Professional Articles

Die Eisenbahnsicherheitsnormen (CENELEC - EN 50128, EN 50129, EN 50126) haben einheitliche Anforderungen für die Entwicklung sicherheitsrelevanter elektronischer Systeme eingeführt, die aus Software und Hardware bestehen. EN 50128 und EN 50129 definieren generische (Software-) Anwendungen und generische (Hardware-) Produkte, die eine unabhängige Zertifizierung für Eisenbahnanwendungen erhalten können. Beim Aufbau eines komplexen Sicherheitssystems können solche COTS-Produkte (Commercial-Off-The-Shelf) wiederverwendet werden, einschließlich ihrer bestehenden Zertifizierungsartefakte. Mit diesem Ansatz kann sicherheitsrelevante Elektronik aus vorzertifizierten Software- und Hardwaremodulen zusammengesetzt werden.

Die EN-Normen erleichtern zwar die Sicherheitszertifizierung von COTS-basierten Systemen in der Bahnindustrie, befassen sich jedoch nur teilweise mit der IT Sicherheit (Security), die immer wichtiger wird, da geschlossene Systeme vernetzten Umgebungen mit drahtgebundenen und drahtlosen Verbindungen weichen. Sicherheitsrelevante Systeme in Zügen und Signalanlagen müssen vor Cyber-Bedrohungen geschützt werden, um sowohl Integrität als auch Verfügbarkeit zu gewährleisten. Die IT Sicherheitszertifizierung kritischer Eisenbahnsysteme rückt daher in den Fokus von Entwicklern und Betreibern gleichermaßen.

Im Gegensatz zur funktionalen Sicherheit ist die IT Sicherheitszertifizierung komplexer Systeme auf mittlerem bis hohem Sicherheitsniveau heute nicht gelöst. Die bestehenden monolithischen Ansätze werden der Komplexität moderner Cyber-Physischer Systeme (CPS) nicht gerecht. Solche Systeme sind durch sicherheitskritische Eigenschaften, Komplexität, Konnektivität und offene Technologie gekennzeichnet. Ein gemeinsamer Nachteil der Komplexität und Offenheit von CPS ist eine große Angriffsfläche und ein hohes Maß an Dynamik, die zu komplexen Ausfällen und irreparablen physischen Schäden führen können. Die berechtigte Furcht vor Sicherheitslücken oder Schwachstellen in der funktionalen Sicherheit von CPS führt zu langwierigen Test- und Zertifizierungsverfahren. Einmal in Betrieb, gilt für viele CPS die Devise: Never change a running system.

Um die IT Sicherheitszertifizierung von CPS im Eisenbahnsektor und in anderen Branchen zu erleichtern, entwickelt das von der EU finanzierte Projekt certMILS derzeit eine kompositorische Sicherheitszertifizierungsmethodik für komplexe zusammensetzbare sicherheitskritische Systeme, die in sich ständig weiterentwickelnden feindlichen Umgebungen betrieben werden (Abbildung 1).

Abbildung 1: Die certMILS-Methodik

Im Rahmen dieser Initiative entwickelt certMILS zusammensetzbare industrielle CPS-Piloten für Eisenbahn- und U-Bahn-Systeme, zertifiziert die IT Sicherheit kritischer, wiederverwendbarer Komponenten und gewährleistet die IT Sicherheitszertifizierung der Piloten durch Zertifizierungslabore in drei EU-Ländern unter Einbeziehung der Behörden. Bei der Entwicklung und Anwendung der IT Sicherheitszertifizierungsmethodik wird certMILS die bestehenden Sicherheitszertifizierungsprozesse respektieren und ergänzen.

Die Hauptziele des certMILS-Projekts sind der Transfer von Know-how im Bereich der Zertifizierung von Kompositionssicherheit auf die funktionale Sicherheitszertifizierung und die Erschwinglichkeit der Zertifizierung von zusammengesetzten Systemen. Es ist außerdem speziell als europäisches Projekt konzipiert, um die Abhängigkeit von amerikanischen Technologien zu verringern. Ziel ist es, die wirtschaftliche Effizienz und die europäische Wettbewerbsfähigkeit der CPS-Entwicklung zu steigern und gleichzeitig die Wirksamkeit der Sicherheitszertifizierung von zusammengesetzten Systemen zu demonstrieren.

Das Projekt verwendet ein Security-by-Design-Konzept, das seinen Ursprung in der Avionikindustrie hat: Multiple Independent Levels of Security (MILS), das auf einen kontrollierten Informationsfluss und eine kontrollierte Ressourcennutzung zwischen Softwareanwendungen abzielt. certMILS reduziert die Komplexität der Zertifizierung, fördert die Wiederverwendung und ermöglicht sichere Aktualisierungen von CPS während ihres gesamten Lebenszyklus, indem es eine zertifizierte Trennung von Anwendungen vorsieht, d. h. wenn eine Anwendung innerhalb eines komplexen CPS ausfällt oder sich böswillig verhält, sind andere Anwendungen nicht betroffen.

