© GSM-R Zugfunk Kapsch CarrierCom KCC ÖBB/OEBB Eisenberger

28C3
12/27/2011

Experte warnt vor Lücken bei Bahn-Security

Können Züge gehackt werden? Die Umstellung auf das europäische Zugkontroll-System ETCS könnte massive Probleme nach sich ziehen, sagte Stefan Katzenbeisser von der TU Darmstadt im Rahmen des Hacker-Kongresses 28C3 in Berlin.

von Jakob Steinschaden

„Ich rufe sicher nicht zum Züge-Hacken auf“, sagte Professor Stefan Katzenbeisser von der Technischen Universität Darmstadt im Rahmen des Hacker-Kongresses 28C3, der gerade in Berlin stattfindet. Vielmehr wolle er auf Sicherheitsmängel hinweisen, die aus der Umstellung von Bahnsicherungs-Systemen auf das neue “European Train Control System” (ETCS) resultieren würden. Die Sicherungs-Systeme sind dazu da, um Unfällen auf den Schienen vorzubeugen. Die EU will mit dem ETCS die vielen verschiedenen nationalen Systeme in Europa vereinheitlichen, die Ausrüstung von Bahnstrecken mit ETCS ist seit 2001 durch europäisches Recht vorgeschrieben.

Das ETCS sieht laut Katzenbeisser vor, dass die Kommunikation zwischen Lokführer und Bahnhöfen künftig über den Funk-Standard GSM-R abgewickelt wird und nicht wie früher auch über optische Signale auf der Bahnstrecke. Ältere mechanische und elektromechanische Sicherungs-Systeme haben Zugstrecken nach Block-Abschnitten eingeteilt und Lokführer vor blockierten Abschnitten (z.B. anderer Zug) mittels Tafelsignalen an der Strecke gewarnt. Bei der Erwähnung von GSM lief ein Stöhnen durchs 28C3-Publikum: Immerhin demonstrierte der Veranstalter Chaos Computer Club bereits vor zwei Jahren, dass die Verschlüsselung des Handy-Standards geknackt werden kann.

"Viel Kopfzerbrechen"

Zwar wird bei GSM-R eine symmetrische Verschlüsselung verwendet, sicherer wäre aber eine asymmetrische. „Immerhin hat man aus dem Desaster rund um GMS gelernt und ein Authentifizierungsprotokoll zwischen Anrufer und Angerufenen eingeführt“, so Katzenbeisser. Doch diese Codes müssten sowohl dem Bahnhof als auch dem Lokführer bekannt sein, und bei der Auslieferung dieser digitalen Schlüssel (z.B. Versand von Datenträgern von einer zentralen Stelle an andere Bahnhöfe) sei es möglich, dass diese Codes in die falschen Hände geraten. “Dieser Schlüsseltausch wird den Bahnbetreibern noch viel Kopfzerbrechen bereiten”, sagte Katzenbeisser.

Ein weiteres Problem sei auch der Umgang mit zeitkritischen Meldungen über den Zugfunk. Denn Nachrichten, die besonders schnell übermittelt werden müssen (z.B. ein Bremsbefehl), müssen nicht mit dem Authentifizierungsprotokoll verschlüsselt werden.

Viele weitere Lücken

Generell stellt Katzenbeisser den Bahnsicherungs-Systemen ein schlechtes Zeugnis punkto Security aus. “Manche davon sind 80 Jahre alt und einfach unter ganz anderen Gesichtspunkten entwickelt worden. Mit einer Kupferspule an der richtigen Stelle kann man noch heute einen ganzen Bahnhof lahmlegen.“ Allerdings will er nicht als Schwarzmaler wahrgenommen werden: „Ich fahre immer noch sorglos Bahn, ich will hier keine Horrorszenarien schüren.“ Die Ankündigung seines Vortrags hätte in der Branche für Unruhe gesorgt, so Katzenbeisser. Angeblich seien auch Vertreter von Siemens ausgesandt worden, um seinen Ausführungen zu folgen.

Mehr zum Thema

  • 28C3: Hacker-Kongress “hinter Feindeslinien”
  • Kritik am Umgang mit Überwachungs-Software