Cyber Security und KRITIS im Transport- und Verkehrssektor

Ihr Experte für Fragen

Aleksei Resetko
CISA, CISSP, Partner Cyber Security & Privacy bei PwC Deutschland
E-Mail

Transport- und Verkehrssektor im Visier von Cyberangriffen

Der Transport- und Verkehrssektor spielt in Deutschland sowohl wirtschaftlich als auch im privaten Bereich eine wichtige Rolle. Dieser Sektor ist eine wichtige Säule der Versorgungssicherheit in Deutschland und bildet darüber hinaus die Grundlage für eine funktionierende Wirtschaft. Um diesen Zweck zu erfüllen, hat sich ein komplexes System an Transport- und Verkehrsdienstleistungen inklusive gegenseitiger Abhängigkeiten entwickelt.

Die wichtigsten Elemente sind hierbei der Personen- sowie der Gütertransport. Dies erfolgt über verschiedene Verkehrsmittel wie Luftfahrt, See- und Binnenschifffahrt sowie Schienen- oder Straßenverkehr. Selbst im Pandemie-Jahr 2021 wurden 53 Milliarden Personen befördert und 4,7 Milliarden Tonnen Güter transportiert. Diese Zahlen unterstreichen neben der hohen wirtschaftlichen Relevanz dieses Sektors auch deren Kritikalität im Hinblick auf die Grundversorgung der Bevölkerung in Deutschland.

Mit den Chancen, die sich durch das stetige Wachstum in der Branche ergeben, gehen auch Cyberrisiken einher: Aufgrund der gravierenden Reichweite bei einem Ausfall und einer sehr hohen Öffentlichkeitswirkung sind große Transport- und Verkehrsunternehmen wertvolle Ziele für Cyberkriminelle. Damit stellen Cyberangriffe eine ernstzunehmende Bedrohung dar.

Der Gesetzgeber hat hier gehandelt und verpflichtet einige Betreiber dazu, bestimmte Standards zu erfüllen.

Cyberangriffe beim Transport und Verkehr haben signifikante Folgen

Immer mehr Unternehmen digitalisieren ihre Arbeitsprozesse, und auch im Transport- und Verkehrssektor wurde dieser Fortschritt vor allem während der COVID-Pandemie beschleunigt. Durch die Digitalisierung eröffnen sich einem Unternehmen neue Möglichkeiten, jedoch sollten auch neuartige Risiken berücksichtigt werden. 

Aufgrund der Kritikalität des Transport- und Verkehrssektors ist es wichtig, eine grundlegende Stabilität zu etablieren. Denn bei einem Cyber-Vorfall können ganze Lieferketten und Personentransporte ausfallen und somit innerhalb kürzester Zeit ein hoher wirtschaftlicher Schaden entstehen. Dies könnte beispielsweise Materialknappheit oder Personalausfall zur Folge haben. Der Sektor hat deshalb auch Einfluss auf sämtliche andere Wirtschaftssektoren sowie auf die Grundversorgung – und somit auch auf die Sicherheit des Landes bzw. der Bevölkerung.

Informationssicherheit spielt eine zunehmend wichtige Rolle für KRITIS-Betreiber

Um einen reibungslosen Ablauf von Transport und Verkehr zu gewährleisten, ist ein hohes Maß an Sicherheit und Resilienz entlang der ganzen Wertschöpfungskette notwendig. Dazu zählt zum einen die physische Sicherheit, weshalb beispielsweise das korrekte Material für Eisenbahnschienen verwendet werden muss, damit diese zu keinem erhöhten Wartungsaufwand führen. 

