Wenn das Linienfahrzeug zum Ziel einer Cyber-Attacke wird: Mögliche Gründe und Gefahren

Digitalisierte Linienfahrzeuge sind nicht mehr vom öffentlichen Verkehr wegzudenken: Viel zu bequem sind Live-Daten über Abfahrtszeit, Auslastung und Anschlüsse; die Möglichkeit, ein Ticket per App zu kaufen; so viel angenehmer vergeht die Zeit in der Bahn, wenn man kostenlosen Internetzugriff hat. Damit Fahrgäste und Verkehrsbetriebe von solchen Diensten Gebrauch machen können, werden in den Fahrzeugen stets Daten erfasst bzw. zur Verfügung gestellt, die über das eigene Fahrzeug-Netzwerk übertragen werden.

Wie jedes Netzwerk, kann auch das Onboard-Netzwerk in Bussen und Bahnen zum Ziel von Hackerangriffen werden. IT-Angriffe dieser Art stellen keine unmittelbare Gefahr für Fahrer und Fahrgäste dar. Sie können aber Störungen und Verluste zur Folge haben:

• Störungen oder Ausfälle bei Informations- und Kontrolldiensten
• Manipulation von Diensten
• Abgreifen von Daten, die Fahrzeugsysteme erzeugen
• Kurz- und längerfristige finanzielle Verluste durch Ausfall von Systemen und Schadenbehebung

Angriffsflächen im Fahrzeug und wie Angreifer darankommen

Jedes Gerät an Bord eines Linienfahrzeugs, das im Netzwerk ist, hat das Potenzial zum Angriffsziel zu werden. Kamera, Entwerter, Switch, Router & Co. würden aber lediglich als Tor zum Netzwerk missbraucht werden. Denn nicht die einzelnen Geräte, sondern die Kontrolle über die Daten und Services, die über das Netzwerk bereitgestellt werden, dürften das eigentliche Ziel eines Angreifers sein.

Angriffe durch Anschluss unbefugter Geräte

Durch physikalischen Zugang zu den IP-fähigen Komponenten im Fahrzeug könnten sich Angreifer leicht mit ihnen verbinden und anschließend unberechtigten Zugang zum Netzwerk im Fahrzeug verschaffen. Die Verbindung würde einfach über das Verbinden eines Kabels zu einem Netzwerkanschluss erfolgen. Grundsätzlich kann der Hacker jeden Netzwerkteilnehmer zu diesem Zweck kompromittieren oder dessen Anschluss missbrauchen.

Da in der Regel Unbefugte keinen direkten, physikalischen Zugang zu den Bordgeräten eines fahrenden Fahrzeugs haben, ist diese Art des Angriffs eher unwahrscheinlich.

Angriffe über Funk

Ein lokales Fahrzeugnetzwerk leitet Daten stets weiter. Aus diesem Grund sind moderne IP-Netzwerke in der Regel mit einem Router ausgestattet, der u.a. für die Verbindung über Mobilfunk zwischen dem Fahrzeug und der Leitstelle sorgt. In Bussen und Bahnen stellt der LTE-Router bzw. das WLAN eine sehr attraktive Angriffsfläche dar. Der Router kann nicht bloß als ein Türchen, sondern als ein Tor zum Netzwerk betrachtet werden. Schafft es ein Angreifer das WLAN- bzw. Mobilfunksystem zu kompromittieren, kann er sich so Zugang zum gesamten IP-Netzwerk verschaffen.

Angriffe über Dienste

Die Netzwerkkommunikation verläuft sowohl nach innen als auch nach außen. Somit könnten Angriffe auch von außen durch kompromittierte Dienste wie System-Updates kommen. Es bedarf also Schutzmechanismen, die sowohl nach innen als auch nach außen hin gerichtet sind.

Wie anfällig ist ein Ethernet Switch Angriffen gegenüber?

Wie jeder andere Netzwerkteilnehmer, ist auch der Switch ein potenzielles Angriffsziel im Netzwerk.

Aufgaben eines Ethernet Switches

Ein Ethernet-Switch sorgt für den Datenaustausch zwischen den einzelnen Geräten des Netzwerks. Die Daten werden in einzelnen Paketen übertragen. Wie das Paket verarbeitet werden muss, wird ausschließlich über die MAC-Adressen entschieden.

Management-Software im Switch

Managed Switches verfügen über die Möglichkeit konfiguriert zu werden. Ihre interne Software dient der Einstellungen der Parameter des Netzwerkcontrollers und stellt Basisdienste zur Verfügung. Durch Managed Switches ergeben sich neue Bedrohungen, aber auch neue Möglichkeiten das Netzwerk robuster gegen Angriffe zu machen.

