Table Of ContentLars Schnieder
Schutz Kritischer
Infrastrukturen
im Verkehr
Security Engineering
als ganzheitlicher Ansatz
essentials
essentials liefern aktuelles Wissen in konzentrierter Form. Die Essenz dessen,
worauf es als „State-of-the-Art“ in der gegenwärtigen Fachdiskussion oder in der
Praxis ankommt. essentials informieren schnell, unkompliziert und verständlich
• als Einführung in ein aktuelles Thema aus Ihrem Fachgebiet
• als Einstieg in ein für Sie noch unbekanntes Themenfeld
• als Einblick, um zum Thema mitreden zu können
Die Bücher in elektronischer und gedruckter Form bringen das Expertenwissen
von Springer-Fachautoren kompakt zur Darstellung. Sie sind besonders für die
Nutzung als eBook auf Tablet-PCs, eBook-Readern und Smartphones geeignet.
essentials: Wissensbausteine aus den Wirtschafts-, Sozial- und Geisteswissenschaf-
ten, aus Technik und Naturwissenschaften sowie aus Medizin, Psychologie und
Gesundheitsberufen. Von renommierten Autoren aller Springer-Verlagsmarken.
Weitere Bände in der Reihe http://www.springer.com/series/13088
Lars Schnieder
Schutz Kritischer
Infrastrukturen
im Verkehr
Security Engineering
als ganzheitlicher Ansatz
Lars Schnieder
ESE Engineering und
Software-Entwicklung GmbH
Braunschweig, Deutschland
ISSN 2197-6708 ISSN 2197-6716 (electronic)
essentials
ISBN 978-3-658-22855-2 ISBN 978-3-658-22856-9 (eBook)
https://doi.org/10.1007/978-3-658-22856-9
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbiblio-
grafie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Springer Vieweg
© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2018
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die
nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung
des Verlags. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen,
Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem
Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen
im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und
daher von jedermann benutzt werden dürften.
Der Verlag, die Autoren und die Herausgeber gehen davon aus, dass die Angaben und
Informationen in diesem Werk zum Zeitpunkt der Veröffentlichung vollständig und korrekt
sind. Weder der Verlag noch die Autoren oder die Herausgeber übernehmen, ausdrücklich oder
implizit, Gewähr für den Inhalt des Werkes, etwaige Fehler oder Äußerungen. Der Verlag bleibt
im Hinblick auf geografische Zuordnungen und Gebietsbezeichnungen in veröffentlichten Karten
und Institutionsadressen neutral.
Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier
Springer Vieweg ist ein Imprint der eingetragenen Gesellschaft Springer Fachmedien Wiesbaden
GmbH und ist ein Teil von Springer Nature
Die Anschrift der Gesellschaft ist: Abraham-Lincoln-Str. 46, 65189 Wiesbaden, Germany
Was Sie in diesem essential finden können
• Eine Begriffsdefinition Kritischer Verkehrsinfrastrukturen
• Eine Motivation zum Schutz Kritischer Verkehrsinfrastrukturen aus dem Rechts-
rahmen heraus
• Eine Darstellung des institutionellen Rahmens der Absicherung der IT-Sicherheit
Kritischer Verkehrsinfrastrukturen
• Eine Darstellung technischer, physischer und organisatorischer Maßnahmen
zum Schutz Kritischer Verkehrsinfrastrukturen
V
Vorwort
Ein Leben ohne Smartphone und Tablet ist für viele von uns kaum noch vorstellbar.
„Always on“ – uneingeschränkte Konnektivität gehört mittlerweile zu den Grundbe-
dürfnissen unserer Gesellschaft. Es gibt kaum noch einen Bereich unseres Lebens,
der nicht von informationstechnischen Systemen abhängig ist. Dies gilt auch für
städtische und großräumige Verkehrsinfrastrukturen. Technologietrends und neue
Bedrohungsszenarien verstärken für Hersteller und Betreiber von Verkehrsinfra-
strukturen die Notwendigkeit, sich den Herausforderungen der IT-Sicherheit zu
stellen. Bedrohungen aus dem Internet dürfen die für die Lebensfähigkeit unserer
Gesellschaft und Wirtschaft essenzielle Software in den IT-Systemen der Verkehrs-
steuerung nicht manipulieren.
Mit der Einführung des IT-Sicherheitsgesetzes im Juli 2015 wurden in
Deutschland erweiterte Vorgaben für Kritische Verkehrsinfrastrukturen einge-
führt. Der Gesetzgeber verpflichtet Betreiber Kritischer Verkehrsinfrastrukturen,
angemessene technische, physische und organisatorische Vorkehrungen zur Absi-
cherung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Verkehrsin-
frastrukturen zu treffen. Erklärtes Ziel ist es hierbei, Störungen der Verfügbarkeit,
Integrität, Authentizität und Vertraulichkeit der in Verkehrssystemen eingesetzten
informationstechnischen Systeme, Komponenten oder Prozesse zu vermeiden.
