Wie man eine auf IEC 62443 basierende Bewertung für die U-Bahn-Infrastruktur durchführt

Das rasante Wachstum der städtischen Bevölkerung hat U-Bahn-Systeme zu einem der wichtigsten Faktor für den Fortschritt moderner Städte gemacht. Diese komplexen Netzwerke, mit komplizierten Signalisierungs-, Kommunikations-, Steuerungs- und Energiesystemen, fungieren als kritische Infrastruktur und wirken sich direkt auf die öffentliche Sicherheit, die wirtschaftliche Aktivität und das tägliche Leben der Pendler aus.

Während die Digitalisierung und Automatisierung der U-Bahn bereits immense Vorteile in Bezug auf Effizienz und Passagiererlebnis bieten, haben sie auch ein erhöhtes Maß an Cyberrisiken eingeführt. Ein erfolgreicher Cyberangriff auf ein U-Bahn-System könnte leicht zu katastrophalen Folgen führen, von weitreichenden Dienstunterbrechungen und wirtschaftlichen Verlusten bis hin zu schweren Sicherheitsvorfällen und Verlust von Menschenleben. Solche Netzwerke stehen auch im Fokus von staatlich geförderten Bedrohungsakteuren, die darauf abzielen, die kritische Infrastruktur anderer Nationen zu schädigen.

Um einer solchen anhaltenden Bedrohung entgegenzuwirken, wenden sich U-Bahn-Betreiber nun der IEC 62443-Serie von Standards zu. Dieses international anerkannte Rahmenwerk, das für industrielle Automatisierungs- und Steuerungssysteme (IACS) konzipiert wurde, bietet einen robuster, strukturierten und risikobasierten Ansatz zur Sicherung der Operational Technology (OT)-Umgebungen, die der U-Bahn-Infrastruktur zugrunde liegen. Im Gegensatz zu allgemeinen IT-Cybersicherheitsstandards hat die IEC 62443 viele Standards innerhalb des Gesamtsatzes, die speziell auf die einzigartigen operativen Eigenschaften, Sicherheitsanforderungen und Echtzeitanforderungen industrieller Kontrollsysteme zugeschnitten sind, was es zur idealen Wahl für die komplexe Welt der U-Bahn macht.

Was ist einzigartig an der Cyber-Bedrohungslandschaft rund um die U-Bahn-Infrastruktur?

Die U-Bahn-Infrastruktur stellt eine facettenreiche Cybersecurity-Herausforderung dar:

· Verknüpfte Systeme: Moderne U-Bahn-Systeme bestehen aus einem Netz von miteinander verbundenen IT- und OT-Systemen, einschließlich Supervisory Control and Data Acquisition (SCADA), Automatikkontrolle (ATC), kommunikationsgestützter Zugkontrolle (CBTC), Signalgebung, Traktionsstromversorgung, Fahrgastinformationssysteme (PIS), Ticketing und mehr. Ein Kompromiss in einem System kann schnell auf andere übergreifen.

· Legacy- und proprietäre Technologien: Viele Komponenten der bestehenden U-Bahn-Infrastruktur sind Jahrzehnte alt und verlassen sich auf veraltete Hardware und mehrere proprietäre Protokolle, die nicht für moderne Cybersicherheit entwickelt wurden. Die Integration von Sicherheit in solche Systeme, ohne den Betrieb zu stören, ist eine erhebliche Herausforderung.

· Echtzeitbetrieb und Sicherheitskritikalität: U-Bahn-Betrieb ist von Natur aus in Echtzeit und sicherheitskritisch. Jede Verzögerung oder Fehlfunktion aufgrund eines Cyberangriffs kann sofortige und schwerwiegende Folgen für die Sicherheit der Passagiere, den Betrieb und die Servicebereitstellung haben. Dies priorisiert Verfügbarkeit und Integrität vor Vertraulichkeit, wie es bei den meisten OT-Systemen der Fall ist.

· Geographisch verteilte Vermögenswerte: U-Bahn-Netze können sich über große geografische Gebiete erstrecken, wobei Kontrollsysteme, Sensoren und Kommunikationsinfrastruktur über Stationen, Gleise, Tunnel, Abstellungen und Kontrollzentren verteilt sind, was das Management von physischer und cyber-Sicherheit kompliziert.

· Anfälligkeiten in der Lieferkette: Das U-Bahn-Ökosystem umfasst eine Vielzahl von Geräteherstellern (OEMs), Systemintegratoren und Dienstanbietern. Eine Anfälligkeit, die an irgendeinem Punkt in der gesamten Lieferkette eingeführt wird, kann sich durch das gesamte System hinziehen.

