Wie automatisierte Risikoanalysen nach CRA physische, technische und organisatorische Schwachstellen in Bahnsystemen sichtbar machen.
Cybersecurity in der Bahn ist längst kein Randthema mehr. Digitale Systeme steuern Züge, überwachen Strecken, verbinden Cloud-Services und sichern Fahrgastinformationen. Gleichzeitig wachsen die regulatorischen Anforderungen:
Der Cyber Resilience Act (CRA), NIS2 und IEC 62443 verlangen, dass Sicherheitsrisiken über den gesamten Lebenszyklus erkannt, bewertet und gemindert werden.
Doch wie gelingt das in einer Branche, in der Fahrzeuge jahrzehntelang im Einsatz bleiben, Lieferketten komplex sind und Sicherheit an erster Stelle steht?
Diese Frage stand im Mittelpunkt des Railway Forum 2025 – und war Ausgangspunkt für den Vortrag von Patric Birr (ICS GmbH) zum Thema automatisiertes Risikomanagement im Bahnumfeld.
Cybersicherheit in der Bahn ist keine Disziplin einzelner Spezialisten.
Sie funktioniert nur, wenn Entwickler, Betreiber und Sicherheitsverantwortliche dieselbe Sprache sprechen, und dieselben Risiken verstehen. Ein gemeinsames Verständnis von Angriffspfaden, Schwachstellen und Maßnahmen ist die Basis für fundierte Entscheidungen.
Genau das war Ziel des Vortrags: Risikomanagement erlebbar machen, statt es in Dokumente zu pressen. Nicht mit Checklisten, sondern mit einem Digitalen Zwilling, der reale Systeme, physische Strukturen und organisatorische Prozesse abbildet.
Das Grundprinzip lässt sich in drei Sätzen zusammenfassen:
Um diesen Ansatz zu veranschaulichen, führte Patric Birr auf dem Railway Forum durch ein praxisnahes Beispiel aus dem Bahnbetrieb.
Dafür wurde ein Digitaler Zwilling eines Zuges erstellt, mit realistischen Komponenten, Netzwerken und Zutrittspunkten. Die Risikoanalyse erfolgte live und zeigte, wie sich Sicherheitslücken über physische, technische und organisatorische Ebenen hinweg verbinden.
Beispiel 1: Physische Angriffswege – kleine Details, große Wirkung
Im Modell zeigte sich, dass physische Risiken oft unterschätzt werden:
Ein Angreifer könnte über schwach gesicherte Türen, unverschlossene Wartungsklappen oder Schaltschränke Zugang zu sicherheitsrelevanten Systemen erlangen.
Die ETCS-Zentraleinheit im Onboard-Schaltschrank wurde als Beispiel herangezogen.
Im Digitalen Zwilling ließ sich der komplette Angriffspfad rekonstruieren: vom Zutritt ins Depot bis zur Manipulation kritischer Komponenten.
Ergebnis: Schon eine verbesserte Schließmechanik oder ein höherer Widerstandsgrad der Türen senken das Risiko spürbar. Dies wird auch sichtbar in der Risikomatrix des Systems.
Noch komplexer sind Risiken im Train Control and Management System (TCMS).
Dort kommunizieren Steuergeräte, Diagnoseschnittstellen und Kommunikationsmodule permanent miteinander. Patric Birr zeigte, wie über unverschlüsselte oder falsch konfigurierte Dienste, etwa HTTP oder SNMP, potenzielle Angriffsvektoren entstehen können.
Im Vortrag wurde deutlich:
Die Schwachstelle liegt nicht immer im Code, sondern oft in der Kombination aus Architektur, Konfiguration und Zugriffspfad. Ein Angriffsbaum im Digitalen Zwilling verdeutlichte alle möglichen Angriffspfade von außen bis zur sicherheitskritischen Komponente.
Die Stärke dieses Ansatzes: Jede Maßnahme (z. B. die Absicherung von Protokollen oder Netzwerksegmenten) verändert den Angriffsbaum sofort. Das zeigt, wie technische Änderungen reale Auswirkungen auf die Sicherheitslage haben.
