IEC 62443 & Co. – OT-Security für Bahnsysteme: Warum Sicherheit auf Schienen nicht bei der Fahrkartenkontrolle aufhört

Digitalisierung im Bahnsektor? Läuft. Und zwar auf Hochtouren – mit digitalen Stellwerken, cloudgestütztem voraussagendem Wartungsmanagement, vernetzten Energieversorgungssystemen, Fernzugriffslösungen für Servicepersonal und automatisiertem Fahrbetrieb. Doch mit jeder neuen Schnittstelle wächst nicht nur die Effizienz, sondern auch die Angriffsfläche. 

Willkommen im Cyberraum auf Schienen.
Und willkommen in der Realität der IT/OT-Konvergenz im Bahnumfeld. 

Während klassische IT längst mit Security-Tools, Patchzyklen und Awareness-Kampagnen arbeitet, fristen viele OT-Systeme in der Bahnbranche ein sicherheitstechnisches Schattendasein – veraltet, unsegmentiert, unüberwacht. Genau hier setzt die Normenreihe IEC 62443 an – ein internationaler Standard für industrielle Cybersicherheit, der speziell für Operational Technology (OT) entwickelt wurde. Und ja: Bahnsysteme zählen eindeutig dazu. 

🔍 Warum die Bahn kritische Infrastruktur ist – und was das bedeutet 

Bahninfrastruktur fällt unter KRITIS. Das bedeutet: erhöhte regulatorische Anforderungen, besonders nach Inkrafttreten der NIS2-Richtlinie, dem geplanten KRITIS-Dachgesetz und branchenspezifischen IT-Sicherheitskatalogen. Für Betreiber ergibt sich daraus eine klare Pflicht: Schutz der betrieblichen Kontinuität und Sicherheit vor Cyberbedrohungen. 

Typische Schwachstellen umfassen dabei im Bahnbereich: 

• Schwach gesicherte Diagnosezugänge zu Systemen, bspw. Bahnübergänge 

• Systeme mit veralteter Software, die wegen Zulassungen nicht oder nur schwer aktualisiert werden kann 

• Unsegmentierte OT-Netzwerke (Flat Networks) 

• Nicht auf Cybersicherheit ausgelegte Protokolle ohne Authentifizierung 

🛡️ IEC 62443 im Detail – das Rückgrat der industriellen Cybersecurity 

Die IEC 62443 besteht aus vier Teilen und adressiert alle Ebenen der OT-Security: 

1. General: Begriffe, Konzepte, Modelle – die Theorie hinter der Praxis. 

1. Policies & Procedures: Anforderungen an Betreiber von IACS (Industrial Automation and Control Systems) – also auch an Bahnunternehmen. 

1. System: Schutzmaßnahmen auf Netzwerkebene – vom Zonen- und Conduit-Modell über SL-Definitionen (Security Levels) bis hin zu Intrusion Detection. 

1. Component: Anforderungen an Hersteller von OT-Komponenten – etwa für HMIs, RTUs, SPSen und industrielle Firewalls. 

Weitere Teile befinden sich aktuell in der Entwicklung. Diese befassen sich unter anderem mit Schutzprofilen. 

Klingt abstrakt? Nicht bei uns. 

Wir helfen dabei, diese Vorgaben konkret in Ihre Bahnwelt zu übersetzen: Ob Sie nun die Leittechnik eines Güterbahnhofs absichern, die Fernwartung von Energieanlagen ermöglichen oder eine ISO 27001-Kompatibilität auf OT-Ebene anstreben – wir kennen die Brücke zwischen Norm und System. 

🔧 Sicherheitsmaßnahmen, die wirklich auf die Schiene gehören 

Wir unterstützen Bahnunternehmen, Hersteller, Integratoren und Betreiber mit maßgeschneiderten Sicherheitslösungen für Bahn-Umgebungen: 

✅ Risikobewertung & Bedrohungsmodellierung (z. B. STRIDE, Attack Trees)
✅ Zonen- und Conduit-Design für Netzwerksegmentierung gemäß IEC 62443
✅ Hardening-Strategien für Onboard- und Trackside-Systeme
✅ Sicherer Fernzugriff und Jump Hosts für Wartungsfirmen
✅ Logging, Monitoring und Anomalie-Erkennung
✅ Erstellung eines ISMS für OT gemäß ISO 27001 & IEC 62443-2-1
✅ Verständliche Awareness-Schulungen für Mitarbeitende in bspw. Werkstätten & Betriebszentralen
✅ Review und Sicherheitsbewertungen Ihrer Komponenten und Hersteller 

📉 Was kostet ein Angriff? Mehr als nur Reputation. 

Ein einziger kompromittierter Netzwerkport kann ganze Stellwerksbereiche lahmlegen. Ein gezielter Ransomware-Angriff führt schnell zu Verspätungen, Sicherheitsrisiken – oder zu Millionenschäden. Prävention ist nicht nur Pflicht, sondern betriebswirtschaftlich sinnvoll. 

Gerade der asiatische Raum zeigt, wie ernst Cybersecurity im Bahnsektor zu nehmen ist: Dort werden Bahnsysteme zunehmend Ziel geopolitischer APT-Gruppen, die über Schwachstellen in Komponenten in Systeme eindringen. Auch in Europa gab es bereits Vorfälle – die Bedrohung ist real. 

🚀 Fazit: OT-Security auf der Schiene – kein Extra, sondern Standard 

Wer Bahninfrastruktur digital betreibt, muss sie auch digital verteidigen. Und das bedeutet: Die Einhaltung von Security-Standards wie IEC 62443 ist nicht optional, sondern eine Voraussetzung für nachhaltigen, sicheren und gesetzeskonformen Bahnbetrieb. 

Unsere Mission? Ihre OT-Umgebung abzusichern, ohne dabei Ihre Abläufe zu stören. Mit technischem Know-how, normativer Erfahrung und einem Blick für das Machbare. 

📩 Lassen Sie uns sprechen – bevor es andere tun.
Wir freuen uns auf Ihre Nachricht.