: System security requirements and security levels. [9] Seifert, M., Reinert, J.: Die nächste Generation der IT- Sicherheit für Stellwerke. In: SIGNAL + DRAHT 106 (2014) 5, S. 33 - 36. [10] Störtkuhl, T.: IT-Sicherheit auf Basis IEC 62443 für elektrische Signalanlagen. In: Signal+Draht 106 (2014) 10, S. 10-12. [11] Bundesamt für Sicherheit in der Informationstechnik: BSI-Standard 100-4: Notfallmanagement. BSI (Bonn) 2008.