Üstra führt Sandbox-Lösung ein

Sicherheit der IT-Infrastruktur

Aufgrund der zunehmenden Vernetzung von Fahrzeugen und deren Komponenten legt die Üstra Hannoversche Verkehrsbetriebe AG ein großes Augenmerk auf die ­Absicherung ihrer kritischen Infrastrukturen und vertraut auf die Beratung durch Mod IT Services.

Zugzielanzeiger, Bildquelle: Üstra

Zugzielanzeiger an der Haltestelle Noltemeyerbrücke

Ein Wochentag, halb acht Uhr morgens an der Stadtbahnhaltestelle Steintor in Hannover-Mitte: Während der Fahrgast auf die Linie 10 wartet, sorgt die Netzwerkanbindung der Haltestelle für den entsprechenden Service – sei es durch die dynamische Fahrgastinformation, stationäre Fahrkartenautomaten oder Notrufinformationen. Im nächsten Schritt sollen die Fahrzeuge und deren Komponenten dort, wo es technisch möglich und sinnvoll ist, IP-fähig gemacht werden. Doch durch die zunehmende Vernetzung der Systeme genügen kleine Ausfälle, um weitreichende Konsequenzen nach sich zu ziehen. Kritische Infrastrukturen wie der öffentliche Nahverkehr benötigen deshalb besonderen Schutz.

Infrastrukturen sind dann kritisch, wenn Teile des öffentlichen Lebens von ihnen abhängen. Das befand auch das Innenministerium und legte schon vor mehreren Monaten einen Entwurf für ein IT-Sicherheitsgesetz vor. Doch so wie dem Gesetz ergeht es derzeit noch vielen Risikoanalysen und Krisenmanagementplänen: Sie werden auf die lange Bank geschoben. „Wir können feststellen, dass die IT zunehmend Infrastrukturen beeinflusst, die unbedingt geschützt werden müssen“, fasst Hans-Peter Stork, Bereichsleiter Systemtechnik und verantwortlich für die IT-Security, die Rechenzentren und den PC-Service der Üstra Hannoversche Verkehrsbetriebe, die Herausforderungen zusammen. „Ein Beispiel sind Steueranlagen von Gleichrichterwerken. Sie werden zukünftig mit IT-Komponenten versorgt, um die Anlagen flexibel managen zu können. Damit werden diese natürlich auch leichter angreifbar und das Risiko steigt.“ Schon heute gibt es diverse Systeme in den Nahverkehrsfahrzeugen, die Daten austauschen bzw. mit Daten versorgt werden wie Bordrechner zur Fahrzeugsteuerung, Fahrgastinformationssysteme, Videoanlagen oder auch Systeme, die überwachen und Störungen melden.

Das Chaos in der Stadt vermeiden

Dabei ist die Üstra ein Traditionsbetrieb. Seit 120 Jahren fahren die hannoverschen Stadtbusse und ­-bahnen. Derzeit befördern sie rund 159 Millionen Fahrgäste im Jahr. Als Teil der kritischen Infrastrukturen nahm sie 2011 mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) an einer länderübergreifenden Übung (Lükex) teil. In der Übung wurden Angriffe auf kritische Infrastrukturen in Deutschland simuliert. Hier erprobte man das Krisenmanagement in Zusammenarbeit mit der Stadt Hannover und dem Land Niedersachsen.

Ein Dreh- und Angelpunkt ist dabei u.a. die Zugsicherungstechnik, die inzwischen auch über IT eingebunden ist, aber autark von anderen Netzen arbeitet. „Die Signaltechnik und die Weichensteuerung sorgen für Sicherheit, damit keine Auffahrunfälle im Tunnel oder bei sogenannten Flankenfahrten passieren. Das könnte natürlich im Falle einer Manipulation oder eines Angriffs schwerste Unfälle verursachen“, schildert Hans-Peter Stork ein Krisenszenario. Auch Ampelanlagen seien betroffen, die über eigenständige Steuerrechner geschaltet werden. „Die Üstra hängt aufgrund der Vorrangschaltungen für die Stadtbahnen am Netz der Stadt. Ein Angriff könnte Chaos in der Region verursachen.“ Doch nicht nur die Vernetzung von Komponenten, die bislang als „offline“ galten, trägt zur zunehmenden Komplexität und Vulnerabilität der Infrastrukturen bei. „Eine Herausforderung stellen auch Trends wie das mobile Arbeiten dar“, verweist Hans-Peter Stork auf Tablet-PCs. „Hier haben wir gerade eine Sandbox-Lösung eingeführt, mit der Firmendaten sowie die Kommunikation ins Unternehmen vom lokalen Gerät losgelöst sind.“

Die Üstra nimmt kritische Infrastrukturen und deren Sicherheit ernst, viele andere Unternehmen hingegen weniger. Darauf weist Lutz Kolmey, IT-Managementberater bei Mod IT Services. „Viele Firmen sind sich ihrer Abhängigkeit von der IT nicht bewusst“, sagt er. „In der Praxis haben wir schon oft erlebt, dass selbst Unternehmen, die einen wichtigen Teil zur öffentlichen Infrastruktur beitragen, noch nie über Risiko- oder Krisenmanagement nachgedacht haben.“

Er begrüßt deshalb den Entwurf des Innenministeriums zu einem neuen IT-Sicherheitsgesetz. „Dieser enthielt viele gute Ansätze.“ Er sieht vor, dass Unternehmen, die kritische Infrastrukturen zur Verfügung stellen, zu regelmäßigen Sicherheitsaudits verpflichtet werden sollen. IT-Sicherheitsvorfälle müssten dann an das BSI gemeldet werden. Was genau dabei als Schadensfall einzuordnen ist, bleibt derzeit noch offen.

„Im wesentlichen geht es darum, bei den betroffenen Firmen Verfahren zu etablieren, die den Schaden begrenzen, wenn es zu Problemen mit der IT-Infrastruktur kommt“, erklärt Lutz Kolmey. Das ist keineswegs trivial und schon gar nicht „mal eben“ umgesetzt. Von daher empfiehlt er eine detaillierte Risikoanalyse, bei der Schwachstellen und gefährdete Schnittstellen identifiziert werden. Darauf basieren fest definierte vorbeugende Maßnahmen und Strategien: angefangen vom Einsatz von Verschlüsselungstechnologien bis hin zur Festlegung, welche Audits zur Überprüfung in welchen Abständen sinnvoll sind. Damit Unternehmen für den Fall der Fälle trotz aller Vorbeugung gewappnet sind, sollte darüber hinaus ein Krisenplan mit eindeutigen Ansprechpartnern und Eskalationsszenarien erstellt werden. Für Hans-Peter Stork hat die Sicherheit der IT-Infrastruktur nicht nur wegen der aktuellen Ereignisse höchste Priorität. „Die Herausforderungen an Sicherheit und Schutz der Infrastruktur und Daten werden in Zukunft gewaltig steigen. Unternehmen werden hier mehr Aufwand in Technik, organisatorische Maßnahmen und Kompetenz der Mitarbeiter und Administratoren stecken müssen, um für die Zukunft gut aufgestellt zu sein.“

 

Über die Üstra
Mit ihren Stadtbussen und Stadtbahnen sowie rund 165 Millionen Fahrgästen im Jahr ist die Üstra Hannoversche Verkehrsbetriebe AG der leistungsstärkste Dienstleister für Nahverkehr in Niedersachsen. Gegründet im Jahr 1892 beschäftigt man heute ca. 1.900 Mitarbeiter und generiert einen Umsatz von etwa 211 Mio. Euro.
Im Internet: www.uestra.de

 

Bildquelle: Üstra

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok