Risikomanagement und Resilienz: Interview mit Paul Gwynn, dem Vorsitzenden des Ausschuss für Cybersicherheit (Cybersecurity Committee)
Cybersicherheit ist für die Stabilität des öffentlicher Personennahverkehr von entscheidender Bedeutung.
Da die öffentlicher Personennahverkehr Verkehrsunternehmen ihre Abläufe modernisieren, um sie effizienter zu gestalten, müssen sie diese auch sicherer machen.
Tatsächlich ist jedes automatisierte System oder jede digitale Infrastruktur, von der Fahrkartenausgabe bis zur Gleissignalisierung, anfällig für Cyberangriffe.
Vor diesem Hintergrund sind wirksame Cybersicherheitsmaßnahmen die Grundlage für einen sicheren Betrieb des öffentlichen Nahverkehrs.
Paul Gwynn
Vorsitzender des UITP Ausschuss für Cybersicherheit (Cybersecurity Committee)
Was macht UITP ?
Der Ausschuss für Cybersicherheit (Cybersecurity Committee) der UITP vereint Experten und Fachleute aus dem gesamten Sektor.
Der Ausschuss arbeitet daran, das Bewusstsein für Cybersicherheit zu schärfen und Leitlinien für bewährte Verfahren in den Bereichen Cybersicherheits-Governance und -Design bereitzustellen sowie dringend benötigte Cyberkapazitäten für den ÖPNV aufzubauen.
Die neueste Veröffentlichung ist „Cybersicherheit for Small to Medium PTOs“ , die im Februar 2024 exklusiv für UITP Mitglieder veröffentlicht wurde.
Die Veröffentlichung richtet sich an Anwender mit begrenzter Erfahrung und begrenzten Ressourcen.
Es werden die vier wichtigsten Ziele einer erfolgreichen Cybersicherheitsstrategie sowie die unterschiedlichen Ansätze für Informationstechnologien (IT) und Betriebstechnologien (OT) erläutert und Anwendungsbeispiele aus der Sicht eines IT-Sicherheitsmanagers und eines OT-Sicherheitsmanagers bereitgestellt.
Um die Bedeutung der Cybersicherheit im öffentlicher Personennahverkehr und die Auswirkungen der UITP zu erörtern, sprachen wir mit Paul Gwynn, dem Vorsitzenden des UITP Ausschuss für Cybersicherheit (Cybersecurity Committee) .
Ein Gespräch mit Paul Gwynn, dem Vorsitzenden des Ausschuss für Cybersicherheit (Cybersecurity Committee)
F: Wie entstand das Ausschuss für Cybersicherheit (Cybersecurity Committee) ?
Paul Gwynn: Im Jahr 2016 bat der Lenkungsrat (Policy Board) den ITSI- Ausschuss um Rat im Umgang mit Cybersicherheit. Wir erarbeiteten einen ersten Bericht, der zu den Aktionspunkten wurde: Cybersicherheit im öffentlichen Verkehr, wobei der Schwerpunkt darauf lag, wie man anfängt, was zu tun ist, wohin man gehen sollte und welche Schlüsselstandards für den Sektor gelten. Doch die Welt hat sich in den letzten sechs Jahren weiterentwickelt, deshalb planen wir, es dieses Jahr zu aktualisieren.
Als Ergebnis der Aktionspunkte wurde Cybersicherheit als wichtiges Thema identifiziert, und wir wurden gebeten, eine Arbeitsgruppe als Teil des Ausschuss für Sicherheit im ÖPNV einzurichten. Cybersicherheit wurde sehr schnell zu einem wichtigen Thema und wir erhielten zahlreiche Anfragen mit komplexen Problemen, von der physischen und technischen Sicherheit bis hin zu Schwachstellen in Videoüberwachungs- und Funkkommunikationssystemen. Und wir stellten fest, dass die Menschen in Sachen Cybersicherheit wirklich schlecht informiert waren.
Paul Gwynn
Vorsitzender des UITP Ausschuss für Cybersicherheit (Cybersecurity Committee)
Resilienz stärken
F: Welche Auswirkungen hat das Komitee?
Paul Gwynn: Nun, durch die Veröffentlichung von Artikeln mit Richtlinien und Beispielen für bewährte Verfahren erzielen wir eine große Wirkung. Unser Bericht über Cybersicherheitsanforderungen bei Ausschreibungen wurde beispielsweise bereits bei öffentlichen Ausschreibungen auf der ganzen Welt eingesetzt. Eine demnächst erscheinende Veröffentlichung, die meiner Meinung nach bei Betreibern auf großes Interesse stoßen wird, befasst sich mit Risikomanagementinstrumenten für kleine wie große Betreiber. In diesem Beitrag wollen wir die praktische Frage beantworten, wie Betreiber Risikobewertungen für ihre Systeme durchführen können.
