Key Takeaways

  • Sicherheit muss die lückenlose Kette von der Sensor-Erfassung über Edge-Systeme bis hin zum Rechenzentrum absichern.

  • Ein effektiver Penetrationstest kombiniert klassische IT-Sicherheit mit industrieller OT und hardwarenaher Embedded-Analyse.

  • Der physische Zugriff auf Züge im öffentlichen Raum stellt ein erhebliches und oft unterschätztes Sicherheitsrisiko dar.

  • Die Integrität der Sensordaten ist wichtiger als reine Verschlüsselung, um die Manipulation von KI-Modellen zu verhindern.

  • Kritische Angriffsflächen entstehen primär durch drahtlose Schnittstellen und unzureichend gehärtete Edge-Knoten an der Strecke.

 

 

Sicherheitsanalyse von vernetzten Fahrzeugplattformen im Bahnkontext

Die Automatisierung im Schienenverkehr schreitet voran. Moderne Züge

erfassen ihre Umgebung über Kameras und weitere Sensorik, führen

Selbsttests durch, kommunizieren mit Edge-Systemen entlang der Strecke

und übertragen große Mengen an Aufzeichnungsdaten in Rechenzentren.

Aus sicherheitstechnischer Sicht entstehen dadurch hochkomplexe,

verteilte Systeme mit folgenden Eigenschaften:

  • Fahrzeuginterne Netzwerke mit industriellen und automotive Komponenten

  • Sensorboxen zur Umfelderkennung

  • Drahtlose Hochverfügbarkeitsverbindungen

  • Edge-Processing in Streckennähe

  • Zentrale Datenspeicherung im Rechenzentrum

  • Teilweise physisch zugängliche Fahrzeuge im öffentlichen Raum

Ein Penetrationstest solcher Systeme unterscheidet sich deutlich von

klassischen IT-Tests. Es handelt sich um eine Kombination aus IT-, OT-

und Embedded-Security-Analyse.

 


Systemarchitektur automatisierter Züge

Automatisierte oder teilautomatisierte Züge bestehen typischerweise aus
mehreren sicherheitskritischen Komponenten:
Im Fahrzeug selbst befinden sich Sensorboxen mit Kameras,
Umfelderkennungssystemen und weiteren Messkomponenten. Diese sind häufig
sowohl vorne als auch hinten im Zug verbaut, um bidirektionale Fahrten
abzudecken.
Die Sensorik erfasst:

  • Umgebung des Gleisbereichs

  • Zustand der Infrastruktur

  • Objekte im Gefahrenbereich

  • Bewegungen nahe Bahnsteigen

Die Daten werden im Fahrzeug über ein dediziertes Ethernet-Netzwerk

verarbeitet. Häufig existieren zusätzlich serielle Schnittstellen für

einzelne Komponenten. In vielen Architekturen ist dieses Netzwerk

logisch oder physisch vom restlichen IT-Netz getrennt.

Für Trainings-, Analyse- oder Wartungszwecke werden die erfassten Daten

regelmäßig an Edge-Systeme übertragen. Von dort erfolgt die

Weiterleitung über dedizierte Glasfaserstrecken in zentrale

Rechenzentren.

Drahtlose Backhaul-Verbindungen stellen dabei eine kritische Kommunikationsschicht dar.

 

 

Bedrohungsmodell

Das Bedrohungsmodell in solchen Projekten umfasst mehrere Ebenen:

  • Fahrzeuginterne Manipulation

  • Drahtlose Angriffe auf die Kommunikationsinfrastruktur

  • Kompromittierung der Edge-Systeme

  • Datenmanipulation während der Übertragung

  • Datenschutz- und Integritätsrisiken

  • Physischer Zugriff auf das Fahrzeug

Ein zentrales Merkmal: Fahrzeuge können zeitweise unbeaufsichtigt auf Gleisanlagen stehen und physisch zugänglich sein. Dadurch erweitert sich die Angriffsfläche erheblich.

 

Fahrzeuginterne Netzwerke und Embedded Security

Innerhalb des Zuges existiert häufig ein vollständig separiertes Ethernet-Netzwerk zur Anbindung der Sensorik.

Sicherheitsrelevante Fragestellungen sind unter anderem:

  • Werden Default-Konfigurationen in Sensoren verwendet?

  • Existieren hartkodierte Zugangsdaten?

  • Sind serielle Schnittstellen zugänglich oder abgesichert?

  • Können Firmware-Versionen manipuliert werden?

  • Gibt es Debug- oder Maintenance-Interfaces?

Besonders kritisch sind Komponenten, deren Implementierung durch Drittanbieter erfolgt. Wenn Sicherheitskonfigurationen nicht transparent dokumentiert sind, entsteht ein erhöhtes Risiko durch Fehlannahmen oder ungehärtete Standardsettings.

Ein Penetrationstest analysiert hier sowohl Netzsegmentierung als auch die tatsächliche Durchsetzbarkeit der Isolation.

 

 

Drahtlose Kommunikation und Backhaul-Sicherheit

Die Übertragung der Fahrzeugdaten erfolgt häufig über drahtlose Hochverfügbarkeitsverbindungen.
Sicherheitsrelevante Aspekte umfassen:

  • Erzwingung moderner Verschlüsselungsstandards

  • Absicherung gegen Rogue Access Points

  • Authentifizierungsmechanismen

  • Schutz vor Downgrade-Angriffen

  • Manipulation von Konfigurationsparametern

Insbesondere bei WiFi-basierten Lösungen im 6-GHz-Band muss geprüft werden, ob starke Authentifizierung erzwungen wird und ob sich unautorisierte Geräte einklinken können.