· Auftreten von IIoT und intelligenter Schiene: Die Nutzung von IIoT-Geräten für vorausschauende Wartung, Echtzeitüberwachung und intelligentes Stationenmanagement führt zu einer Vielzahl von Sensoren, Datenpunkten und Konnektivität, was die Angriffsfläche erheblich erweitert.

· Insider-Bedrohungen und menschliches Versagen: Während externe Bedrohungen häufig sind, bleiben Insider-Bedrohungen (böswillig oder unbeabsichtigt) und menschliche Fehler erhebliche Schwachstellen, insbesondere in komplexen Betriebsumgebungen.

· Betrieb und kritische Prozesse: Da viele der Prozesse, die von U-Bahn-Betreibern befolgt werden, von traditionellen Bahnsystemen abgeleitet sind, haben beide ähnliche Sicherheitsherausforderungen. Die meisten Betrieb und Prozesse priorisieren Verfügbarkeit und Sicherheit, und Cybersicherheit ist nicht einmal in manchen Fällen ein Punkt auf der Checkliste. Selbst in Fällen, wo wir gesehen haben, dass U-Bahn-Betreiber ein Security Operations Center (SOC) einsetzen, war der Sicherheitsbereich gering bis schlecht.  

Warum ist IEC 62443 für die Cybersicherheit der U-Bahn entscheidend?

Die IEC 62443-Serie bietet einen strukturierten und umfassenderen Ansatz zur Minderung von Cyberrisiken durch:

· Bereitstellung einer gemeinsamen Sprache: Die IEC 62443 etabliert standardisierte Begriffe und Konzepte für alle Stakeholder (Vermögensbesitzer, Systemintegratoren, Produktlieferanten), erleichtert eindeutige Kommunikation und konsistente Sicherheitspraktiken. Die IEC 62443 kann von allen Stakeholdern leicht als Basisstandard übernommen werden.

· Ermöglichung eines risikobasierten Sicherheitsansatzes: Es betont die Durchführung gründlicher Risikoanalysen zur Identifizierung kritischer Vermögenswerte, Lücken, mangelndes Sicherheitsbewusstsein und zur Bestimmung geeigneter Sicherheitsniveaus basierend auf den potenziellen Auswirkungen eines Cybervorfalls.

· Förderung von Verteidigung in der Tiefe: Die IEC 62443 ermutigt zu einem geschichteten Sicherheitsansatz (mit Redundanzen), um sicherzustellen, dass mehrere Sicherheitskontrollen vorhanden sind, um kritische Systeme, einschließlich veralteter Vermögenswerte, zu schützen, selbst wenn eine Schicht durchbrochen wird.

· Berücksichtigung des gesamten Lebenszyklus: Die IEC 62443 konzentriert sich auf Sicherheit über den gesamten Lebenszyklus von IACS, von der ursprünglichen Gestaltung und Entwicklung bis zur Integration, zum Betrieb, zur Wartung und zur letztendlichen Stilllegung.

· Förderung gemeinsamer Verantwortung: Die IEC 62443 definiert klare Rollen und Verantwortlichkeiten für verschiedene Beteiligte im Lebenszyklus von IACS und fördert Zusammenarbeit, Transparenz und Verantwortlichkeit.

· Verbesserung der Einhaltung von Vorschriften: Die Einhaltung der IEC 62443 hilft U-Bahn-Betreibern, aktuelle und zukünftige Cybersecurity-Vorschriften und Branchenleitlinien zu erfüllen, wie z.B. die NIS2-Richtlinie in Europa oder aufkommende nationale Schutzrahmen für kritische Infrastruktur in Australien, Singapur, den VAE, Indien und anderen Regionen.

· Vorfallreaktion: Die IEC 62443 kann auch helfen, die Qualität der Vorfallreaktion zu verbessern, indem sie das Sicherheitsbewusstsein der Mitarbeiter stärkt, Reaktionslücken schließt und das Risiko einer nicht abgestimmten Reaktion auf einen Vorfall minimiert.   

Wie führt man eine auf IEC 62443 basierende OT-Sicherheitsbewertung für die U-Bahn durch?

Eine auf IEC 62443 basierende Risiko- und Lückenbewertung für die U-Bahn-Infrastruktur ist ein systematischer Prozess zur Bewertung der aktuellen Cybersicherheitslage im Vergleich zu den Anforderungen des Standards. Nach dem Shieldworkz Bewertungsansatz können wir folgendermaßen vorgehen:

Umfassende Vermögensidentifizierung, -klassifizierung und -inventar

Die Grundlage jedes effektiven Cybersecurity-Programms ist eine detaillierte Entdeckung und ein Verständnis der zu schützenden Vermögenswerte. Für die U-Bahn ist dies aufgrund der schieren Vielfalt und verteilten Natur der operationellen Technologien und Netzwerke ein enormes Unterfangen.

Wichtige Vermögenswerte im U-Bahn-OT-Umfeld:

Kontrollsysteme: 

• SCADA-Systeme (Supervisory Control and Data Acquisition) für die vollständige Netzwerküberwachung und -steuerung.

• PLC (Programmable Logic Controller) und RTU (Remote Terminal Unit) Geräte zur lokalen Steuerung von Signalen, Schaltern, Türen, Belüftung, Rolltreppen usw.

• Automatische Zugkontrolle (ATC), automatische Zugsteuerung (ATO), automatische Zugschutzsysteme (ATP).

• Kommunikationsgestützte Zugkontrollsysteme (CBTC), einschließlich Gleisausrüstung, Bordgeräte und zentrale Steuerung.

• Komponenten des Europäischen Schienentransportmanagementsystems (ERTMS), einschließlich Radio Block Centers (RBCs), Eurobalisen und GSM-R/FRMCS Kommunikationsinfrastruktur.

• Traktionsstromversorgungssysteme (TPS), einschließlich Umspannwerken, Gleichrichtern, Leistungsschaltern und zugehörigen Kontrollsystemen.

• Signalisierungswechsel (relaysbasiert, elektronisch oder hybrid).

Kommunikationsnetze: 

• Fiber-optic-Netzwerke, Ethernet, industrielle Feldbusse wie Modbus und Profibus, dedizierte Funksysteme wie GSM-R, TETRA, Wi-Fi.

• Netzwerkgeräte: Router, Switches, Firewalls, Systeme zur Eindringungserkennung/-verhinderung (IDPS) wie Shieldworkz.

• Drahtlose Zugangspunkte für bordeigene und gleisseitige Kommunikation.

Mensch-Maschine-Schnittstellen (HMIs) und Arbeitsstationen: 

• Betriebsleiterkonsolen in Kontrollzentren.

• Ingenieur-Arbeitsstationen für Konfiguration und Wartung.

• Diagnose- und Überwachungsterminals.

Datenhistoriker und Server: 

• Server, die operative Daten, Alarme, Ereignisprotokolle speichern.

• Datenbanken für das Vermögensmanagement, Wartungspläne, Besucherinformationen.

Physische Sicherheitssysteme: 

• CCTV-Systeme, Zugangskontrollsysteme (ACS) für Stationen, Abstellungen, Kontrollräume und sensible Bereiche, die oft IT-verbunden sind und die OT-Sicherheit beeinträchtigen.

IIoT-Geräte: 

• Sensoren zur Überwachung des Gleiszustands, vorausschauende Wartung des Rollmaterials, intelligente Stationsinfrastruktur wie intelligente Beleuchtung, intelligente HVAC.

• Edge-Computing-Geräte zur Verarbeitung von IIoT-Daten.

Bauteile des Rollmaterials: 

Bordkontrollsysteme, Zuginformationsnetzwerke, Fernwartungssysteme.

Für jedes Vermögen sollte das Inventar Details wie physische Standort, Netzwerkadresse, Funktion, Lebenszyklusstatus, Kritikalität, Hersteller, Modell, Seriennummer, Firmware-/Softwareversionen, Patch-Status und Abhängigkeiten erfassen. Automatisierte Entdeckungstools, die auf OT-Umgebungen zugeschnitten sind, sind für diese Aufgabe entscheidend, ergänzt durch manuelle Überprüfung und Abstimmung.

Einhaltung von Vorschriften: Ein Imperativ

Die U-Bahn-Infrastruktur, die eine kritische Infrastruktur darstellt, unterliegt strengen nationalen und internationalen Vorschriften. Die IEC 62443-Bewertung hilft, die Lücke zwischen technischer Umsetzung und regulatorischer Einhaltung zu überbrücken.

· Nationale Vorschriften: In Indien beispielsweise, während spezifische Eisenbahn-Cybersicherheitsvorschriften sich entwickeln, gelten die breiteren CERT-In Cybersecurity Richtlinien für kritische Infrastruktur. Betreiber müssen sich auf sektorspezifische Richtlinien vorbereiten und darauf einstellen.

· Regionale Richtlinien (z. B. NIS2-Richtlinie der EU): Für europäische U-Bahn-Systeme verlangt die NIS2-Richtlinie robuste Cybersicherheitsmaßnahmen für kritische Einheiten, einschließlich Transport. Die IEC 62443 bietet einen klaren Rahmen für die Einhaltung.

Branchenstandards & Richtlinien: 

• CLC/TS 50701: Diese technische Spezifikation von CENELEC ist speziell auf die Cybersicherheit der Eisenbahnen zugeschnitten, baut auf der IEC 62443 auf und passt sie an die einzigartigen Merkmale der Bahnsysteme an. Sie ist oft ein wichtiges Referenzdokument neben der IEC 62443.

• IEC 63452 (Zukunft): Diese bevorstehende internationale Norm zielt darauf ab, das Cybersicherheitsmanagement in Bahnsystemen zu vereinheitlichen und die Anwendung der Prinzipien der IEC 62443 im Sektor weiter zu festigen.

• NIST Cybersicherheitsrahmen (CSF): Während breiter, stimmen die fünf Funktionen des NIST CSF (Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen) gut mit dem Lebenszyklusansatz der IEC 62443 überein und sind weit verbreitet.

• ISO 27001: Während sie mehr IT-zentriert ist, können ihre Prinzipien des Informationssicherheitsmanagements, insbesondere für die IT-Seite der U-Bahn-Betrieb, integriert werden.

Die Bewertung muss die implementierten IEC 62443-Kontrollen klar mit den Anforderungen dieser relevanten Vorschriften und Standards verknüpfen und einen umfassenden Ansatz zur Einhaltung demonstrieren.

Mitarbeiterbewusstsein: Der menschliche Faktor in der Cybersicherheit der U-Bahn

Angesichts des Umfangs und der Komplexität des U-Bahn-Betriebs spielen menschliche Faktoren eine entscheidende Rolle in der Cybersicherheit. Eine gut ausgebildete und informierte Belegschaft fungiert als erste und letzte Verteidigungslinie.

Schlüsselelemente des Mitarbeiterbewusstseins für die Cybersicherheit der U-Bahn-OT:

· Maßgeschneiderte Schulung: Allgemeine IT-Sicherheitsschulung ist unzureichend. Die Schulung muss spezifisch für OT-Umgebungen sein und Risiken im Zusammenhang mit physischem Zugang zu Kontrollräumen, Nutzung von USB-Geräten, Fernzugangsprotokollen, sozialer Ingenieurtechnik, die sich gegen das Betriebspersonal richten, sowie den Folgen der Kompromittierung von Signalisierungs- oder Energiesystemen abdecken.

· Rollenbasierte Ausbildung: Verschiedene Rollen (z.B. Zugführer, Signalisierungsingenieure, Wartungstechniker, Mitarbeitende im Kontrollzentrum, IT-Support, Personal an Stationen) erfordern maßgeschneiderte Schulung, die ihren Zugangsberechtigungen und der potenziellen Auswirkungen auf die OT-Systeme entspricht.

· Vorfallserkennung und -meldung: Schulen Sie alle Mitarbeiter darin, wie sie ungewöhnliche Aktivitäten (z.B. unautorisierte Zugriffsversuche, seltsames Systemverhalten, physische Manipulation) erkennen und die unmittelbaren Schritte zur Meldung potenzieller Sicherheitsvorfälle ohne Angst vor Schuld nachvollziehen können.

· Physische Sicherheitsprotokolle: Verstärken Sie die Bedeutung von physischen Sicherheitsmaßnahmen, wie Zugangskartenverfahren, Besucherbegleitung und sicheren Umgang mit physischen Medien, da physische Verletzungen direkt zu Cyberkompromiss in der OT führen können.

· Simulationsübungen: Durchführen regelmäßiger Übungen, einschließlich Tischübungen für die Vorfallreaktion und simulierte Phishing-Kampagnen, um das Mitarbeiterbewusstsein und die Wirksamkeit der Reaktionsverfahren zu testen.

· Sicherheitskultur: Pflegen Sie eine starke Sicherheitskultur, in der Cybersicherheit in die täglichen Betriebsverfahren integriert, als gemeinsame Verantwortung verstanden und zusammen mit Sicherheit und Effizienz priorisiert wird.

Vertiefung in die wichtigsten IEC 62443-Substandards für U-Bahn

Die IEC 62443-Serie umfasst verschiedene Substandards. Für eine umfassende U-Bahn-OT-Sicherheitsbewertung sind die folgenden besonders relevant:

IEC 62443-1-1: Terminologie, Konzepte und Modelle

Dieser grundlegende Standard bietet die gemeinsame Sprache und den übergreifenden Rahmen für die gesamte Serie. Er definiert Schlüsselbegriffe wie IACS, Zonen und Leitungen, Sicherheitsniveaus und den Sicherheitslebenszyklus und stellt sicher, dass alle Stakeholder auf derselben Seite stehen. Eine Bewertung stellt sicher, dass diese Kernkonzepte verstanden und konsequent in der U-Bahn-Organisation angewendet werden.

