Secure Datenübertragung: Datendioden in der Transportbranche

Die Transportbranche wird von den meisten als Rückgrat der Weltwirtschaft angesehen und trägt mehr als 12 % zum globalen BIP (Bruttoinlandsprodukt) bei. Die Bereiche globale Logistik, Luftfahrt, Seeverkehr sowie Reise und Freizeit bilden zusammen eine Branche mit einem Jahresumsatz von 50 Billionen US-Dollar. Jeder Bereich der Transportbranche ist in hohem Maße von Informations- und Betriebstechnologien abhängig, die zunehmend Ziel von Cyberangriffen sind. Firewalls bieten einfach nicht das Schutzniveau, das zur Sicherung dieser kritischen Branche erforderlich ist.

In der gesamten Branche kommen komplexe Steuerungssysteme zum Einsatz, um Antriebssysteme zu steuern, die Ladung zu verwalten und die Sicherheit der Passagiere zu gewährleisten. Diese Systeme müssen mit zentralen Überwachungssystemen kommunizieren. Es ist von entscheidender Bedeutung, dass bewährte Verfahren der Cybersicherheit befolgt werden, wozu auch die ordnungsgemäße Segmentierung von Netzwerken zum Schutz vor Bedrohungen gehört.

Datendioden finden in der Transportbranche zunehmend Verbreitung und werden in erster Linie als hardwaregestützte Cybersicherheitsschicht eingesetzt, um kritische OT-Umgebungen vor externen Cyberbedrohungen zu schützen und gleichzeitig die Echtzeitüberwachung und Datenanalyse zu ermöglichen. Im Gegensatz zu Software-Firewalls beschränken Datendioden den Datenfluss physisch auf eine Richtung, typischerweise von hochsicheren Betriebsnetzwerken zu weniger sicheren Unternehmens- oder Cloud-Umgebungen. 

Die Netzwerksegmentierung wird auf Hardwareebene durchgesetzt und kann nicht umgangen werden, wodurch eine Zero-Trust-Netzwerksicherheitslösung entsteht.

Künstlich geschaffene Luftspalten: Sie bieten die Sicherheit eines Luftspalts und ermöglichen gleichzeitig den Austausch von Informationen, die für moderne vorausschauende Instandhaltung und Analysen erforderlich sind.

Schutz von Altsystemen: Im Verkehrssektor kommen häufig Altsysteme zum Einsatz, die sich nicht ohne Weiteres patchen lassen. Durch die Isolierung dieser Systeme mittels einer Datendiode werden diese Ressourcen geschützt, indem der gesamte eingehende Datenverkehr physisch blockiert wird.

Einhaltung gesetzlicher Vorschriften: Der Einsatz von Datendioden erfüllt und übertrifft in vielen Fällen die verbindlichen Anforderungen an die Cybersicherheit, wie sie beispielsweise von der TSA festgelegt wurden, die eine strenge Netzwerksegmentierung und -überwachung vorschreiben.

Datenintegrität: Da Datendioden Bedrohungen von außen physisch abwehren, sind Systeme zur Erfassung von Echtzeit- und historischen Daten geschützt. Kritische Systeme, die für den laufenden Betrieb oder für Analysen benötigt werden, sind gesichert.

Immer mehr Branchen im Verkehrssektor setzen aufgrund des hardwaregestützten Sicherheitsprofils von Datendioden auf diese, um Daten sicher zu übertragen.

• Schifffahrt: Auf Schiffen werden Datendioden eingesetzt, um Echtzeitdaten aus dem Maschinenraum und von den Systemen an landseitige Betriebszentralen zu übertragen. Dies ermöglicht es Reedereien, Wartungsarbeiten zu planen und den Kraftstoffverbrauch zu überwachen, ohne die Navigations- und Steuerungssysteme des Schiffes über bidirektionale Satellitenkommunikation potenziellen Fernangriffen auszusetzen.

• Eisenbahninfrastruktur: Nationale Eisenbahnunternehmen setzen Datendioden ein, um die Überwachungs- und Aggregationsnetzwerke der Eisenbahn voneinander zu trennen. Diese Dioden ermöglichen die sichere, unidirektionale Übertragung von Daten aus Sicherheitssensoren und Leistungskennzahlen an Fernüberwachungszentren und gewährleisten so, dass sicherheitskritische Signal- und Stellwerkssysteme vor externen Bedrohungen geschützt bleiben.

• Luftfahrt und Flughäfen: Flughäfen setzen Dioden ein, um Kommunikationsnetzwerke zu sichern und sensible Betriebsdaten zu schützen. Sie ermöglichen die Übertragung von Flug- und Anlagenstatusdaten, während die internen Kontrollnetzwerke im luftseitigen Bereich isoliert bleiben. Dioden werden zudem zur Absicherung sensibler TSA-Systeme verwendet, um sicherzustellen, dass diese nicht kompromittiert werden können.

