Foto: Zwei Personen mit Schutzhelmen laufen zwischen hohen Containerstapeln eines Containerterminals; im Hintergrund fährt ein Containerstapler, darüber fliegt ein Passagierflugzeug.

Leittechnik Verkehrs­wesen sicher vernetzen

Netzwerkverschlüsselung in Leit- und Sicherungstechnik.
Security- und Safety-Anforderungen sicherstellen.

IT-Security für Leit- und Sicherungs­technik regelkonform umsetzen

Die Leit-, Steuerungs- und Sicherungstechnik in Straßen, Schienen, Häfen und Flughäfen zählt zu den KRITIS-Systemen: Ein Ausfall kann nicht nur den Personen- oder Güterverkehr zum Stillstand bringen, sondern auch erhebliche wirtschaftliche Schäden und Gefahren für die öffentliche Sicherheit nach sich ziehen. Deshalb und vor allem weil Fehlfunktionen hier schnell lebensgefährlich werden können, gelten für diese Anlagen strengere Sicherheitsvorgaben als in vielen anderen IT‑Umgebungen. Aus gutem Grund: Die zunehmende Vernetzung von Feldgeräten, Fernwartungs­zugängen und Cloud‑Diensten vergrößert die Angriffsfläche und erschwert die Bedrohungsabwehr.

Unser Beitrag für diese Herausforderung sind der RSCS SITLine Layer‑2‑Netzwerkverschlüsseler sowie die sicheren und leistungsstarken LANCOM R&S®Unified Firewalls, Gateways und Switches. Sie kombinieren modernste Kryptografie mit einer Architektur, die exakt die Kernziele der OT‑Security erfüllt:

  1. Datenintegrität steht im Vordergrund: Durch kryptografische Authentifizierung und kryptografische Signaturen werden Manipulationen an Steuerbefehlen zuverlässig erkennbar und abwehrbar. Vertraulichkeit ist hierbei ein positiver Nebeneffekt – primär sorgt die Verschlüsselung dafür, dass übertragene Daten unverändert ankommen und für Unbefugte nicht einsehbar sind.
     
  2. Ein für Steueranlagen erforderliches deterministisches Echtzeit‑Verhalten wird dank Hardware‑basierter AES‑GCM (Advanced Encryption Standard‑Galois/Counter Mode) sichergestellt. Die zusätzliche Latenz liegt bei wenigen Mikrosekunden und bleibt für Steuerprozesse transparent.
     
  3. Eine wesentliche Forderung in der Steuertechnik ist, dass Störungen oder prozessbedingte Änderungen der Übertragung in einem Kanal andere Kommunikations- oder Steuerkanäle nicht beeinflussen dürfen (Rückwirkungsfreiheit). Die Kryptografie in Linespeed, ohne signifikante Verzögerung oder Umordnung der Elemente, sowie der sehr geringe kryptografische Overhead tragen dazu bei, diese Anforderungen zu erfüllen.

R&S OT- und KRITIS-Netzwerkarchitekturen berücksichtigen all diese Faktoren und helfen dabei, resiliente Verkehrs- und Leitsysteme aufzubauen und zu erhalten.

Jetzt unverbindlich beraten lassen

Safety und Security in bahnnaher Leit- und Sicherungstechnik

In kritischen Infrastrukturen beim Bahn-, Straßen- oder Wasserverkehr oder in Tunneln müssen Safety und Security zusammen gedacht werden.

Während Safety auf einen sicheren Zustand bei technischen Fehlern abzielt, fokussiert Security im Verkehrsumfeld insbesondere die Integrität und Authentizität von Steuerdaten sowie den Schutz vor Manipulationen, Replay-Angriffen und unzulässigen Zugriffen. Möglich wird das u.a. über folgende kryptografische Maßnahmen.

Kryptografische Maßnahmen in der Leittechnik

  • Geschützte Zeitstempel, Sequenznummern oder Nonces (“number used once”) in verschlüsselten Kommunikations­protokollen: Erkennung und Blockierung von doppelt gesendeten oder zeitlich veralteten Nachrichten
  • Non-Repudiation u.a. durch verschlüsselte digitale Signaturen bei Konfigurationsänderungen oder Steuerbefehlen: Eindeutige Nachvollziehbarkeit von System- und Nutzeraktionen
  • Manipulationsresilienz durch abgesicherte Steuer­telegramme (u.a. durch kryptografische Signaturen oder Prüfsummen wie MAC, ICV, etc.): Sofortige Entdeckung und Ablehnung veränderter Datenpakete
  • Verschlüsselung der übertragenen Daten auf Layer-2-Ebene: Zusätzlicher Schutz vor der Einsicht oder Kenntnisnahme von essenziellen Daten, wie z.B. Metadaten, die oft bei verteilten Angriffen genutzt werden
Foto: Blick aus dem Führerstand eines Zuges auf Bahngleise und Bahnsteig; im Vordergrund befinden sich Bedienelemente und Displays.