IEC 62443-2-1: Aufbau eines IACS-Sicherheitsprogramms

Dieser Standard konzentriert sich auf die Verantwortung des Vermögensinhabers beim Aufbau und der Aufrechterhaltung eines robusten Cybersicherheitsmanagementsystems (CSMS) für ihre IACS. Für die U-Bahn bedeutet dies:

· Cybersicherheitspolitiken: Dokumentierte Politiken für alle Aspekte der OT-Cybersicherheit, einschließlich Vermögensverwaltung, Risikomanagement, Vorfallreaktion, Schwachstellenmanagement, Fernzugang, physische Sicherheit für OT und sichere Konfiguration.

· Organisationsstruktur: Definierte Rollen und Verantwortlichkeiten für IT- und OT-Teams, klare Kommunikationslinien und ein Rahmenwerk für die IT/OT-Zusammenarbeit.

· Risikomanagementprozess: Ein kontinuierlicher Prozess zur Identifizierung, Analyse, Bewertung und Behandlung von Cyberrisiken, die spezifisch für die U-Bahn-Betrieb sind, wobei sowohl Sicherheits- als auch betriebliche Kontinuität berücksichtigt werden.

· Sicherheitsbewusstseinsprogramm: Formelle Schulungs- und Bewusstseinsinitiativen, wie oben beschrieben.

· Dritte und Lieferkettenmanagement: Verfahren zur Bewertung und Verwaltung der Cybersicherheitslage aller Anbieter, Auftragnehmer und Integratoren, die in das U-Bahn-Ökosystem involviert sind.

Eine Bewertung überprüft die Existenz, Implementierung und Wirksamkeit dieser programmatischen und verfahrenstechnischen Kontrollen.

IEC 62443-2-4: Grundlegende Anforderungen für IACS-Dienstanbieter

Dieser Standard ist entscheidend für die U-Bahn, die oft auf zahlreiche externe Dienstanbieter (z.B. Systemintegratoren, Wartungsauftragnehmer, Signalisierungsanbieter, Kommunikationsanbieter) angewiesen ist. Er legt Sicherheitsanforderungen für diese Anbieter fest, um sicherzustellen, dass sie sicher arbeiten und keine Schwachstellen in das U-Bahn-System einführen. Eine Bewertung umfasst die Prüfung der Sicherheitspraktiken dieser Anbieter gegenüber 62443-2-4.

IEC 62443-3-2: Sicherheitsrisikobewertung für Systemdesign

Dieser Standard bietet eine detaillierte Methodik zur Durchführung einer Sicherheitsrisikobewertung für ein spezifisches IACS, die zur Definition von Sicherheitsniveaus (SL) führt.

Was sind die wichtigsten Schritte in der Risikoabschätzung für die U-Bahn unter Verwendung von IEC 62443-3-2?

1. Definieren Sie das System unter Berücksichtigung (SuC): Grenzen Sie spezifische Betriebsbereiche oder Systeme innerhalb des U-Bahn-Netzwerks ein, z.B. Signalgebung und Zugkontrolle, Traktionsstrom, Stationssysteme.

2. Hochrangige Risikobewertung: Erste Identifizierung breiter Bedrohungen und potenzieller Auswirkungen.

3. Zonen und Leitungen (Z&C) Definition: Dies ist entscheidend für die U-Bahn:

• Zonen: Logische Gruppierungen von Vermögenswerten mit gemeinsamen Sicherheitsanforderungen und Kritikalität. Beispiele: Kontrollzentrumzone, Signalgebung Gleisbereich, Rollmaterialzone, Stationssystemzone, Traktionskraftunterzonen, Enterprise-IT-Zone. Jede Zone hat ein definiertes Sicherheitsniveau-Ziel (SL-T) basierend auf dem Risiko, das mit ihren Vermögenswerten verbunden ist. SL-T reicht von 1 (Basis-schutz) bis 4 (Schutz vor anspruchsvollen, hochgradig ausgestatteten Angreifern).

• Leitungen: Die Kommunikationswege zwischen den Zonen. Sicherheitskontrollen müssen an diesen Leitungen implementiert werden, um den Datenfluss zu kontrollieren und zu überwachen (z.B. Firewalls, Datendiode, Eindringungserkennung).

4. Detaillierte Risikobewertung pro Zone/Leitung: Für jede Zone und Leitung sollten bestimmte Bedrohungen (z.B. Ransomware, Denial-of-Service zu SCADA, unautorisierter Zugang zur Zugkontrolle), Schwachstellen, Wahrscheinlichkeit und Konsequenzen identifiziert werden. Bestimmen Sie das erreichte Sicherheitsniveau (SL-A) und die Lücke zum SL-T.