Die MILS-Architektur

Nach MILS sind die Systeme in drei horizontale Ebenen mit unterschiedlichen Rechten und Vertrauenswürdigkeitsstufen unterteilt (Abbildung 2).

Abbildung 2: Die MILS-Architektur unterscheidet drei Sicherheitszonen

Die unterste Ebene ist die Hardware mit weiteren Plattform- und Sicherheitsmodulen. Ebene 2 enthält den Trennkern, der die gesamte Kommunikation im System steuert und den einzelnen Anwendungen Rechenzeit und Speicherzugriff zuweist. Nur er ist für den Zugriff auf die Hardwareverwaltung privilegiert und gilt als vertrauenswürdig in Bezug auf die Sicherheit. Alle anderen Module der Systemsoftware der zweiten Ebene sind ebenfalls vertrauenswürdig, aber nicht privilegiert für den direkten Hardwareverwaltungszugriff. Sie dienen der Konfiguration und Organisation des Gesamtsystems und der Überwachung seiner Funktionalität. Alle Anwendungen, die im Benutzermodus laufen, gelten als nicht vertrauenswürdig und werden der dritten Ebene zugeordnet.

Das MILS-Konzept formuliert die konsistente und einheitliche Umsetzung mehrerer IT Sicherheitsrichtlinien für den Separation Kernel, um die Vertrauenswürdigkeit des Systems zu sichern und zu erhalten. Der Separation Kernel ist das Element, das die kompositorische Sicherheitszertifizierung ermöglicht. Der Separation Kernel selbst muss zertifiziert sein, um diese IT Sicherheitsrichtlinien mit der erforderlichen Zuverlässigkeit (z.B. Evaluation Assurance Levels von ISO/IEC 15408) durchsetzen zu können. Diese IT Sicherheitsrichtlinien des Separationskerns werden durch Sicherheitsfunktionen durchgesetzt, deren Implementierung auf ein absolutes Minimum reduziert ist, so dass ihre Bewertung und Zertifizierung möglich bleibt. Sie umfassen, sind aber nicht beschränkt auf

• Informationsfluss: Der Separationskernel muss den Informationsfluss zwischen Hardware, Systemsoftware und Anwendungen ermöglichen und kontrollieren;
• Datenisolierung: Der Separationskernel isoliert die jeder Anwendung zugewiesenen Speicherbereiche und Ressourcen;
• Saubere CPU-Register: Der Separationskernel löscht alle Einträge in den CPU-Registern, bevor eine andere Anwendung die CPU benutzen darf;
• Begrenzung von Schäden: Der Separationskernel begrenzt Fehlfunktionen einer Anwendung auf ihre Partition. Alle anderen Anwendungen, die Systemsoftware und der Separationskernel selbst sind davon nicht betroffen.
• Eine MILS-Plattform muss nicht umgehbar, auswertbar, immer aufrufbar und manipulationssicher (NEAT) sein, um das erforderliche hohe Sicherheitsniveau zu bieten.

MILS in Eisenbahnanwendungen

In Bahnanwendungen folgen die Kommunikationssysteme in der Regel der CENELEC-Norm EN 50159, die die sicherheitsrelevante Kommunikation in Übertragungssystemen definiert. Sie enthält auch einige Sicherheitselemente, indem sie kryptografische Techniken sowie kryptografische Architekturen definiert, die für die Kommunikation in offenen Netzen erforderlich sind. Derzeit enthält die Norm CENELEC EN 50129, die hauptsächlich sicherheitsrelevante elektronische Systeme für die Signalisierung definiert, keine expliziten Sicherheitselemente oder Qualitätsmetriken, aber dennoch ist die Integrität des Systems aufgrund von Sicherheitsanforderungen von größter Bedeutung. In diesem Sinne kann IT Sicherheit gleichbedeutend mit der Gewährleistung der Integrität des Systems interpretiert werden.

Es gibt jedoch bereits einschlägige neue Normen zur IT Sicherheit im Eisenbahnwesen, wie z. B. VDE 0831-102 und VDE 0831-104, die sich beide noch in der Vorphase befinden, sowie die neue IEC 62443. Bislang müssen die Kunden jedoch ihre eigenen IT Sicherheitsanforderungen stellen, die in der Regel auf hohem Niveau formuliert sind. Dies führt zu sehr heterogenen IT Sicherheitsanforderungen auf dem gesamten Eisenbahnmarkt, was sowohl für die Lieferanten als auch für die Zertifizierungsstellen eine Belastung darstellen kann.

Das MILS-Konzept wurde ursprünglich für militärische und avionische Anwendungen entwickelt und angewandt, ist aber auch sehr gut geeignet, um diese Probleme in der Bahnindustrie zu lindern. Eines der Hauptziele von certMILS ist die Anwendung relevanter IT Sicherheitsstandards im Bahnbereich, um die Homogenisierung der Sicherheitsanforderungen zu fördern und den Kunden zu helfen, ein konformes IT Sicherheitsniveau in ihren Produkten zu gewährleisten. Genau wie im Bereich der funktionalen Sicherheit besteht das Ziel darin, Leitlinien für IT Sicherheitsbausteine bereitzustellen, die über sichere Gateways für die Kommunikation in komplexe Systeme integriert werden können. Auf diese Weise kann die Integrität des Systems unter IT Sicherheitsgesichtspunkten gewährleistet werden. Darüber hinaus werden Sicherheitsgateways, die auf zertifizierten MILS-Plattformen basieren, modulare IT Sicherheit demonstrieren und hohe IT Sicherheitsstufen erreichen.

certMILS und U-Bahnen

Das Subway-Management basiert heute auf einem dreistufigen Modell gemäß der Norm EN 62290 (Abbildung 3).

