Cybersicherheit im Zugverkehr
Rechtliche Compliance-Anforderungen für den Bahnsektor
Der vorliegende Beitrag wirft einen Blick auf die rechtlichen Compliance-Anforderungen zur Cybersecurity im Bahnsektor. Dabei zeigt sich, dass das Regelungsgefüge aus europarechtlichen Vorgaben sowie bundes- und landesgesetzlichen Vorschriften nicht nur im Mindesten genauso komplex wie die betroffene technische Infrastruktur selbst ist, sondern darüber hinaus die Cybersecurity in vielen Fällen nur mittelbar adressiert, soweit es um Fragen der „Safety“ geht.
Von Dennis-Kenji Kipker, Bremen
Ohne funktionierenden Schienenverkehr würde in Deutschland und Europa „nichts laufen“ – umso wichtiger ist es, dass der Bahnsektor im Zuge seiner immer stärkeren Durchdringung mit vernetzter IT auch angemessen vor Cyberangriffen geschützt wird. Zahlen belegen die damit verbundenen erheblichen Herausforderungen, denn die Infrastruktur ist zahlreich, vielfältig und über das ganze Land verteilt: So hat die KRITIS-Sektorstudie „Transport und Verkehr“ des BSI [1] ergeben, dass das deutsche Schienennetz eine Länge von insgesamt 38 000 km hat – seine Infrastruktur setzt sich aus 5663 Personenbahnhöfen, 2751 Stellwerken, 65 591 Weichen und Kreuzungen, 25 156 Brücken, 13 900 Bahnübergängen und 741 Tunneln zusammen. Das deutsche Bahnstromnetz ist 7811 km lang und enthält weitere kritische Komponenten.
Der Bahnsektor als kritische Infrastruktur
Kritische Infrastrukturen sind gem. § 2 Abs. 10 BSI-Gesetz (BSIG) Einrichtungen, Anlagen oder Teile davon, die unter anderem dem Sektor Transport und Verkehr angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die kritischen Infrastrukturen werden dabei im Einzelnen durch eine Verordnung bestimmt (BSI-KritisV). Einschlägig für den Sektor Transport und Verkehr ist § 8 BSI-KritisV: Nach dieser Vorschrift ist die Versorgung der Allgemeinheit mit Leistungen zum Transport von Personen und Gütern (Personen- und Güterverkehr) als eine kritische Dienstleistung im Sinne des BSIG zu qualifizieren. § 8 Abs. 2 BSI-KritisV bestimmt, dass der Personen- und Güterverkehr unter anderem im Eisenbahnverkehr erbracht wird. Ein entsprechender Verweis in § 8 Abs. 3 BSI-KritisV auf Anhang 7 der Verordnung regelt, welche konkreten Anlagen oder Teile davon als kritische Infrastrukturen im Bahnsektor zu qualifizieren sind. Als KRITIS-relevante Anlagenkategorien werden im Eisenbahnverkehr unter Anhang 7, Teil 3, Ordnungsnummer 1.2, Spalte B die Nachfolgenden geführt, wobei die jeweiligen Begrifflichkeiten im Einzelnen in Teil 1 des Anhangs 7 legaldefiniert sind:
- Personenbahnhöfe der Eisenbahn (Bahnhofskategorie: jeweils höchste Kategorie)
- Güterbahnhöfe (Anzahl ausgehender Züge/Jahr: 23 000)
- Zugbildungsbahnhöfe (Anzahl gebildeter Züge/ Jahr: 23 000)
- Schienennetz und Stellwerke der Eisenbahn (Einordnung des Schienennetzes nach Verordnung (EU) Nr. 1315/2013: deutscher Teil des Kernnetzes)
- Verkehrssteuerungs- und Leitsystem der Eisenbahn (Einordnung des zu dem System gehörenden Schienennetzes nach der Verordnung (EU) Nr. 1315/2013: deutscher Teil des Kernnetzes)
- Leitzentrale der Eisenbahn (disponierte Transportleistung (Personenverkehr) in Zugkilometer/Jahr pro Netz/Teilnetz: 8 200 000 beziehungsweise disponierte Transportleistung (Güterverkehr) in Tonnenkilometer/ Jahr: 730 000 000)
Für KRITIS-Betreiber in Deutschland gelten herausgehobene technisch-organisatorische Anforderungen an die IT-Sicherheit (vor allem gem. §§ 8a und 8b BSIG). So sind gem. § 8a Abs. 1 BSIG die Betreiber von kritischen Infrastrukturen verpflichtet, angemessene technische und organisatorische Vorkehrungen (TOV) zur Vermeidung von Störungen der IT-Sicherheit für Systeme, Komponenten und Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastruktur maßgeblich sind.