Nicht alle Risiken entstehen durch Technik. Auch fehlende Backups, unklare Zuständigkeiten oder unregelmäßige Wartungszyklen können die Verfügbarkeit eines Systems genauso gefährden wie eine technische Schwachstelle.
Im Digitalen Zwilling lassen sich diese Prozesse modellieren:
- Wer darf auf Systeme zugreifen?
- Wie oft werden Sicherungen durchgeführt?
- Wie lange dauert eine Wiederherstellung?
Das Ergebnis: Risiken werden ganzheitlich sichtbar. Und es wird erkennbar, dass organisatorische Maßnahmen (z. B. klare Rollen oder regelmäßige Schulungen) oft denselben Effekt haben wie technische Patches.
Im Vortrag wurde live vorgeführt, wie sich physische, digitale und organisatorische Risiken in Risikomatrizen zusammenführen lassen. Die Plattform zeigt für jede Zugfunktion, wie Bedrohungen auf die drei Schutzziele wirken: Integrität, Verfügbarkeit und Vertraulichkeit.
Durch Vorher-Nachher-Vergleiche wird sichtbar, wie effektiv Maßnahmen wirklich sind. Eine Härtung von Türmechanismen oder eine korrekt konfigurierte Netzwerkverbindung verschiebt Risiken sofort von „kritisch“ zu „mittel“ oder „niedrig“.
Eine zentrale Botschaft des Vortrags: Security endet nicht mit der Inbetriebnahme.
Der CRA fordert eine kontinuierliche Schwachstellenermittlung über die gesamte Produktlebensdauer. Dazu gehören auch die Bewertung von CVE-Einträgen, Update-Priorisierung und regelmäßige Neubewertung der Angriffswege.
Durch die automatisierte Analyse bleibt das Modell aktuell, auch wenn Systeme gleich bleiben, denn die Bedrohungslage verändert sich ständig. So entsteht ein dynamisches Risikomanagement, das sich an reale Bedingungen anpasst.
Automatisiertes Risikomanagement bedeutet im Bahnbereich nicht Automatisierung um ihrer selbst willen, sondern: Transparenz, Wissenstransfer und nachhaltige Entscheidungsgrundlagen.
Der Vortrag von Patric Birr auf dem Railway Forum 2025 zeigte, wie Cybersecurity, Engineering und Betrieb gemeinsam denken können und wie sich komplexe Systeme durch Daten und Visualisierung begreifbar machen lassen.
Patric Birr ist Chief Operating Officer (COO) der Informatik Consulting Systems GmbH. Als Mitglied mehrerer Fachgremien und Autor im VDB-Arbeitskreis zum bahnspezifischen CRA-Leitfaden gestaltet er aktiv die zukünftigen Sicherheitsstandards der Bahnbranche mit.
Sein Schwerpunkt liegt auf der Verzahnung von Safety und Security – von der Risikoanalyse bis zur normkonformen Umsetzung in komplexen Systemen.
Bahnsysteme sind hochintegriert, sicherheitskritisch und extrem langlebig. Ein Fahrzeug oder Stellwerk bleibt oft über Jahrzehnte in Betrieb – mit Komponenten verschiedener Generationen und Hersteller.
Dadurch müssen Risikoanalysen nicht nur technische Schwachstellen, sondern auch Betriebsprozesse, Alterung und Modernisierung berücksichtigen. Ein standardisierter IT-Sicherheitsansatz reicht hier nicht aus. Es braucht bahnspezifische Methoden und ein kontinuierliches Monitoring.
Eine Risikoanalyse ist immer nur so aktuell wie die letzte Bedrohung. Neue Schwachstellen, Software-Updates oder geänderte Schnittstellen können das Risikoprofil innerhalb von Wochen verändern.
Der Cyber Resilience Act (CRA) verlangt deshalb ausdrücklich regelmäßige Aktualisierungen. Automatisierte Systeme wie SECIRA ermöglichen diese Neubewertungen ohne kompletten Neustart – schnell, konsistent und nachvollziehbar.
