Immer mehr und raffinierter Cyberattacken sind zur grössten Gefahr für Verkehrsbetriebe geworden
Experten warnen: Durch die fortschreitende Vernetzung geraten neben der IT zunehmend auch betriebskritische OT-Systeme der ÖV-Unternehmen in den Fokus der Hacker.
«Risiko Nummer eins für die SBB sind Cyberangriffe.»
Dieser Satz von Vincent Ducrot an der Schweizerischen Mobilitätskonferenz Ende August liess aufhorchen. Nicht der folgenschwere Unfall im Gotthard-Tunnel sei für die SBB im laufenden Jahr die grösste Herausforderung gewesen. «Der Cyberangriff war viel schwieriger für uns», so der SBB-Chef.
Was bei der Attacke im vergangenen Februar genau passiert ist, darüber schweigen sich die SBB bis heute aus. Bekannt ist lediglich, dass Hacker über E-Mails eine Schadsoftware einschleusten. Dabei sei es den Angreifern gelungen, in einen Teil des Unternehmensnetzwerks einzudringen, teilten die Bundesbahnen damals mit.
Dass die SBB über solche Vorfälle kaum kommunizieren, dürfte auch damit zu tun haben, dass das Unternehmen in den letzten Monaten wegen Cyberangriffen und Datenlecks gleich mehrfach in die Schlagzeilen geriet.
Doch was die spärliche Informationspolitik betrifft, sind die Bundesbahnen nicht alleine. Generell werden Cyberattacken oder interne Schwachstellen nur selten gemeldet – aus Angst vor schlechter Publicity. Stattdessen ziehen es die meisten Unternehmen vor, die Probleme intern zu lösen.
Parlament arbeitet an einer Meldepflicht
Das wird sich bald ändern – zumindest im Fall von Unternehmen, die kritische Infrastrukturen betreiben, wozu auch die Bahnen gehören. Künftig müssen sie Cyberangriffe binnen 24 Stunden an das Nationale Zentrum für Cybersicherheit (NCSC) melden. Unterlassen sie dies vorsätzlich, droht eine Busse bis zu 100'000 Franken. So wollen es Bundesrat und Parlament.
Die Einführung der Meldepflicht ist politisch unbestritten. Weil jedoch der Nationalrat auch am Eröffnungstag der Herbstsession an seinem Vorschlag festhielt, die Meldepflicht auf die schwerwiegenden IT-Schwachstellen der Unternehmen auszuweiten, geht das Geschäft nun zur Bereinigung zurück an den Ständerat.
Tausende Angriffe pro Jahr
Klar ist: Seit der Pandemie haben die Cyberangriffe auf Schweizer Verkehrsunternehmen massiv zugenommen. Die SBB erlebten zwischen 2 bis 3 Millionen solcher Angriffe pro Jahr, gab Vincent Ducrot an der Mobilitätskonferenz in Bern bekannt – ein trauriger Spitzenwert in der Branche. Doch auch die anderen grossen Schweizer Verkehrsunternehmen sprechen gegenüber dem VerkehrsMonitor von einem Anstieg der Cyberattacken.
Die Frage nach der konkreten Anzahl Attacken lassen einige aus «Sicherheitsgründen» unbeantwortet. Andere sind konkreter – und berichten von Dutzenden bis zu Tausenden Angriffsversuchen pro Jahr. Tendenz: steigend.
BLS-Mediensprecherin Helene Soltermann etwa sagt: «Wir beobachten täglich mehrere Angriffsversuche, die aber aufgrund der implementierten Massnahmen in unseren Systemen in aller Regel erfolglos bleiben.»
Soltermann spricht zudem ein weiteres Problem an, welches die anderen ÖV-Betreiber unisono bestätigen: «In der Tendenz nehmen die Cyberangriffe über die Jahre nicht nur zu, sondern werden auch professioneller und raffinierter.»
Herausforderung für kleinere ÖV-Betriebe
Für die Verkehrsbetriebe bedeutet das vor allem eines: Der Aufwand nimmt zu. SBB und BLS beschäftigen mittlerweile zentrale Teams für die Cyberabwehr. Die SBB investieren laut eigenen Angaben jährlich einen zweistelligen Millionenbetrag in die Cybersicherheit, die kleinere BLS «verhältnismässig etwa gleich viel», wie Sprecherin Soltermann mitteilt.
Doch gerade für die kleineren ÖV-Betriebe stellt die zunehmende Cybergefahr eine grosse finanzielle und personelle Herausforderung dar. Zu diesem Schluss gelangte auch die Eidgenössische Finanzkontrolle (EFK), als sie 2021 bei den Schweizer Bahnen eine stichprobenartige Überprüfung zu dem Thema anordnete.
In ihrem Bericht empfahl die EFK den Kleinen, enger mit den grösseren Bahnen zusammenzuarbeiten und bei der Informationssicherheit verstärkt externe Dienstleister hinzuzuziehen.
