Dr. Tobias Hofbaur
Bahntechnik
Die Angriffsmöglichkeiten steigen, der regulatorische Druck in der Bahnbranche nimmt zu. Wir unterstützen unsere Kunden dabei, bestehende sowie anstehende legislative und regulatorische Anforderungen wie aus dem EU Cyber Resilience Act (CRA) und der EU-Richtlinie Network and Information Security (EU NIS 2) zu erfüllen.
Der Schienenverkehr birgt wachsende Angriffsflächen durch die zunehmende Vernetzung, Digitalisierung und Standardisierung. Eine ganzheitliche Sicherheitsstrategie ist entscheidend, um Angriffspunkte wie Schnittstellen (z.B. Funk- oder Netzwerkverbindungen) und menschliche Fehler zu identifizieren und abzusichern.
Auch die Regulatoren haben dies erkannt. Betreiber von Bahnanlagen stehen vor neuen Anforderungen, die sich beispielsweise aus der EU NIS 2 Regulierung und der Sektorleitlinie des Eisenbahnbundesamtes (EBA) ergeben. Zukünftig müssen sich auch Hersteller, Lieferanten und Importeure von Produkten mit digitalen Komponenten, insbesondere Systemhäuser und Komponentenhersteller von Bahnanwendungen, gemäß dem Cyber Resilience Act (CRA) ausrichten. Der CRA fordert unter anderem einen Secure Engineering Process, verständliche Anleitungen, maschinenlesbare Software-Bill-of-Materials (SBOMs), Schwachstellenmanagement über den gesamten Lebenszyklus und Risikoanalysen. Normen wie CLC/TS 50701 und die IEC 62443-Reihe bieten eine praktische Anleitung zur Umsetzung.
Eine frühzeitige Vorbereitung ist entscheidend für umfassende Cyber-Sicherheit, da die NIS 2 bereits im Oktober 2024 in nationales Recht überführt wird und der CRA voraussichtlich 2024 verabschiedet wird, bevor er dann 2027 verbindlich wird. Die Nichteinhaltung kann zu empfindlichen Strafen und sogar Produktrückrufen führen.
Um eine nachhaltige Cyber Security zu gewährleisten, bedarf es sowohl Cyber Security Mechanismen im Produkt als auch organisatorischer Maßnahmen auf Unternehmensebene. Unser Team bietet umfassende Unterstützung von der Strategie- und Prozessberatung bis hin zum Engineering in konkreten Projekten. Als Cyber Security-Entwicklungspartner unterstützen wir unsere Kunden durch fundiertes Wissen im gesamten Entwicklungsprozess effektiv und sorgen für die ganzheitliche Integration von Cyber Security in Ihren Produkten und Prozessen.
Da Bahnanwendungen größtenteils individuell sind, ist es entscheidend, Cyber-Sicherheit zielgerichtet und pragmatisch zu gewährleisten. Meine Empfehlung lautet daher: Eine kompakte zweiteilige Bestandsaufnahme in Form einer Gap-Analyse und einer Risiko-Analyse durchführen. Alle weiteren Schritte lassen sich daraus ableiten und priorisieren.
Dr. David Seider, Lead Engineer Rail