5. Identifizierung von Gegenmaßnahmen: Vorschlagen und priorisieren Sie Sicherheitskontrollen (technisch, administrativ, physisch), um die Lücke zu schließen und die Ziel-Sicherheitsniveaus zu erreichen.

Zum Beispiel könnte das zentrale Kontrollsystem einer U-Bahn ein SL-T von 3 oder 4 erfordern, während die PIS einer Station ein SL-T von 2 haben könnte.

IEC 62443-3-3: Technische Sicherheitsanforderungen und Sicherheitsniveaus

Dieser Standard legt die detaillierten technischen Sicherheitsanforderungen für IACS fest, um ein gegebenes Sicherheitsniveau zu erreichen. Sobald die SL-T (von 62443-3-2) definiert sind, bietet 62443-3-3 die spezifischen technischen und verfahrenstechnischen Kontrollen. Dazu gehören:

· Identifizierungs- und Authentifizierungskontrolle (IAC): Sichere Authentifizierung für Benutzer und Geräte, Mehrfaktorauthentifizierung für kritische Zugänge (z.B. Fernzugang zu SCADA).

· Nutzungskontrolle (UC): Rollenbasierte Zugangskontrolle (RBAC), Prinzip des geringsten Privilegs, um sicherzustellen, dass Betreiber nur das Notwendige für ihre Aufgaben zugreifen.

· Systemintegrität (SI): Schutz vor unautorisierten Änderungen von Software/Firmware, sichere Bootvorgänge, Integritätsprüfungen für PLC-Logik und Konfigurationsdateien.

· Datenvertraulichkeit (DC): Verschlüsselung sensibler Daten während der Übertragung (z.B. Signalisierungsbefehle, Passagierdaten) und im Ruhezustand.

· Eingeschränkter Datenfluss (RDF): Netzwerksegmentierung (Zonen und Leitungen), Firewalls, unidirektionale Gateways, Protokollanomalieerkennung für OT-Protokolle.

· Rechtzeitige Ereignisreaktion (TRE): Umfassendes Protokollieren auf OT-Geräten, Integration mit Sicherheitsinformations- und Ereignismanagementsystemen (SIEM), Echtzeitanomalieerkennung und robuste Vorfallreaktionspläne.

· Ressourcenverfügbarkeit (RA): Redundanz, Failover-Mechanismen, robuste Backup- und Wiederherstellungsverfahren für kritische Systeme, um die betriebliche Kontinuität trotz Cyberangriffen sicherzustellen.

Eine Bewertung umfasst die Überprüfung der Implementierung und Wirksamkeit dieser technischen Kontrollen im Vergleich zu den angestrebten Sicherheitsniveaus für jede Zone und Leitung, oft durch technische Schwachstellenbewertungen und Penetrationstests (VAPT), die speziell für OT durchgeführt werden.

IEC 62443-4-1: Anforderungen an einen sicheren Produktentwicklungslebenszyklus

Dieser Standard ist entscheidend für Hersteller (OEMs) und Entwickler von U-Bahn-Komponenten und -Software. Er legt Anforderungen an sichere Entwicklungsprozesse fest, von der Bedrohungsmodellierung und dem sicheren Programmieren bis hin zum Schwachstellenmanagement und zur Patch-Freigabe. Eine Bewertung überprüft, ob die Anbieter, die Geräte an das U-Bahn-System liefern, sichere Entwicklungslebenszykluspraktiken befolgen.

IEC 62443-4-2: Technische Sicherheitsanforderungen für IACS-Komponenten

Dieser Standard legt die technischen Sicherheitsanforderungen für individuelle IACS-Komponenten (z.B. PLCs, HMIs, Netzwerkgeräte, IIoT-Sensoren) fest, um spezifische Sicherheitsniveaus zu erreichen. Er bietet Kriterien für Produktdesign und -tests. Für die U-Bahn bedeutet dies, dass bewertet wird, ob die beschafften Komponenten die erforderlichen Sicherheitsfähigkeiten (SL-C) erfüllen, um das gewünschte systemweite Sicherheitsniveau (SL-T) zu unterstützen.

Was sind die Vorteile einer teilnehmenden IEC 62443-basierten OT-Sicherheitsbewertung für U-Bahn-Betreiber?

· Verbesserte Passagiersicherheit: Trägt direkt zu sichereren Operationen bei, indem kritische Steuerungssysteme gegen böswillige Eingriffe gesichert werden.

· Verbesserte betriebliche Zuverlässigkeit & Verfügbarkeit: Reduziert das Risiko von durch Cyberangriffe verursachten Ausfallzeiten und stellt einen reibungslosen und kontinuierlichen U-Bahn-Service sicher.

