Die Automatisierung im Schienenverkehr schreitet voran. Moderne Züge erfassen ihre Umgebung über Kameras und weitere Sensorik, führen Selbsttests durch, kommunizieren mit Edge-Systemen entlang der Strecke und übertragen große Mengen an Aufzeichnungsdaten in Rechenzentren.
Aus sicherheitstechnischer Sicht entstehen dadurch hochkomplexe, verteilte Systeme mit folgenden Eigenschaften:
Ein Penetrationstest solcher Systeme unterscheidet sich deutlich von klassischen IT-Tests. Es handelt sich um eine Kombination aus IT-, OT- und Embedded-Security-Analyse.
Automatisierte oder teilautomatisierte Züge bestehen typischerweise aus mehreren sicherheitskritischen Komponenten:
Im Fahrzeug selbst befinden sich Sensorboxen mit Kameras, Umfelderkennungssystemen und weiteren Messkomponenten. Diese sind häufig sowohl vorne als auch hinten im Zug verbaut, um bidirektionale Fahrten
abzudecken.
Die Sensorik erfasst:
Die Daten werden im Fahrzeug über ein dediziertes Ethernet-Netzwerk verarbeitet. Häufig existieren zusätzlich serielle Schnittstellen für einzelne Komponenten. In vielen Architekturen ist dieses Netzwerk logisch oder physisch vom restlichen IT-Netz getrennt.
Für Trainings-, Analyse- oder Wartungszwecke werden die erfassten Daten regelmäßig an Edge-Systeme übertragen. Von dort erfolgt die Weiterleitung über dedizierte Glasfaserstrecken in zentrale Rechenzentren.
Drahtlose Backhaul-Verbindungen stellen dabei eine kritische Kommunikationsschicht dar.
Das Bedrohungsmodell in solchen Projekten umfasst mehrere Ebenen:
Ein zentrales Merkmal: Fahrzeuge können zeitweise unbeaufsichtigt auf Gleisanlagen stehen und physisch zugänglich sein. Dadurch erweitert sich die Angriffsfläche erheblich.
Innerhalb des Zuges existiert häufig ein vollständig separiertes Ethernet-Netzwerk zur Anbindung der Sensorik.
Sicherheitsrelevante Fragestellungen sind unter anderem:
Besonders kritisch sind Komponenten, deren Implementierung durch Drittanbieter erfolgt. Wenn Sicherheitskonfigurationen nicht transparent dokumentiert sind, entsteht ein erhöhtes Risiko durch Fehlannahmen oder ungehärtete Standardsettings.
Ein Penetrationstest analysiert hier sowohl Netzsegmentierung als auch die tatsächliche Durchsetzbarkeit der Isolation.
Die Übertragung der Fahrzeugdaten erfolgt häufig über drahtlose Hochverfügbarkeitsverbindungen.
Sicherheitsrelevante Aspekte umfassen:
Insbesondere bei WiFi-basierten Lösungen im 6-GHz-Band muss geprüft werden, ob starke Authentifizierung erzwungen wird und ob sich unautorisierte Geräte einklinken können.
Auch Multi-Path-TCP-Verbindungen oder getunnelte SSH-Verbindungen müssen auf Integrität und korrekte Schlüsselverwaltung geprüft werden. Eine verschlüsselte Verbindung allein garantiert keine Sicherheit, wenn Schlüsselmanagement oder Host-Verifikation unzureichend umgesetzt sind.
Die aufgezeichneten Sensordaten werden regelmäßig übertragen. In typischen Szenarien entstehen innerhalb weniger Stunden große Datenmengen, die automatisiert in Edge-Systeme eingespeist und anschließend ins Rechenzentrum übertragen werden.
Kritische Prüfbereiche sind:
Gerade bei Systemen, die Umfelderkennung für Trainingszwecke nutzen, ist Datenintegrität essenziell. Manipulierte Trainingsdaten können langfristige Auswirkungen auf Entscheidungsmodelle haben.
Edge-Systeme entlang der Strecke übernehmen häufig die Rolle eines Zwischenspeichers oder Vorverarbeitungsknotens.
