50 4 · 2019 TR ANSFORMING CITIES THEMA Urbane Netze Funktionierende und leistungsfähige städtische Bahnsysteme sind in den Großstädten das Rückgrat urbaner Mobilität. Stehen diese Verkehrsinfrastrukturen nicht zur Verfügung, hat dies erhebliche, unter anderem wirtschaftliche Auswirkungen. Daher gelten städtische Bahnsysteme in den Ballungszentren als Kritische Infrastrukturen. Die Betreiber müssen deshalb besondere Maßnahmen zur Gewährleistung der Angriffssicherheit (Security) ergreifen (vgl. [1], [2] und [3]). Ein wirksamer Schutz gegen unberechtigte Zugriffe Dritter auf für den Betrieb essentielle informationstechnische Systeme geschieht durch die Umsetzung eines Managementsystems für die Informationssicherheit (ISMS) durch die Be- Regelkreise der Cybersecurity Das Wechselspiel von Managementsystemen für Informationssicherheit und behördlicher Aufsicht Cybersecurity, IT-Sicherheit, Kritische Infrastrukturen, Informationssicherheits- Managementsystem, Security in Depth Lars Schnieder Leistungsfähige städtische Bahnsysteme sind das Rückgrat urbaner Mobilität. Zum Schutz Kritischer Infrastrukturen müssen die Betreiber städtischer Bahnsysteme wirksame Managementsysteme für die Informationssicherheit (ISMS) etablieren. Erfahrungen mit den Prozessen in der Anwendung führen zu deren kontinuierlicher Verbesserung. Dieser organisationsinterne Optimierungszyklus ist in einen übergeordneten Regelkreis eingebettet. IT-Störungen werden der Aufsichtsbehörde gemeldet. Hierdurch werden IT-Störungen organisationsübergreifend verhindert oder ihre gesellschaftlichen Auswirkungen abgemildert. © Piron Guillaume on Unsplash 51 4 · 2019 TR ANSFORMING CITIES THEMA Urbane Netze treiber. Gleichzeitig ist dieser organisationsinterne Optimierungszyklus in einen übergeordneten Regelkreis behördlicher Aufsicht eingebettet. Durch die Auswertung von Meldungen IT-bezogener Störungen können diese organisationsübergreifend verhindert oder ihre gesellschaftlichen Auswirkungen abgemildert werden. Dieser Beitrag stellt diese beiden Regelkreise in ihrem systematischen Zusammenhang dar (vgl. Bild 1). Kontinuierliche Verbesserung des Managementsystems der Informationssicherheit Betreiber Kritischer Infrastrukturen erfüllen ihre Rechtspflichten durch den Aufbau wirksamer ISMS. Ausgangspunkt hierfür ist stets eine Risikoanalyse. Die Risikoanalyse steuert die bedarfsgerechte Auswahl und Umsetzung von Schutzmechanismen. Die Risikoanalyse wird fortlaufend gepflegt und kontinuierlich an die sich verändernde Bedrohungslage angepasst. Aus der Risikoanalyse resultieren konkrete Schutzmaßnahmen. Hierbei handelt es sich stets um eine wirksame Kombination aus technischen und organisatorischen Maßnahmen sowie Maßnahmen des physischen Zugriffsschutzes. Dieser ganzheitliche Ansatz wird als „Security in Depth“ (tiefgestaffelte Verteidigung) bezeichnet. Der Kombination dieser verschiedenen Schutzmechanismen liegt die Erkenntnis zu Grunde, dass eine Barriere allein für einen wirksamen Ausschluss unberechtigter Zugriffe Dritter unzureichend ist. Die Wahrscheinlichkeit eines unberechtigten Zugriffs kann jedoch durch die Anordnung mehrerer voneinander unabhängiger Barrieren wesentlich verringert werden. Diese einzelnen Barrieren werden nachfolgend umrissen. Umsetzung organisatorischer Schutzkonzepte Über den Aufbau, den Betrieb und die erfolgreichen Zertifizierung eines wirksamen ISMS können Betreiber städtischer Bahnsysteme einerseits die Forderungen des Gesetzgebers erfüllen. Andererseits besteht für die Betreiber die Chance, die Informationssicherheit nachhaltig auf ein angemessenes Niveau zu bringen. Die Grundlagen eines solchen ISMS sind im internationalen Standard ISO 27001 beschrieben [4]. Das wesentliche