Adopting the Security Content Automation Protocol (SCAP) in Railway Applications

Master Studiengang Information Security

Dipl.-Ing. Michael Fußthaler, BSc (Jg. 2014/2016)

Betreuer: FH-Prof. Dipl.-Ing. Dr. Paul Tavolato

Ausgangslage

Ein effizienter und sicherer Bahnbetrieb kann heutzutage nicht mehr durch herkömmliche Methoden aufrechterhalten werden. Durch das erhöhte Transportaufkommen und den damit einhergehenden größeren Energie- und Kommunikationsbedarf sind die Einbindung von Informationssystemen und zentralisierte Steuerung unabdingbar geworden. Der erhöhte Kommunikationsbedarf bringt neue Cyber-Security-Herausforderungen mit sich, denn die über lange Zeit gewachsene Infrastruktur, welche aufgrund der vorgegebenen und sehr langen Lebensdauer der Geräte sowohl neue als auch ältere Systeme enthält, wird angreifbarer und muss abgesichert werden.

Dafür kann das Security Content Automation Protocol (SCAP) unterstützend eingesetzt werden. Das vom National Institute of Standards and Technology (NIST) entwickelte Protokoll nutzt standardisierte Sprachen und Formate für das Überprüfen von sicherheitsrelevanten Systemeinstellungen. Damit können sowohl BetreiberInnen als auch HerstellerInnen den aktuellen Sicherheitsstatus erfassen und dokumentieren. Diese Arbeit zeigt die neu entstandenen Cyber-Security-Gefahren auf, beschreibt sowohl SCAP als auch dessen Komponenten und enthält ein Konzept zur Einführung von SCAP in einer Betriebsführungszentrale zur zentralisierten Steuerung des Eisenbahnverkehrs.

Ziel

Das Ziel dieser Arbeit ist, eine Basis für die Einführung von SCAP in einer Betriebsführungszentrale zu schaffen. Dafür ist ein entsprechendes Produkt zum Überprüfen der Systeme notwendig und ein Konzept für die Umsetzung zu erstellen. Die Ergebnisse von regelmäßigen Überprüfungen sind danach sicher in einer Datenbank abzulegen.

Ergebnis

Im Zuge der Arbeit konnten neue Cyber-Security-Herausforderungen beschrieben und die Funktionen von SCAP aufgezeigt werden. Für die Einführung von SCAP in einer Betriebsführungszentrale wurde ein Produkt ausgewählt, entsprechende Prozesse definiert und die Basisdaten für die Überprüfung erstellt. Somit kann der Sicherheitsstatus für den Großteil der Betriebführungszentrale bereits erfasst werden. Für die spezifischen und angepassten Systeme, welche in einer Betriebsführungszentrale zum Einsatz kommen, wurde mit einem Basisprofil ebenfalls der Grundstein zur erfolgreichen Einführung gelegt.