· Proaktives Risikomanagement: Bietet einen systematischen Ansatz, um Risiken im gesamten komplexen U-Bahn-Ökosystem zu identifizieren, zu bewerten und zu mindern.

· Kosteneffizienz: Strategische Investitionen in Sicherheit basierend auf Risiko und Kritikalität, um unnötige Ausgaben zu vermeiden.

· Einhaltung von Vorschriften & Compliance: Hilft dabei, zunehmend strengen Cybersicherheitsvorschriften für kritische Infrastrukturen zu entsprechen.

· Stärkung der Sicherheit der Lieferkette: Setzt klare Sicherheitsanforderungen für Verkäufer und Partner, um das Risiko von Drittanbietern zu verringern.

· Schnellere Vorfallreaktion: Ein gut definiertes Sicherheitsprogramm mit klaren Vorfallreaktionsplänen ermöglicht eine schnellere Erkennung, Eindämmung und Wiederherstellung von Cybervorfällen.

· Ruf und öffentliches Vertrauen: Demonstriert ein starkes Engagement für Cybersicherheit und erhöht das öffentliche Vertrauen in das U-Bahn-System.

· Zukunftssicherheit: Bietet einen Rahmen für die sichere Integration neuer Technologien, einschließlich IIoT und fortschrittlicher Automatisierung, in das U-Bahn-Netzwerk.

Wie sieht eine IEC 62443 Bewertungscheckliste für U-Bahn-Infrastruktur aus?

Diese Checkliste von Shieldworkz bietet einen Ausgangspunkt. Eine vollständige Bewertung erfordert tiefgehende Untersuchungen jeder Anforderung der relevanten IEC 62443-Teile.

Phase 1: Programmatische und organisatorische Sicherheit (IEC 62443-2-1)

· Sind formale OT-Cybersicherheitspolitiken und -verfahren dokumentiert und genehmigt?

· Gibt es ein designiertes IACS-Cybersicherheitsmanagementsystem (CSMS)-Team?

· Sind die Rollen und Verantwortlichkeiten für OT-Cybersicherheit klar für IT, OT und Management definiert?

· Gibt es einen kontinuierlichen Risikomanagementprozess für die OT-Umgebung?

· Sind Sicherheitsanforderungen in den Beschaffungsprozess neuer OT-Vermögenswerte/-systeme integriert?

· Sind Sicherheitsanforderungen von Dienstleistern (Lieferanten, Integratoren) definiert und durchgesetzt (ausgerichtet auf 62443-2-4)?

· Gibt es einen formellen Vorfallreaktionsplan speziell für OT-Cybervorfälle, der regelmäßig getestet wird?

· Gibt es ein OT-spezifisches Schwachstellenmanagementprogramm?

· Ist ein OT-spezifischer Patch-Management-Prozess etabliert und befolgt?

Phase 2: Risikobewertung & Systemarchitektur (IEC 62443-3-2)

· Wurde ein umfassendes Inventar aller OT-Vermögenswerte (SCADA, PLCs, ERTMS/CBTC, Traktionskraft, PIS usw.) erstellt und gepflegt?

· Ist die Kritikalität der Vermögenswerte (sicherheitskritisch, missionskritisch) für alle OT-Vermögenswerte bewertet und dokumentiert?

· Wurde die U-Bahn-IACS logisch in Sicherheitszonen (z.B. Kontrollzentrum, Signalgebung, Gleisbereich, Rollmaterial, Station, Enterprise IT) untergliedert?

· Wurden die Kommunikationskanäle zwischen diesen Zonen identifiziert und dokumentiert?

· Wurden Ziel-Sicherheitsniveaus (SL-T) für jede Zone und Leitung auf Basis der Risikobewertung definiert?

· Wird das derzeitige erreichte Sicherheitsniveau (SL-A) für alle Zonen und Leitungen gegen das SL-T evaluiert?

Phase 3: Technische Sicherheitsimplementierung (IEC 62443-3-3 & 4-2)

Identifizierungs- und Authentifizierungskontrolle (IAC): 

• Werden für alle OT-Systeme einzigartige Benutzerkonten und starke Passwörter durchgesetzt?

• Ist die Mehrfaktorauthentifizierung (MFA) für den kritischen OT-Zugang (z.B. Fernzugang, Anmeldung im Kontrollsystem) implementiert?

• Wurden Standardanmeldedaten von allen OT-Geräten entfernt?

Nutzungskontrolle (UC): 

• Wurde eine rollenbasierte Zugangskontrolle (RBAC) für alle OT-Systeme implementiert?