Ziel eines ISMS ist es, Risiken für die Organisation in Bezug auf die Verfügbarkeit, die Integrität und die Vertraulichkeit der „Informationswerte“ zu identifizieren, zu analysieren und durch geeignete Maßnahmen beherrschbar zu machen. Ein ISMS besteht aus zwei integralen Bestandteilen:  Der erste integrale Bestandteil ist hierbei der risikoorientierte Ansatz. Die realisierten Schutzmechanismen werden kontinuierlich weiterentwickelt und an die sich stetig verändernde Risikosituation angepasst. Dies bedingt eine integrierte Vorgehensweise, in der Risiken strukturiert analysiert und priorisiert werden, um effektive Schutzmaßnahmen zu identifizieren und nachfolgend umzusetzen [5].  Der zweite integrale Bestandteil ist die rückgekoppelte und geschlossene Wirkungskette. In Managementsystemen wird dies auch als klassischer Deming-Kreislauf oder PDCA-Zyklus (Plan - Do - Check - Act) bezeichnet. Hierdurch ist es einer Organisation möglich, ein bestimmtes Sicherheitsniveau zu definieren und zu planen, umzusetzen, zu überwachen und kontinuierlich weiterzuentwickeln [6]. Bild 2 zeigt, wie der Regelkreis geschlossen wird. Rechtspflichten der Exekutive (Aufsichtsbehörde) Rechtspflichten des Betreibers Umsetzung technischer Schutzmaßnahmen Ausübung der behördlichen Aufsicht Umsetzung organisatorischer Schutzmaßnahmen Umsetzung physischer Zugriffsschutz Betrieb des Verkehrssystems (Regelstrecke) Risikoanalyse (effektive Gefahrsteuerung) Bewertung des Schutzniveaus (Monitoring) Umsetzung von Maßnahmen nach Gefährdungslage Störgröße Regelgröße Stellgröße Führungsgröße Messgröße Messgröße Stellleistung Bild 1: Regelkreis der organisationsinternen Optimierung des ISMS und seine Einbettung in die behördliche Aufsicht. © Schnieder 52 4 · 2019 TR ANSFORMING CITIES THEMA Urbane Netze Umsetzung technischer Schutzkonzepte Security-Eigenschaften müssen bereits in der Entwicklung technischer Systeme berücksichtigt werden (Security Engineering), beziehungsweise ihre Realisierung vor Inbetriebnahme aber auch im Betrieb nachgewiesen werden (Security Testing). Internationale Normen zur funktionalen Sicherheit von Bahnanwendungen definieren einen allgemeinen Lebenszyklus [7], beziehungsweise einen speziellen Lebenszyklus für die Software für Eisenbahnsteuerungs- und Überwachungssysteme [8] mit Aktivitäten von der Anfangsplanung bis hin zur Stilllegung und Entsorgung. Es gibt auch bereits allgemein anerkannte Regeln der Technik, welche Prozessanforderungen für die Integration des Entwurfsmerkmals Cybersecurity in die Entwicklung automatisierter Produktionsanlagen festlegen [9]. Hierbei werden Vorgaben zur Definition von Security-Anforderungen, zur (angriffs-)sicheren Implementierung, für den Nachweis der Security-Eigenschaften (Verifikation und Validierung) sowie die Berücksichtigung von Anwendungsregeln in internen technischen und betrieblichen Regelwerken des Betreibers getroffen. Eine nationale Vornorm [10] greift die Idee eines Security-Entwicklungslebenszyklus auf und integriert diese Aktivitäten in den Lebenszyklus des umfassenden RAMS 1 -Managements für Bahnanwendungen (vgl. [7]). Das Thema Angriffssicherheit muss während des gesamten Entwicklungsprozesses dezidiert berücksichtigt werden. Geschieht dies nicht, werden schwerwiegende Sicherheitslücken erst kurz vor einer geplanten Inbetriebnahme offenbart und sind zu diesem Zeitpunkt gar nicht mehr oder nur noch mit hohem Aufwand zu beheben. Die wirksame Umsetzung technischer Schutzkonzepte erfordert neue Modelle der Zusammenarbeit zwischen Herstellern und Betreibern. Die Hersteller müssen über den gesamten Lebenszyklus hinweg an der Behebung von Schwachstellen der von ihnen gelieferten Systeme mitwirken. Sie müssen die Ursachen