Das Thema IT-Sicherheit hat für die VAG Verkehrs-Aktiengesellschaft Nürnberg seit Jahren höchste Priorität. „Die Sicherheit unserer Systeme und unserer Systemarchitektur ist von enormer Wichtigkeit und unerlässlich, wenn wir unsere Dienstleistungen stets zuverlässig zur Verfügung stellen wollen. Egal, ob es sich um neue Systeme handelt oder um solche, die wir seit Jahren im Einsatz haben, sie werden immer wieder überprüft. Dies gilt auch für die IT-Sicherheitsmaßnahmen, die regelmäßig überprüft und den veränderten Rahmenbedingungen angepasst werden. Hier machen wir keine Kompromisse“, versichert Michael Richarz, der bei der VAG das Vorstandsressort Technik und Betrieb verantwortet und damit auch für die IT-Sicherheit zuständig ist, und skizziert die Anforderungen. „Die Gefahr von Angriffen aus dem Internet ist seit vielen Jahren gegeben, die Bedrohungen nehmen stetig zu, wobei die Systeme immer komplexer werden. Die Gefahrenabwehr spielt somit eine große Rolle. Aus diesem Grund ist es wichtig, Schwachstellen sowohl in der Systemarchitektur als auch in den Systemen frühzeitig zu erkennen und schnell darauf zu reagieren. Hierfür wurden in den letzten Jahren die organisatorischen Rahmenbedingungen geschaffen, zusätzliche IT-Experten eingestellt und sogenannte Penetrationstests unter anderem durch unabhängige Dritte durchgeführt. Auch wirtschaftliche Risiken und Schäden werden so minimiert.“
Report-Beitrag: Simulation, kein Live-Hack
Ausgelöst wurde die öffentliche Diskussion um die IT-Sicherheit der VAG-Systeme, insbesondere des automatischen U-Bahn-Systems, durch einen Beitrag der Fernsehsendung Report München. Am Dienstag, 13. Januar 2015 stellte Report München unter dem Titel „Deutschland schlecht geschützt vor Cyber-Terror – BND warnt vor Hackern des ‚Islamischen Staats‘“ dar, dass die Nürnberger U-Bahn Ziel von Cyber-Attacken sein könnte. Doch nicht nur das, sie könnte auch fremdgesteuert werden, so die eigentliche Kernbotschaft. Belegen sollte diese Aussage eine Sequenz eines Expertentreffens in München. Am 26. November vergangenen Jahres hätte sich beim Blackout-Kongress des Veranstalters secumedia der Sicherheitsexperte Marco Di Filippo angeblich über eine Telefonleitung in das Leitsystem der Nürnberger U-Bahn eingewählt und Zugriff auf die Steuerung der U-Bahn gehabt. Auch wenn Nürnberg nicht explizit genannt war, so erschloss sich auch für Nicht-Nürnberger, dass es nur um die automatischen U-Bahn-Linien in Nürnberg gehen konnte. Es ist das einzige automatische System in Deutschland und die Bilder der Bahnsteige einschließlich der Stationsnamen ließen für den Zuschauer den Schluss zu, dass es nur Nürnberg sein konnte.
Fakt ist, dass es sich bei der angeblichen Einwahl in das Leitsystem der Nürnberger U-Bahn um eine Simulation handelte. Dies kam in der eigentlichen Veranstaltung am 26. November 2014 auch klar und unmissverständlich zum Ausdruck und ist auch auf der Internetseite des Veranstalters des Kongresses prominent nachzulesen. „Warum wurde diese wichtige Information nicht eindeutig im Bericht des Report dargestellt?“, fragt sich nicht nur Michael Richarz. Tatsächlich handelte es sich bei der Präsentation von Di Filippo um eine Demonstration seines HoneyTrain-Project-Systems, einer speziellen IT-Umgebung, die Hackern glauben machen soll, sie hätten tatsächlich die Steuerung eines Schienenverkehrsmittels geknackt. Die sogenannten Honey Pots – Honigtöpfchen – sind selbstverständlich über keinen Punkt mit einer produktiven Steuerung verbunden, die auf eine U-Bahn-Fahrt Einfluss nehmen könnte. Sie sind ein Ablenkungsmanöver, um Angriffe von Internethackern zu analysieren und Rückschlüsse auf deren Methoden und Werkzeuge zu gewinnen. Letztlich dienen solche Systeme der Erhöhung der IT-Sicherheit. Denn wer die Vorgehensweise des Angreifers versteht, kann sich besser gegen ihn schützen. Dies bestätigte Marco Di Filippo in telefonischen Gesprächen und per E-Mail der VAG. Er ist zu keinem Zeitpunkt tatsächlich, in das U-Bahn-Steuerungssystem der VAG eingedrungen. In jedem Fall hätte es sich dabei um eine Straftat gehandelt.
