Navigation | Seiteninhalt | Zusätzliche Informationen

Seiteninhalt

InnoTrans Blog

E-Ticketing - ein spannender, nicht umkehrbarer Prozess

Februar 2020

Mirko Ross
Foto: Mirko Ross

Eine Ticket-App für alle Fahrten mit öffentlichen Verkehrsmitteln – verbund- und länderübergreifend klingt komfortabel. Doch wie steht es um die Sicherheit, wenn die unterschiedlichsten Akteure ihre Systeme öffnen und Daten teilen? InnoTrans Report sprach mit dem Experten für Cyber Security Mirko Ross

InnoTrans Report:

Herr Ross, was kommt Ihnen als Experte für Cyber Security bei dem Thema E-Ticketing als erstes in den Sinn?

Mirko Ross: Erst einmal glaube ich, dass sich der Nutzer wünscht, dass alles einfacher und durchgängiger funktioniert. Selbst ich als Cyber-Security-Experte würde es mir wünschen. Gleichzeitig wirft es bei mir die Frage auf, wie Daten in solchen Systemen weitergegeben, verwendet und bei den langen Datenlieferketten abgesichert werden.

Was bereitet Ihnen als Nutzer Kopfschmerzen?

Mirko Ross: Die Intransparenz. Wir ha- ben es mit Ticketing zu tun, also mit personenbezogenen Daten. Schließlich muss man zuordnen können, wem der Fahrschein gehört. Es geht um sensitive Daten, bei deren Verlust ich nicht mehr kontrollieren kann, wo sie liegen. Womöglich landen meine Daten nach einem erfolgreichen Hacking-Angriff frei zum Verkauf im Darknet. Dort können sie von irgendwelchen kriminellen Organisationen genutzt werden, um ihre Cyberangriffe zu optimieren. Wir haben es auch mit finanziellen Daten zu tun – Tickets müssen bezahlt werden. Es sind sensitive Bezahlinformationen und Bezahlsysteme involviert. Das Horrorszenario ist schlichtweg, dass meine Kreditkar- tendaten verlustig gehen oder ander- weitige Transaktionen vorgenommen werden und mich finanziell schädigen.

Die Intermodalität setzt einen hohen Vernetzungsgrad zwischen den unterschiedlichen Akteuren voraus. Welche Schwachstellen ergeben sich durch das Data Sharing?

Mirko Ross: Man muss sich vernetzen, sich anderen Teilnehmern im System technisch öffnen und Schnittstellen einbauen. Damit vergrößert sich die Angriffsoberfläche. Potenzielle Angreifer haben schlichtweg mehr Möglichkeiten, in solche Systeme einzudringen oder dort Daten abzugreifen.

An welchen Sicherheitsstandards werden sich intermodale Vernetzungen orientieren?

Mirko Ross: Wir haben es mit verschieden großen Akteuren zu tun. Die Deutsche Bahn wäre ein sehr großer Akteur. Akteure sind aber auch Regionalverkehrsbetriebe, kleinere Omnibusbetriebe. Alle haben unterschiedliche Voraussetzungen. Bei dem einen kümmert sich das CERT (Computer Emergency Response Team, Anmerkung der Redaktion) aktiv um Cybersicherheit. Dieses kann monitoren, hat nahezu unbegrenzte Mittel. Der andere tut sich schwer, überhaupt einen Mitarbeiter zu identifizieren, der sich der Cyber Security widmet. Von einem Support ganz zu schweigen. So unterschiedliche Akteure verständigen sich auf minimale technische Standards. Die Einhaltung dieser Standards ist aber immer das Problem. Das Verständigen darauf ist einfacher als die tatsächliche, auch dauerhafte Umsetzung in einem Betrieb.

Womit steht und fällt die Cybersicherheit?

Mirko Ross: Meist sind es kleine Fehlerpunkte. Standards sind da, aber sie können nicht dauerhaft von allen Akteuren durchgehalten werden. Irgendwo gibt es immer diesen weakest link. Ein kleiner Player ist gar nicht in der Lage, schnell nachzupatchen, nachzurüsten, um eine Sicherheitslücke zu schließen. Das heißt nicht, dass die Großen so super sind. Auch dort kann genau das Gleiche auftreten, aufgrund von menschlichem Versagen oder weil manche Prozesse zu langsam sind. Unternehmen müssten also sehr stark in die Absicherung ihrer Systeme investieren. Stellt sich die Frage, für wen innerhalb der Kette es sich als Geschäftsmodell noch lohnt, wenn es bereits Beteiligte gibt, die hohe Defizite und Schwierigkeiten haben. Können sie überhaupt Investitionen tätigen, um ihre Daten, ihre IT-Infrastruktur sicher zu halten?

Welche Grundregeln müssen die Verkehrsbetriebe einhalten, damit E-Ticketing so sicher und vertrauenswürdig wie möglich ist?

Mirko Ross: Erste Grundregel vom Datenschutz ist die Datensparsamkeit. Schon da kollidieren manchmal die Abteilungen im Unternehmen miteinander. Die einen wollen möglichst viele Daten erheben, um den Betrieb optimieren zu können. Die anderen sagen, viele Daten zu erheben bedeutet, viele Daten schützen zu müssen. Generell muss man immer damit rechnen, dass Daten verloren gehen können. Alle Beteiligten dieses Systems tun gut daran, sich das Credo der Datensparsamkeit ganz oben auf ihre Fahne zu schreiben. Wenn Datenleaks auftreten ist dies der Worst Case. Mit einem Datenleak sinkt auch das Vertrauen in so ein System.

Die Verkehrsinfrastruktur ist Teil der kritischen Infrastruktur. E-Ticketing schafft, wie Sie bereits gesagt haben, eine größere Angriffsfläche für potenzielle Hackerangriffe. Wie lassen sich diese vermeiden?

Mirko Ross: Der Hackerangriff ist das neue „Normal“. Jedes Unternehmen jeder Klasse und Kategorie wird angegriffen. Das ergibt sich aus der Art und Weise, wie Cyberangriffe aufgebaut sind, überwiegend starten Cyberangriffe durch automatisierte Scans auf bekannte Schwachstellen oder durch Phishing per E-Mail. Der technische Grundschutz lautet, alle Systeme sauber zu konfigurieren und sie up to date zu halten. Damit würde man tatsächlich, wenn wir uns einmal Ransomeware angucken, den Groß- teil der Angriffe verhindern können. Angriffe treten einfach auf, weil die Systeme nicht sauber gepatcht sind. Und es geht um Menschen. The last line of defence, die letzte Verteidigungsmauer, sind die Menschen, die in einem Unternehmen arbeiten. Wenn diese richtig sensibilisiert sind, können sie auch die richtigen Maßnahmen und Entscheidungen treffen. Deshalb muss man ganz stark mit den Menschen arbeiten und dafür sorgen, dass die Cybersicherheit hochgehalten wird, die Awareness da ist und dass die Leute richtig trainiert sind.

Wie ist Ihre Prognose für die nächsten Jahre?

Mirko Ross: Es gibt keine Alternative, wenn wir nicht die Streifenkarte behalten wollen – absolut cybersicher aber auch maximal unkomfortabel. Dass wir Ticketing digitalisieren, ist ein nicht umkehrbarer Prozess. Es spricht vieles dafür, dass es stattfindet und wir müssen uns darauf einstellen. Dass Cyberangriffe zunehmen ist auch ein nicht umkehrbarer Prozess. Auch darauf müssen wir uns einstellen. Die nächsten Jahre werden also extrem spannend.