Momentaufnahme der IT-Sicherheit im ÖPNV

Sidra Collins

Sidra Collins

April 11, 2023

Als IT-Manager oder CISO (Chief Information Security Officer) für ein öffentliches Verkehrssystem müssen Sie jeden Tag wichtige Entscheidungen treffen. Von der Datensicherheit bis zur Systemredundanz gibt es wichtige Überlegungen, wenn es um die Planung und Verwaltung der Technologie Ihrer Organisation geht. Eine der wichtigsten Entscheidungen betrifft die Frage, ob Ihre Organisation lokale Server oder Cloud-basierte Server verwenden sollte. Im Laufe der Jahre war dies eine der häufigsten und beliebtesten Fragen, mit denen sich CISOs aus allen Branchen konfrontiert sahen.


Ich habe mich kürzlich mit Boris Surets, CISO bei Optibus, unterhalten, um die Vorteile der Nutzung von Cloud-basierten Servern im Gegensatz zu lokalen Servern speziell für Verkehrsbetriebe besser zu verstehen. Hier ist, was ich gelernt habe:

 

Erzählen Sie uns ein wenig über Ihren Hintergrund. Wie sind Sie in den Bereich der Cybersicherheit gekommen, und was hat Sie zu Ihrer Rolle als CISO bei Optibus gebracht?

Ich bin 35 Jahre alt, mit einer unglaublichen Frau verheiratet und wir haben 2 wunderbare Kinder. Während meines Militärdienstes in den israelischen Verteidigungsstreitkräften (IDF) hatte ich verschiedene IT- und Sicherheitsfunktionen inne. Nach der Armee arbeitete ich in Sicherheitspositionen in einer Vielzahl von globalen und nationalen Start-ups, KMUs und Unternehmen.

Sicherheit war schon immer eine Leidenschaft von mir. Ich liebe es, wie sie sich ständig weiterentwickelt und verbessert. Die Kombination aus IT, Wirtschaft und Verwaltung ermöglicht mir eine 360-Grad-Perspektive, die es mir erlaubt, meine beruflichen Aufgaben zu erfüllen - die Sicherung der unseren Kunden angebotenen Dienste und gleichzeitig den bestmöglichen Schutz unseres geistigen Eigentums.

Als ich erfuhr, dass Optibus einen CISO suchte, ergriff ich die Gelegenheit. Was mich wirklich gereizt hat, war der bedeutende Einfluss, den das Unternehmen auf die Gesellschaft hat und wie es buchstäblich die Welt verändert. Es war ein großes Privileg, Teil dieses Teams zu sein. 

Ich habe mit Freude festgestellt, dass Optibus die Sicherheit als einen der wichtigsten Aspekte unserer Plattform betrachtet. Wir arbeiten ständig daran, dass unsere Plattform den Standards der Sicherheitsbranche entspricht, damit wir unseren Kunden die bestmöglichen Dienstleistungen und Sicherheit bieten können.

 

Was sind Ihrer Meinung nach einige der neuesten Trends im Bereich der Cybersicherheit, auf die sich der ÖPNV besser einstellen sollte (und auf die er vorbereitet sein sollte)?

Modernisierung und Digitalisierung haben Vorteile, bieten aber auch mehr Möglichkeiten für Externe, um in betriebliche und IT-Infrastrukturen einzudringen, die persönliche und finanzielle Daten verarbeiten und speichern. Es besteht auch die Gefahr, dass die Verfügbarkeit von öffentlichen Dienstleistungen für Fahrgäste unterbrochen wird, was zu einem Vertrauensverlust in den ÖPNV führt.

Die Zahl der Angriffe auf die Lieferkette, Ransomware und Distributed-Denial-of-Service-Angriffe hat in allen Bereichen des Lebens alarmierend zugenommen. Der öffentliche Nahverkehr ist gegen diese Angriffsmethoden nicht immun und könnte ebenfalls mit erheblichen Cyber-Vorfällen konfrontiert werden.

 

“Das öffentliche Verkehrswesen ist gegen diese Angriffsmethoden nicht immun und könnte ebenfalls mit erheblichen Cyber-Vorfällen konfrontiert werden.”

 

Was haben Cyber-Hacker/Cyber-Attacken im Bereich des ÖPNV zu suchen? Welche Art von Informationen sollten Busunternehmen so gut wie möglich schützen?

Das Risiko besteht nicht nur in schwerwiegenden Unterbrechungen und Schließungen von Geschäfts- und unternehmenskritischen Diensten, die von öffentlichen Verkehrsbetrieben für ihre Kunden erbracht werden. Jeden Tag vertrauen die Fahrgäste darauf, dass die Verkehrsbetriebe ihre finanziellen und anderen persönlichen Daten schützen. Diese sensiblen Informationen können, wenn sie nicht ordnungsgemäß geschützt werden, erheblichen Schaden anrichten, z. B. durch Identitätsdiebstahl oder andere betrügerische Nutzung von Fahrgastdaten.

 

Was können Busunternehmen tun, um die Sicherheit ihrer Daten besser zu gewährleisten?

Meiner Meinung nach besteht die wichtigste Methode zur Gewährleistung der Datensicherheit darin, die größten Risiken für das Unternehmen zu definieren und sie unter dem Gesichtspunkt der so genannten "CIA-Trias" (Vertraulichkeit, Integrität und Verfügbarkeit) zu analysieren. Dennoch muss der Umgang mit sensiblen Informationen oberste Priorität haben.

Sie können damit beginnen, eine Netzwerksegmentierung einzuführen, wobei der Schwerpunkt auf der Unterscheidung zwischen Ihren betrieblichen Technologie- und Informationstechnologienetzen liegt.

