Leben im digitalen Zeitalter bedeutet, dass die meisten Dinge, die wir täglich benutzen, von Computern gesteuert und/oder kontrolliert werden – von Telekommunikationsgeräten bis Autos, von Fabriken und Kraftwerken bis zu Häfen und Schiffen. Da überrascht es nicht, dass das natürlich auch für Züge und den Bahnverkehr gilt.
Beim 32. Chaos Communication Congress (32C3) in Hamburg stellten die Sicherheitsforscher Sergey Gordeychik, Alexander Timorin und Gleb Gritsai am 28. Dezember im Namen des SCADA-StrangeLove-Teams eine Arbeit zu den Computersystemen vor, die im Bahnverkehr genutzt werden. Ein kurzer Überblick über die Branche zeigt, dass es eine ganze Menge Computersysteme in diesem Bereich gibt – mehr als man eigentlich annehmen würde.
Zu diesen Systemen gehören: Computersysteme in den Zügen; Verkehrskontrollsysteme; computerbasierte Signalsysteme an Bahnhöfen und Bahnübergängen; Ticketsysteme; und ganz herkömmliche Dinge, wie zum Beispiel allgemeine Bürocomputer und Netzwerkinfrastrukturen.
Darüber hinaus ist das alles noch viel komplizierter, da jedes Land und jeder Bahnbetreiber eigene Standards und eine eigene Computerinfrastruktur hat. Gleichzeitig sind diese unterschiedlichen Systeme aber oft auch miteinander verbunden, so dass Züge ohne Unterbrechung von einem in ein anderes Land fahren können.
Maritime industry is easy meat for cyber criminals – http://t.co/arylkFBOTc pic.twitter.com/v6QKzcjJXM
— Kaspersky (@kaspersky) May 22, 2015
Ein gutes Beispiel dafür, wie komplex das alles ist, ist der Eurostar, der Hochgeschwindigkeitszug, der Brüssel, London und Paris miteinander verbindet. Die Signalgebung, die Kontrolle und die Schutzsysteme enthalten belgische, französische und britische Teile, mit denen der Zug kompatibel sein muss.
Manche dieser Systeme kann man beim besten Willen nicht als unangreifbar bezeichnen. So basiert die moderne Version des Automatisierungssystems in Siemens-Zügen (die nicht nur von der Deutschen Bahn, sondern auch von Unternehmen in Spanien, Russland, China und Japan eingesetzt werden) auf den Siemens-WinAC-RTX-Controllern. Das sind im Grunde x86-Computer, die unter Windows laufen und bereits in der Stuxnet-Geschichte eine Hauptrolle spielten.
Before #Stuxnet, there was little thought about proactively securing industrial facilities https://t.co/2r3pXlbf7Z pic.twitter.com/vvj9ChCHAb
— Kaspersky (@kaspersky) November 18, 2014
Sicherheitslücken können auch im Computer Based Interlocking gefunden werden, einem recht komplexen System, das für die Kontrolle der Weichen auf den Bahnstrecken verantwortlich ist. So verlangen die Vorgaben für moderne Berechtigungszertifikate für neue Geräte, die in flexiblen Sicherheitsprozessoren der Londoner U-Bahn verwendet werden, als Voraussetzung Windows XP oder sogar „Windows NT4 Service Pack 6 oder höher“.
Kann man einen Zug hacken und wie sicher ist der Bahnverkehr? #32C3
Tweet
Ein weiteres Problem bei der Verbindung der Computersysteme ist, dass die mächtige Software regelmäßig von inkompetenten Angestellten genutzt wird, so dass eine sichere Authentifizierung außer Frage steht. Es ist schon schlimm genug, wenn man einen dummen Aufkleber auf einem Büro-PC sieht, auf dem der Login-Name und das Passwort aufgeschrieben sind. Aber was ist, wenn so ein Aufkleber auf einem Computer klebt, der, wenn er gehackt wird, ein Ding, das Hunderte Tonnen wiegt, mit 100 km/h gegen ein anderes großes Objekt, das sich mit der gleichen Geschwindigkeit bewegt, rasen lassen kann?
The wrong way to use passwords https://t.co/dQgoRrLQx8 Are you doing it wrong? pic.twitter.com/k9IYb4fJb8
— Kaspersky (@kaspersky) December 1, 2015
Ein weiteres Problem ist die Kommunikation innerhalb der Bahninfrastruktur. Fahrende Züge kommunizieren zum Beispiel per GSM-R-Netzwerk (im Grunde GSM mit speziellen Funktionen wie SIM Cloning, Jamming, Over-The-Air-Updates, SMS-Kommandos (mit Standard-PIN 1234) und so weiter) mit dem Zugkontrollsystem.
Standard-Login-Daten oder sogar fest programmierte Zugangsdaten sind immer wieder in Bahn-Netzwerken zu finden. Und natürlich ist alles miteinander vernetzt und auch oft mit dem Internet verbunden. Wie einer der Forscher von SCADA StrangeLove es ausdrückt, ist das Problem, dass „wenn du dich mit dem Internet verbindest, verbindet sich das Internet mit dir.“ Das bedeutet, dass man mit speziellen Internet-der-Dinge-Suchmaschinen wie Shodan Netzwerkgeräte finden kann, die in Zügen installiert sind.
More connected, less secure: how we probed #IoT for vulnerabilities https://t.co/f4Y6iXLG8U #internetofthings pic.twitter.com/ZwFbvGGW6G
— Kaspersky (@kaspersky) November 5, 2015
Die Studie, die beim Chaos Communication Congress vorgestellt wurde, ist weder eine gebrauchsfertige Hacking-Methode, noch eine komplette Liste der Sicherheitslücken in bestimmten Bahn-Computersystemen. Aber sie zeigt, nach was potenzielle Hacker suchen würden, wenn sie es auf Züge abgesehen hätten, und welche Sicherheitslücken sie finden und ausnutzen könnten – und das schon nach einer oberflächlichen Analyse der digitalen Infrastruktur.
So #malware attacks against critical infrastructure are inevitable. What’s next? https://t.co/O8VqC30PiO
— Eugene Kaspersky (@e_kaspersky) September 24, 2014
Wie jede andere kritische Infrastruktur, sollten auch Bahnbetreiber IT-Sicherheitsmaßnahmen besser implementieren. Wie Eugene Kaspersky sagte: „Ich glaube, es ist an der Zeit, sichere Infrastrukturen und industrielle Systeme zu entwickeln“.