Die wichtige Infrastruktur Bahn benötigt entsprechenden Schutz – auch vor Cyberkriminalität. © Ontec AG
Mit der zunehmenden Digitalisierung und Automatisierung im Bahnsektor steigen auch die Anforderungen an die Cybersicherheit. Geregelt wird das durch die Richtlinie NIS 2.
Die NIS-Richtlinie regelt Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der EU und ist seit 2018 als NIS-Gesetz auch in Österreich umgesetzt. Die derzeit geltende NIS-Richtlinie (NIS 1) wurde von NIS 2 abgelöst und muss bis zum 18. Oktober 2024 in nationales Recht übernommen werden.
Warum NIS 2 den Bahnsektor nicht automatisch sicherer macht, die Implementierung aber dennoch von enormer Wichtigkeit ist, klären wir im Gespräch mit Andreas Römer, Rail Delivery Manager und Projektleiter bei der Ontec AG – dem IT-Dienstleistungsunternehmen, dem die ÖBB Infrastruktur, die Rail Cargo Group, die XRail und viele weitere Unternehmen mit kritischen IT-Infrastrukturen vertrauen.
Herr Römer, was bedeutet die NIS-2-Richtlinie für die Bahnbranche?
Ziel der Einführung von NIS 2 ist die Anpassung der gesetzlichen Spielregeln an die aktuellen Risiken im Bereich der Cybersicherheit. Sie soll die Resilienz und Reaktion auf Sicherheitsvorfälle EU-weit verbessern. Gerade die Bahn spielt eine wichtige Rolle in der grünen Transformation Europas. Die Schiene wird noch massiv an Bedeutung gewinnen, auch im Güterbereich, der ja wechselhafte Jahre hinter sich hat.
Diese enorm wichtige Infrastruktur braucht entsprechenden Schutz. NIS 2 trägt dazu bei, dass sich Unternehmen mit Partnern wie der Ontec darum kümmern, die Kontinuität ihres Angebots, ihrer Dienstleistung, also die verlässliche Verfügbarkeit – fast – ohne Unterbrechungen, zu garantieren und Risiken zu minimieren.
Von welchen Risiken sprechen Sie?
Die Digitalisierung und damit einhergehende Vernetzung sowie Automatisierung von Prozessen im Bahnsektor ist unaufhaltsam und wichtig in Bezug auf wirtschaftliche Wettbewerbsfähigkeit. Neue Technologien verhelfen der Branche außerdem zu mehr Nachhaltigkeit. Dadurch entstehen aber auch neue Angriffsvektoren und mögliche Schwachstellen im IT-Bereich.
Von der Transportkettenberechnung und Kapazitätsbuchung über die Leerwagenbestellung und Güterwagendisposition bis hin zum Management von Triebfahrzeugen und Prozessen im Verschub – ohne IT und Managed-IT-Services funktioniert in einer zukunftsorientierten Bahnwelt nichts. Diesen Umstand können Cyberkriminelle ausnutzen und erheblichen Schaden verursachen.
Inwiefern?
Zum Beispiel könnten Angriffe im Bereich der Zugplanung und Wagendisposition dazu führen, dass ein derartiges Chaos ausbricht, dass nicht mehr nachvollzogen werden kann, wo sich die Güterwagen aktuell befinden und welcher Leerwagen zu welchem Kunden soll. Die Wagen sind dann zwar noch physisch in der Lage, von A nach B zu fahren, und es ist rein theoretisch möglich, telefonisch zu rekonstruieren, was der Plan war, aber nur mit großem Aufwand und erheblichen Verspätungen.
Die würden sich wiederum auf das gesamte Netz und teilweise auch auf den Personenverkehr auswirken. Oder es werden Systeme lahmgelegt, und die Bremsleistung der Züge muss dann manuell berechnet werden, was heutzutage selbstverständlich auch automatisiert funktioniert und bei Ausfällen den Betrieb massiv stören und dadurch hohe Kosten verursachen würde.
Warum sollten Cyberkriminelle das tun?
Tatsächlich sind Unternehmen wie die ÖBB mit professionellen Konzern-Providern für alle IT-Sicherheitsthemen gut gerüstet, und es würden sich Cyberangriffe auf den Schienenverkehr für den Angreifer finanziell auch kaum lohnen. In anderen Bereichen, wie bei Banken, Kryptowährungsbörsen etc., lässt sich schneller und leichter Geld erpressen, was meistens der Grund für einen Hackerangriff ist.
