© Getty Images

Schutz vor digitalen Angriffen

IT-Sicherheit hat bei DB Regio Vorfahrt

07/2016 - Ungepatchte Soft- und Hardware, Angriffe auf die Fahrzeug-IT: Jedes an das Internet angeschlossene IT-System ist ständig bedroht. Für ein umfassendes IT-Sicherheitsmanagement erarbeitet DB Regio zusammen mit DB Systel eine Lösung. Auch in einem komplexen Umfeld, wie das Beispiel DB Regio Bus NRW zeigt.

Angreifer versuchen, die Kontrolle über ungeschützte IT-Systeme zu erlangen. Sie suchen nach offenen Sicherheitslücken, um in Systeme einzudringen. Der Schutz kritischer Infrastrukturen ist für ein Unternehmen wie die Deutsche Bahn überlebenswichtig.

In allen Konzernteilen ist daher die Sensibilität für dieses Thema extrem hoch. Der Druck, nicht nur durch zunehmende Bedrohungen, sondern auch durch die neuen vom Gesetzgeber geforderten Auflagen ein umfassendes Risikomanagement zu etablieren, wächst beständig.

Die Anforderungen des IT-Sicherheitsgesetzes fordern von den Betreibern kritischer Infrastrukturen, ihre in Verbindung stehenden IT-Systeme besser vor Angreifern zu schützen. Hinzu kommt die Auflage für Unternehmen wie DB Regio, den Personentransport durchgängig zu gewährleisten, auch wenn die unterstützenden IT-Systeme in ihren Funktionen beeinträchtigt sind.

Um die Anforderungen umzusetzen, muss zunächst ein umfassendes Bild der vorhandenen Infrastruktur erstellt werden. Durch die dezentrale Organisation und den Einsatz unterschiedlicher IT-Lösungen ist insbesondere bei kommunal strukturierten Verkehrsbetrieben wie der Bussparte DB Regio Bus ein durchgängiges Risikomanagement komplex.

Umfassendes Gesamtbild

In nur vier Wochen wurde von einer gemeinsamen Arbeitsgruppe von DB Systel, DB Regio und DB Regio Bus NRW eine Machbarkeitsstudie für ein verbessertes Risikomanagement erstellt. Der Fokus lag darauf, den Aufwand zu reduzieren und die Qualität zu steigern. In dem Projekt wurden zwei geschäftskritische Geschäftsprozesse beleuchtet, die Betriebsleitung sowie der Fahrkartenverkauf für rund ein Dutzend Busunternehmen bei DB Regio NRW. Für die zugrunde liegenden IT-Infrastrukturen hat DB Regio Bus NRW den Zugang zu allen relevanten IT-Komponenten ermöglicht.

Mithilfe des in der Machbarkeitsstudie eingesetzten Werkzeugs wurde an dem untersuchten Standort die gesamte IT, die im Zusammenhang mit den kritischen Geschäftsprozessen steht, erfasst, überprüft, bewertet und visualisiert. Ziel war es, die IT hinsichtlich Risiken und Kompromittierbarkeit transparent zu machen sowie Maßnahmen zur Abwehr einzuleiten.

Risiken identifiziert

Dazu mussten sich die Sicherheitsfachleute von DB Regio, DB Regio Bus NRW und DB Systel ein genaues und umfassendes Bild von der genutzten Hard- und Software machen. Für ein effizientes Risikomanagement muss identifiziert werden, welche Anwendungen wo installiert sind, ob die Server in Eigenregie betrieben werden oder ob sie bei Cloud-Providern gehostet sind. Durch den Einsatz eines entsprechenden Werkzeugs konnte dies effizient durchgeführt werden.

© Fotolia - GKSD

Rasch konnten so in enger Zusammenarbeit Risiken identifiziert, priorisiert und durch entsprechende Maßnahmen behoben werden. Die eingesetzten Tools stellen die aktuelle Lage übersichtlich und in moderner Optik dar. So ließ sich beispielsweise recht schnell herausfinden, auf welchen Rechnern wichtige Sicherheitspatches noch installiert oder Softwarepakete komplett aktualisiert werden mussten. Mit geringem Aufwand konnte so das Sicherheitsniveau spürbar erhöht werden.

Partnerschaftliche Zusammenarbeit

Dank einer sehr partnerschaftlichen und effizienten Zusammenarbeit mit kurzen Kommunikationswegen wurden sehr schnell viele neue Erkenntnisse gewonnen, zeigt sich DB Regio Bus NRW begeistert. Gemeinsam konnte das IT-Risiko minimiert werden, und zwar ohne größere Investitionen. Mit dem bisherigen Verfahren wäre das in dieser Form nicht möglich gewesen. Zudem eröffneten sich weitere Anwendungsszenarien.

Dabei wurde der Risikomanagement-Prozess im Rahmen der konzerninternen Richtlinien durch die Verantwortlichen bei DB Regio neu konzipiert und an den neuen gesetzlichen Vorgaben ausgerichtet. Die Reduzierung des Aufwands im Risikomanagement ermöglicht eine verbesserte Steuerung und Sichtbarkeit realer IT-Risiken, heißt es bei DB Regio Bus NRW. Diese Lösung setze damit den Grundstein für die Erfüllung des IT-Sicherheitsgesetzes.

Wachsende Bedrohung durch das Internet of Things

Aber DB Systel denkt weiter. Die zunehmende Durchdringung der Maschinenwelt mit Technik macht die weiter zusammenwachsende Infrastruktur noch anfälliger. Das Thema Internet of Things, bei dem jeder Gegenstand in das Netz eingebunden werden kann, erhöht das Bedrohungspotenzial. Das geht von Kommunikationsstörungen in der Fahrzeug-IT bei Zügen oder Bussen bis zum Zukunftsthema autonomes Fahren. Angreifer könnten sich möglicherweise in Zukunft direkten Zugang zu Steuerungselementen verschaffen und damit Infrastrukturen lahmlegen.

Mit den gemeinschaftlich erarbeiteten Methoden können reale technische IT-Risiken identifiziert, bewertet und sichtbarer gemacht werden. Dadurch ist es möglich, Schadenspotenziale zu entdecken und zu minimieren. Das größte Sicherheitsrisiko bleibt allerdings der Mensch, der deshalb Faktor des Risikomanagements der DB Systel ist: In regelmäßigen Schulungen werden die Mitarbeiter immer wieder neu für mögliche Angriffsszenarien sensibilisiert. Mit dem Gesamtkonzept kann DB Systel die IT-Sicherheit signifikant erhöhen.