Steuer- und Leitsysteme sind Echtzeitsysteme und müssen möglichst unabhängig von Seiteneinflüssen sein. Im Bahnumfeld wird diese Eigenschaft als „rückwirkungsfrei“ bezeichnet.

Für die IT-Netzwerkarchitekturen bedeutet das: Security-Elemente müssen so integriert werden, dass Reaktionszeiten, Kommunikationskanäle und Betriebsverhalten der ursprünglichen Systeme möglichst unbeeinträchtigt bleiben. Aus diesem Grund ist es erforderlich, klar definierte Netzwerkzonen und Pfade (Conduits) festzulegen, die Sicherungstechnik sorgfältig auszuwählen und eine nahezu physikalische Trennung von Nutzdaten- und Managementkommunikation zu planen.

Wie ein sicheres IT-/OT-Netzwerk für Leittechnik aufgebaut sein sollte

Bei der Realisierung einer IT-Vernetzung und Layer-2-Verschlüsselung für Leit- und Sicherungstechnik als unabhängige Securtiy-Lösung sind die Beachtung der Sicherheitsanforderungen, der resiliente Betrieb sowie zentrales, sicheres Management essenziell.

Zusätzlich müssen Ereignisse, welche die Security oder Safety der Kommunikation beeinträchtigen können, zuverlässig und sofort erkannt und offengelegt werden. Diese Ereignismeldung muss sowohl im eigenen zentralen Sicherheitsmanagement als auch in zentralen Überwachungssystemen / SIEM-Systemen erfolgen.

Foto: Zwei Personen mit Schutzhelmen und Warnkleidung stehen auf Bahngleisen und prüfen Unterlagen beziehungsweise ein Tablet.

Fünf IT-Architekturprinzipien für Leit- und Sicherungs­technik im Verkehrs­wesen

Ein Security-Zielbild für Leit- und Sicherungstechnik im Verkehrswesen folgt fünf wichtigen IT-Architekturprinzipien:

Icon: Horizontal in zwei Hälften geteilter Kreis; in der oberen Hälfte steht "IT" mit einem Sicherheitsschloss daneben; in der unteren Hälfte steht "OT" mit einem Sicherheitsschloss und Sicherheitsschild daneben

Klare Trennung von Information Technology (IT) und OT

Auch wenn IT heute eine notwendige Voraussetzung vieler OT-Systeme ist, braucht Leit- und Sicherungs­technik im Verkehrswesen eine klare Trennung zu allgemeinen IT-Bereichen. Das reduziert Seiteneffekte, begrenzt Stör- und Angriffsflächen und schafft eine belastbarere Planungsgrundlage.

So sind beispielsweise Stellwerksnetze und Leitstellen­systeme strikt von Office-IT getrennt, sodass ein kompromittierter Arbeitsplatz­rechner im Büro keinen direkten Zugriff auf sicherheitskritische Steuerfunktionen wie Signal- oder Weichensteuerung erhält.

Icon: Sicherheitsschloss, in dem Verbindungslinien mit kleinen Datenpunkten zu sehen sind.

Zonen- und Conduits-Modell nach IEC 62443

Ein an IEC 62443 orientiertes Zonen- und Leitungsmodell unterstützt nachvoll­ziehbare Kommuni­kations­beziehungen, definierte Übergabepunkte und klare Zuständigkeiten. Kommunikation erfolgt nicht implizit, sondern über bewusst gestaltete Verbindungswege. Idealerweise werden an den Zonenübergängen als klare Trennelemente Layer-2-Verschlüsseler wie der Rohde & Schwarz Cybersecurity SITLine eingesetzt. 

In der Praxis werden beispielsweise Leitstelle, Stellwerke und streckenseitige Komponenten jeweils eigenen Zonen zugeordnet, wobei die Kommunikation ausschließlich über definierte Übergänge erfolgt – etwa für Fahrbefehle oder Zustandsmeldungen.