analysieren, erforderliche Korrekturen im System umsetzen und die getesteten Korrekturstände der Software kurzfristig bereitstellen (Patch Management). Umsetzung von Maßnahmen des physischen Zugriffsschutzes Der physische Angriffsschutz befasst sich mit Maßnahmen zur Vermeidung von Gefahren durch unmittelbare körperliche (physische) Einwirkung auf informationstechnische Systeme zur Verkehrssteuerung. Der Bereich des physischen Angriffsschutzes beginnt mit einfachen Mitteln wie verschlossene Rechnergehäuse und reicht bis zum Einschließen von Systemen in Rechenzentren der Betreiber. Alle physischen Schutzmaßnahmen zielen auf eine Abschottung der Systeme vor Gefahrenquellen wie beispielsweise die mechanische Einwirkung durch Personen, bzw. das Ermöglichen des Einspielens von Schadsoftware durch physischen Zugang. Die Maßnahmen werden unterschieden in Ansätze der Prävention, Detektion und Intervention [11].  Prävention bedeutet, den weit reichenden Ausschluss eines physischen Zutritts zu den zu schützenswerten Assets durch bauliche Maßnahmen. Dies umfasst die bauliche Ausführung von Wänden, Fenstern und Türen sowie die ergänzende Ausstattung mit Sicherheits- und Überwachungstechnik. Bei der Planung eines neuen Gebäudes oder der Bewertung eines Bestandsgebäudes, welches informationstechnische Systeme für die Steuerung Kritischer Infrastrukturen aufnehmen soll, werden die Räume ähnlichen Schutzbedarfs 1 R AMS: Reliability, Availability, Maintainability, Safety Do (ISMS umsetzen / betrieben)  Aufstellen und umsetzen eines Risikobehandlungsplans  Umsetzen der ausgewählten Maßnahmen  Abschätzen der Wirksamkeit  Sensibilisieren und Schulen der Mitarbeiter  Verwaltung und Betrieb eines ISMS  Ressourcenmanagement für das ISMS  Erkennung und Behandlung von Sicherheitsvorfällen Plan (ISMS planen und festlegen)  Anwendungsbereich und Grenzen  Definition ISMS und Informationssicherheitsleitlinie  Identifizieren der Risiken, Risikoabschätzung und -bewertung  Optionen für die Risikobehandlung  Auswählen von Maßnahmenzielen und Maßnahmen Check (ISMS überwachen / überprüfen)  Überwachung und Überprüfung  Regelmäßige Überprüfung der Wirksamkeit des ISMS  Abschätzen der Wirksamkeit von Maßnahmen  Durchführung regelmäßiger interner Audits  Regelmäßige Managementbewertung des ISMS  Aufzeichnung von Handlungelungen und Ereignissen Act (ISMS instandhalten und verbessern)  Implementieren identifizierter Verbesserungen  Korrektur- und Präventionsmaßnahmen  Kommunizieren der (beabsichtigten) Verbesserungen  Erfolgskontrolle der Verbesserungen Bild 2: Kreislauf der kontinuierlichen Verbesserung des ISMS (Abbildung nach [11]). © Schnieder kontrollierter Innenbereich interner Bereich Hochsicherheitsbereich Außenbereich Bild 3: Konzept der tiefengestaffelten Sicherheitsmaßnahmen im baulichen Zugriffsschutz (Abbildung nach [11]). © Schnieder 53 4 · 2019 TR ANSFORMING CITIES THEMA Urbane Netze in Zonen zusammengefasst werden. Bewährt ist eine Aufteilung in vier Sicherheitszonen, Außenbereich, kontrollierter Innenbereich, interner Bereich und Hochsicherheitsbereich (vgl. Bild 3).  Für die Detektion etwaiger Eindringlinge werden Gefahrenmeldeanlagen vorgesehen. Eine Gefahrenmeldeanlage (GMA) besteht aus einer Vielzahl lokaler Melder, die mit einer Zentrale kommunizieren, über die auch der Alarm ausgelöst wird. Beispiele für Meldesysteme zur Einbruchserkennung sind unter anderem Bewegungsmelder, Glasbruchsensoren, Öffnungskontakte oder Videokameras. Alarme werden an eine ständig besetzte Stelle weitergeleitet und gemäß der Prozessvorgaben (Notfallmanagement) des Betreibers weiterverfolgt.  