eJournals Transforming cities 2/4

Transforming cities
tc
2366-7281
2366-3723
expert verlag Tübingen
10.24053/TC-2017-0099
124
2017
24

Angriffssicherheit städtischer Verkehrsinfrastrukturen

124
2017
Lars Schnieder
Ein Leben ohne Smartphone und Tablet ist für viele kaum noch vorstellbar. „Always on“ – uneingeschränkte Konnektivität gehört mittlerweile schon fast zu den Grundbedürfnissen unserer Gesellschaft. Es gibt kaum noch eine Geschäftstätigkeit, die nicht von informationstechnischen Systemen abhängig wäre. Dies gilt auch für städtische Verkehrsinfrastrukturen. Technologietrends und neue Bedrohungsszenarien verstärken für Hersteller und Betreiber städtischer Vekehrsinfrastrukturen die Notwendigkeit, sich den Herausforderungen der IT-Sicherheit zu stellen. Bedrohungen aus dem Internet dürfen essentielle Software in IT-Systemen der Verkehrssteuerung nicht manipulieren, um die Lebensfähigkeit einer Stadt nicht zu gefährden.
tc240061
THEMA Sicherheit im Stadtraum 61 4 · 2017 TR ANSFORMING CITIES Vom Kraftwerk bis zum Krankenhaus, in der Flugsicherung oder bei Bahnsystemen: Alle so genannten „Kritischen Infrastrukturen“ müssen sich gegen Risiken rüsten, die sie aus der weltweiten Anonymität des Internets bedrohen können. Funktionierende Verkehrsinfrastrukturen sind für eine lebensfähige Stadt elementar. Mit der Einführung des IT-Sicherheitsgesetzes im Juli 2015 wurden erweiterte Vorgaben für Kritische Infrastrukturen eingeführt. Im Gesetzestext heißt es: „Betreiber kritischer Infrastrukturen sind verpflichtet spätestens zwei Jahre nach Inkrafttreten dieser Rechtsverordnung […] angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind.“ Dieser Beitrag skizziert den Rechtsrahmen der IT-Sicherheit städtischer Verkehrsinfrastrukturen, zeigt auf, welche Elemente der Verkehrsinfrastruktur einer besonderen Absicherung gegen Angriffe von außen bedürfen und skizziert einen ganzheitlichen institutionellen Rahmen zur Absicherung der IT-Sicherheit. 1. Rechtsrahmen der IT-Sicherheit für städtische Verkehrsinfrastrukturen Rechtsnormen stehen in einem hierarchischen Verhältnis zueinander (vgl. Bild 1). Im nationalen Angriffssicherheit städtischer Verkehrsinfrastrukturen Rechtlicher und institutioneller Rahmen für Betreiber Kritische Infrastrukturen, Digitalisierung, IT-Sicherheit, Sicherung urbaner Verkehrssysteme Lars Schnieder Ein Leben ohne Smartphone und Tablet ist für viele kaum noch vorstellbar. „Always on“ - uneingeschränkte Konnektivität gehört mittlerweile schon fast zu den Grundbedürfnissen unserer Gesellschaft. Es gibt kaum noch eine Geschäftstätigkeit, die nicht von informationstechnischen Systemen abhängig wäre. Dies gilt auch für städtische Verkehrsinfrastrukturen. Technologietrends und neue Bedrohungsszenarien verstärken für Hersteller und Betreiber städtischer Vekehrsinfrastrukturen die Notwendigkeit, sich den Herausforderungen der IT-Sicherheit zu stellen. Bedrohungen aus dem Internet dürfen essentielle Software in IT-Systemen der Verkehrssteuerung nicht manipulieren, um die Lebensfähigkeit einer Stadt nicht zu gefährden. Bild 1: Europäische und nationale Umsetzung des Rechtsrahmens [1]. © Schnieder 62 4 · 2017 TR ANSFORMING CITIES THEMA Sicherheit im Stadtraum Rechtsrahmen bilden formelle Gesetze (legislatives Recht, d.h. vom Parlament erlassene Rechtsakte) den Ausgangspunkt des Rechtsrahmens. Rechtsverordnungen (exekutives Recht) konkretisieren die formellen Gesetze [1]. Rechtsverordnungen sind Rechtsnormen, die von einer Stelle erlassen worden sind, deren Rechtssetzungsgewalt vom Gesetzgeber durch ein förmliches Gesetz delegiert worden ist. Existieren rechtliche Vorgaben auf europäischer Ebene, sind diese entweder in nationales Recht umzusetzen (zum Beispiel Richtlinien) oder entfalten eine unmittelbare innerstaatliche Geltung (zum Beispiel Verordnungen). Im Folgenden werden die einzelnen Stufen des Rechtsrahmens für die IT-Sicherheit von Verkehrssystemen vorgestellt. 