Icon: Vertikale Trennlinie trennt zwei gespiegelte Netzwerke voneinander, welche durch mit Linien verbundene Quadrate dargestellt werden

Trennung von Management- und Nutzdaten

Management- und Nutzdatenverkehr sollten weitestgehend physisch getrennt werden. Wo das nicht vollständig möglich ist, müssen die Wechselwirkungen durch die Architektur minimiert werden und die Trennung sollte auf dem tiefstmöglichen ISO-/OSI-Layer erfolgen. Gerade im Bahnumfeld ist diese Trennung kein Komfortmerkmal, sondern essenziell für Beherrschbarkeit und Rückwirkungsfreiheit.

So werden Steuerdaten für Signale und Weichen über separate Kommunikationspfade übertragen, während Konfigurationsänderungen oder Monitoring-Zugriffe über ein eigenes Managementnetz erfolgen, um Echtzeit­kommunikation nicht zu beeinflussen.

Icon: Dokument / Protokollblatt mit Prozesskette aus Quadraten darauf abgebildet; rechts daneben große Lupe, In der ein Check-Häkchen zu sehen ist

Minimale Berech­tigungen und passive OT-Transparenz

Mit ihren besonderen Anforderungen bezüglich Echtzeitverhalten, Verfügbarkeit, Security und Langlebigkeit werden klassische OT-Netzwerke zunehmend auf moderne IT-Netze portiert und mit diesen zusammengeführt. Hierbei ist besonders wichtig, dass das IT-Netzwerk nur minimale Berechtigungen auf das OT-Netzwerk hat und dieses kaum bis gar nicht beeinflusst. Um Ereignisse dennoch frühzeitig zu erkennen, wird daher für die IT lediglich eine passive OT-Transparenz gewährt. So werden produktive Pfade nicht unnötig verändert und die erforderliche Sichtbarkeit geht nicht auf Kosten der Stabilität.

Beispielsweise dürfen Wartungssysteme nur auf definierte Komponenten wie einzelne Stellwerke zugreifen, während Monitoring-Lösungen den Datenverkehr passiv überwachen, ohne aktiv in die Steuerkommunikation einzugreifen.

Icon: Ein Pfeil von rechts drückt mehrere Schichten neben einem Schutzschild ein, ohne es zu erreichen

Resiliente Auslegung und ausfallsicherer Betrieb

Ausfallsicherheit, Redundanz und belastbare Übergänge sind in sicherheitskritischen Verkehrsnetzen Grundanforderungen. Störungen einzelner Komponenten oder gesicherter Kommunikationspfade dürfen nicht unkontrolliert auf andere Kanäle durchschlagen. Ebenfalls essenziell sind ein autarker, resilienter Betrieb, ein knoten- und kantendisjunktes Design sowie die Orientierung an Safety Integrity Level (SIL) 3 bzw. SIL 4.

Fällt beispielsweise eine Kommunikationsverbindung zwischen zwei Stellwerken aus, übernehmen redundante, physisch getrennte Leitungswege automatisch die Datenübertragung, ohne dass andere Streckenabschnitte oder Steuerfunktionen beeinträchtigt werden. Idealerweise werden die Safety- von den Security-Netzelementen getrennt, um das Risiko erfolgreicher Angriffe auf oder Beeinträchtigungen / Ausfälle von Safety und Security zu minimieren.

Management-Zone, Monitoring und Auditierbarkeit von Steuer- und Sicherungsnetzwerken

Eine eigene Management-Zone ist Voraussetzung für sicheres Management, nachvollziehbare Administration und stabile Betriebsprozesse. Dazu gehören standardisierte Schnittstellen und Verwaltungsfunktionen wie SNMP, NETCONF, REST, Audit-Logs und Syslog-Archivierung sowie eine redundante Auslegung.

  • Die Management-Infrastruktur muss dabei selbst höchsten Anforderungen genügen und mindestens das gleiche Sicherheitsniveau (z. B. SIL-Level 1-4 nach IEC 62443) wie die angebundenen Steuerungszonen und Security-Komponenten erreichen.
  • Zusätzlich sind Funktionen wie zentrale PKI (Public Key Infrastruktur), gesicherte Geräteverwaltung sowie standardisierte Offenbarungs- und Auditfunktionen erforderlich.
  • Ereignisse müssen dabei nicht nur lokal erfasst, sondern auch an zentrale Sicherheits- und Überwachungssysteme wie SIEM-Plattformen weitergeleitet werden, um sicherheitsrelevante Zustände systemübergreifend auswerten zu können.
Foto: Person sitzt vor mehreren Monitoren mit Karten- und Systemansichten in einer Kontroll- oder Leitstelle.