Typische Fragestellungen im Pentest:
Systeme ohne niedrig privilegierte Benutzerrollen bergen ein erhöhtes Risiko, da jeder Zugriff potenziell umfassende Rechte besitzt.
Auch die Anbindung an Storage-Systeme muss überprüft werden - insbesondere wenn diese über Client-Authentifizierungsmechanismen angebunden sind.
Ein häufig unterschätzter Faktor ist der physische Zugriff.
Wenn ein Zug ohne Videoüberwachung oder physische Sicherung auf einem Abstellgleis steht, müssen folgende Szenarien betrachtet werden:
Physische Sicherheit ist in solchen Projekten kein theoretisches Randthema, sondern realer Bestandteil des Bedrohungsmodells.
Bei Umfelderkennungssystemen werden regelmäßig Kamerabilder erfasst, die Personen an Bahnsteigen oder im Gleisbereich zeigen können.
Nicht akzeptable Risiken in diesem Kontext sind insbesondere:
Neben technischer Sicherheit muss daher auch die Einhaltung datenschutzrechtlicher Anforderungen geprüft werden.
Ein solcher Pentest unterscheidet sich methodisch von klassischen IT-Tests:
Hinzu kommt, dass Teile der Architektur während der Projektphase möglicherweise noch angepasst werden. Daher müssen Scope-Definition und Risikobewertung eng abgestimmt werden.
Automatisierte Zugsysteme sind keine isolierten Fahrzeuge, sondern vernetzte, datenintensive Plattformen mit:
Die sicherheitskritischen Punkte liegen nicht nur in der Verschlüsselung oder im Transportkanal, sondern in der Gesamtkette aus:
Erfassung → Verarbeitung → Übertragung → Speicherung → Weiterverwendung.
Ein fundierter Penetrationstest muss diese gesamte Kette technisch analysieren und bewerten, ob Integrität, Vertraulichkeit und Verfügbarkeit der Systeme realistisch gewährleistet sind.
Die Automatisierung im Schienenverkehr schreitet voran. Moderne Züge erfassen ihre Umgebung über Kameras und weitere Sensorik, führen Selbsttests durch, kommunizieren mit Edge-Systemen entlang der Strecke und übertragen große Mengen an Aufzeichnungsdaten in Rechenzentren.
Aus sicherheitstechnischer Sicht entstehen dadurch hochkomplexe, verteilte Systeme mit folgenden Eigenschaften:
Ein Penetrationstest solcher Systeme unterscheidet sich deutlich von klassischen IT-Tests. Es handelt sich um eine Kombination aus IT-, OT- und Embedded-Security-Analyse.
Automatisierte oder teilautomatisierte Züge bestehen typischerweise aus mehreren sicherheitskritischen Komponenten:
Im Fahrzeug selbst befinden sich Sensorboxen mit Kameras, Umfelderkennungssystemen und weiteren Messkomponenten. Diese sind häufig sowohl vorne als auch hinten im Zug verbaut, um bidirektionale Fahrten
abzudecken.
Die Sensorik erfasst:
Die Daten werden im Fahrzeug über ein dediziertes Ethernet-Netzwerk verarbeitet. Häufig existieren zusätzlich serielle Schnittstellen für einzelne Komponenten. In vielen Architekturen ist dieses Netzwerk logisch oder physisch vom restlichen IT-Netz getrennt.
Für Trainings-, Analyse- oder Wartungszwecke werden die erfassten Daten regelmäßig an Edge-Systeme übertragen. Von dort erfolgt die Weiterleitung über dedizierte Glasfaserstrecken in zentrale Rechenzentren.
Drahtlose Backhaul-Verbindungen stellen dabei eine kritische Kommunikationsschicht dar.
Das Bedrohungsmodell in solchen Projekten umfasst mehrere Ebenen:
Ein zentrales Merkmal: Fahrzeuge können zeitweise unbeaufsichtigt auf Gleisanlagen stehen und physisch zugänglich sein. Dadurch erweitert sich die Angriffsfläche erheblich.