1.1 Legislatives Recht Im Vorgriff auf eine in nationales Recht umzusetzende Vorgabe der Europäischen Union [2] hat die Bundesregierung bereits im Jahr 2015 einen nationalen Rechtsrahmen zur Erhöhung der Sicherheit informationstechnischer Systeme geschaffen [3]. Das Gesetz regelt unter anderem, dass Betreiber sogenannter „Kritischer Infrastrukturen“ ein Mindestniveau an IT-Sicherheit einhalten und ihre IT-Systeme gegen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit schützen müssen. Darüber hinaus müssen Betreiber kritischer Infrastrukturen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden. Gleichzeitig werden Hard- und Software- Hersteller zur Mitwirkung bei der Beseitigung von Sicherheitslücken verpflichtet. Außerdem wird der Aufgabenbereich des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erweitert. 1.2 Exekutives Recht Das IT-Sicherheitsgesetz ermächtigt das Bundesministerium des Innern, konkretisierende Rechtsverordnungen zu erlassen. Per Rechtsverordnung (so geschehen durch die so genannte Kritis-Verordnung) wurde der unscharfe Rechtsbegriff „Kritischer Infrastrukturen“ im Juli dieses Jahres nach Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber und Wirtschaftsverbände im Einvernehmen mit den Ressorts für Verkehrsinfrastrukturen präzisiert [4]. Die aktuelle Verordnung bestimmt Versorgungsgrade. Der Versorgungsgrad mit Verkehrsdienstleistungen wird anhand von Schwellenwerten für verschiedene Anlagenkategorien bestimmt. Der Regelschwellwert beträgt dabei 500 000 versorgte Personen. Dieser Schwellenwert wurde deshalb gewählt, weil ein Ausfall oder die Beeinträchtigung der Versorgung mit einer wichtigen Dienstleistung zu einer Versorgungskrise in der Bundesrepublik führen könnte, die sich nicht ohne weiteres lösen lässt und daher vermieden werden muss. Dieser Schwellenwert wird für Verkehrssysteme auf konkrete verkehrliche Messgrößen (beispielsweise die Anzahl beförderter Personen) heruntergebrochen. 2. Definition der Kritizität städtischer Verkehrsinfrastrukturen Anhang 7 der Rechtsverordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) nennt für den Bereich städtischer Verkehrsinfrastrukturen gegen Angriffe von außen zu schützende Anlagenkategorien. Für jede dieser Anlagenkategorien werden Schwellenwerte angegeben, ab denen von den Betreibern technische und organisatorische Schutzmaßnahmen gemäß dem Stand der Technik zu realisieren sind. Hierbei muss das Verkehrsangebot einer Stadt als Ganzes betrachtet werden. Dies bedeutet zum einen, dass städtische Verkehrsinfrastrukturen in ihrer Einbindung in größräumige (überregionale) Verkehre betrachtet werden müssen. Dies bedeutet zum anderen, dass die Verkehrsinfrastruktur der Stadt selbst betrachtet werden muss. 2.1 Kritizität überregionaler Verknüpfungen städtischer Verkehrsinfrastrukturen Städte erfüllen wesentliche Daseinsfunktionen und haben als zentrale Orte eine überregionale Ausstrahlung. Städte sind über kontinentale, großräumige und überregionale Verkehrsverbindungen mit anderen benachbarten zentralen Orten (Metropolregionen und Oberzentren) verbunden. Über diese Kontaktstellen wie Auf- und Abfahrten zu und von Bundesfernstraßen, bzw. Personenbahn- Bild 2: Unterirdische Verkehrsanlagen als Teil Kritischer Infrastrukturen. © Wiener Linien THEMA Sicherheit im Stadtraum 63 4 · 2017 TR ANSFORMING CITIES höfe und Netze des Schienenpersonenfernverkehrs fließen überregionale Verkehre in die Stadt hinein und hinaus. Damit eine Stadt auch im Krisenfall „lebensfähig“ bleibt, müssen hier die Kontaktstellen zu überregionalen Verkehrsinfrastrukturen mit betrachtet werden.  