blog.fohrn.com

Wurde die Nürnberger U-Bahn gehackt?

Wer vorgestern den Report aus München im ersten Programm gesehen hat der mochte seinen Augen nicht trauen: Eine U-Bahn in „einer deutschen Großstadt“ wurde demonstrationshalber von einem Herren namens Marco di Filippo gehackt – oder scheinbar doch nicht, so genau weiß man das nicht. Zweck der Übung war, zu demonstrieren, wie verwundbar wichtige Infrastruktur für islamistische Angriffe eines „Cyber-Terrorangriffs“ sei. Bei der U-Bahn, die als Demonstrationsobjekt herhielt, handelte es sich um die Nürnberger U-Bahn, genauer: Ziel des Angriffs war die Steuerung der vollautomatischen, fahrerlosen U-Bahnen der Linien 2 und 3.

Der Bericht ist übrigens auf den Seiten das Bayerischen Rundfunks zu sehen.

Bevor ich mich mit der VAG beschäftige, möchte ich einmal etwas auftrennen, was in meinen Augen nicht ursächlich zusammenhängt, nämlich den islamisch motivierte Terrorismus auf der einen Seite und die Angreifbarkeit von Infrastruktur – sofern ihre Steuerung vernetzt oder fernwartbar ist – auf der anderen Seite: Beides hat nicht zwingend etwas miteinander zu tun, denn der reine Umstand, dass ein technisches Netzwerk immer angreifbar ist, hat noch nichts mit der Motivation den Angreifer zu tun. Insofern sehe ich auch nicht, dass die Nürnberger U-Bahn ein besonders beliebtes Angriffsziel sein sollte – warum auch?

Interessant ist für mich noch ein anderer Aspekt: Wenn jemand „aus Hackerkreisen“ eine entsprechende Demonstration fährt, dann ist – aller Erfahrung nach – zuallermeißt mindestens einer der folgenden zwei Punkte gegeben, die dem Demonstrationsgegenstad innewohnen: Entweder ist das Demo-Objekt leicht zu hacken oder aber der Hack ist echt spektakulär. Zu letzteren Fällen zähle ich auch Hacks, die für sich genommen keine per se spektakulären Objekte betreffen, sondern Objekte die vielverbreitet, omnipräsent sind. Nun kann ich an dieser Stelle nur mutmaßen, allerdings drängt sich mir die Frage auf, ob im Falle der Steuerung der fahrerlosen U-Bahn in Nürnberg nicht tatsächlich beides der Fall war. Wer den entsprechenden Bericht der Nürnberger Zeitung zwischen den Zeilen liest und das Video des BR mitsamt den Kommentaren von Herrn Filippo einmal aus dieser Perspektive auf sich wirken lässt, der könnte unter Umständen zu so einem Schluss kommen.

Zahllose computerbasierte Systemsteuerungen seien so schlecht gesichert, dass sie von außen problemlos angegriffen, ja übernommen werden könnten. (Quelle: NZ)

Das für sich genommen ist nichts Neues; das es die Nürnberger U-Bahn getroffen hat, ist angesichts der Komplexität ihrer Steuerung aber auch nicht verwunderlich. Je komplexer eine Steuerung ist, je mehr Hierarchien auf diese Steuerung zugreifen können, desto größer ist die Wahrscheinlichkeit, dass ein Angreifer eine Sicherheitslücke findet und zu nutzen versteht. Die möglichst exakte und kleinteilige Fernwartbarkeit und ein möglichst lückenloses Monitoring begünstigen genau diesen Umstand.
Und: An dieser Stelle muss ich leider etwas ätzen: Schon bei Stuxnet war es eine Siemens-Steuerung, die Kern des Angriffs war. Und im Video zu sehen ist die Softwaresteuerung einer Simatic. Ich gehe davon aus, dass man beim BR so sorgfältig arbeitet, dass das keine „Symbolscreenshots“ waren.