„Wir sind mehr als entsetzt, dass ein derartiger Beitrag im Fernsehen, im öffentlich-rechtlichen noch dazu, ausgestrahlt wurde. Es entstand der Eindruck, dass die Simulation ein Live-Hack in die Infrastruktur der Verkehrsbetriebe war. Wie kann man in einer schon sehr schwierigen Situation Ängste in so unverantwortlicher Weise schüren? Dass es bei der aktuellen Situation – gerade nach den Anschlägen von Paris – wichtig ist, achtsam zu sein und entsprechende Vorkehrungen zu treffen, ist auch für uns eine Selbstverständlichkeit.“, stellt Richarz bezüglich des Filmbeitrages fest. Als Beleg führt er hierzu die im Filmbeitrag gezeigten Bilder von einer Tunnelfahrt und von Bahnsteigen an. Diese Bilder stammen nicht, wie der Fernsehzuschauer aufgrund der Aussagen im Beitrag glauben muss, von den Fahrzeug- und Bahnsteigkameras. Di Filippo, Referent des Blackout-Kongresses, hat der VAG bestätigt, dass er diese Bilder von einem Kameramann aus dem Raum Nürnberg hat drehen lassen. Dieser hatte bei der VAG im Frühjahr 2014 um eine Dreherlaubnis gebeten, um eine nicht öffentliche Präsentation – nämlich die von Marco Di Filippo – zu bebildern.
Zitate der entscheidenden Passagen im Film, nachzulesen im Sendemanuskript zum Beitrag, das auch online zur Verfügung steht: „… Diese Karte macht Sicherheitsexperten immer größere Sorgen: Jeder rote Punkt steht für ungesicherte Systemsteuerungen, die übers Internet angegriffen werden könnten – auch von Cyberterroristen. Diese U-Bahn einer deutschen Großstadt gehört dazu. Wir (gemeint ist das Report-Team und damit der Zuschauer, Anmerkung der VAG) sind live dabei, während sich der IT Experte Marco Di Filippo Zugang zur IT-Steuerung der Bahn verschafft. Ganz simpel, über eine öffentlich zugängliche Telefonnummer gelangt er bis ins Herz der Signalsteuerung.“
Es folgen drei O-Töne von Marco Di Filippo: „Connected (verbunden, Anmerkung der VAG), jetzt bin ich connected mit dieser Infrastruktur.“ „Wenn man letztendlich die ganze Sache durchscrawlt, wird man relativ schnell finden, dass das die Webcams sind, hier vom Hauptbahnhof.“ „Es ist egal wo ich sitze, wie gesagt, wir haben uns ja von hier aus eingewählt, das einzige, was ich benötige ist ein Internetzugang.“
„Außer uns sind bei dieser Demonstration nur Internet-Experten mit im Raum.“ ist im Sendemanuskript des Report-Beitrages weiter nachzulesen. Es folgt ein weiteres Zitat von Marco Di Filippo: „Ich bin jetzt nicht so ein Zugfahrer, ich gehe jetzt da einfach mal rein und schau mal nach, was ich da letztendlich verstellen kann. Aha, ich seh, ich kann rein theoretisch den Zug bisschen beschleunigen, momentan steht er. Ich kann von Automatikbetrieb auf Stand schalten. Ich kann jetzt aber auch Not Aus … usw. …“.
Die Aussagen lassen beim Zuschauer den Eindruck zurück, dass er zu jedem Zeitpunkt mit entsprechenden Angriffen auf das U-Bahn-System rechnen muss, zumal die Filmsequenz über die Nürnberger U-Bahn endet mit einem Zitat von Di Filippo und einer Aussage der Redaktion.
Di Filippo: „Es ist definitiv gefährlich. Solche Systeme sollten nach außen hin nicht verfügbar sein, auf keinen Fall.“ Redaktion: „Tatsache ist: Alle diese roten Punkte stehen für mögliche Angriffsziele in Deutschland. All diese Einrichtungen oder Firmen könnten gehackt werden …“.