Doch selbst dann steigen die Kosten massiv an, wie das Beispiel der Rhätischen Bahn (RhB) zeigt. In der Prüfung der EFK wurde deren Cyber Security Reifegrad 2021 als «genügend» bewertet. Aktuell gebe die RhB jährlich rund 500’000 Franken für Cybersicherheit aus, wie Sprecherin Yvonne Dünser auf Anfrage sagt. Um sich aber weiter zu verbessern, rechnet die Bahn in den nächsten zwei Jahren mit einer 30-prozentigen Zunahme der Kosten.
Wo den Verkehrsbetrieben neue Gefahr droht
Investitionen der Bahnen in die Cybersicherheit sind indes dringend nötig. Zum einen, weil die Schweiz in diesem Punkt im internationalen Vergleich weit hinterher hinkt. Im aktuellen globalen Cybersicherheitsranking der Internationalen Fernmeldeunion belegt sie von 193 Ländern nur den 42. Platz – hinter Ländern wie Nordmazedonien, Tansania, Ungarn oder Kasachstan.
Zum anderen, weil Cyberkriminelle die Betreiberinnen und Betreiber von kritischen Infrastrukturen vor immer neue Herausforderungen stellen. Zu diesem Schluss kommt auch ein im März veröffentlichter Bericht der Agentur für Cybersicherheit der Europäischen Union (ENISA).
Der Analyse zufolge sind Angriffe mit Erpressungssoftware – Ransomware genannt – zur grössten Cyberbedrohung für den Europäischen Verkehrssektor geworden. Das gilt auch für die Bahn. Auf Platz zwei der Bedrohungen folgen sogenannte DDoS-Attacken, bei denen Webseiten und Anwendungen mit gezielten Anfragen überlastet werden, bis diese nicht mehr erreichbar sind.
Angriff auf Betriebssysteme befürchtet
Noch richten sich die meisten der beobachteten Angriffe im Bahnsektor gegen IT-Systeme wie Fahrgastdienste, Ticketsysteme oder mobile Anwendungen. Doch das könnte sich ändern, warnt die europäische Cybersicherheitsbehörde. Sie befürchtet, dass Hackerbanden künftig nicht mehr nur IT, sondern auch OT-Systeme angreifen werden.
Warum dadurch die Gefahr verheerender Cyberangriffe steigt, dafür nennt die europäische Behörde vier Hauptgründe:
- Im Zug der Digitalisierung werden die bisher isolierten operativen Netzwerke (OT) immer mehr mit den IT-Netzwerken verknüpft und dadurch angreifbarer als vorher.
- Die Bereitschaft zu einer Lösegeldzahlung ist höher, wenn kritische Infrastrukturen betroffen sind, weil dann auch die geschäftlichen und sozialen Folgen gravierender ausfallen.
- In der Szene der Ransomware-Banden gibt es fortlaufend neue Zusammenschlüsse. Laut der Enisa führt dies dazu, dass gefährliche Angriffswerkzeuge (Malware) weiter verbreitet werden und die Fähigkeiten, OT-Netzwerke anzugreifen, zunehmen.
- Russlands Angriffskrieg gegen die Ukraine führt der Enisa zufolge dazu, dass Ransomware-Gruppen Partei ergreifen. Damit steigt die Wahrscheinlichkeit von Vergeltungsangriffen gegen kritische westliche Infrastrukturen.
«Betreiber sind sich der Gefahr bewusst»
Bei den Schweizer Verkehrsbetrieben und beim Bund teilt man die Gefahreneinschätzung der europäischen Cybersicherheits-Experten. Bei der Rhätischen Bahn etwa werde das Risiko, dass ein Angriff auf ein OT-System erfolge, seit letztem Jahr als «hoch» eingestuft, sagt Mediensprecherin Yvonne Dünser. «Die Frage lautet nicht mehr ob, sondern vielmehr wann.»
«Mit der Vernetzung und dem Einbinden verschiedenster Dinge über das Internet steigt das Risiko, von den vielschichtigen Gefahren des Internets betroffen zu werden, die sich möglicherweise gegen verwundbare Systeme richten», fügt Manuela Sonderegger vom Nationalen Zentrum für Cybersicherheit (NCSC) hinzu.
Allerdings seien sich die meisten Betreiberinnen und Betreiber von kritischen Infrastrukturen dieser Problematik sehr wohl bewusst und würden OT und IT nicht einfach kurzschliessen. «Gerade im Transportsektor gibt es auch international anerkannte Normen und Best Practices, an die etwa die SBB halten müssen», so Sonderegger.
Benjamin Bitoun arbeitet seit 2014 für Tamedia. Vor seinem Wechsel zum VerkehrsMonitor war er für die Zeitungen «Der Bund» und «BZ Berner Zeitung» tätig. Er hat an der Universität Fribourg Journalistik, Geschichte und Germanistik studiert. An der Columbia University in New York hat er eine Ausbildung zum Datenjournalisten absolviert.
Mehr InfosFehler gefunden? Jetzt melden.