Dabei soll der „Stand der Technik“ eingehalten werden: eine dynamisierende Bezugsgröße, die durch den Regelungsadressaten an die jeweils aktuellen technischen Entwicklungen und geänderten Bedrohungslagen anzupassen ist. Die Implementierung von IT-Sicherheitsmaßnahmen gemäß dem Stand der Technik ist für die KRITIS-Betreiber grundsätzlich verpflichtend. Abgewichen werden kann hiervon nur in begründeten Ausnahmefällen: Das ist beispielsweise dann der Fall, wenn entgegen der gesetzgeberischen Intention durch das starre Festhalten an der Regelung eine Gefährdungslage für die IT-Sicherheit entstünde.
Infolge seiner Auslegungsbedürftigkeit wurden in den letzten Jahren verstärkt Anstrengungen zur Konkretisierung dieses unbestimmten Rechtsbegriffs unternommen. So hat beispielsweise der Bundesverband IT-Sicherheit e. V. TeleTrusT eine entsprechende Handreichung entwickelt [2]. Überdies können einschlägige internationale, europäische und nationale Normen und Standards zur Auslegung im konkreten Einzelfall herangezogen werden.
Speziell für die kritischen Infrastrukturen sind außerdem die „branchenspezifischen Sicherheitsstandards“ (B3S) zu beachten, die regelmäßig als Hinweis auf der Website des BSI veröffentlicht werden, nachdem sie die Eignungsprüfung erfolgreich durchlaufen haben. Im Sektor „Transport und Verkehr“ liegt bislang ein B3S für die Verkehrssteuerungs- und Leitsysteme im kommunalen Straßenverkehr vor.
Zusätzlich zur Implementierung der TOV wird von den KRITIS-Betreibern gemäß § 8b Abs. 3 BSIG vorausgesetzt, dass diese eine Kontaktstelle benennen und ihre jederzeitige Erreichbarkeit über diese Kontaktstelle sicherstellen. Die korrespondierende Verpflichtung zur Meldung von IT-sicherheitsrelevanten Störungen über diese Kontaktstelle ergibt sich aus § 8b Abs. 4 BSIG.
Richtlinie über Eisenbahnsicherheit und Allgemeines Eisenbahngesetz (AEG)
Die EU-Richtlinie über Eisenbahnsicherheit [3]hat das Ziel, für den grenzüberschreitenden Sachverhalt des Eisenbahnverkehrs europäisch vereinheitlichte Sicherheitsvorgaben zu definieren. Hierzu enthält sie unter anderem Regelungen zu Sicherheits-Managementsystemen, Sicherheits-Bescheinigungen und -Genehmigungen. Konkretisiert werden ihre Vorgaben durch die Anhänge: Anhang 1 (Gemeinsame Sicherheitsindikatoren), Anhang 2 (Notifizierung nationaler Sicherheitsvorschriften) und Anhang 3 (Anforderungen und Bewertungskriterien für Organisationen, die eine Instandhaltungsstellen-Bescheinigung oder eine Bescheinigung bezüglich von einer für die Instandhaltung zuständigen Stelle untervergebener
Instandhaltungsfunktionen beantragen).
Die Anforderungen des europäischen Eisenbahnrechts finden sich ebenso im Allgemeinen Eisenbahngesetz (AEG, siehe www.gesetze-im-internet.de/aeg_1994/) als Bestandteil des nationalen Rechts wieder, das regelmäßig an neue europarechtliche Vorgaben im Bahnsektor angeglichen wird. Gemäß § 1 Abs. 1 regelt das AEG unter anderem die Voraussetzungen für einen sicheren Eisenbahnbetrieb – § 1 Abs. 2 nimmt Schienenbahnen wie Magnetschwebebahnen, Straßenbahnen oder sonstige Spezialbahnen vom Anwendungsbereich des AEG aus. Ebenfalls nicht anwendbar sind die Vorschriften des AEG auf die Versorgung der Eisenbahnen mit Fahrstrom und Telekommunikationsleistungen.