Im Zuge der Intervention müssen unter Umständen andere Personengruppen aktiv werden. Für die handelnden Personengruppen ist festzulegen, welche Aufgaben und Kompetenzen diese haben. Ein Eskalationsplan legt fest, welche Unregelmäßigkeiten auf der ersten Bearbeiterebene gelöst werden können und ab wann die nächst höhere Eskalationsebene zu unterrichten ist. Hierbei sind Verantwortungen und Eckpunkte einer Eskalationsstrategie (Eskalationswege und Art der Eskalation) vorab festzulegen und ggf. in einem Werkzeug (mit Checklisten oder hinterlegten Arbeitsabläufen) digital vorzuhalten. Regelkreis der behördlichen Aufsicht Aufsichtstätigkeiten können unterschieden werden in reaktive Aufsichtstätigkeiten und proaktive Aufsichtstätigkeiten. Die Aufsichtsbehörde wird reaktiv tätig, wenn begründete Abweichungen (beispielsweise erkannte Sicherheitsvorfälle) vorliegen. Demgegenüber ist der Ansatz einer proaktiven Aufsichtstätigkeit eine Überprüfung der Wirksamkeit getroffener organisationsinterner Maßnahmen der Betreiber der Kritischen Infrastruktur. Diesem proaktiven Ansatz liegt die begründete Annahme zu Grunde, dass durch ein wohl definiertes, auf die Informationssicherheit ausgerichtetes Managementsystem die Wahrscheinlichkeit der Kompromittierung kritischer informationstechnischer Systeme deutlich reduziert werden kann. Die Durchführung einer solchen proaktiven Aufsichtstätigkeit folgt dem in Bild 4 dargestellten Kreislauf. Die einzelnen Prozessschritte werden nachfolgend skizziert.  Überwachen: Das Überwachen ist der gesetzliche Auftrag, der sich aus dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik ergibt. Überwachen Kontrollen planen Kontrollen durchführen Maßnahmen durchführen Auswerten Berichten Ahnden gesetzliche Kontrollaufträge Checklisten getroffene Verwaltungsmaßnahmen Protokolle  Kontrollen planen: Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) kann die Einhaltung der getroffenen Vorkehrungen zum Schutz Kritischer Infrastrukturen überprüfen. Hierbei kann es sich um eine Stichprobe der korrekten Durchführung der alle zwei Jahre wiederkehrenden Regelprüfung des vom Betreiber umgesetzten ISMS handeln. Möglicherweise ist auch ein gemeldetes Ereignis Auslöser der Kontrolle. In der Vorbereitung werden Kontrollorte, Zeiträume und relevante Kontrollobjekte festgelegt. Vorbereitete Checklisten orientieren sich an einschlägigen Maßnahmenkatalogen wie dem BSI-Grundschutz oder internationalen Standards (ISO 27001).  Kontrollen durchführen: Die Durchführung der Kontrollen beginnt mit der Anmeldung vor Ort. Anschließend werden eine oder mehrere Kontrollen durchgeführt. Die Durchführung der Kontrollen endet mit der vollständigen Dokumentation der Kontrolle und ihrer Ergebnisse. Das Ergebnis des Prozessschrittes Kontrollieren sind Protokolle über die Kontrolltätigkeiten und gegebenenfalls die festgestellten Mängel.  Maßnahmen durchführen: Der Prozessschritt Maßnahmen durchführen wird initiiert durch das Kontrollergebnis „Mangel“ und umfasst einerseits Maßnahmen der Gefahrenabwehr bei unmittelbaren Gefahren. Anderseits umfasst dies Maßnahmen des Verwaltungshandelns, also eine behördliche Anordnung. Diese geschieht unter Bild 4: Kreislauf der behördlichen Aufsicht. © Schnieder 54 4 · 2019 TR ANSFORMING CITIES THEMA Urbane Netze Einbindung der verkehrsträgerspezifischen Aufsichtsbehörde (zum Beispiel: die Technische Aufsichtsbehörde der Länder für Straßenbahnen).  Auswerten: Im Prozessschritt Auswerten werden die Ergebnisse der durchgeführten Kontrollen und Maßnahmen zusammengefasst und analysiert. Dabei werden Informationen zu Größen wie Zuverlässigkeit, Kontrollhäufigkeit, Kontrollquote ermittelt. Die Ergebnisse dieser Auswertungen gehen als statistische Daten an den Prozessschritt Berichten und als Informationen zur Ermittlung von Veranlassungen an den Prozessschritt Planen.  