• Wurde das Prinzip des geringsten Privilegs auf alle Benutzer und Systemkonten angewendet?

Systemintegrität (SI): 

• Gibt es Mechanismen, um unautorisierte Änderungen an (e.g. Whitelisting, Integritätsprüfungen, sicheres Boot) PLC-Logik, Firmware und Konfigurationen zu verhindern?

• Wurden sichere Konfigurationen auf alle OT-Geräte und -Systeme angewendet?

Datenvertraulichkeit (DC): 

• Wird sensible operative Daten (z.B. Signalisierungsbefehle, Passagierdaten) im Transit und im Ruhezustand, wo immer möglich, verschlüsselt?

• Werden sichere Kommunikationsprotokolle, wo immer möglich, verwendet?

Eingeschränkter Datenfluss (RDF): 

• Wurde die Netzwerksegmentierung effektiv implementiert mit Firewalls, VLANs und anderen Kontrollen zwischen Zonen?

• Wurden dafür industrielle protokollbewusste Firewalls oder IDPS an Zonen-Grenzen eingesetzt?

• Wurden unidirektionale Gateways (Datendioten) für hochkritische Datenflüsse (z.B. von OT zu IT) eingesetzt?

Rechtzeitige Reaktion auf Ereignisse (TRE): 

Wurde umfassendes Sicherheitsereignisprotokollieren auf allen kritischen OT-Geräten und -Systemen aktiviert?

• Werden OT-Sicherheitsereignisse in ein zentrales SIEM oder Anomalie-Erkennungssystem integriert?

• Werden Warnungen für verdächtige Aktivitäten und Anomalien in OT-Netzwerken konfiguriert?

• Gibt es für die rasche Vorfallserkennung und -reaktion Handlungsanweisungen und Verfahren?

Ressourcenverfügbarkeit (RA): 

• Wurden Redundanz- und Failover-Mechanismen für kritische OT-Systeme (z.B. Kontrollzentren, Signalserver) implementiert?

• Wurden reguläre Backups der OT-Systemkonfigurationen, Daten und Software durchgeführt und getestet?

• Gibt es Maßnahmen zur Minderung von Denial-of-Service (DoS)-Angriffen?

Phase 4: Mitarbeiterbewusstsein & Schulung

• Werden regelmäßige, maßgeschneiderte Schulungen zur Cybersicherheit für alle U-Bahn-Mitarbeiter (IT, OT, Betrieb, Wartung, Verwaltung) durchgeführt?

• Deckt das Training OT-spezifische Bedrohungen, sichere Praktiken (z.B. USB-Richtlinie, Fernzugang) und Vorfallmeldungsverfahren ab?

• Wurden physische Sicherheitsbewusstseinstrainings (z.B. unbefugter Zugang) durchgeführt?

• Wird eine Cybersicherheitskultur in der gesamten Organisation gefördert?

Phase 5: Kontinuierliche Verbesserung & Überwachung

• Gibt es einen Prozess zur kontinuierlichen Überwachung des OT-Netzwerks auf Anomalien und Bedrohungen?

• Wurden regelmäßige Schwachstellenbewertungen und Penetrationstests (VAPT) an OT-Systemen durchgeführt?

• Gibt es einen Feedback-Zyklus von der Vorfallreaktion zum gesamten Sicherheitsprogramm zur kontinuierlichen Verbesserung?

• Sind Leistungskennzahlen für das OT-Cybersicherheitsprogramm definiert und verfolgt?

Die U-Bahn-Infrastruktur ist zweifellos ein Grundpfeiler des modernen urbanen Lebens, und ihr kontinuierlicher, sicherer Betrieb ist nicht verhandelbar. Im Zuge der digitalen Evolution und Transformation und der Weiterentwicklung von Cyberbedrohungen wird eine robuste Cybersicherheitslage, die auf international anerkannten Standards wie IEC 62443 beruht, unerlässlich. Eine auf IEC 62443 basierende OT-Sicherheitsbewertung, die von einem bewährten OT-Sicherheitsanbieter wie Shieldworkz durchgeführt wird, bietet U-Bahn-Betreibern eine systematische, risikobasierte Roadmap zur Identifizierung von Schwachstellen, Implementierung geschichteter Abwehrmaßnahmen und Förderung einer sicherheitsbewussten Kultur in ihren komplexen Ökosystemen. Durch die proaktive Förderung von Resilienz in ihren betrieblichen Technologien können U-Bahn-Systeme zuverlässig, sicher und effizient betrieben werden, um den Puls unserer Städte aufrechtzuerhalten.

Kontaktieren Sie uns um mehr über umfassende OT-Sicherheit für Ihre U-Bahn-Infrastruktur zu erfahren.