• Flottenmanagement im gewerblichen Bereich: Im Schwerlastverkehr schützen Datendioden die bordeigenen Fahrzeugnetzwerke vor Sicherheitslücken in den vorgeschriebenen elektronischen Fahrtenbuchgeräten (Electronic Logging Devices, ELDs). Durch den Einbau einer Diode zwischen dem CAN-Bus (Controller Area Network) des Fahrzeugs und dem ELD stellen die Betreiber sicher, dass Daten zur Einhaltung der Vorschriften ausgelesen werden können, ohne dass böswillige Befehle an den Motor oder die Bremssysteme des Lkw zurückgesendet werden können.

• Ökosysteme für Elektrofahrzeuge: Organisationen wie das NIST empfehlen eine Netzwerksegmentierung für die Schnellladeinfrastruktur von Elektrofahrzeugen (EV). Datendiode isolieren die OT-Netzwerke, die für das Laden und die Zugangskontrolle zuständig sind, von den IT-Netzwerken, die die Abrechnung und die öffentliche Konnektivität abwickeln. Dadurch wird verhindert, dass Hacker Ladestationen als Einfallstor in umfassendere Strom- oder Fahrzeugnetzwerke nutzen. 

Die regulatorischen Anforderungen an Datendiode in der Transportbranche entwickeln sich zunehmend von „Best Practice“-Empfehlungen zu verbindlichen Vorschriften, da die betrieblichen Vorteile von Datendiode als einziger praktikabler Weg zur Gewährleistung der Sicherheit angesehen werden.

1. Sicherheitsvorschriften der TSA (Schienen- und Luftverkehr) 
   Die TSA (Transportation Security Administration) hat mehrere Notfallanweisungen erlassen, wonach Betreiber kritischer Verkehrssysteme ihre Netzwerke besser absichern müssen.
   1. Güter- und Personenverkehr:Die TSA-Sicherheitsrichtlinien 1582-21-01 und 1580/82-2022-01schreibeneine Netzwerksegmentierung zwischenIT und OT vor.
   2. Anforderung: Betreiber müssen verhindern, dass über das IT-System auf OT-Systeme zugegriffen wird, es sei denn, dies ist durch Maßnahmen wie Datendioden gesichert, um die Integrität zu gewährleisten und Datenverfälschungen zu verhindern.
   3. Luftfahrt:Die TSA-Anforderungen für Flughäfen und Fluggesellschaften stehen im Einklang mitden Best Practices des NIST und der CISA, die für die Segmentierung flugkritischer Systeme hardwaregestützte Datendiode bevorzugen. 
      CISA-CPGs (Cybersecurity Performance Goals)
      Die CISA (Cybersecurity and Infrastructure Security Agency)stellt sektorübergreifende CPGsbereit,dieals Grundlage für kritische Infrastrukturen, einschließlich des Verkehrssektors, dienen. 
2. Einrichtungsdioden:Die CISA empfiehlt ausdrücklich den Einsatzvon Einrichtungsdioden, umden externen Zugriff aufIndustrial (ICS) zu verhindern und gleichzeitig den ausgehenden Datenfluss zu digitalen Zwillingen oder Datenarchiven zu ermöglichen.
3. NIST-Standards (Laden von Elektrofahrzeugen und allgemeine Telematik)
   1. Infrastruktur für Elektrofahrzeuge:Der NIST IR 8473 legtein Cybersicherheits-Rahmenwerk für EV/XFC-Ökosysteme (Extreme Fast Charging für Elektrofahrzeuge)fest. Darin wird die Netzwerksegmentierung mithilfe von Datendioden als bewährte Vorgehensweise genannt, um Ladeeinrichtungen von Unternehmensnetzwerken zu isolieren.
   2. OT Security:NIST SP 800-82 Revision3 definiert Einweg-Gateways (Datendioden) als Kernkomponente einer mehrschichtigen „Defense-in-Depth“-Strategie für OT-Umgebungen mit hohem Risiko.
4. EU-Richtlinie NIS 2 
   Auch wenn keine bestimmte Hardware vorgeschrieben wird, NIS2-Richtlinie schreibt vor, dass „besonders kritische“ Verkehrssektoren (Luftfahrt, Seeverkehr, Schienenverkehr, Straßenverkehr) Folgendes umsetzen strenge Zugriffskontrollen und Risikomanagement. 
   1. Datendioden werden von europäischen Betreibern häufig eingesetzt, um die NIS2-Anforderungenhinsichtlich der Sicherung von Echtzeit-Datenaustauschkanälen unddes Schutzes vor Schwachstellen in der Lieferkette zu erfüllen.