  • Am besten ist es, einen risikobasierten Ansatz für die Patch-Verwaltung zu wählen - setzen Sie die Priorität auf geschäftskritische Anlagen.
  • Behalten Sie bei der Einrichtung von Zugriffskontrollen rollen- und kontextbasierte Regeln bei. 
  • Verschlüsseln Sie Übertragungen und Daten mit dem, was für Ihr Unternehmen am besten geeignet ist, und vergewissern Sie sich stets, dass es mit den verwendeten Technologien kompatibel ist.

Damit kritische Geschäftsprozesse optimal funktionieren, ist es unerlässlich, dass diese Komponenten systematisch zusammenarbeiten. So stellen Sie sicher, dass Ihre Unternehmensvision, Ihre Ziele und Ihre Aufgaben innovativ und wirkungsvoll sind - nicht nur für Ihre Kunden, sondern für die gesamte Branche des ÖPNV insgesamt. 

 

Welche Fragen sollte die IT-Abteilung bei der Aufrüstung und Modernisierung eines öffentlichen Verkehrssystems berücksichtigen?

  • Wer überwacht und aktualisiert unsere Cybersicherheitsprotokolle, und wie schulen wir unsere Mitarbeiter?
  • Wie oft sollten wir die Cybersicherheits-Updates analysieren und durchführen?
  • Wie sieht unser Notfallwiederherstellungsplan aus, und wer muss ihn kennen?
  • Welches ist die verwundbarste Stelle in unserem System (vor Ort oder digital), und wie können wir sie weniger verwundbar machen?
  • Wie weisen wir die Einhaltung unserer Cybersicherheitskontrollen nach?

 

Lokale Server, Cloud-basiert oder Cloud-nativ? - Was ist sicherer, und warum?

Unbestreitbar Cloud-nativ.

Es ist ein weit verbreiteter Irrglaube, dass eine vor Ort installierte Infrastruktur und Legacy-Software sicherer sind. Es ist wichtig anzuerkennen, dass Software vor Ort sicherheitsrelevante Risiken birgt, die ordnungsgemäß gehandhabt werden müssen, z. B. Schwachstellenmanagement, Patch-Management, Vernetzung und Zugang.

Ältere Software ist in der Regel nicht verschlüsselt, weder während der Übertragung noch im Ruhezustand, und wenn doch, sind die verwendeten Verschlüsselungsmethoden veraltet und anfällig für Sicherheitsbedrohungen.

Der Einsatz einer Cloud-nativen Plattform ermöglicht ein hohes Maß an Recovery Time Objective (RTO) und Recovery Point Objective (RPO) und unterstützt Business Continuity- und Disaster Recovery-Prozesse mit Backups und Datenreplikationen auf hohem Niveau. Erstklassige Sicherheit und die besten Cloud-Computing-Ressourcen sorgen dafür, dass Kunden immer die beste Funktionalität und Sicherheit für ihre Daten und die ihrer Passagiere erhalten.

202304_Security Snapshot

 

Was macht Optibus sicherer als unsere Konkurrenten? Insbesondere Legacy- oder On-Premise-Software (oder sogar Excel)?

Bei den meisten Planungs-, Dispositions- und Dienstplanungsinstrumenten für den ÖPNV handelt es sich derzeit um vor Ort installierte Legacy-Softwareplattformen oder einfache Excel-Dateien, die von IT-Mitarbeitern verwaltet werden. Diese Plattformen und Dateien gelten als unternehmenskritisch, und jede einzelne Aktion, die mit ihnen durchgeführt wird, ist von Bedeutung.

Da diese älteren Legacy-Lösungen aufgrund von Kompatibilitätsproblemen mit veralteten Kodierungstechnologien und Servern entwickelt wurden, sind sie nicht mit den neuesten Sicherheitstools kompatibel und können in den meisten Fällen nicht aktualisiert werden. Leider sind sie dadurch schweren Sicherheitslücken ausgesetzt. 

Optibus hat von Anfang an mehrere technische und administrative Sicherheitskontrollen und -mechanismen eingeführt, um ein Höchstmaß an Sicherheit zu gewährleisten.

Ich bin zwar voreingenommen, aber eine der beeindruckendsten Entscheidungen, die Optibus getroffen hat, war die Verwendung erstklassiger Sicherheitsmechanismen, um alle Netzwerke und Daten zu verschlüsseln. Wir haben unsere Plattform als Cloud-Nativ entwickelt, wobei wir Datenschutz- und Security-by-Design-Ansätze verwenden. Alle Infrastrukturen von Optibus und die Umgebungen der Kundenplattformen sind auf hochsicheren, konformen Amazon Web Services (AWS) Servern an verschiedenen Standorten gespeichert.


 

Wir alle wissen, dass der ÖPNV ein wichtiger Teil der kritischen Infrastruktur ist, der sich auf den Betrieb und die Effizienz von Städten auswirkt. Vor diesem Hintergrund sollten öffentliche Verkehrsbetriebe die Netzwerksicherheit ernst nehmen, insbesondere wenn es um die Informationen und persönlichen Daten ihrer Nutzer geht.

Letztendlich hängt die Entscheidung, welche Art von Server verwendet werden soll, von den spezifischen Bedürfnissen und Zielen einer Organisation ab. Es lohnt sich jedoch, die Vorteile von Cloud-basierten Servern als praktikable Option für ein öffentliches Verkehrssystem in Betracht zu ziehen.

Hat Ihnen dieser Artikel gefallen? Melden Sie sich für unseren Newsletter an, damit Sie keine weiteren Beiträge über Sicherheitsinformationen für öffentliche Verkehrsmittel verpassen.

Topics: Algorithms