Dieses essential skizziert den Rechtsrahmen der IT-Sicherheit Kritischer
Verkehrsinfrastrukturen, zeigt auf welche Verkehrsanlagen einer besonderen
Absicherung gegen Angriffe von außen bedürfen, skizziert einen umfassenden
institutionellen Rahmen zur Absicherung der IT-Sicherheit und zeigt einen ganz-
heitlichen Rahmen von Schutzkonzepten auf, der neben organisatorischen und
technischen Schutzmaßnahmen auch Maßnahmen des physischen Zugriffsschutzes
umfasst.
Braunschweig Dr.-Ing. Lars Schnieder
VII
Inhaltsverzeichnis
1 Rechtsrahmen Kritischer Verkehrsinfrastrukturen ............... 1
1.1 Definition Kritischer Verkehrsinfrastrukturen .................. 1
1.2 Rechtsgrundlagen des Schutzes Kritischer Verkehrsinfrastrukturen ... 2
1.2.1 Harmonisierung von Rechtsvorschriften
in der Europäischen Union ........................... 3
1.2.2 Verankerung im legislativen Recht ..................... 4
1.2.3 Konkretisierung durch exekutives Recht ................ 4
1.2.4 Normen als Maßstab des rechtlich Gebotenen ............ 5
2 Haftungsvermeidung als Motivation zum Schutz
Kritischer Verkehrsinfrastrukturen ............................ 7
2.1 Haftung aus körperschaftsrechtlichen Sicherheitspflichten ........ 7
2.2 Haftung aus öffentlich-rechtlichen Sicherheitspflichten .......... 9
2.3 Haftung aus zivilrechtlichen Sicherheitspflichten ............... 9
2.4 Strafrechtliche Haftung ................................... 10
3 Qualitätskette zur Absicherung der IT-Sicherheit
Kritischer Verkehrsinfrastrukturen ............................ 11
3.1 Produktregulierung ....................................... 11
3.2 Akkreditierung .......................................... 12
3.3 Konformitätsbewertung und Zertifizierung .................... 13
3.4 Zulassung .............................................. 14
3.5 Produktbeobachtung ...................................... 15
3.6 Marktüberwachung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
IX
X Inhaltsverzeichnis
4 Angriffsschutz Kritischer Verkehrsinfrastrukturen
durch tief gestaffelte Verteidigung .............................. 19
4.1 Angriffsschutz durch Maßnahmen zur Härtung
informationstechnischer Systeme ............................ 19
4.1.1 Bedrohungsanalyse ................................ 20
4.1.2 Ableitung von Security-Anforderungen ................. 21
4.1.3 Prüfung und Nachweis von Security-
Anforderungen .................................... 21
4.2 Angriffsschutz durch physische Maßnahmen .................. 26
4.2.1 Maßnahmen der Protektion/Prävention ................. 26
4.2.2 Maßnahmen der Detektion ........................... 28
4.2.3 Maßnahmen der Intervention ......................... 28
4.3 Organisatorische Maßnahmen .............................. 29
4.3.1 Merkmale von Information Security Management
Systemen (ISMS) ................................. 30
4.3.2 Kontinuierliche Verbesserung (PDCA-Zyklus) .......... 30
5 Schlussfolgerungen und Ausblick ............................. 33
Literatur ...................................................... 37
Rechtsrahmen Kritischer 1
Verkehrsinfrastrukturen
Dieses einleitende Kapitel definiert den Begriff Kritischer Verkehrsinfrastrukturen
und stellt die hierfür geltenden europäischen und nationalen Rechtsgrundlagen dar.
1.1 Definition Kritischer Verkehrsinfrastrukturen
Die Versorgung unserer Gesellschaft mit Dienstleistungen wie Energie, Wasser,
Nahrungsmittel, Informationstechnik und Telekommunikation, Gesundheit, Finanz-
und Versicherungswesen sowie Transport und Verkehr ist essenziell. Der Ausfall oder
die Beeinträchtigung dieser Dienstleistungen würde zu erheblichen Versorgungseng-
pässen oder zu Gefährdungen der öffentlichen Sicherheit führen. Daher werden diese
Dienstleistungen auch als kritische Dienstleistungen bezeichnet. Kritische Infra-
strukturen umfassen Anlagen, die für die Erbringung einer kritischen Dienstleistung
erforderlich sind.
u Kritische Infrastruktur Kritische Infrastrukturen (KRITIS) sind Organisatio-
nen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen,
bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungseng-
pässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische
gesellschaftliche Folgen eintreten würden.
Ein funktionsfähiges und leistungsfähiges Transport- und Verkehrssystem ist
eine Grundvoraussetzung für eine moderne arbeitsteilige Volkswirtschaft, die
auf die Mobilität von Gütern und Personen angewiesen ist. Die Globalisierung
von Produktion und Absatz von Gütern sowie die Entwicklung im internationalen
Personenverkehr haben in den vergangenen Jahren einen rasanten Zuwachs
© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2018 1
L. Schnieder, Schutz Kritischer Infrastrukturen im Verkehr, essentials,
https://doi.org/10.1007/978-3-658-22856-9_1