Im Falle von Bundesfernstraßen (Bundesstraßen und Autobahnen) sind die Systeme zur Verkehrsbeeinflussung im Straßenverkehr einschließlich Verkehrszeichen, Einrichtungen zur Erhebung von Maut und zur Kontrolle der Einhaltung der Mautpflicht schützenswerte Anlagen. Darüber hinaus sind Nebenanlagen, die der Wahrnehmung der Aufgaben der Straßenbauverwaltung des Bundes dienen, der Betriebstechnik (zum Beispiel Tunnelzentralen) sowie der Telekommunikationsnetze zu berücksichtigen.  Im Falle von Eisenbahnen des Fernverkehrs sind Personenbahnhöfe, das Schienennetz und die Stellwerke der Eisenbahn schützenswerte Anlagen. Darüber hinaus sind die Verkehrssteuerungs- und Leitsysteme der Eisenbahninfrastruktur- und Eisenbahnverkehrsunternehmen zu schützen. Eisenbahninfrastrukturunternehmen disponieren vorausschauend von hier aus den Schienenverkehr - insbesondere im Falle unerwartet eintretender Ereignisse in ihrem Schienennetz. Eisenbahnverkehrsunternehmen überwachen von hier aus den betrieblichen Ist-Zustand und leiten bei Verspätungen und Störungsfällen Maßnahmen ein, indem sie gezielt unternehmenseigene Züge auf dem Netz disponieren. 2.2 Kritizität städtischer Verkehrsinfrastrukturen Eine Stadt hat ein Netz verschiedener Verkehrsinfrastrukturen. Jeden Tag treffen die Bewohner Modalwahlentscheidungen und wählen die für ihren jeweiligen Mobilitätszweck beste Mobilitätsoption. Hierbei tritt - insbesondere in großen Ballungszentren - zunehmend ein multimodales Verkehrsmittelwahlverhalten zu Tage. In diesem Sinne wird aus verkehrsplanerischer Sicht die Gestaltung verkehrssystemübergreifender Verbindungen zunehmend wichtig. Im Kontext einer Stadt sind hierbei die Verkehrsinfrastrukturen verschiedener Verkehrsträger zu betrachten  Besonders zu schützende Infrastrukturen des Öffentlichen Personennahverkehrs (ÖPNV) sind die Betriebsanlagen von Straßenbahnen und Omnibussen (§ 4 Abs. 1-3 PBefG). Diese umfassen das Schienennetz, Zugsicherungs- und Beeinflussungsanlagen, die Fahrstromversorgung und die Haltestellen. Über die zuvor genannten Betriebsanlagen hinaus sind auch Leitzentralen des ÖPNV besonders gegen Angriffe von außen abzusichern. Diese dienen der betreiberseitigen Überwachung und Steuerung des Verkehrs einschließlich der Flottentelematik (sogenannte Intermodal Transport Control Systeme, ITCS) (Bild-2 und 3).  Bei den Anlagen des städtischen Straßenverkehrs müssen Absicherungsmaßnahmen für Verkehrssteuerungs- und Leitsysteme getroffen werden. Diese Anlagen dienen der Steuerung und Überwachung der verkehrstechnischen Infrastruktur wie Lichtsignalanlagen, Verkehrsbeeinflussungsanlagen sowie Verkehrswarn- und -informationssysteme. 3. Institutitioneller Rahmen der Absicherung Kritischer Infrastrukturen Im Kontext des europäischen Rechtssystems besteht seit Einführung des Neuen Ansatzes (New Approach) eine etablierte Rollenzuteilung, die auf die Einhaltung grundlegender Anforderungen (Sicherheit, Gesundheit, u.a.) zielt. Diese Institutionalisierung ist auch auf die IT-Sicherheit in städtischen Verkehrssystemen anwendbar. Der institutionelle Rahmen besteht aus dem aufeinander abgestimmten Zusammenwirken von Normung, Akkreditierung, Zertifzierung, Zulassung und (behördlicher) Aufsicht. Diese einzelnen Elemente des institutionellen Rahmens werden nachfolgend vorgestellt. Bild 3: Leitstellen von Unternehmen des Öffentlichen Personennahverkehrs gehören zur kritischen Infrastruktur. © Wiener Linien 64 4 · 2017 TR ANSFORMING CITIES THEMA Sicherheit im Stadtraum 3.1 Normung im Kontext der IT-Sicherheit Technische Regelwerke bilden einen Maßstab für (rechtlich) einwandfreies