Lars Schnieder Schutz Kritischer Infrastrukturen im Verkehr Security Engineering als ganzheitlicher Ansatz essentials essentials liefern aktuelles Wissen in konzentrierter Form. Die Essenz dessen, worauf es als „State-of-the-Art“ in der gegenwärtigen Fachdiskussion oder in der Praxis ankommt. essentials informieren schnell, unkompliziert und verständlich • als Einführung in ein aktuelles Thema aus Ihrem Fachgebiet • als Einstieg in ein für Sie noch unbekanntes Themenfeld • als Einblick, um zum Thema mitreden zu können Die Bücher in elektronischer und gedruckter Form bringen das Expertenwissen von Springer-Fachautoren kompakt zur Darstellung. Sie sind besonders für die Nutzung als eBook auf Tablet-PCs, eBook-Readern und Smartphones geeignet. essentials: Wissensbausteine aus den Wirtschafts-, Sozial- und Geisteswissenschaf- ten, aus Technik und Naturwissenschaften sowie aus Medizin, Psychologie und Gesundheitsberufen. Von renommierten Autoren aller Springer-Verlagsmarken. Weitere Bände in der Reihe http://www.springer.com/series/13088 Lars Schnieder Schutz Kritischer Infrastrukturen im Verkehr Security Engineering als ganzheitlicher Ansatz Lars Schnieder ESE Engineering und Software-Entwicklung GmbH Braunschweig, Deutschland ISSN 2197-6708 ISSN 2197-6716 (electronic) essentials ISBN 978-3-658-22855-2 ISBN 978-3-658-22856-9 (eBook) https://doi.org/10.1007/978-3-658-22856-9 Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbiblio- grafie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. Springer Vieweg © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2018 Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlags. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Der Verlag, die Autoren und die Herausgeber gehen davon aus, dass die Angaben und Informationen in diesem Werk zum Zeitpunkt der Veröffentlichung vollständig und korrekt sind. Weder der Verlag noch die Autoren oder die Herausgeber übernehmen, ausdrücklich oder implizit, Gewähr für den Inhalt des Werkes, etwaige Fehler oder Äußerungen. Der Verlag bleibt im Hinblick auf geografische Zuordnungen und Gebietsbezeichnungen in veröffentlichten Karten und Institutionsadressen neutral. Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier Springer Vieweg ist ein Imprint der eingetragenen Gesellschaft Springer Fachmedien Wiesbaden GmbH und ist ein Teil von Springer Nature Die Anschrift der Gesellschaft ist: Abraham-Lincoln-Str. 46, 65189 Wiesbaden, Germany Was Sie in diesem essential finden können • Eine Begriffsdefinition Kritischer Verkehrsinfrastrukturen • Eine Motivation zum Schutz Kritischer Verkehrsinfrastrukturen aus dem Rechts- rahmen heraus • Eine Darstellung des institutionellen Rahmens der Absicherung der IT-Sicherheit Kritischer Verkehrsinfrastrukturen • Eine Darstellung technischer, physischer und organisatorischer Maßnahmen zum Schutz Kritischer Verkehrsinfrastrukturen V Vorwort Ein Leben ohne Smartphone und Tablet ist für viele von uns kaum noch vorstellbar. „Always on“ – uneingeschränkte Konnektivität gehört mittlerweile zu den Grundbe- dürfnissen unserer Gesellschaft. Es gibt kaum noch einen Bereich unseres Lebens, der nicht von informationstechnischen Systemen abhängig ist. Dies gilt auch für städtische und großräumige Verkehrsinfrastrukturen. Technologietrends und neue Bedrohungsszenarien verstärken für Hersteller und Betreiber von Verkehrsinfra- strukturen die Notwendigkeit, sich den Herausforderungen der IT-Sicherheit zu stellen. Bedrohungen aus dem Internet dürfen die für die Lebensfähigkeit unserer Gesellschaft und Wirtschaft essenzielle Software in den IT-Systemen der Verkehrs- steuerung nicht manipulieren. Mit der Einführung des IT-Sicherheitsgesetzes im Juli 2015 wurden in Deutschland erweiterte Vorgaben für Kritische Verkehrsinfrastrukturen einge- führt. Der Gesetzgeber verpflichtet Betreiber Kritischer Verkehrsinfrastrukturen, angemessene technische, physische und organisatorische Vorkehrungen zur Absi- cherung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Verkehrsin- frastrukturen zu treffen. Erklärtes Ziel ist es hierbei, Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der in Verkehrssystemen eingesetzten informationstechnischen Systeme, Komponenten oder Prozesse zu vermeiden. Dieses essential skizziert den Rechtsrahmen der IT-Sicherheit Kritischer Verkehrsinfrastrukturen, zeigt auf welche Verkehrsanlagen einer besonderen Absicherung gegen Angriffe von außen bedürfen, skizziert einen umfassenden institutionellen Rahmen zur Absicherung der IT-Sicherheit und zeigt einen ganz- heitlichen Rahmen von Schutzkonzepten auf, der neben organisatorischen und technischen Schutzmaßnahmen auch Maßnahmen des physischen Zugriffsschutzes umfasst. Braunschweig Dr.