Eisenbahnen müssen verschiedenen Sicherheitsanforderungen genügen, die im AEG benannt sind: § 4 (Sicherheitspflichten und Notfallpläne), § 4a (Instandhaltung), § 4b (Aufgaben und Anerkennung von Prüfsachverständigen), § 5a (Aufgaben und Befugnisse der Eisenbahnaufsichtsbehörden mit Blick auf die Gefahrenabwehr beim Betrieb von Eisenbahnen), § 7a (Sicherheitsbescheinigung für Eisenbahnverkehrsunternehmen), § 7c (Sicherheitsgenehmigung von Betreibern der Schienenwege) sowie § 7d (Anerkennungen für die Durchführung von sicherheitsrelevanten Schulungen/ Prüfungen/Untersuchungen von Fachpersonal).
Im nationalen Recht sind zusätzlich zahlreiche weitere Rechtsvorschriften [4] zu beachten – unter anderem die Maßgaben aus der Eisenbahn-Bau- und Betriebsordnung (EBO): Die EBO enthält für alle regelspurigen Eisenbahnen Mindestanforderungen zur Gewährleistung der Sicherheit im Eisenbahnbetrieb.
Radio Equipment Directive (RED) und Funkanlagengesetz (FuAG)
Das „Gesetz zur Neufassung der Regelungen über Funkanlagen und zur Änderung des Telekommunikationsgesetzes sowie zur Aufhebung des Gesetzes über Funkanlagen und Telekommunikationsendeinrichtungen“ setzt als Artikelgesetz die Anforderungen aus der europäischen RED [5] in nationales Recht um – allem voran im Funkanlagengesetz (FuAG, www.gesetze-im-internet.de/fuag/). Beide Regelungen finden auf alle Funkanlagen Anwendung, die auf dem Markt bereitgestellt oder in Betrieb genommen werden.
Infolge der weit gefassten gesetzlichen Definition der Funkanlage gemäß § 3 Abs. 1 Nr. 1 FuAG hat das Gesetz auch für den Bahnsektor eine erhöhte Relevanz: So ist eine Funkanlage ein elektrisches oder elektronisches Erzeugnis, das bestimmungsgemäß Funkwellen zum Zweck der Funkkommunikation oder der Funkortung ausstrahlt und/oder empfängt oder Zubehör, wie zum Beispiel eine Antenne, benötigt, damit es bestimmungsgemäß Funkwellen zum Zweck der Funkkommunikation oder der Funkortung ausstrahlen und/oder empfangen kann.
Die sicherheitsbezogenen Vorschriften der RED wurden im nationalen Recht vorwiegend in § 4 (Grundlegende Anforderungen an Funkanlagen), § 5 (Bereitstellung von Informationen über die Konformität von Kombinationen von Funkanlagen und Software), § 7 (Bereitstellung auf dem Markt, Inbetriebnahme und Nutzung), § 9 (Allgemeine Pflichten des Herstellers), § 12 (Allgemeine Pflichten des Einführers), § 14 (Allgemeine Pflichten des Händlers) und § 29 FuAG (Pflichten der BNetzA bei Funkanlagen, von denen eine Gefahr ausgeht) umgesetzt.
Maschinenrichtlinie, Produktsicherheitsgesetz (ProdSG) und Maschinenverordnung (9. ProdSV)
Ebenso wie die RED und das FuAG ist die Maschinenrichtlinie [6] kein spezifisches Gesetz zur Cybersecurity oder allein auf den Bahnsektor bezogen – sie legt als horizontale europäische Richtlinie jedoch verbindliche Vorgaben fest, um die Sicherheit von Maschinen für Konstruktion, Bau, Betrieb und Instandhaltung zu gewährleisten. Damit betrifft auch sie automatisch eine Vielzahl von Geräten und Produkten im Bahnbetrieb.
Im nationalen Recht hat die Maschinenrichtlinie Eingang in das Produktsicherheitsgesetz (ProdSG, www.gesetze-im-internet.de/prodsg_2021/) sowie die zugehörige sogenannte Maschinenverordnung (www.gesetze-im-internet.de/gsgv_9/) gefunden und verknüpft die Anforderungen von Security und Safety miteinander. Für die Maschinenverordnung existiert im Bahnsektor eine Besonderheit: Sie gilt gem. § 1 Abs. 2 nicht für Beförderungsmittel auf Schienennetzen – mit Ausnahme der hierauf angebrachten Maschinen. Durch diese Rückausnahme ist jedoch erneut ein weiter Anwendungsbereich der Maschinenverordnung eröffnet. Zukünftig werden die Vorgaben aus der Maschinenrichtlinie durch die neue Maschinenverordnung der EU adressiert, deren Entwurf die Europäische Kommission im April 2021 vorgelegt hat und mit deren Verabschiedung im 1. Quartal 2023 zu rechnen ist. Außerdem wird für das 2. Quartal 2023 eine neue Produktsicherheitsverordnung erwartet.
