Bremsen von US-Zügen können über Funk gehackt werden
Die USA sind nicht unbedingt als Eisenbahnland bekannt. Doch 28 Prozent aller nationalen Frachttransporte werden laut Verkehrsministerium über das Schienennetz abgewickelt. Die Sicherheitslücke, die die Behörde zur Abwehr von Angriffen auf (Cyber-)Infrastruktur CISA vergangene Woche in einem Bericht veröffentlichte, hat daher potenziell weitreichende Konsequenzen.
Demnach ist die Funkverbindung zwischen den sogenannten End-of-Train- (EoT) und Head-of-Train-Geräten (HoT) unsicher. Das System wird genutzt, um Statusdaten zwischen Anfang und Ende eines Zuges auszutauschen, allerdings kann es auch Befehle empfangen, die hinteren Bremsen zu betätigen. Laut CISA sei kein Fall bekannt, in dem diese Sicherheitslücke tatsächlich ausgenutzt wurde.
Sicherheitslücke schon lange bekannt
„Eine erfolgreiche Ausnutzung dieser Schwachstelle könnte es einem Angreifer ermöglichen, eigene Bremssteuerungsbefehle an das End-of-Train-Gerät zu senden und so ein plötzliches Anhalten des Zuges zu bewirken“, heißt es im Bericht. Das könne zu einer Betriebsunterbrechung oder sogar zu Bremsversagen führen.
Wie SecurityWeek berichtet, war die Sicherheitslücke jedoch schon mindestens ein Jahrzehnt lang bekannt. Sicherheitsforscher Neil Smith entdeckte sie 2012, schaffte es nach eigenen Angaben aber nicht, Verantwortliche zum Handeln zu bewegen.
Zug-Nerd Eric Reuter hielt 2018 bei der Entwicklerkonferenz DefCon einen Vortrag über drahtlose Kommunikationssysteme nordamerikanischer Eisenbahnen. Sowohl Smith als auch Reuter werden im CISA-Bericht erwähnt.
Konsequenzen
Die Association of American Railroads (AAR), die die Sicherheitslücke lange als rein theoretisch abgetan hatte, wird nach dem Behördenbericht nun doch tätig werden. Geschätzt müssen etwa 70.000 Geräte erneuert werden, das Upgrade soll 2026 starten.
Die CISA rät in ihrem Bericht dazu, dass Kontrollsysteme für Eisenbahnen nicht mit dem Internet verbunden sein sollten. Weiters fordert sie Eisenbahnbetreiber auf, stetig Risikoanalysen durchzuführen. In den USA sind diese allerdings profitorientierte Privatunternehmen – große Investments in Sicherheitsinfrastruktur sind jedoch hohen Gewinnen nicht zuträglich.