Zutreffend ist: Weder die Aufnahmen aus Zügen und Bahnanlagen, noch die dargestellten Bedienoberflächen stammen aus Systemen der VAG. Marco Di Filippo hat im Rahmen seines Projektes zu Simulations- und Demonstrationszwecken eine Modellbahnanlage installiert. Diese wird mit entsprechender Software gesteuert. Daraus stammen die gesendeten Aufnahmen. Eine Einwahl via Modem in das Leitsystem der Nürnberger U-Bahn ist definitiv nicht möglich.
VAG erhielt keine Anfrage von Report
„Wir hätten es begrüßt, wenn die Report-Redaktion bei uns angefragt und um Stellungnahme gebeten hätte. Nicht, dass wir uns um derartige Themen reißen. Aber mit Blick auf unsere Kunden und unseren Anteilseigner, die Stadt Nürnberg, hätten wir hier frühzeitig die Richtigstellung erreichen können. Wir können nur vermuten, warum die Redaktion nicht nachgefragt hat. Verständnis haben wir dafür jedoch überhaupt nicht. Die VAG hat sich in der Vergangenheit immer bewusst auch unangenehmen Themen gestellt. Wer öffentlichen Nahverkehr betreibt, ist jeden Tag dicht am Kunden und deshalb mit Aussagen gefordert.“ Die Frage sei, so Richarz, welches Ziel die Redaktion mit dem Beitrag verfolgte.
Systeme der VAG wurden nicht kompromittiert
Der Referent des Blackout-Kongresses Marco Di Filippo hat der VAG gegenüber bestätigt, dass er zu keinem Zeitpunkt versucht hat, sich in die IT-Systeme der VAG einzuhacken und auch keine sogenannten Blindversuche unternommen habe.
Die Demonstration beim Kongress habe einzig das Ziel verfolgt, sein Honey-Train-Project-System vorzustellen. Ziel seines Vortrages und insbesondere der Sequenz, die das Nürnberg U-Bahn-Leitsystem betraf, war es zu zeigen, was Hacker sehen, wenn sie in das Honey-Train-Project eingedrungen sind.
Diese Aussagen Di Filippos werden bestätigt durch Analysen, die bereits im Anschluss an den Blackout-Kongress durchgeführt wurden. Zwei Mitarbeiter der N-ERGIE Aktiengesellschaft Nürnberg waren Teilnehmer des Kongresses und hatten der VAG unmittelbar danach von der Präsentation berichtet. Alle Analysen bestätigten, dass die Systeme der VAG nicht kompromittiert worden sind.
IT-Sicherheit als Managementaufgabe
Für die VAG gehören Fragen der IT-Sicherheit als zentrale Managementaufgabe tagtäglich zum Geschäft. Grundsätzlich muss sich jedes Unternehmen, das IT-Systeme betreibt, mit Sicherheitsfragen und der Problematik von potentiellen Hackerangriffen auseinandersetzen. „Eine Gefahr zu verneinen, wäre falsch“, so Richarz. „Wir gehen sorgsam, umfassend und strukturiert mit der Thematik um.“
Zu den grundlegenden Sicherheitsvorkehrungen gehört es, dass besonders sensible Systeme von der übrigen IT getrennt und abgeschottet werden. Das U-Bahn-Leitsystem der VAG ist aufgrund des sehr hohen Schutzbedarfes konsequent von anderen Netzen isoliert. Es existieren keine unkontrollierten Einwahlstellen.
Selbstverständlich sind auch sogenannte Penetrationstests. Diese sollen analysieren, ob an irgendeiner Stelle, trotz aller Vorkehrungen im Aufbau der Systemarchitektur und trotz Sicherungssystemen durch Weiterentwicklungen im IT-Bereich, neue Einfallmöglichkeiten entstehen können. Diese Tests werden regelmäßig teils durch eigene Fachleute, teils durch externe Experten durchgeführt. Die Tests bestätigen, dass der Aufbau der Systemarchitektur über alle Wertschöpfungsebenen hinweg zuverlässig ist, dass mögliche Schnittstellen gesichert sind und damit ein dem individuellen Schutzbedarf der Systeme angemessenes Schutzniveau sichergestellt wird. „Es geht stets darum, Risiken auf ein Minimum zu reduzieren“, stellt VAG-Vorstand Michael Richarz abschließend fest.