Company Topimage

06.09.2021

5 Maßnahmen zum Schutz vor immer mehr Cyberangriffen auf den Bahnverkehr

Im Jahr 2015 erlebte das IT-System der Deutschen Bahn am Knotenpunkt Hannover fast 3 Millionen Angriffe in sechs Wochen. Die Cyber-Angreifer kehrten immer wieder zurück, studierten das System gründlich und verbesserten ihre Methoden mit jeder Attacke. Bei etwa einem Zehntel dieser Angriffe gelang es den Eindringlingen, ein gewisses Maß an Kontrolle über das IT-System zu erlangen. Glücklicherweise handelte es sich bei diesem Bahnsystem um eine Simulation, die als „Honeypot“ online gestellt wurde - eine Art Ködersystem, das auf Angriffe von Hackern wartet, damit deren Methoden studiert werden können, und das auf der CeBIT 2015 in Hannover aufgebaut worden war.

Dieses Experiment war ein Vorgeschmack auf die seit 2020 stark zunehmende Raffinesse und Häufigkeit von Cyberangriffen, die gegen die Bahn gerichtet sind. Hier eine kurze Auflistung nur einiger der schwereren Cyber-Attacken:   Januar 2020 - die Server und IT-Systeme der US-amerikanischen Railworks Corporation werden durch Ransomware verschlüsselt und archivierte persönliche Daten von Auftragnehmern, Mitarbeitern und deren Familienangehörigen gestohlen

   März 2020 - Angreifer kompromittieren das WLAN Netzwerk des Anbieters C3UK- in britischen Bahnhöfen und geben die Reisedaten und E-Mail-Adressen von etwa 10.000 Fahrgästen online preis, sodass das Reiseverhalten von Einzelpersonen verfolgt werden kann

   April 2020 – das Amtrak-Gästebelohnungssystem wird von einer „unbekannten dritten Partei" angegriffen, die möglicherweise persönliche Informationen und Logins gestohlen hat

   Mai 2020 - Beim internationalen Schweizer Schienenfahrzeughersteller Stadler werden Daten gestohlen und IT-Systeme gestört, woraufhin Angreifer versuchen, Zahlungen zu erpressen, indem sie exfiltrierte Daten nutzen

   Juli 2020 - Das spanische Staatsunternehmen ADIF, das für den größten Teil der spanischen Eisenbahninfrastruktur verantwortlich ist, wird mit der Ransomware REvil angegriffen. Die Angreifer versuchen, 800 GB gestohlener sensibler Daten zu nutzen, um ein hohes Lösegeld zu erpressen

   Juli 2020 - Die israelische Verkehrs-Infrastruktur wird von einem Cyberangriff auf 28 Bahnhöfe getroffen. Die Angreifer behaupten, "schwere Schäden an Ausrüstung und Infrastruktur" verursacht zu haben und in der Lage zu sein, großflächige Zugzusammenstöße zu verursachen.

   Oktober 2020 - Montreals öffentliches Verkehrssystem wird mit der RansomExx-Ransomware angegriffen, die Abwehrmechanismen umgeht, um "größere Computerausfälle" zu verursachen und "IT-Systeme, Websites und Kundensupport" zu stören

   Dezember 2020 - Die Marketingsysteme der britischen U-Bahn werden kompromittiert und für Phishing-Angriffe mit einem Excel-Dokument genutzt, das ein Skript zur Installation von Malware auf den Computern der Kunden enthielt

   Dezember 2020 - TransLink, das öffentliche Verkehrssystem für Vancouver, Kanada, wird mit der Egregor-Ransomware angegriffen, was dazu führt, dass keine Zahlungen mehr angenommen werden könnwn und das Trip Planner-Tool deaktiviert werden muss.

Cyber-Attacken wie diese können mit modernisierten Verteidigungsmaßnahmen und Schulungen deutlich abgeschwächt oder ganz gestoppt werden. Unsere Sicherheitsforscher („Security Researcher“) von TXOne Networks können fünf Abwehrmaßnahmen empfehlen, um Cyber-Attacken zu entschärfen und Infrastruktur-Organisationen vor den Versuchen der Angreifer zu schützen, die wichtige Dienste stören und Geld erpressen wollen.

   Netzwerksegmentierung unterteilt das IT-Netzwerk in leicht zu verteidigende Zonen, basierend darauf, welche IT-basierten Anlagen miteinander kommunizieren müssen, und verhindert so, dass sich Angreifer und Malware ungehindert zwischen Systemen oder Subsystemen bewegen können.

   Virtuelles Patching ist eine netzwerkbasierte Vorgehensweise, die einen "Schutzschild" um anfällige Produktionsanlagen legt, ohne dass eine Anpassung der Anlage selbst erforderlich ist.

   Routinemäßige Scans aller eigenständigen Assets bzw. Produktionsanlagen zur Erkennung und Entfernung von Malware, bevor diese gestartet wird.

   Die Abschirmung von Einzel-Anlagen, wie z. B. Personen-Schranken („Speed Gates“) und Fahrkartenautomaten, verhindert, dass alle nicht von der Vertrauensliste zugelassenen Anwendungen auf dem System ausgeführt werden.

   Schulung des Sicherheitsbewusstseins (Security Awareness Education, SAE) für Teammitglieder, insbesondere zu den Gefahren von Phishing. Eine einfache 30-minütige Schulung, die einmal im Jahr an die Mitarbeiter verschickt wird, wirkt Wunder, um Angriffe zu verhindern, bevor sie passieren.

Segmentieren Sie Ihr Netzwerk und verwenden Sie virtuelles Patching für anfällige IT-Anlagen – setzen Sie mit EdgeFire auf eine Firewall der nächsten Generation.

Führen Sie Routine-Scans auf eigenständigen Geräten (z. B. Schienenfahrzeugen) mit Trend Micro Portable Security 3 durch, einer tragbaren Scan-Lösung.

Schirmen Sie Einzel-Anlagen ab und verwalten Sie gesperrte Anlagen mit der Lösung StellarEnforce. Zudem können Sie gesperrte Anlagen über die zentrale StellarOne Konsole verwalten.