Haselnuss

Hardwarebasierte IT-Sicherheit für die Bahn

Die Digitalisierung und Vernetzung der Leit- und Sicherungstechnik (LST) der Bahn ermöglicht Betriebsabläufe und Transportleistung im Schienenverkehr zu verbessern. Jedoch sind vernetzte IT-basierte Infrastrukturen auch anfällig für Hackerangriffe. Zum Schutz entwickelt ein Forschungskonsortium unter Führung des Fraunhofer SIT eine hardwarebasierte IT-Sicherheitsplattform, die an die speziellen Anforderungen des Schienenverkehrs, wie die lange Lebensdauer der Infrastrukturkomponenten, angepasst ist. Die im Projekt „Hardwarebasierte Sicherheitsplattform für Eisenbahn Leit- und Sicherungstechnik“ – kurz HASELNUSS – entwickelten Lösungen werden im Testzentrum der DB Netz AG und im Eisenbahnbetriebsfeld Darmstadt erprobt, analysiert und weiterentwickelt.

Die Basis der Sicherheitsarchitektur bilden ein „Trusted Platform Module (TPM) 2.0“, welches als Hardware-Vertrauensanker agiert, und das Mikrokern-Betriebssystem PikeOS. Darauf bauen neuartige Dienste zur sicheren Verwaltung von Identitäten, zur Überwachung der Software-Integrität, für sichere Systemaktualisierungen und zur Erkennung von Angriffen auf. Zum Zugriff und zur Nutzung der Sicherheitsdienste des TPM wird dabei der von SIT-Wissenschaftlern entwickelte TPM Software Stack (TSS) 2.0 genutzt werden.

Fraunhofer SIT besitzt reichhaltige Erfahrung im Bereich Hardware-Basierte It-Sicherheit und Trusted Computing und entwickelt im Projekt:

  • Profile für TPM und TSS 2.0, welche die Anforderungen für den Bahneinsatz hinsichtlich Ressourcenbeschränkung, Sicherheitsniveau etc. erfüllen
  • Verfahren zur Überprüfung und Sicherstellung der Vertrauenswürdigkeit von LST-Komponenten
  • Verfahren zur Integritätsüberwachung und zur Erkennung von Manipulationen zur Laufzeit

Mit Hilfe des TPM 2.0 können fortgeschrittene Sicherheitslösungen entwickelt werden, um die Kommunikation im Leit- und Sicherungstechnik-Netz und die LST-Komponenten selbst abzusichern. Beispielsweise kann der aktuelle Systemzustand durch die Verknüpfung von TPM-basierten Protokollen und einem Health-Monitor durchgehemd überprüft werden, um Manipulationen zu erkennen. Infrastrukturbetreiber können so Probleme und Angriffe schnell erkennen, teilweise verhindern und bei Bedarf entsprechend reagieren.

Sicherer Betrieb mit reduzierten Kosten

Die im Projekt entwickelten und pilotierten Lösungen ermöglichen einen sicheren Bahnbetrieb mit erhöhter Effizienz und geringeren Betriebskosten. Da die HASELNUSS-Sicherheitsarchitektur den sicheren Einsatz von Standardtechnologien ermöglicht, ergeben sich weiterhin neue Geschäftsmodelle für neue Marktteilnehmer.

Projektpartner

  • DB Netz AG
  • Fraunhofer SIT (Konsortialführer)
  • SYSGO AG
  • Technische Universität Darmstadt