Der verkehrsbetrieb Ruter AS aus Norwegen hat die Cybersicherheit von Elektrobussen getestet. Foto: Ruter/EilifSwensen; Montage: omnibus.news
Die öffentlichen Verkehrsbetriebe der norwegischen Regionen Oslo und Akershus werden von Ruter AS betrieben. Jetzt haben die Norweger nach eigenen Angaben soziale Verantwortung übernommen und einen einzigartigen Sicherheitstest für Elektrobusse Ruter durchgeführt. Um die Cybersicherheit von Elektrobussen von VDL und Yutong, die der Verkehrsbetrieb einsetzt, zu untersuchen, wurden, nach Aussagen von Ruter AS, ein drei Jahre alter VDL (aus den Niederlanden) und ein brandneuer Yutong (aus China) in einem Bergwerk getestet. Die Tests deckten Schwachstellen auf und lieferten gleichzeitig konkrete Erkenntnisse darüber, wie der öffentliche Nahverkehr vor Hacking und unerwünschten Aktivitäten geschützt werden könne, so Ruter AS.
Ziel des sogenannten Löwenkäfig-Tests war es, mögliche Cybersicherheitsrisiken aufzudecken und den öffentlichen Nahverkehr vor unerwünschten Aktivitäten, Spionage und auch Hacking zu schützen. Der Test untersuchte zwei konkrete Szenarien. Im ersten Szenario ging es darum, ob die Buskameras zum Senden von Filmen und Bildern missbraucht werden könnten. Der Test zeigte eindeutig, dass die Kamerasysteme beider Busse nicht mit dem Internet verbunden sind und dies daher nicht möglich ist. Im zweiten Szenario ging es um die Möglichkeit, die Bussysteme über die Cloud zu beeinflussen. Der chinesische Hersteller hat direkten digitalen Zugriff auf jeden einzelnen Bus für Software-Updates und Diagnosen, einschließlich des Zugriffs auf das Batterie- und Stromversorgungsmanagementsystem.
Theoretisch könne der Bus vom Hersteller angehalten oder unbrauchbar gemacht werden, so Ruter. Als Betreiber könne man den Bus aber aktuell noch durch Entfernen der SIM-Karte vom Internet trennen, da die gesamte Netzwerkverbindung nur über diesen einen Punkt laufe. So behalte man bei Bedarf die lokale Kontrolle. Nach dem Löwenkäfigtest in Franzefoss bei Sandvika verfügt Ruter nach eigenen Angaben nun über wertvolle Erfahrungen. „Nach diesem Test wandelt sich die Sorge bei Ruter in konkrete Erkenntnisse darüber, wie wir Sicherheitssysteme integrieren können, die uns vor unerwünschten Aktivitäten oder Hackerangriffen auf die Computersysteme des Busses schützen“, sagt Bernt Reitan Jenssen, CEO von Ruter.
Bereits jetzt würden Maßnahmen ergriffen und man bereite bereits Maßnahmen vor, um sicherzustellen, dass die Elektrobusse mit angepassten Sicherheitssystemen ausgestattet werden würden. Dies bedeute unter anderem, die Anforderungen an Sicherheit und Infrastruktur schon in den Beschaffungsprozessen weiter zu erhöhen. Darüber hinaus prüfe man, wie eine Firewall eingerichtet werden könne, die die lokale Kontrolle gewährleisten und vor Fernzugriff schützen würden. „Wir haben auch die nationalen und lokalen Behörden informiert und arbeiten gemeinsam daran, klare Anforderungen an die Cybersicherheit bei zukünftigen Beschaffungen festzulegen“, so Jenssen.
Die Studien zeigten signifikante technische Unterschiede zwischen den beiden Elektrobussen auf, was die rasante Entwicklung in der Branche verdeutliche, so Ruter. „Die nächste Busgeneration wird eine stärkere technologische Integration der Systeme aufweisen, was den Einbau von Firewalls erschwert. Daher haben wir jetzt ein technologisches Zeitfenster, um die notwendigen Sicherheitsmaßnahmen umzusetzen. Das ist eine gute Nachricht, und wir bereiten bereits Maßnahmen vor, die unsere Resilienz deutlich erhöhen werden“, sagt Jenssen. „Der öffentliche Nahverkehr in Oslo und Akershus sollte Zugang zu modernster Technologie und bester Sicherheit haben. Ruter erkennt Risiken, bevor sie zu einer Bedrohung werden, und integriert den richtigen Schutz, anstatt aus Angst auf Technologie zu verzichten“, schließt Bernt Reitan Jenssen.
Der niederländische Elektrobus von VDL biete keine Möglichkeit für Software-Updates per Fernzugriff und gelte so als weniger anfällig. Der chinesische Bus von Yutong verfüge über eine Fernaktualisierungsfunktion, die dem Hersteller digitalen Zugriff auf die Steuerungssysteme ermögliche. Schwachstellen in einer zugehörigen Aktualisierungsplattform wurden identifiziert und behoben. Die Technologie in den Bussen ist noch einfach, und Ruter kann die Systeme isolieren und Signale verzögern, um Aktualisierungen zu steuern. Der Test wurde nicht hausintern, sondern durch Experten von Tor Indstøy, Vizepräsident für Risikomanagement und Bedrohungsanalyse der Telenor Group, und Arild Tjomsland, Sonderberater für Technologietransfer an der Universität Südostnorwegen, durchgeführt. (Ruter/PM/Sr)