Sie suchen kompetente Beratung zum CRA? Wir unterstützen Sie gerne. Hier finden Sie weitere Infos zu unserer CRA-Beratung.
Ein Digitaler Zwilling ist ein virtuelles Abbild der realen Systemarchitektur. Er enthält physische Strukturen (z. B. Zugkabinen, Schaltschränke), technische Komponenten (z. B. Steuergeräte, Netzwerke, Protokolle) und organisatorische Prozesse (z. B. Zugriffsrechte, Backups).
SECIRA verknüpft diese Informationen automatisch, identifiziert Angriffspfade und bewertet Risiken entlang der gesamten Systemlandschaft, vom physischen Zutritt bis zur Softwarekonfiguration.
Der Angriffsbaum visualisiert alle realistischen Angriffspfade auf eine Komponente oder Funktion. Er zeigt, wie ein Angreifer von außen in das System eindringen könnte, etwa über physische Barrieren, Netzwerke oder Prozesse, und welche Maßnahmen diesen Weg blockieren.
Diese Darstellung macht selbst komplexe Zusammenhänge zwischen IT, OT und physischer Sicherheit verständlich und ist damit ein zentrales Werkzeug für interdisziplinäre Teams.
„Defense in Depth“ beschreibt das mehrschichtige Sicherheitsprinzip:
Erst die Kombination dieser Ebenen ermöglicht es, Sicherheitsvorfälle zuverlässig zu verhindern oder abzumildern.
SECIRA importiert Daten aus bestehenden Quellen wie Netzwerk-Topologien, IDS-Systemen, Mirror Ports oder CVE-Datenbanken. Bekannte Schwachstellen (Common Vulnerabilities and Exposures) werden automatisch mit den Komponenten im Digitalen Zwilling abgeglichen.
So lässt sich erkennen, ob eine Schwachstelle nicht nur existiert, sondern auch erreichbar und ausnutzbar ist ➡️ ein entscheidender Unterschied zu klassischen Tools.
Alle Risiken werden in Risikomatrizen dargestellt, getrennt nach den Schutzzielen:
Die Bewertung kombiniert Eintrittswahrscheinlichkeit, Schweregrad und Ausnutzbarkeit. So entsteht eine klare Priorisierung, etwa welche Tür, welches Protokoll oder welcher Prozess zuerst gehärtet werden sollte.
Der Cyber Resilience Act fordert nicht nur Sicherheit beim Markteintritt, sondern auch während des gesamten Lebenszyklus.
Automatisierte Risikoanalysen ermöglichen:
Damit wird Compliance zum laufenden Prozess und nur nicht zu einem einmaligen Audit.
Der Digitale Zwilling wird auf Basis vorhandener Daten aufgebaut. Bestehende Dokumentationen, Netzwerkinventare oder Safety-Daten können integriert werden.
So entsteht kein zusätzlicher Aufwand, sondern ein gemeinsames Risikomodell, das sich mit bestehenden Prozessen (z. B. Safety, RAMS oder ISMS) verknüpfen lässt.
Dass Sicherheit nur interdisziplinär funktioniert.
Cybersecurity, Safety und Engineering müssen dieselbe Grundlage teilen: ein gemeinsames Verständnis des Systems und seiner Risiken. Automatisiertes Risikomanagement mit einem Digitalen Zwilling schafft genau das: eine Plattform, auf der Fachwissen zusammenfließt und in Maßnahmen übersetzt wird.
Warum Insellösungen scheitern und integrierte Sicherheitslösungen entscheidend sind. Erfahren Sie, wie ICS mit SECIRA NIS2, IEC 62443 und CRA...
Nutzen Sie noch Excel fürs Risikomanagement? Warum das riskant ist – und wie SECIRA für Struktur, Nachvollziehbarkeit und Compliance sorgt.
Praxisnaher Leitfaden zur NIS2-Umsetzung: 9 Schritte für mehr Cybersicherheit und Compliance im Unternehmen. Mit Check, ISMS und Schulung.
Bleiben Sie auf dem Laufenden. Neue Technologien, Best Practices und exklusive Einblicke. Direkt in Ihr Postfach.