Zum anderen spielt auch die Informationssicherheit eine zunehmend wichtige Rolle für die Sicherheit im Transport- und Verkehrsbereich. Um diese Bemühungen zu unterstützen, entwickelt das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe Schutzkonzepte und methodische Grundlagen, um den Schutz Kritischer Infrastrukturen sowie ihre Resilienz gegenüber Störungen und Krisen zu stärken. Darüber hinaus können Standards in Form von branchenspezifischen Sicherheitsstandards (B3S) von KRITIS-Betreibern oder Verbänden ausgearbeitet werden. Der Nutzen von B3S ist, dass Branchen ihre eigenen Vorgaben zum Stand der Technik formulieren können. Auch im Bereich Transport und Verkehr gibt es einen B3S, hier nachzulesen.

Ziel ist hierbei, zum bestmöglichen Schutz Kritischer Infrastrukturen beizutragen und somit die Versorgung der Bevölkerung sicherzustellen. Um die maximale Sicherheit zu garantieren, müssen KRITIS-Betreiber die Sicherheit ihrer Systeme dem BSI nachweisen. Dieser Nachweis findet alle zwei Jahre statt und beinhaltet eine ausführliche Prüfung der IT-Sicherheit. Gefundene Fehler müssen direkt an das BSI gemeldet werden und anschließend vom Betreiber behoben werden.

Neuerungen in der BSI-KRITIS-Verordnung

Der Gesetzgeber hat 2021 mit dem neuen IT-Sicherheitsgesetz 2.0 die Kriterien für KRITIS-Betreiber weiter konkretisiert und dem Betreiberkreis deutlich mehr Aufgaben und Anforderungen an Cyber Security gestellt. Laut der daraus resultierenden neuen KRITIS-Verordnung betrifft dies auch den Transport- und Verkehrsbereich. Durch die Senkung der Schwellenwerte von KRITIS-Anlagen fallen nun 72 neue Betreiber aus dem Transportsektor unter den Geltungsbereich. Zudem kommen sechs neue Anlagen und ein neuer Schwellenwert hinzu.

Zusätzlich werden allen KRITIS-Betreibern mit dem IT-Sicherheitsgesetz 2.0 neue Pflichten auferlegt:

  • Alle Betreiber Kritischer Infrastrukturen müssen Systeme zur Angriffserkennung einführen.
  • KRITIS-Betreiber müssen sich gegenüber dem BSI selbst als KRITIS-Betreiber identifizieren und auch jegliche IT-Störung an das BSI melden.
  • Zudem wird der Einsatz von kritischen Komponenten bestimmter IT-Produkte stärker reguliert und beobachtet.

Aus diesen neuen Regularien ergeben sich neue Aufgaben, die bewältigt werden müssen und bei denen wir Sie unterstützen können.

Gesetzliche Aspekte für die Informationssicherheit im Transport- und Verkehrswesen

KRITIS-Verordnung und IT-Sicherheitsgesetz

Dieses Gesetz sieht vor, dass Mindestanforderungen nach IT-Sicherheitsgesetz für kritische Infrastrukturen umgesetzt werden, um vor Cyber-Attacken und anderen externen Angriffen zu schützen. 

Die KRITIS-Verordnung spezifiziert das IT-Sicherheitsgesetz und legt klare Angaben für die Schwellenwerte und Anlagen fest.

DSGVO

Zusätzlich spielt die Datenschutz Grundverordnung (DSGVO) eine wichtige Rolle. Sie enthält Bestimmungen zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen. 

BSIG

Ein weiteres wichtiges Gesetz ist das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Das sogenannte BSI ist zuständig für die Informationssicherheit auf nationaler Ebene. So wird beispielsweise die Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes gewährleistet. Des Weiteren spielen die Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen eine wichtige Rolle. Das BSIG bestimmt, welche Einrichtungen oder Anlagen als kritische Infrastrukturen anzusehen sind und legt ebenso die Pflichten und Aufgaben der KRITIS-Betreiber fest.

Die genannten Gesetze sorgen für einen benötigten Sicherheitsstandard, um das sichere und reibungslose Geschehen innerhalb der wichtigsten Sektoren der deutschen Wirtschaft sicherzustellen.

