Die meisten Unternehmen der Branche ÖPNV/Bahnen werden als Betreiber „kritischer Anlagen“ eingestuft. Für sie kommen durch eine Erweiterung der TRBS 1115-1 viele neue Pflichten hinzu.
Wie relevant das Thema Cybersicherheit auch im Bereich der Verkehrsunternehmen ist, zeigte zuletzt eine groß angelegte DDoS-Attacke (Distributed Denial of Service) im Februar. Dabei legten Milliarden gleichzeitiger Anfragen pro Minute die Auskunfts- und Buchungssysteme der Deutschen Bahn lahm. Angriffe auf die IT-Sicherheit können sich auf praktisch alle Unternehmensbereiche erstrecken. Denn die technischen Systeme von Verkehrsunternehmen sind in der komplexen IT-Infrastruktur eng miteinander verknüpft. Diese reichen von der Fahrgastinformation über Zugsicherungstechnik bis hin zum Betriebshofmanagement.
Neue Pflichten
Die Technische Regel für Betriebssicherheit (TRBS) 1115 Teil 1 „Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen“ ist seit 2022 in Kraft und wurde nun um einen weiteren Anhang ergänzt. Der neue Anhang 2 gibt Erläuterungen und Beispiele für Vorgehensweisen und erforderliche Sicherheitsmaßnahmen. Die Gefährdungsbeurteilung muss inzwischen zwingend unter Einbeziehung von Personen mit Fachkunde (IT-Experten oder externe Dienstleister) durchgeführt werden, um spezifische Cyberbedrohungen für die Sicherheit zu bewerten.
Sichere Systeme
Die mit der Prüfung des Arbeitsmittels (IT/OT-Systeme) beauftragte Person muss nachvollziehen können, wie die geforderte Eignung und Funktionsfähigkeit dauerhaft gewährleistet werden. Außerdem müssen Maßnahmen festgelegt werden, um das System sicher zu gestalten. Dies ist beispielsweise durch eine strikte Netzwerksegmentierung sowie durch die Absicherung gegen Fernzugriffe möglich, um unbefugte Manipulation zu verhindern. Insbesondere ist das zu beachten, wenn ältere Systeme, die keine Updates mehr erhalten, weiterhin betrieben werden müssen. Solche Systeme dürfen dann nicht mehr aus dem Internet erreichbar sein.
Lücken schließen
Der Aufwand ist nicht unerheblich, aufgrund der Sicherheitslage jedoch in jedem Fall erforderlich. Ein erster Schritt, mit dem schon viel Sicherheit gewonnen werden kann, sind die Überprüfung bestehender Systeme und das Schließen von Sicherheitslücken durch „Bordmittel“ mit einem immer aktuellen Betriebssystem. Anschließend sollte eine verstärkte Absicherung der Systeme erfolgen, verbunden mit einer Anpassung der Firewalls. Diese Regelungen sind nicht nur für IT-Personale wichtig, sie betreffen praktisch alle technischen Bereiche der Firmen. Fachkräfte für Arbeitssicherheit müssen auch hierzu beraten.
