„Eine erfolgreiche Ausnutzung dieser Schwachstelle könnte es einem Angreifer ermöglichen, eigene Bremssteuerungsbefehle an das End-of-Train-Gerät zu senden und so ein plötzliches Anhalten des Zuges zu bewirken“, heißt es im Bericht. Das könne zu einer Betriebsunterbrechung oder sogar zu Bremsversagen führen.

Demnach ist die Funkverbindung zwischen den sogenannten End-of-Train- (EoT) und Head-of-Train-Geräten (HoT) unsicher . Das System wird genutzt, um Statusdaten zwischen Anfang und Ende eines Zuges auszutauschen, allerdings kann es auch Befehle empfangen, die hinteren Bremsen zu betätigen . Laut CISA sei kein Fall bekannt, in dem diese Sicherheitslücke tatsächlich ausgenutzt wurde.

Die USA sind nicht unbedingt als Eisenbahnland bekannt. Doch 28 Prozent aller nationalen Frachttransporte werden laut Verkehrsministerium über das Schienennetz abgewickelt. Die Sicherheitslücke , die die Behörde zur Abwehr von Angriffen auf (Cyber-)Infrastruktur CISA vergangene Woche in einem Bericht veröffentlichte, hat daher potenziell weitreichende Konsequenzen .

Konsequenzen

Die Association of American Railroads (AAR), die die Sicherheitslücke lange als rein theoretisch abgetan hatte, wird nach dem Behördenbericht nun doch tätig werden. Geschätzt müssen etwa 70.000 Geräte erneuert werden, das Upgrade soll 2026 starten.

Die CISA rät in ihrem Bericht dazu, dass Kontrollsysteme für Eisenbahnen nicht mit dem Internet verbunden sein sollten. Weiters fordert sie Eisenbahnbetreiber auf, stetig Risikoanalysen durchzuführen. In den USA sind diese allerdings profitorientierte Privatunternehmen – große Investments in Sicherheitsinfrastruktur sind jedoch hohen Gewinnen nicht zuträglich.