Der Schlüsselfaktor: Sichere Kommunikation in der Bahnindustrie

Die digitale Vernetzung des Schienenverkehrs wirft neue Sicherheitsfragen auf – vor allem bei der Datenübertragung. Kommunikationsstandards, die bislang als sicher galten, werden schon bald überholt sein. Und dann?

Das Thema Cybersecurity wird stark an Bedeutung gewinnen, sagen 77 Prozent der Teilnehmer einer HIMA-Umfrage unter internationalen Bahnexperten. Für 58 Prozent ist es schon heute wichtig. Eine gute Nachricht, zeigt sie doch, dass die Branche die Digitalisierung nicht naiv angeht. Es gibt aber auch eine schlechte Nachricht: Nur die wenigsten sind bereits auf eine cybersichere Kommunikation innerhalb des Bahnnetzwerks eingestellt. Viele von ihnen vermutlich, ohne es zu wissen.

Neue Risiken bei der Kommunikation

Betriebssicherheit ist in der Bahnindustrie seit jeher entscheidend. Umfassende Schutzmaßnahmen sind selbstverständlich, so auch auf dem Gebiet der Funktionalen Sicherheit. Neben den Automatisierungssystemen (Safety Instrumented System, SIS) selbst muss dabei vor allem die Kommunikation zwischen sämtlichen Komponenten abgesichert sein.

Mit der Digitalisierung entstehen hier zwei Herausforderungen:

1. Es gibt (zu) viele Übertragungsstandards.
Feldbussysteme wie Wire Train Bus, Multifunction Vehicle Bus oder Profinet regeln die Kommunikation zwischen Zugkomponenten. Künftig könnten Protokolle wie das Train Real-time Data Protocol (TRDP) oder der Ethernet Train Backbone (ETB) hinzukommen. Besser wäre es, wenn sich die Industrie auf möglichst wenige Standardprotokolle festlegen würde, um Implementierung und Weiterentwicklung zu vereinfachen.

2. Das Sicherheitsniveau vorhandener Standards reicht nicht aus.
Ein Kandidat für einen Kommunikationsstandard ist das Netzwerkprotokoll Rail Safe Transport Application (RaSTA). Es wurde speziell für Eisenbahnsignalsysteme entwickelt und enthält Sicherheitsfunktionen, die einen gewissen Schutz vor Cyberrisiken bieten. Er reicht allerdings nicht aus, um Angreifer wirksam abzuwehren.

Verschlüsselung ist notwendig – aber problematisch

Das Zwischenfazit: Safety-Anbieter müssen ihre sicherheitsgerichtete Kommunikation verschlüsseln. Das gilt nicht nur für den direkten Datenaustausch von SIS zu SIS. Längst werden auch öffentliche oder teilöffentliche Netze zur Übertragung genutzt – beispielsweise WLAN und Mobilfunk. Die Übermittlung muss hier nach dem gleichen Sicherheitsniveau geschützt sein.

Für den Rail-Bereich gilt:
Funktional sichere Protokolle müssen auch über verschlüsselte Kommunikation möglich sein.

Ein einziger Fehler verändert alles

Die Crux dabei: Die Kommunikation gilt nur dann als funktional sicher nach CENELEC SIL4, wenn sich ein einzelner Fehler bei der Datenübertragung nicht auf andere Teile der übertragenen Nachricht auswirken kann. Der IEC-Norm 61784-3 zufolge lässt sich das erreichen, wenn bei der Kommunikation maximal jedes hundertste Bit verfälscht ist.

Solange die Daten im Klartext übertragen werden, ist das kein Problem. Kommt aber eine moderne Verschlüsselungsmethode wie AES ins Spiel, sieht das Bild ganz anders aus. Schließlich ist die Verschlüsselung umso effektiver, je stärker sich schon eine kleine Veränderung der Originalnachricht auf die entschlüsselte Botschaft auswirkt. Für den sicherheitstechnischen Nachweis reicht es dann bei weitem nicht mehr, mit einem Fehler in jedem hundertsten Bit zu rechnen. Tatsächlich ist davon auszugehen, dass jedes zweite Bit verfälscht ist. Nur dann ist der sicherheitstechnische Nachweis nach CENELEC SIL4 möglich.

Kaum ein heutiges Protokoll ist für eine sichere, verschlüsselte Kommunikation nach CENELEC SIL4 geeignet.

Die kommende Edition 4 der IEC 61784-3 wird diese strengeren Anforderungen an eine funktional sichere Kommunikation aufnehmen. Das Problem ist nur: Kaum ein heutiges Protokoll ist dafür geeignet.

Lösung kommt aus der Prozessindustrie

Was in der Bahnindustrie gerade entsteht, ist unter anderem in der Öl- und Gasförderung seit Langem Standard. Als Partner der Prozessindustrie hat HIMA daher schon vor mehr als 20 Jahren das Sicherheitsprotokoll SafeEthernet entwickelt. Von Beginn an haben die Ingenieure dabei die erwähnte Bitfehlerwahrscheinlichkeit von 50 Prozent berücksichtigt. Das standardisierte Protokoll lässt sich so ohne Modifikationen für sicherheitskritische Anwendungen in der Bahnindustrie verwenden – und erfüllt bereits die künftig geltenden IEC-Vorgaben.