Auch Multi-Path-TCP-Verbindungen oder getunnelte SSH-Verbindungen müssen auf Integrität und korrekte Schlüsselverwaltung geprüft werden. Eine verschlüsselte Verbindung allein garantiert keine Sicherheit, wenn Schlüsselmanagement oder Host-Verifikation unzureichend umgesetzt sind.

 

 

Datentransfer und Integrität

Die aufgezeichneten Sensordaten werden regelmäßig übertragen. In typischen Szenarien entstehen innerhalb weniger Stunden große Datenmengen, die automatisiert in Edge-Systeme eingespeist und anschließend ins Rechenzentrum übertragen werden.
Kritische Prüfbereiche sind:

  • Können Daten während der Übertragung manipuliert werden?

  • Ist Replay von Daten möglich?

  • Werden Hashes oder Signaturen verwendet?

  • Ist eine Integritätsprüfung implementiert?

  • Besteht die Möglichkeit zur Injection synthetischer Sensordaten?

Gerade bei Systemen, die Umfelderkennung für Trainingszwecke nutzen, ist Datenintegrität essenziell. Manipulierte Trainingsdaten können langfristige Auswirkungen auf Entscheidungsmodelle haben.

 

Edge-Systeme und Rechteverwaltung

Edge-Systeme entlang der Strecke übernehmen häufig die Rolle eines Zwischenspeichers oder Vorverarbeitungsknotens.

Typische Fragestellungen im Pentest:

  • Existieren administrative Zugänge ohne ausreichende Härtung?

  • Werden Jump-Hosts korrekt abgesichert?

  • Sind Rollen und Rechte sauber getrennt?

  • Gibt es ausschließlich hochprivilegierte Konten?

Systeme ohne niedrig privilegierte Benutzerrollen bergen ein erhöhtes Risiko, da jeder Zugriff potenziell umfassende Rechte besitzt.
Auch die Anbindung an Storage-Systeme muss überprüft werden -- insbesondere wenn diese über Client-Authentifizierungsmechanismen angebunden sind.

 

Physische Sicherheit

Ein häufig unterschätzter Faktor ist der physische Zugriff.
Wenn ein Zug ohne Videoüberwachung oder physische Sicherung auf einem Abstellgleis steht, müssen folgende Szenarien betrachtet werden:

Anschluss eines eigenen Geräts an interne Ports

  • Zugriff auf Sensorboxen

  • Manipulation von Verkabelung

  • Austausch von Komponenten

  • Zugriff auf Wartungsschnittstellen

Physische Sicherheit ist in solchen Projekten kein theoretisches Randthema, sondern realer Bestandteil des Bedrohungsmodells.

 

 

Datenschutz und regulatorische Aspekte

Bei Umfelderkennungssystemen werden regelmäßig Kamerabilder erfasst, die Personen an Bahnsteigen oder im Gleisbereich zeigen können.
Nicht akzeptable Risiken in diesem Kontext sind insbesondere:

  • Unkontrollierte Langzeitspeicherung

  • Fehlende Zugriffsbeschränkung

  • Unzureichende Anonymisierung

  • Unklare Datenverarbeitungszwecke

Neben technischer Sicherheit muss daher auch die Einhaltung datenschutzrechtlicher Anforderungen geprüft werden.

 

Besonderheiten im Pentest automatisierter Zugsysteme

Ein solcher Pentest unterscheidet sich methodisch von klassischen IT-Tests:

  • Kombination aus IT-, OT- und Embedded-Testing

  • Analyse drahtloser Hochverfügbarkeitsnetze

  • Bewertung von Integritätsmechanismen für Sensordaten

  • Untersuchung physischer Angriffsvektoren

  • Prüfung von Rechte- und Rollenkonzepten

  • Validierung der Netzwerksegmentierung im Fahrzeug

Hinzu kommt, dass Teile der Architektur während der Projektphase möglicherweise noch angepasst werden. Daher müssen Scope-Definition und Risikobewertung eng abgestimmt werden.

 

Zentrale sicherheitstechnische Erkenntnis

Automatisierte Zugsysteme sind keine isolierten Fahrzeuge, sondern vernetzte, datenintensive Plattformen mit:

  • Embedded-Systemen

  • drahtlosen Kommunikationsstrecken

  • Edge-Computing-Komponenten

  • zentraler Datenhaltung

  • physischer Exponierung im öffentlichen Raum

Die sicherheitskritischen Punkte liegen nicht nur in der Verschlüsselung oder im Transportkanal, sondern in der Gesamtkette aus:
Erfassung → Verarbeitung → Übertragung → Speicherung → Weiterverwendung.
Ein fundierter Penetrationstest muss diese gesamte Kette technisch analysieren und bewerten, ob Integrität, Vertraulichkeit und Verfügbarkeit der Systeme realistisch gewährleistet sind.

 
Placeholder-285x201
IT Sicherheit für Ihr Unternehmen
act digital in Deutschland bietet Ihnen optimale IT-Sicherheitslöungen. Angefangen beim Penetrationtest bis zur Cloud Security oder Security Audits.
Erfahren Sie mehr
Share this article