Darüber hinaus engagieren wir uns stark in der Interessenvertretung und Öffentlichkeitsarbeit, beispielsweise durch unsere Kooperation mit der APTA in Nordamerika und die sich entwickelnde Beziehung zur ENISA, der Europäischen Agentur für Cybersicherheit . Wir tauschen Informationen aus und laden sie zu unseren Ausschuss ein, um einen umfassenderen Überblick über die Welt der Cybersicherheit zu erhalten.
Es geht auch darum, das Bewusstsein zu schärfen und Fragen in anderen UITP Ausschüssen zu beantworten. Denn gerade für Einsteiger im Bereich Cybersicherheit gibt es zwar viele bestehende Standards, die man nutzen kann, aber es ist oft schwierig zu verstehen, wie diese auf die verschiedenen Verkehrsträger im öffentlicher Personennahverkehr anzuwenden sind. Viele unserer Berichte erläutern, wie die Leitprinzipien angewendet werden können.
Paul Gwynn
Vorsitzender des UITP Ausschuss für Cybersicherheit (Cybersecurity Committee)
Bedrohungen und Risiken
F: Welche Risiken birgt mangelhafte Cybersicherheit im öffentlicher Personennahverkehr?
Paul Gwynn: Einfach ausgedrückt: Es könnte zu einem Ausfall der Dienstleistung kommen. Beispielsweise könnten die Daten, die Ihr Ticketsystem betreiben, durch einen Distributed Denial-of-Service (DDoS)-Angriff blockiert werden. Und dann kann niemand mehr sein Guthaben aufladen und Sie haben keine Einnahmen. Oder wenn Ihr Personaleinsatzplanungssystem ausfällt, dann kennen die Fahrer ihre Aufgaben nicht, und so fahren keine Züge und Busse verlassen das Depot nicht. Das sind einfache Probleme mit massiven Konsequenzen.
Manchmal ist es einfach nur ärgerlich und peinlich, zum Beispiel wenn Hacker die Botschaften auf Schildern verändern. Aber noch wichtiger ist, dass eine echte Lebensgefahr bestehen kann. Beispielsweise können Angriffe auf OT-Systeme sicherheitskritische Systeme beeinträchtigen, wie etwa die Signaltechnik bei Eisenbahnen. Das ist nicht völlig ausgeschlossen.
Eine Fallstudie zu den Aktionspunkten
Hacker bringt Straßenbahnen in Lodz, Polen zum Entgleisen
Im Jahr 2008 modifizierte jemand in der polnischen Stadt Lodz eine Fernsehfernbedienung, um das Straßenbahnsystem zu hacken und die Kontrolle über ein Straßenbahnfahrzeug und die Weichensteuerung zu erlangen.
Bei dem Vorfall entgleisten vier Straßenbahnen, mehrere andere mussten Notbremsungen durchführen, wodurch zwölf Personen verletzt wurden.
Um den Stunt durchzuführen, nutzte der Hacker frei zugängliche Informationen und drang unbefugt in Straßenbahndepots ein, um die notwendigen Informationen und Ausrüstung zu beschaffen.
Angriffe, Sicherheitslücken und Unfälle
F: Warum sollte jemand ein öffentlicher Personennahverkehr Verkehrsunternehmen angreifen?
Paul Gwynn: Es gibt eine Reihe von Beweggründen. Wir hören von kriminellen Hackern und solchen, die Ransomware einsetzen, um Geld zu erpressen, oder von politischen Gruppen, die unsere Informationssysteme an sich reißen könnten. Aber es gibt auch unzufriedene Mitarbeiter. Zunehmend beobachten wir Cyberangriffe von staatlichen Akteuren.
öffentlicher Personennahverkehr werden häufig nicht angegriffen, weil sie gezielt angegriffen werden, sondern weil sie verwundbar sind. Täglich finden hunderte von Cyberangriffen auf Systeme statt, bei denen Angreifer nach Wegen suchen, einzudringen. Bislang hatten wir das große Glück, dass der öffentlicher Personennahverkehr nicht zu den Sektoren gehörte, in denen gezielte Angriffe im Vordergrund standen.