Innerhalb des Zuges existiert häufig ein vollständig separiertes Ethernet-Netzwerk zur Anbindung der Sensorik.
Sicherheitsrelevante Fragestellungen sind unter anderem:
Besonders kritisch sind Komponenten, deren Implementierung durch Drittanbieter erfolgt. Wenn Sicherheitskonfigurationen nicht transparent dokumentiert sind, entsteht ein erhöhtes Risiko durch Fehlannahmen oder ungehärtete Standardsettings.
Ein Penetrationstest analysiert hier sowohl Netzsegmentierung als auch die tatsächliche Durchsetzbarkeit der Isolation.
Die Übertragung der Fahrzeugdaten erfolgt häufig über drahtlose Hochverfügbarkeitsverbindungen.
Sicherheitsrelevante Aspekte umfassen:
Insbesondere bei WiFi-basierten Lösungen im 6-GHz-Band muss geprüft werden, ob starke Authentifizierung erzwungen wird und ob sich unautorisierte Geräte einklinken können.
Auch Multi-Path-TCP-Verbindungen oder getunnelte SSH-Verbindungen müssen auf Integrität und korrekte Schlüsselverwaltung geprüft werden. Eine verschlüsselte Verbindung allein garantiert keine Sicherheit, wenn Schlüsselmanagement oder Host-Verifikation unzureichend umgesetzt sind.
Die aufgezeichneten Sensordaten werden regelmäßig übertragen. In typischen Szenarien entstehen innerhalb weniger Stunden große Datenmengen, die automatisiert in Edge-Systeme eingespeist und anschließend ins Rechenzentrum übertragen werden.
Kritische Prüfbereiche sind:
Gerade bei Systemen, die Umfelderkennung für Trainingszwecke nutzen, ist Datenintegrität essenziell. Manipulierte Trainingsdaten können langfristige Auswirkungen auf Entscheidungsmodelle haben.
Edge-Systeme entlang der Strecke übernehmen häufig die Rolle eines Zwischenspeichers oder Vorverarbeitungsknotens.
Typische Fragestellungen im Pentest:
Systeme ohne niedrig privilegierte Benutzerrollen bergen ein erhöhtes Risiko, da jeder Zugriff potenziell umfassende Rechte besitzt.
Auch die Anbindung an Storage-Systeme muss überprüft werden - insbesondere wenn diese über Client-Authentifizierungsmechanismen angebunden sind.
Ein häufig unterschätzter Faktor ist der physische Zugriff.
Wenn ein Zug ohne Videoüberwachung oder physische Sicherung auf einem Abstellgleis steht, müssen folgende Szenarien betrachtet werden:
Physische Sicherheit ist in solchen Projekten kein theoretisches Randthema, sondern realer Bestandteil des Bedrohungsmodells.
Bei Umfelderkennungssystemen werden regelmäßig Kamerabilder erfasst, die Personen an Bahnsteigen oder im Gleisbereich zeigen können.
Nicht akzeptable Risiken in diesem Kontext sind insbesondere:
Neben technischer Sicherheit muss daher auch die Einhaltung datenschutzrechtlicher Anforderungen geprüft werden.
Ein solcher Pentest unterscheidet sich methodisch von klassischen IT-Tests:
Hinzu kommt, dass Teile der Architektur während der Projektphase möglicherweise noch angepasst werden. Daher müssen Scope-Definition und Risikobewertung eng abgestimmt werden.
Automatisierte Zugsysteme sind keine isolierten Fahrzeuge, sondern vernetzte, datenintensive Plattformen mit:
Die sicherheitskritischen Punkte liegen nicht nur in der Verschlüsselung oder im Transportkanal, sondern in der Gesamtkette aus:
Erfassung → Verarbeitung → Übertragung → Speicherung → Weiterverwendung.
Ein fundierter Penetrationstest muss diese gesamte Kette technisch analysieren und bewerten, ob Integrität, Vertraulichkeit und Verfügbarkeit der Systeme realistisch gewährleistet sind.