§ 63e Straßenverkehrsgesetz (StVG)

Dieses Gesetz ist grundlegend für den Umgang mit Daten im Transport- und Verkehrssektor. So wird beispielsweise die Datenerhebung, Datenspeicherung und Datenverwendung für das Verkehrsmanagement thematisiert.

§ 3b Personenbeförderungsgesetz (PBefG)

Paragraph 3b des PBefG befasst sich mit der Datenverarbeitung im Bereich der Personenbeförderung. Unter anderem wird hier das Weitergeben der Daten thematisiert.

Wie kann PwC helfen?

PwC unterstützt dabei, Informationssicherheit umfassend, wirksam und nachhaltig in Unternehmen zu etablieren. Unsere Cyber-Security-Spezialist:innen beraten sowohl im technischen als auch im organisatorischen Umfeld.

Compliance

  • Scope und GAP Analyse
  • Zertifizierungsvorbereitung
  • Auditierung
  • KRITIS Nachweis- oder Tiefenprüfung

Digitalisierung: Cloud/Smart

  • Analysen und Risikobetrachtungen zur Datenmigrationen (Cloud-Lösungen), Durchführung rechtlicher, organisatorischer und technischer Analysen bei smarten Lösungen, Definition von vertraglichen Regelungen
  • Begleitung von Outsourcing-Projekten
  • Erstellung von Sicherheitskonzepten für Smart Grid und Smart Metering sowie Zertifizierungsbegleitung

Leittechnik/ICS Security

  • PwC unterstützt bei der Identifikation und Umsetzung geeigneter Sicherheitsmaßnahmen und -prozesse sowie beim Aufbau einer nachhaltigen ICS-Security-Lösung.
  • Erstellung technischer Sicherheits-analysen von Produktionsanlagen durch den PwC-eigenen ICS/SCADA-Scanning Service
  • Pentests/Schwachstellenanalysen
  • Netzwerkanalysen sowie Evaluierung von Sicherheitsarchitekturen
  • Sicherheitskonzepte für die Verbindung von Information mit Operational Technology (IT-OT)

Notfallwesen/BCM

  • Analyse und Bewertung der vorhandenen Notfall- und Krisen-managementstrukturen, von ursachen- und wirkungsbezogenen Notfallszenarien bis zur effizienten Ausrichtung des Notfall-Krisenmanagements, sowie die gezielte und anforderungsgerechte Überarbeitung der Notfallkonzeption
  • Erstellung und Überprüfung von Wiederanlaufplänen
  • Zusätzlich bietet PwC Unterstützung bei der Planung und Durchführung von Notfalltests und Notfallübungen.

Schadsoftware/Ransomware

  • Unterstützung bei der Implementierung eines operativen und organisationsweiten Frameworks für Cyber-Attacken
  • Ausgestaltung der erforderlichen Prozesse zur Prävention, Erkennung und Reaktion auf Cyberangriffe. Dabei unterstützt PwC sowohl bei der Umsetzung von technischen Lösungen als auch bei der Konzeption von Prozessen, Methoden und Werkzeugen.
  • Zudem unterstützt PwC bei der Konzeption von SIEM-Lösungen, dem Aufbau einer CERT/CSIRT-Organisation sowie beim Aufbau von Security Operation Centern (SOC).
  • Konzeption und Bewertung von Intrusion Detection-Systemen
  • Incident Response & Forensics

„Die Cybersicherheit im Transport- und Verkehrssektor ist unerlässlich, um die Sicherheit von Passagieren und Fracht, die betriebliche Effizienz, den Datenschutz sowie den Schutz vor Sabotage zu gewährleisten.“

Aleksei Resetko,CISA, CISSP, Partner Cyber Security & Privacy bei PwC Deutschland
Follow us

Contact us

Aleksei Resetko

Aleksei Resetko

CISA, CISSP, Partner Cyber Security & Privacy, PwC Germany

Tel.: +49 1511 1653831

Vladyslav Dunajevski

Vladyslav Dunajevski

CCSP, CISSP, MS-500, AZ-500, Director Cyber Security & Privacy, PwC Germany

Hide