ENISA kritisiert mangelndes Cybersicherheitsbewusstsein im Bahnsektor

Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat in einem kürzlich veröffentlichten Bericht festgestellt, dass grundlegende Schutzmaßnahmen im Bahnsektor heute nicht mehr ausreichten. Um den europäischen Bahnsektor voranzutreiben, müsse mehr Cybersecurity-Expertise aufgebaut werden.
Dass Cybersecurity ein wichtiges Thema im Bahnsektor ist, belegen verschiedene Tatsachen.
Zum einen war z. B. die Deutsche Bahn bereits im Jahr 2017 Opfer der Ransomware „Wanna Cry“, bei dem unterschiedliche IT-Systeme der Deutschen Bahn betroffen waren, u. a. die Anzeigetafeln in Bahnhöfen. Zum anderen sind die europäischen Eisenbahnunternehmen u. a. über das Europäische Verkehrsleitsystem (ERTMS) verbunden, was im Fall eines Cyberangriffs schwerwiegende und flächendeckende Folgen nach sich ziehen kann.
Konkret kritisiert die ENISA, dass veraltete Systeme im Bahnsektor die Cybersicherheit ausbremsen würden. Nach Ansicht der Behörde könnten u. a. im bahneigenen Mobilfunksystem GSM-R, im Sicherungs- und Steuerungssystem ECTS und bei den Betriebsvorschriften Verbesserungen vorgenommen werden, obgleich die ENISA aufgrund des Konkurrenzkampfs zwischen den verschiedenen Verkehrsmitteln anerkennt, dass ein Gleichgewicht zwischen Sicherheit und Wettbewerbsfähigkeit.
Neben den flankierenden Vorschriften des europäischen Cybersicherheitsrechts sind verschiedene Teile des Bahnsektors gemäß des BSI-G in Verbindung mit der KRITIS-Verordnung als kritische Infrastruktur qualifiziert, was Bahnverkehrsunternehmen und weitere Beteiligte im Bahnsektor zur Gewährleistung der Cybersicherheit verpflichtet.

Quellen:
https://www.enisa.europa.eu/news/enisa-news/railway-cybersecurity
https://www.heise.de/newsticker/meldung/WannaCry-Was-wir-bisher-ueber-die-Ransomware-Attacke-wissen-3713502.html