technisches Verhalten. Der Gesetzgeber bedient sich mittelbarer Normenverweise und öffnet auf diese Weise das Recht für fortschreitende technische Erkenntnisse [5]. Im Falle des IT-Sicherheitsgesetzes geschieht dies über die Generalklausel des „Standes der Technik“. Betreiber Kritischer Infrastrukturen sind nach [3] verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung […] angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen […]. Betreiber können dem Bundesamt für Informationssicherheit so genannte branchenspezifische Sicherheitsstandards (B3S) vorschlagen. Das Bundesamt stellt auf Antrag fest, ob sich die eingereichten B3S eignen, um die Schutzziele zu erreichen. Die Feststellung der Eignung erfolgt im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes (zum Beispiel Eisenbahn-Bundesamt). Die B3S umfassen hierbei konkrete Vorgaben technischer Maßnahmen zur Härtung von Systemen gegen Angriffe (zum Beispiel IEC 62443) sowie organisatorischer Schutzmaßnahmen gegen unberechtigte Angriffe (zum Beispiel ISO 27001). 3.2 Akkreditierung zur öffentlichen Absicherung der Qualitätssicherungskette Für die Bewertung der Konformität von Produkten und Managementsystemen zu den Vorgaben der Normen braucht es Konformitätsbewertungsstellen. Die Akkreditierung ist eine unabhängige Bestätigung (von der Akkreditierungsstelle), dass eine Konformitätsbewertungsstelle die in spezifischen Normen (Normenreihe ISO 170xx) festgelegten Anforderungen erfüllt (vgl. [6] und [7]). Hierbei muss gegenüber unabhängigen Dritten (der Akkreditierungsstelle) der Nachweis erbracht werden, dass eine Konformitätsbewertungsstelle unparteilich und unabhängig in ihrer fachlichen Beurteilung ist. Ferner müssen die üblichen Anforderungen eines Qualitätsmanagementsystems nach ISO 9001 (definierte Prozesse, klare Rollen und Verantwortlichkeiten, Dokumentenlenkung sowie kontinuierliche Verbesserung) etabliert sein. Weitere Anforderungen umfassen die transparente Behandlung von Einsprüchen und Beschwerden. Ein weiteres zentrales Element ist die Sicherung der für die jeweilige Aufgabe erforderlichen fachlichen Kompetenzen. Sofern die Aufgabe der Konformitätsbewertung Prüfungen und Messungen umfasst, sind insbesondere Maßnahmen zur Kalibrierung der eingesetzten Mess- und Prüfmittel umzusetzen. 3.3 Zertifizierung Die Zertifizierung ist die Aussage einer Konformitätsbewertungsstelle, dass der Gegenstand der Konformitätsbewertung die Vorgaben der allgemein anerkannten Regeln der Technik erfüllt (vgl. [6] und [7]). Dem ganzheitlichen Schutzkonzept für IT-Infrastrukturen folgend, können konkrete in verkehrstechnischen Anlagen eingesetzte Produkte (Anforderungen an die Konformitätsbewertungsstelle ergeben sich hierbei aus ISO 17065) oder aber Managementsysteme der Betreiber von Verkehrsinfrastrukturen wie Information Security Management Systeme (maßgeblich ist eine Akkreditierung nach ISO 17021) Gegenstand einer Zertifizierung sein. Der Erkenntnis folgend, dass eine Bild 5: Prozessorientierte Überwachung (Beispiel Eisenbahnaufsicht). © Schnieder Bild 4: Anlagen des städtischen Straßenverkehrs. © Deutsches Zentrum für Luft- und Raumfahrt e.V. THEMA Sicherheit im Stadtraum 65 4 · 2017 TR ANSFORMING CITIES hohe Prozessqualität nur von qualifiziertem Personal erreicht werden kann, wäre langfristig auch eine Personenzertifizierung denkbar (die Anforderungen an Konformitätsbewertungsstellen richten sich in diesem Fall nach ISO 17024). 