Monitoring und Auditierbarkeit sind in diesem Umfeld kein nachträglicher Ausbau. Sie gehören von Anfang an in die IT-Grundarchitektur. Nur so bleiben Ereignisse, Änderungen und Security-relevante Zustände nachvollziehbar, ohne die Stabilität und Rückwirkungsfreiheit der produktiven Steuerungsnetze zu gefährden.

Normen, Zulassung und Betrieb in der Leit- und Sicherungstechnik

Leit- und Sicherungstechnik beispielsweise im Bahnumfeld ist immer auch ein Normen- und Zulassungsthema. Relevante Bezugspunkte sind unter anderem:

  • EN 50159
  • EN 50129
  • IEC 61508
  • IEC 62443
  • ISO 26262
  • ISO 27001
  • Zertifizierungen und Sicherheitsbewertungen wie Common Criteria (z. B. EAL4+) oder nationale Anforderungen wie BSI-Vorgaben, um die Vertrauenswürdigkeit der eingesetzten Komponenten nachzuweisen
Foto: Großer Containerhafen mit Frachtschiff, Kränen und zahlreichen Containerstapeln vor einer Stadtsilhouette.

Je nach Einsatzumfeld kommen weitere Anforderungen an Zertifizierung, Nachweisfähigkeit, Zulassung und sichere Betriebsführung hinzu. Die IT-Architektur garantiert selbstverständlich nicht automatisch eine Zulassung. Sie schafft aber die Voraussetzung dafür, dass Integrität, digitale Souveränität, Rückwirkungsfreiheit, Management-Trennung, Logging, Monitoring, Langlebigkeit und sichere Betriebsprozesse konsistent umgesetzt und nachgewiesen werden können. 

Sichere Leittechnik-Netzwerke von Rohde & Schwarz als Grundlage stabiler Verkehrssteuerung

Moderne Leit- und Sicherungstechnik in Verkehrsanlagen erfordert ein durchgängiges Sicherheitskonzept, das Integrität, Verfügbarkeit und deterministisches Verhalten gleichermaßen gewährleistet. Im Fokus steht dabei nicht die Abschottung um jeden Preis, sondern die zuverlässige und unverfälschte Übertragung steuerungsrelevanter Informationen auf einem hohen Niveau – als Grundlage für einen sicheren Betrieb.

Entscheidend ist eine Lösung, die sich nahtlos in bestehende Systeme, Protokolle und Prozesse integriert, ohne deren Verhalten zu beeinflussen. Rückwirkungsfreiheit, strikt getrennte Kommunikationskanäle und ein resilientes Design stellen sicher, dass Sicherheitsmechanismen keine negativen Effekte auf die eigentliche Steuerung oder andere Netzbereiche haben.

Gleichzeitig gewährleisten autarke Betriebsfähigkeit, zentrale und abgesicherte Managementstrukturen sowie normenkonforme Umsetzung einen dauerhaft stabilen Betrieb – auch unter anspruchsvollen Umweltbedingungen und im Störungsfall. Offene Standards, klare Trennung von Management- und Nutzdaten sowie redundante Architekturen sorgen für Transparenz, Kontrolle und hohe Ausfallsicherheit.

Foto: Zwei Mitarbeitende in gelber Schutzkleidung und mit Gehörschutz stehen vor einem Flugzeug und besprechen Unterlagen auf einem Klemmbrett.

Für Betreiber bedeutet das: eine unabhängige, integrierbare Security-Schicht, die bestehende Bahnsteuerungsnetze schützt, ohne deren Funktionalität zu beeinträchtigen – und damit die Grundlage für einen sicheren, verfügbaren und zukunftsfähigen Verkehrsbetrieb schafft.

Kontaktieren Sie uns gerne und lassen Sie sich individuell und unverbindlich beraten! Wir freuen uns darauf, Ihr Projekt gemeinsam mit Ihnen zu realisieren.

Ihre Fragen beantworten wir gerne!

Lassen Sie uns ins Gespräch kommen

Freundliche Sales-Mitarbeiter mit Headset nehmen Kundenanruf in Büro an

Haben Sie Fragen zu unseren Produkten oder Lösungen oder möchten Sie ein Projekt mit uns besprechen? Wir finden gemeinsam die passende Lösung.

Nutzen Sie bitte unser Kontaktformular, so erreicht Ihre Anfrage direkt die richtigen Expert:innen.

Vertrieb Deutschland: +49 (0)2405 49936 333
Vertrieb International: +49 (0)2405 49936 122