IT-Security in Transport und Verkehr

Schwachstellen-Management im Nahverkehr

| Redakteur: Peter Schmitz

Ein Nahverkehrsanbieter bietet viel Angriffsfläche, aufgrund einer heterogenen IT-Umgebung mit einer Vielzahl an Servern, Clients, Kassensystemen und unterschiedlicher Patch-Stände.
Ein Nahverkehrsanbieter bietet viel Angriffsfläche, aufgrund einer heterogenen IT-Umgebung mit einer Vielzahl an Servern, Clients, Kassensystemen und unterschiedlicher Patch-Stände. (Bild: Pixabay)

Im Personennahverkehr ist die IT-Landschaft im Hintergrund ein attraktives Ziel für Hacker und muss deshalb entsprechend sicher sein. Dabei hilft vorausschauend eingesetztes Vulnerability-Management. Das Beispiel eines Nahverkehrsanbieters zeigt, wie sich ein solches Projekt zum Schwachstellen-Management im ÖPNV umsetzen lässt.

Bus, Bahn und Tram befördern täglich unzählige Menschen auf dem Weg zur Arbeit, zum Einkaufen oder zu Freizeitaktivitäten. Damit sie zuverlässig von A nach B kommen und auch die Kassensysteme funktionieren, ist im Hintergrund eine aufwändige IT-Infrastruktur erforderlich. Eine solche kritische Infrastruktur ist ein attraktives Ziel für Hacker, was eine effektive Absicherung zwingend voraussetzt.

Transportunternehmen wissen jedoch oft nicht, welche Schwachstellen ihre komplexe IT-Landschaft aufweist. Das dafür notwendige Wissen, welche Systeme und Dienste mit welcher Software und in welcher Konfiguration betrieben werden, kann von kleinen Sicherheitsteams meist nicht präzise und dauerhaft aktuell erfasst werden. So auch im Falle eines führenden deutschen Nahverkehrsanbieters. Das Unternehmen verfügt über mehrere Tausend Mitarbeiter, betreibt Reisezugwagen, Lokomotiven, Triebwagen, Straßenbahnen und Busse und hat bundesweit zahlreiche Tochterunternehmen. Mit der Einführung eines Schwachstellen-Managements wollte man nun für mehr Transparenz und Sicherheit sorgen.

Kontinuierliche Inventur und Sicherheits-Checks

Der Nahverkehrsanbieter verfügt über eine heterogene IT-Umgebung mit einer Vielzahl an Servern, Clients und Kassensystemen, auf denen unterschiedliche Betriebssysteme und Software-Lösungen im Einsatz sind. Auch unterschiedliche Patch-Stände boten viel Angriffsfläche.

Die fehlende Transparenz in der historisch gewachsenen IT-Struktur erschwerte zudem die Integration neuer IT, beispielsweise bei der Eingliederung von Tochterunternehmen. Für das kleine Security-Team des Nahverkehrsanbieters bedeutete die manuelle Überwachung des komplexen Systems einen großen Aufwand. Was fehlte, war vor allem Unterstützung bei der Priorisierung, um die begrenzten Ressourcen effektiv für den größtmöglichen Sicherheitsgewinn einsetzen zu können.

Im ersten Schritt sollte deshalb eine automatisierte Inventurliste angelegt werden, die genau zeigt, welche IT-Assets im Unternehmen im Einsatz sind. Darauf aufbauend wollte man den Sicherheitsstatus der Systeme überprüfen, um Informationen über mögliche Schwachstellen zu gewinnen und sie zielgerichtet zu beheben. Bisher fehlte eine Lösung, die effiziente Prozesse sowohl für die Inventarisierung als auch für ein durchgängiges Patch-Management ermöglicht.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben
Wozu ein Projekt aufsetzen, wenn es doch genügen würde, die Hinweise der Mitarbeiter aus dem...  lesen
posted am 31.03.2017 um 14:43 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44609489 / Automotive)