Abbildung 3: Modell der Cybersicherheit in der U-Bahn

Diese Ebenen sind Betriebsplanung (OP), Betriebsführung und -überwachung (OCC) und Zugbetrieb (TO). Ein Betreiber ist für den Systembetrieb und die IT Sicherheit der kritischen Infrastrukturen verantwortlich. Die IT Sicherheitsanforderungen auf dieser globalen Ebene werden durch die Anwendung von ISO/IEC 27000 erfüllt. Der Lieferant ist für die IT Systemsicherheit auf den Ebenen OCC und TO verantwortlich. Die funktionalen Sicherheitsanforderungen erfordern die Anwendung von EN 50159 und EN 50129. Die Inbetriebnahme der U-Bahn-Linie hängt von der Abnahme des "funktionalen Sicherheitsnachweises" (EN 50129, Kapitel 5) ab, der auch den Nachweis der Cybersicherheit umfassen muss. Die Schnittstelle zwischen dem Unternehmensnetz (OP-Ebene) und der OCC-Ebene muss so gestaltet sein, dass sie sowohl die funktionalen Sicherheits- als auch die IT Schutzanforderungen (ISO/IEC 15408) erfüllt. Die Schnittstelle muss genehmigt und in den "funktionalen Sicherheitsnachweis" aufgenommen werden. Im Falle einer Änderung des IT sicherheitsrelevanten Teils muss das Genehmigungsverfahren wiederholt werden.

Im Falle des Baus und der Einbeziehung eines neuen Streckenabschnitts muss eine IT Sicherheitsanalyse des Gesamtsystems erstellt werden, die den alten und den neuen Teil der Strecke umfasst. Enthält der neu gebaute Streckenabschnitt andere als die Ausrüstung des ursprünglichen Lieferanten, können grundlegende Probleme bei der Bereitstellung von Informationen über die IT Systemsicherheit auftreten, da die erforderlichen detaillierten Informationen zum Know-how des Lieferanten gehören und in der Regel geheim gehalten werden. Daraus ergeben sich grundlegende Probleme für die Cybersicherheit: Wie kann die neue streckenseitige Ausrüstung in das ursprüngliche System integriert werden, ohne dessen IT Sicherheit zu beeinträchtigen? Es gibt keine Standards für die Integration zugelassener Schnittstellen, die den einschlägigen Anforderungen entsprechen, ohne dass das Know-how der beteiligten Lieferanten preisgegeben wird.

Der certMILS-Ansatz für die modulare Entwicklung, Absicherung und Zertifizierung wird heterogene Systeme fördern, ohne Geschäftsgeheimnisse preiszugeben, und gleichzeitig die IT Sicherheit erhöhen und die Kosten für die Einhaltung der IEC 62290 für die Interoperabilität und Erweiterbarkeit von Systemen senken. certMILS wird einen Evaluierungsgegenstand (Target of Evaluation, TOE) für die Zertifizierung im U-Bahn-Bereich schaffen, der die ISO/IEC 15408 und die aktuellen Interpretationen der IEC 62443 im Kontext der nach EN 50129, EN 50126, EN 50159 und IEC 61375 zertifizierten IT Sicherheitsfunktionalitäten nutzt. certMILS wird zeigen, wie ein auf der MILS-Plattform basierendes System sowohl die Wartungs- als auch die zusätzlichen Zertifizierungskosten für zukünftige Module senkt und gleichzeitig die Reaktion auf neue IT Sicherheitsbedrohungen verbessert. certMILS wird die Standardisierung verbessern, indem es Pilotergebnisse in die IT Sicherheitsarbeitsgruppen von IEC und CENELEC einbringt.

Fazit

certMILS wird die Komplexität der Zertifizierung von cyber-physischen Systemen durch den Einsatz einer vertrauenswürdigen MILS-Plattform innerhalb des cyber-physischen Systems, die einfach, klein und für die höchste Stufe zertifiziert ist, drastisch reduzieren. Eine solche Plattform ermöglicht eine kompositorische IT Sicherheitszertifizierung, die in verschiedenen Pilotprojekten, einschließlich Eisenbahn und U-Bahn, eingesetzt wird. Um als Produkt für einen großen Bereich von IKT/cyber-physischen Systemen vermarktet werden zu können, verfügt die Plattform über eine leistungsfähige API-Konfiguration, unterstützt offene allgemeine und domänenspezifische APIs (z. B. POSIX, ARINC) und berücksichtigt konsequent die bestehenden funktionalen Sicherheitsstandards/-vorschriften.