3.4 Zulassung Allen verkehrsträgerspezifischen Gesetzen und Verordnungen ist gemein, dass sie auf einen sicheren und ordnungsgemäßen Betrieb zielen. Diese Anforderungen sind in der Regel genau dann erfüllt, wenn die Anforderungen der jeweiligen verkehrsträgerspezifischen Regelungen erfüllt sind, etwaige Anordnungen der zuständigen Behörde umgesetzt werden sowie die in den Gesetzen und Verordnungen dynamisch referenzierten, allgemein anerkannten Regeln der Technik erfüllt sind. Bei Prüfungen zur Inbetriebnahme von Betriebsanlagen werden entsprechende Nachweise (u. a. Zertifizierungen) von der Aufsichtsbehörde geprüft und die Betriebsanlage auf dieser Grundlage eine Inbetriebnahmegenehmigung erhält. 3.5 Aufsicht Verkehrsträgerspezifische Gesetze bestimmen eine Aufsichtsbehörde. Diese prüft nach erteilter Inbetriebnahmegenehmigung regelmäßig, ob der Infrastrukturbetreiber (das Verkehrsunternehmen) seinen organisatorischen Pflichten zur Gewährleistung eines sicheren und ordnungsgemäßen Betriebs weiter nachkommt. Ein Beispiel einer solchen strukturierten Aufsicht, welches primär auf die Betriebssicherheit ausgerichtet ist, ist in Bild- 5 dargestellt. Das IT-Sicherheitsgesetz ergänzt diese etablierte Praxis um eine auf Aspekte der IT-Sicherheit bezogene Aufsicht, die der Verordnungsgeber in die Hände des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gelegt hat. Die Betreiber Kritischer Infrastrukturen teilen im Rahmen ihrer Meldepflicht dem BSI etwaige IT-Sicherheitsrelevante Vorkommnisse in ihrer Infrastruktur mit. Das BSI setzt sich nach erfolgter Bewertung des Vorfalls mit der zuständigen Aufsichtsbehörde ins Benehmen und stimmt möglicherweise erforderliche Korrekturmaßnahmen ab. 4. Zusammenfassung und Ausblick Das IT-Sicherheitsgesetz und die nachfolgend erlassene KRITIS-VO stellt Betreiber städtischer Verkehrsinfrastrukturen vor neue Herausforderungen. Sie müssen geeignete technische und organisatorische Maßnahmen zur Absicherung der von ihnen betriebenen Infrastrukturen definieren und umsetzen. Hierbei wird es darauf ankommen, zwar die IT-Sicherheit in den Fokus zu nehmen, aber getreu der Devise „so viel wie nötig, so wenig wie möglich“ wirtschaftliche, pragmatische aber auch effektive technische und organisatorische Lösungen zu etablieren. Darüber hinaus müssen das BSI und die Fachbehörden ihre Zusammenarbeit etablieren. Dies setzt auf beiden Seiten ein Verständnis voraus: Einerseits für spezifische (systemtechnische) Besonderheiten von Verkehrssystemen, andererseits das Verständnis der Betreiber Kritischer Infrastrukturen für die legitime Anforderung, Aspekte der IT-Sicherheit intelligent mit bestehenden Prozessen des Systems Engineerings und mit Sicherheitsmangementsystemen zu verzahnen, um Synergien zwischen der Angriffs- und der Betriebssicherheit in Verkehrssystemen zu schaffen. Literatur [1] Schnieder, L.: Öffentliche Kontrolle der Qualitätssicherungskette für einen sicheren und interoperablen Schienenverkehr. In: Eisenbahntechnische Rundschau 66 (2017) 4, S. 38 - 41. [2] Richtlinie (EU) 2016/ 1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen der Union. Amtsblatt der Europäischen Union L194/ 1 vom 19.07.2016. [3] Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), BGBl. I 2015 Nr. 31. [4] Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung, BSI-Kritis-V) vom 22. April 2016 (BGBl. I s. 958) zuletzt geändert durch die Verordnung vom 21. Juni 2017 (BGBl. I S. 1993). [5] Di Fabio, U.: Produktharmonisierung durch Normung und Selbstüberwachung. Carl Heymanns Verlag (Köln) 1996. [6] Röhl, H.-C.: Akkreditierung und Zertifizierung im Produktsicherheitsrecht. Springer (Berlin) 2000. [7] Ernsthaler, J., Strübbe, K., Bock, L.: Zertifizierung und Akkreditierung technischer Produkte - ein Handlungsleitfaden für Unternehmen. Springer (Berlin) 2007. Dr.-Ing. Lars Schnieder Leiter des Geschäftsbereichs Sicherheitsbegutachtung ESE Engineering und Software-Entwicklung GmbH Kontakt: lars.schnieder@ese.de AUTOR