Ahnden: Der Prozessschritt umfasst Aufgaben zur Bewertung und gegebenenfalls Verfolgung von im Rahmen des Prozessschritts Kontrollieren festgestellten Ordnungswidrigkeiten (vgl. § 14 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik, bzw. ordnungswidrige Tatbestände der verkehrsträgerspezifischen Fachgesetze, Rechtsverordnungen, sowie dem Ordnungswidrigkeitengesetz). Ordnungswidrigkeiten können mit einer Geldbuße von fünfzigtausend Euro geahndet werden.  Berichten: Die Aufsichtsbehörden erstellen jährliche einen zusammenfassenden Bericht. Dieser Bericht sollte Informationen über die Anzahl der eingegangenen Meldungen sowie Angaben über die Art der gemeldeten Sicherheitsvorfälle, wie beispielsweise die Arten der Sicherheitsverletzungen, deren Schwere oder Dauer, enthalten [1]. Ausblick: Seit fast fünf Jahren liegen die rechtlichen Regelungen in Deutschland vor. Nach wie vor ist festzustellen, dass die Betreiber in der Umsetzung der rechtlich geforderten Maßnahmen noch am Anfang stehen. Gefordert ist eine Umsetzung der rechtlichen Vorgaben mit Augenmaß. Der Aufwand für von den Betreibern zu treffende technische und organisatorische Vorkehrungen gegen unerlaubte Zugriffe darf nicht außer Verhältnis zu den Folgen eines Ausfalls stehen. Ebenfalls sollten in der Umsetzung der behördlichen Aufsicht bewusst Synergien zur Auditierung bereits etablierter Managementsysteme (Sicherheitsmanagementsystem, SMS) gesucht werden. Auf diese Weise wird seitens der Betreiber und der Aufsichtsbehörde Doppelaufwand für ohnehin anstehende Kontrollen für Sicherheitsgenehmigungen (für Eisenbahninfrastrukturunternehmen) bzw. Sicherheitsbescheinigungen (für Eisenbahnverkehrsunternehmen) vermieden. Zu guter Letzt muss ein aufeinander abgestimmtes Zusammenwirken von Betreibern und Herstellern einerseits und verschiedenen Aufsichtsbehörden andererseits erreicht werden. Hier muss das Bundesamt für Sicherheit in der Informationstechnik gemeinsam mit den zuständigen Fachaufsichtsbehörden pragmatische Ansätze der Aufsicht definieren. LITERATUR [1] Richtlinie (EU) 2016/ 1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union. [2] Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I S. 1324) geändert durch Artikel 5 Absatz 8 des Gesetzes vom 18. Juli 2016 (BGBl. I S. 1666). [3] BSI-Kritisverordnung vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist. [4] DIN EN ISO/ IEC 27001: 2017-06 Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme - Anforderungen (Deutsche Fassung EN ISO/ IEC 27001: 2017) [5] Schnieder, L., Magerkurth, G.: Schutz kritischer Infrastrukturen im ÖPNV - Aufbau eines zertifizierungsfähigen Informationssicherheits-managementsystems (ISMS). in: Der Nahverkehr, 36 (2018) 11, S. 39 - 43. [6] Zeiner, A., Clément, C.: Große Relevanz der Informationssicherheit im Personennahverkehr. In: Der Nahverkehr 35 (2017) 10, S. 46 - 48. [7] DIN EN 50126: 2000-03: Bahnanwendungen - Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit, Sicherheit (RAMS); Deutsche Fassung EN 50126: 1999. [8] DIN EN 50128: 2012-03: Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - Software für Eisenbahnsteuerungs- und Überwachungssysteme; Deutsche Fassung EN 50128: 2011. [9] Normenreihe IEC 62443: Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme. [10] DIN VDE V 0831-104: 2015-10: Elektrische Bahn-Signalanlagen - Teil 104: Leitfaden für die IT-Sicherheit auf Grundlage IEC 62443 [11] Schnieder, L.: Security Engineering - Ein ganzheitlicher Ansatz zum Schutz Kritischer Infrastrukturen im Verkehr. Springer Verlag (Berlin) 2018. Dr.-Ing. Lars Schnieder Director Assessment Service Center ESE Engineering und Software-Entwicklung GmbH Kontakt: Lars.schnieder@ese.de AUTOR