Seltener, aber im Schienenverkehr gefährlicher sind politisch motivierte Angriffe, bei denen die Lieferkette für die Industrie – zum Beispiel Stahl, Öl –, das Militär, aber auch Holz oder Getreide unterbrochen wird. Daher müssen sich auch die Dienstleister in den Lieferketten ihrer Relevanz im Thema IT-Sicherheit bewusst sein, damit sie nicht zu den Einfallstoren für derartige Angriffe werden.
Wie die ONTEC als Digitalisierungspartner?
Ja, wir sind in der Tat ein langjähriger Akteur in der Branche und für EVUs (Eisenbahnverkehrsunternehmen) und Infrastrukturbetreiber One-Stop-Partner für Entwicklung, Wartung, Hosting und Betrieb von businesskritischen Systemen. Deshalb ist IT-Sicherheit bei uns auch oberste Prämisse. Zum Beispiel sind wir seit 2021 ISO-27001-zertifiziert – eine Zertifizierung nach ISO 27001 ist ein hervorragender erster Schritt zur NIS-2-Compliance, denn sie deckt etwa 70 Prozent der NIS-2-Anforderungen ab. Das ist ein enormer Wettbewerbsvorteil für Dienstleister von „Betreibern wesentlicher Dienste“ in Verkehrs- und weiteren Sektoren.
Aber nicht nur durch regelmäßige Rezertifizierungen und damit verbundene Auditierungen erbringen wir als Ontec den Nachweis über die Einhaltung der innerhalb der Sicherheitsnormen vorgeschriebenen Maßnahmen. Die Ontec erfüllt Schlüsselfaktoren in Sachen Cybersicherheit in hohem Maße und bringt neben jahrelanger Erfahrung mit der erfolgreichen Umsetzung und top ausgebildeten Fachkräften auch noch tiefgehendes Know-how im Bahnsektor mit. Das inkludiert maßgeschneiderte Services und SLAs, fundierte Sicherheitsarchitekturen, kluge Autorisierungs- und Authentifizierungsmethoden sowie ein effizientes Incident-Management zur Früherkennung und Behebung von Sicherheitsvorfällen.
Zurück zu NIS 2. Richtlinien, Gesetze, Zertifizierungen – das klingt nicht nach einem effizienten Schutz vor Cyberangriffen.
NIS 2 ist keine Firewall, sondern eine umfassende Erweiterung von Risikomanagementmaßnahmen und Berichtspflichten, die zudem von einem größeren Kreis an Unternehmen berücksichtigt werden müssen. Durch den erzwungenen Nachweis, „sicher“ zu sein, steigt erfahrungsgemäß die Sicherheit und Resilienz. So können Unternehmen die kritische Infrastruktur auch in Zukunft beliefern und sich als sicherer Partner ausweisen. Der Aufwand lohnt sich, und auch für Bedarf an zusätzlichen Fachkräften gibt es Lösungen. Aber das erörtern wir vielleicht ein andermal. (RNF)
www.ontec.at
INFO-BOX
Über NIS 2
Mit der Einführung von NIS 2 wird der Kreis der von dem Gesetz Betroffenen erheblich ausgeweitet. Die Einteilung in „Betreiber wesentlicher Dienste“ und „Anbieter digitaler Dienste“ wird zugunsten einer Einteilung in „Wesentliche Einrichtungen“ und „Wichtige Einrichtungen“ aufgegeben. Wurden unter NIS 1 dem Verkehrssektor angehörige Unternehmen noch durch das Bundeskanzleramt als „Betreiber wesentlicher Dienste“ identifiziert und per Bescheid verständigt, fallen nun alle großen und mittleren Unternehmen des Verkehrssektors in den Anwendungsbereich von NIS 2.
Kleines Unternehmen (KU): < 50 Beschäftigte und ≤ 10 Mio. Euro Jahresumsatz oder ≤ 10 Mio. Euro Jahresbilanzsumme
Mittleres Unternehmen (MU): < 250 Beschäftigte und ≤ 50 Mio. Euro Jahresumsatz oder ≤ 43 Mio. Euro Jahresbilanzsumme
Großes Unternehmen (GU): ≥ 250 Beschäftigte oder > 50 Mio. Euro Jahresumsatz und > 43 Mio. Euro Jahresbilanzsumme
(Quelle: WKO)