Manipulation der Switch-Konfiguration

Eine Cyber-Attacke auf einen Ethernet Switch kann bewirken, dass die Konfiguration des Switches geändert wird. Dies kann die Störung bzw. den kompletten Ausfall von Diensten verursachen oder das Deaktivieren von Schutzmaßnahmen welche im Switch getroffen werden. Für eine solche Manipulation muss aber bereits mindestens eine der Schutzmaßnahmen versagt haben.

>> Lesen Sie auch: Der Ethernet Switch und Cybersecurity

 

Fahrzeug-Netzwerke sicher machen: Das können Verkehrsbetriebe tun

ÖPNV-Betreiber können auf verschiedene Arten und Weisen sicherstellen, dass das IP-Netzwerk im Fahrzeug gut vor Angriffen geschützt und trotzdem voll funktionsfähig ist. Es fängt schon mit der Geräteinstallation an und reicht bis zur gezielten Datenflusssteuerung.

Physikalischer Schutz des Netzwerks

Einbausicherheit der Geräte

Die einfachste und wirkungsvollste Maßnahme, die Flottenbetreiber ergreifen können, um Fahrzeug-Netzwerke vor Eingriffen durch Unbefugte zu schützen, ist, den physikalischen Zugang zu den Geräten und insbesondere zum Router einzuschränken. Das heißt konkret: Netzwerkkomponenten wie Ethernet Switches, Router, Videorekorder etc. baulich so anzubringen, dass es nur autorisiertem Werkstattpersonal möglich ist, Änderungen an Geräten und deren Anschlüssen vorzunehmen. Dies ist in aller Regel gegeben, da die Technik hinter Verkleidungen oder an speziellen, dafür vorgesehenen Orten angebracht ist. Diese einfache Maßnahme sorgt dafür, dass keine Fremdgräte in das Netzwerk kommen.

Logischer Schutz des Netzwerks

Routerkonfiguration

Als Tor zum Netzwerk sollte in erster Linie dem Mobilfunk/WLAN-Router im Fahrzeug Aufmerksamkeit geschenkt werden. Er sollte so konfiguriert werden, dass er die Geräte innerhalb des Netzwerks nur mit vordefinierten Diensten und Daten austauschen lässt. Dies reduziert die Gefahr, dass Daten durchsickern (Information Leakege).

MAC-Whitelisting

Die MAC-Adresse ist die erste Information im Datenpaket, die ein Absender angibt. Durch MAC-Whitelisting wird die Kommunikation im Netzwerk nur für MAC-Adressen zugelassen, die bestimmten Kriterien entsprechen. Diese Methode bietet einen grundsätzlichen Schutz gegen Fremdgeräte, die nicht im Netzwerk sein sollten.

MAC-Whitelisting ist zum Schutz vor bösartigen Netzwerkeingriffen kritisch zu betrachten. Für einen Angreifer reicht es, die MAC-Adresse eines beliebigen Netzwerkteilnehmers ausfindig zu machen, damit er sich Zugang zum gesamten Netzwerk verschaffen kann. Denn MAC-Adressen sind in der Regel ab Werk auf jedem Gerät lesbar angebracht. Oder sie lassen sich über eine direkte Verbindung mit dem jeweiligen Teilnehmer abfragen. Anschließend kann der Angreifer seine eigene MAC-Adresse so verstellen, dass er wie ein vertraulicher Netzwerkteilnehmer erkannt wird. MAC-Whitelisting kann also umgangen werden und stellt daher bei beabsichtigten Angriffen keinen wirkungsvollen Schutzmechanismus dar.

IEEE 802.1X und RADIUS

Der Standard IEEE 802.1X sorgt für eine sichere Authentifizierung bei Zugangskontrollen in lokalen Netzwerken. Oft wird er zusammen mit einem Remote Authentication Dial-In User Service (kurz RADIUS) verwendet. RADIUS ist ein Client-Server-Protokoll zur Authentifizierung, Autorisierung und Accounting von Benutzern bei Verbindungen in ein Netzwerk. Über eine zentrale Zugangsverwaltung werden Geräte bei jedem Verbindungsversuch zunächst authentifiziert, bevor sie für das Netzwerk freigeschaltet werden.

Um neue Netzwerkteilnehmer freizuschalten, ist ein Zugriff auf den Autorisierungsserver erforderlich. Die Authentifizierung kann gecached werden, um bei einem erneuten Freischalten ohne den Autorisierungsserver auszukommen. Hier ergeben sich aber neue Problem mit der Synchronizität der Daten. Der Server an sich muss ebenfalls validiert werden, damit eine vertrauensvolle Verbindung aufgebaut werden kann.