-Ing. Lars Schnieder VII Inhaltsverzeichnis 1 Rechtsrahmen Kritischer Verkehrsinfrastrukturen ............... 1 1.1 Definition Kritischer Verkehrsinfrastrukturen .................. 1 1.2 Rechtsgrundlagen des Schutzes Kritischer Verkehrsinfrastrukturen ... 2 1.2.1 Harmonisierung von Rechtsvorschriften in der Europäischen Union ........................... 3 1.2.2 Verankerung im legislativen Recht ..................... 4 1.2.3 Konkretisierung durch exekutives Recht ................ 4 1.2.4 Normen als Maßstab des rechtlich Gebotenen ............ 5 2 Haftungsvermeidung als Motivation zum Schutz Kritischer Verkehrsinfrastrukturen ............................ 7 2.1 Haftung aus körperschaftsrechtlichen Sicherheitspflichten ........ 7 2.2 Haftung aus öffentlich-rechtlichen Sicherheitspflichten .......... 9 2.3 Haftung aus zivilrechtlichen Sicherheitspflichten ............... 9 2.4 Strafrechtliche Haftung ................................... 10 3 Qualitätskette zur Absicherung der IT-Sicherheit Kritischer Verkehrsinfrastrukturen ............................ 11 3.1 Produktregulierung ....................................... 11 3.2 Akkreditierung .......................................... 12 3.3 Konformitätsbewertung und Zertifizierung .................... 13 3.4 Zulassung .............................................. 14 3.5 Produktbeobachtung ...................................... 15 3.6 Marktüberwachung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 IX X Inhaltsverzeichnis 4 Angriffsschutz Kritischer Verkehrsinfrastrukturen durch tief gestaffelte Verteidigung .............................. 19 4.1 Angriffsschutz durch Maßnahmen zur Härtung informationstechnischer Systeme ............................ 19 4.1.1 Bedrohungsanalyse ................................ 20 4.1.2 Ableitung von Security-Anforderungen ................. 21 4.1.3 Prüfung und Nachweis von Security- Anforderungen .................................... 21 4.2 Angriffsschutz durch physische Maßnahmen .................. 26 4.2.1 Maßnahmen der Protektion/Prävention ................. 26 4.2.2 Maßnahmen der Detektion ........................... 28 4.2.3 Maßnahmen der Intervention ......................... 28 4.3 Organisatorische Maßnahmen .............................. 29 4.3.1 Merkmale von Information Security Management Systemen (ISMS) ................................. 30 4.3.2 Kontinuierliche Verbesserung (PDCA-Zyklus) .......... 30 5 Schlussfolgerungen und Ausblick ............................. 33 Literatur ...................................................... 37 Rechtsrahmen Kritischer 1 Verkehrsinfrastrukturen Dieses einleitende Kapitel definiert den Begriff Kritischer Verkehrsinfrastrukturen und stellt die hierfür geltenden europäischen und nationalen Rechtsgrundlagen dar. 1.1 Definition Kritischer Verkehrsinfrastrukturen Die Versorgung unserer Gesellschaft mit Dienstleistungen wie Energie, Wasser, Nahrungsmittel, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr ist essenziell. Der Ausfall oder die Beeinträchtigung dieser Dienstleistungen würde zu erheblichen Versorgungseng- pässen oder zu Gefährdungen der öffentlichen Sicherheit führen. Daher werden diese Dienstleistungen auch als kritische Dienstleistungen bezeichnet. Kritische Infra- strukturen umfassen Anlagen, die für die Erbringung einer kritischen Dienstleistung erforderlich sind. u Kritische Infrastruktur Kritische Infrastrukturen (KRITIS) sind Organisatio- nen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungseng- pässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische gesellschaftliche Folgen eintreten würden. Ein funktionsfähiges und leistungsfähiges Transport- und Verkehrssystem ist eine Grundvoraussetzung für eine moderne arbeitsteilige Volkswirtschaft, die auf die Mobilität von Gütern und Personen angewiesen ist. Die Globalisierung von Produktion und Absatz von Gütern sowie die Entwicklung im internationalen Personenverkehr haben in den vergangenen Jahren einen rasanten Zuwachs © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2018 1 L. Schnieder, Schutz Kritischer Infrastrukturen im Verkehr, essentials, https://doi.org/10.1007/978-3-658-22856-9_1