Cybersicherheit schützt aber vor mehr als nur vor externen Angriffen. Der menschliche Faktor ist der größte Risikofaktor bei Datenschutzverletzungen. Tatsache ist, dass Menschen Fehler machen. Bei 85 % aller Sicherheitsverletzungen spielt der Mensch eine Rolle. Sie sind zufällig. Ein großer Teil unserer Arbeit besteht also aus Schulung, Sensibilisierung und Tests.
- Bei 85 % aller Sicherheitsverletzungen ist menschliches Versagen die Ursache.
- Laut ENISA-Statistiken sind 53 % der Angriffe in Portugal auf DDoS-Angriffe zurückzuführen.
- Laut ENISA machen Ransomware-Angriffe 19 % der Angriffe in Portugal aus.
Empfehlungen zur Cybersicherheit
Q: Welchen Rat geben Sie Betreibern und Behörden, die ihre Abläufe digitalisieren und gleichzeitig deren Sicherheit gewährleisten wollen?
Paul Gwynn: Letztendlich müssen Organisationen die Risiken, denen sie ausgesetzt sind, verstehen und bewältigen. Das geschieht zunächst durch eine Prüfung Ihres gesamten Systems und anschließend durch Risikoanalysen. Sie müssen die größten Risiken für Ihr System priorisieren und Maßnahmen zur Risikominderung einführen, um diese Risiken zu kontrollieren und zu managen. Zum Beispiel durch die Einführung interner Verfahren, die Schulung Ihrer Mitarbeiter, die Segmentierung Ihrer Netzwerke und die Aktualisierung Ihrer Technologie. Im Grunde geht es hier um Cybersicherheit von Grund auf.
Um Sicherheit zu gewährleisten, muss Ihr System kontinuierlich überwacht werden. Im Laufe der Lebensdauer des Systems wird es viele Veränderungen geben. Und jedes Mal, wenn es eine Veränderung gibt, muss eine Folgenabschätzung durchgeführt werden, um die Auswirkungen dieser Veränderung zu ermitteln. Cybersicherheit ist keine einmalige Angelegenheit. Es ist ein lebenslanger Prozess.
Paul Gwynn
Vorsitzender des UITP Ausschuss für Cybersicherheit (Cybersecurity Committee)
Die Zukunft des Komitees
F: Wie sieht die Zukunft des Ausschuss für Cybersicherheit (Cybersecurity Committee) aus?
Paul Gwynn: Mit der Schulung haben wir bereits fünf oder sechs verschiedene Schulungskurse durchgeführt. Cybersicherheit ist für die meisten Betreiber und Behörden ein relativ neues Thema, was die Rekrutierung der richtigen Leute erschwert. Um dies zu unterstützen, möchten wir ein UITP Diplom entwickeln, um Mitarbeiter im Bereich Cybersicherheit auszubilden.
Wir wissen, dass viele Betreiber intern rekrutieren. Oft handelt es sich dabei nicht um Personen mit einem Hintergrund im Bereich Cybersicherheit, sondern einfach um solche, die Interesse oder die Fähigkeit haben, Dinge zu untersuchen. Wir sind der Ansicht, dass ein UITP Diplom im Bereich Cybersicherheit sowohl unseren Mitgliedern helfen als auch gute Berufschancen eröffnen kann.
Die neue Publikation
Cybersicherheit für kleine und mittlere Betreiber des öffentlichen Nahverkehrs
F: Zum Schluss noch eine Frage zu der neuen Veröffentlichung Ihres Ausschusses mit dem Titel „ Cybersicherheit für kleine und mittlere Betreiber des öffentlichen Nahverkehrs“:
Paul Gwynn: In diesem neuen Papier geht es um die Entwicklung von operativen Technologiesystemen zur Abwehr neuer und aufkommender Bedrohungen. Im Bereich der digitalen Transformation tut sich derzeit vieles, deshalb wollen wir sicherstellen, dass die Menschen ihre Verwundbarkeit verstehen. Kurz gesagt, es ist toll, diese neue digitale Umgebung zu haben und Daten frei austauschen zu wollen, aber man muss sich der potenziellen Cyberbedrohungen bewusst sein, denen man sich dadurch aussetzt.
Der Bericht erläutert diese Bedrohungen für Betreiber mit begrenzter Erfahrung oder begrenzten Ressourcen und die Schritte, die sie unternehmen können, um diesen Bedrohungen entgegenzuwirken. Es verweist auf relevante Standards und bewährte Verfahren mit einem klaren und praxisorientierten Ansatz.