IEEE802.1X bzw. RADIUS setzen voraus, dass alle Netzwerkteilnehmer die Authentifizierung nach IEEE802.1X unterstützen. Bei der Umsetzung müssen alle Geräte eingelernt und entsprechende Zertifikate auf jedem einzelnen Gerät installiert werden. Dies betrifft auch die spätere Wartung, da es nicht mehr einfach möglich wird, ein Gerät zu tauschen, ohne dass dieses vorher in RADIUS freigegeben wurde.

Wenn alle Voraussetzungen erfüllt sind, kann IEEE802.1X bzw. RADIUS einen Schutz gegen unbefugte Systeme in einem Netzwerk darstellen. Es kann aber keinen Schutz bereitstellen, wenn ein System, welches über gültige Zugangsdaten für das Netzwerk verfügt, kompromittiert wird. Aus diesem Grund und aufgrund des großen Verwaltungsaufwandes, den dieser Service mit sich bringt, erweist sich die bauliche Sicherung als praktischer.

Kryptographische Sicherung

Durch eine kryptographische Sicherung werden die zu übertragenden Daten kodiert bzw. unlesbar gemacht. Alle Daten, die über das Netzwerk geleitet werden, sollten kryptographisch gesichert sein. Dann wäre es selbst bei einem Datenklau per direkter Kabelverbindung unmöglich, die erhaltenen Daten auszulesen. Die kryptographische Sicherung findet auf zwei Ebenen statt: zum einen bei der Kommunikation mit dem Fahrzeug und zum anderen in der Applikation selbst (z. B. Payment-Daten).

Bitte beachten: Daten lassen sich verschlüsseln, Kommunikationsprotokolle aber nicht.

Netzwerksegmentierung

Eine virtuelle Netzwerksegmentierung mittels VLAN sorgt für einen getrennten Datenfluss und kann den Schaden minimieren, falls einzelne Systeme übernommen werden, die vom Rest getrennt sind. VLAN-Netzwerke sind eine Funktionalität von Ethernet Switches.

 

Wichtigste Maßnahmen für ein sicheres Netzwerk in Bus und Bahn

Bereits diese Maßnahmen, die Flottenverantwortliche mit geringem bis mittleren Aufwand ergreifen können, können wesentlich zur Sicherheit der Fahrzeugnetzwerke beitragen:

• Sicherheitskonzept bei der Planung festlegen: Überprüfen Sie welche Risiken es gibt und wie Sie damit umgehen; wählen Sie dafür geeignete Dienste aus.
• Zugriff beschränken: Bauen Sie Geräte so ein, dass nur Installateure bzw. Fachleute Zugriff darauf haben.
• Standard-Passwörter für alle Geräte und Dienste: ändern und sichere Passwörter verwenden.
• Kryptographische Sicherung: Machen Sie Daten aus dem Netzwerk für Fremde unlesbar.
• VLAN-Segmentierung: Virtuelle Netze (VLANs) trennen besonders sensible Daten vom Rest der Daten.
• Überwachung: Netzwerküberwachung kann dazu dienen, um Auffälligkeiten im Netzwerk rechtzeitig zu identifizieren. Diese könnten ungewöhnliche Verbindungsversuche bzw. ein zu häufiges Abfragen von IP-Adressen sein.

 

Sicherheit in IP-Netzwerken mit ROQSTAR Ethernet Switches

Ethernet Switches spielen ebenfalls eine Rolle für die Cyber-Sicherheit des IP-Netzwerks. Nutzer unserer ROQSTAR Ethernet Switches sollten auf Folgendes achten, um die Sicherheit der Switches bzw. des Netzwerks zu erhöhen:

• Bauort: Wie andere Geräte sind auch Switches sicher und verdeckt einzubauen.
• Ports: Nicht benutzte Ports abschalten, damit keine direkte Verbindung zum Switch über freie Ports hergestellt werden kann.
• Dienste abschalten, die nicht gebraucht werden: Insbesondere das Simple Network Monitoring Protocol (SNMP).
• Standard-Passwörter ändern und sichere Passwörter verwenden: Erfahren Sie in diesem Video-Tutorial, wie Sie die Login-Daten eines ROQSTAR Ethernet Switches ändern.
• VLAN-Segmentierung: Erfahren Sie in diesem Video-Tutorial, wie Sie virtuelle Netzwerke bzw. VLAN für einen ROQSTAR Ethernet Switch einrichten.
• Überwachung: Hier haben wir am Beispiel von Fahrgastzählsystemen erläutert, welche Diagnosemöglichkeiten innerhalb eines IP-Netzwerks es generell gibt.