Landesrecht
Für die Schienenbahnen, die nicht Eisenbahnen des Bundes sind, besitzen die deutschen Bundesländer eine gesetzgeberische Zuständigkeit. Dementsprechend wurden auch in den Ländern eigene eisenbahnrechtliche
Vorschriften erlassen, beispielsweise in Hessen das Hessische Eisenbahngesetz (HEisenbG) und in Bayern das Gesetz über die Rechtsverhältnisse der nicht bundeseigenen Eisenbahnen und der Seilbahnen in Bayern (Bayerisches Eisenbahn- und Seilbahngesetz – BayESG). Diese gesetzlichen Vorschriften enthalten für ihren Regelungsbereich ebenso Maßgaben zu Betrieb, Aufsicht und Sicherheitsmaßnahmen im Bahnverkehr.
Fazit und Ausblick
Die Cybersecurity-Compliance spielt gerade auch im Bahnsektor eine erhebliche Rolle, da es nicht nur um die Versorgungssicherheit mit einer kritischen Leistung geht, sondern hochrangige Rechtsgüter in großer Zahl gefährdet sein können, sollten sich im Bahnverkehr Sicherheitsmängel realisieren.
Die Vorschriften zur Sicherstellung des Bahnbetriebs sind auf europäischer und nationaler Ebene vielfältig und reichen dabei nicht nur über die verschiedenen Regulierungsebenen hinweg, sondern adressieren das Thema in allgemeinen sowie branchenspezifischen Regelwerken.
Dabei wird deutlich, dass der Aspekt der „Sicherheit“ im Bahnbereich zumeist weiter gefasst ist und so die Cybersecurity zumeist nur mittelbar Eingang in die gesetzliche Regulierung findet. Da das Eisenbahnrecht insoweit aber „organisch“ gewachsen ist, wird davon auszugehen sein, dass im Zuge der auch im Bahnsektor mittlerweile allgegenwärtig anzutreffenden Digitalisierung und Vernetzung in den kommenden Jahren in den bereits bestehenden Katalog umfassender allgemeiner Sicherheitsanforderungen zunehmend auch konkrete Cybersecurity-Anforderungen Eingang finden werden.
Prof. Dr. iur. Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht an der Fakultät für Elektrotechnik und Informatik der Hochschule Bremen (HSB), Legal Advisor im Competence Center Information Security und CERT des VDE, Vorstandsmitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) sowie Geschäftsführer der Certavo-Beratungsgesellschaft in Bremen (https://denniskenjikipker.de/).
Literatur
[1] Bundesamt für Sicherheit in der Informationstechnik
(BSI), KRITIS-Sektorstudie Transport und Verkehr, öffentliche Version, Februar 2015, online einsehbar auf https://docplayer.org/1537742-Kritis-sektorstudie-transport-und-verkehr.html
[2] Bundesverband IT-Sicherheit e. V. (TeleTrusT), Handreichung zum „Stand der Technik“, Technische und organisatorische Maßnahmen, Version 1.9, September 2021, www.teletrust.de/publikationen/broschueren/stand-der-technik/
[3] Europäische Union, Richtlinie 2016/798 des Europäischen Parlaments und des Rates vom 11. Mai 2016 über Eisenbahnsicherheit (Neufassung), in: Amtsblatt der Europäischen Union L 138, S. 102, Mai 2016, https://eurlex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A32016L0798
[4] Eisenbahn-Bundesamt (EBA), Eisenbahnrecht des Bundes, Portalseite, www.eba.bund.de/DE/RechtRegelwerk/GesetzeVerordnungen/Eisenbahnrecht/eisenbahnrecht_node.html
[5] Europäische Union, Richtlinie 2014/53/EU des Europäischen Parlaments und des Rates vom 16. April 2014 über die Harmonisierung der Rechtsvorschriften der Mitgliedstaaten über die Bereitstellung von Funkanlagen auf dem Markt und zur Aufhebung der Richtlinie 1999/5/ EG, in: Amtsblatt der Europäischen Union L 153, S. 62, Mai 2014, https://eur-lex.europa.eu/legal-content/de/ALL/?uri=CELEX%3A32014L0053
[6] Europäische Union, Richtlinie 2006/42/EG des Europäischen Parlaments und des Rates vom 17. Mai 2006 über Maschinen und zur Änderung der Richtlinie 95/16/ EG (Neufassung), in: Amtsblatt der Europäischen Union L 157, S. 24, Juni 2006, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32006L0042