Über die Reaktion der VAG wundere ich mich sehr. Ich kann das Beschwichtigen der Pressesprecherin nicht verstehen. Eine gute Krisen-PR sieht erst mal anders aus, außerdem ist auch die VAG vor einem generell existierenden Problemkomplex nicht gefeit. Dies einfach zu behaupten trägt im Übrigen nichts zur Erhöhung der Sicherheit bei. Ich hätte mir als Statement seitens der Verkehrsbetriebe erstens ein klares Bekenntnis zu in solchen Fällen einzuleitenden unabhängigen Audits von absoluten Profis erwartet (nicht nur von VAG-Leuten, Betriebsblindheit, wissenschon, sowas muss extern bearbeitet werden). Ich hätte weiterhin erwartet, dass man Herrn di Filippo – öffentlich – einlädt und ihn seinen Hack seine Simulation demonstrieren lässt. Außerdem hätte ich mir die Demut gewünscht, einzugestehen, dass es eine wirklich sichere Anlagensteuerung nicht geben kann. Nichts dergleichen ist passiert. Stattdessen wird die VAG-Pressesprecherin wie folgt zitiert:

Er hat uns nicht gehackt. Dies wäre auch strafbar. (Quelle)

Ohgottohgottohgott!! „Dies wäre auch strafbar“ – einmal Naivität für 500, bitte! Der BR zeichnete im Groben folgendes Szenario: Wir sind von islamistischen Cyber-Terror verwundbar, weil unsere Infrastruktur angreifbar ist (wie gesagt, ich halte das für einen Fehlschluss, wir sind nicht von Islamisten allein angreifbar, wir sind von jedem angreifbar, der die Technik beherrscht – und darunter fallen logischerweise als Teilmenge auch Islamisten, klar). Dem cyber-terrorisierenden Taliban, liebe VAG, dürfte es allem Ermessen nach scheißegal sein, ob dies auch strafbar wäre.

Um gleich dem nächsten Fehlschluss hinterherzusteigen: Der NZ-Journalist resümiert am Ende seines Artikels:

So oder so: Viele kommunale IT-Systeme sind offenbar sehr verwundbar. Ob die U-Bahn-Steuerung VAG dazu- gehört, die Kraftwerks-Steuerung N-Ergie oder gar die Stadt Nürnberg selbst, bleibt vorerst offen.  (Quelle)

Wieso? Wieso sollen gerade die kommunalen Systeme sich für derartige Angriffe besonders anbieten? Was hat das Kraftwerk der N-ERGIE oder gar die Stadt selbst nun mit den (möglicherweise vorhandenen) Sicherheitslücken der RUBIN-U-Bahn zu tun? Ich sehe da keinen zwingenden Zusammenhang. Ich bin tatsächlich der Meinung: Es kann leider jeden treffen. Wichtig ist, seine eigenen Security auf möglichst hohem Niveau zu halten, um nicht die grinsende Beute potenzieller Angreifer zu werden. Wichtig ist auch, zu begreifen, dass IT-Sicherheit ein prozesshaftes Ding ist und tagtäglich erstritten und gewahr werden will.

Weiterhin: Wirklich kritische Infrastruktur gehört, auch wenn die Alternative im Zweifel sauteuer ist (z.B. Standleitungen) einfach nicht ans Internet. Und auch nicht zwingend ans öffentliche Telefonnetz (Anachronismusalarm! Das öffentliche Telefonnetz ist ja quasi das Internet. Ich prangere das an, ernsthaft!). Der Aufwand, den dann ein Angreifer betreiben müsste, wäre nämlich ungleich höher und würde auch die Anwesenheit des Angreifers vor Ort voraussetzen, was Ergreifbarkeit oder Verhinderung ermöglicht – und für den Angreifer ungleich höhere Risiken mit sich bringt. Einfach nur zu behaupten, die eigenen Systeme seien sicher, bringt: Nichts.

Btw.: Ich bin kein IT-Sicherheitsexperte. Das was ich hier zum Thema IT-Sicherheit fallen lasse, sind allgemein anerkannte und ganz basale Axiome. Sie sind so geläufig, dass sie schon fast wie Plattitüden wirken. Ich bin mir dessen vollauf bewusst. Umso mehr erschreckt es mich, dass dieses Basiswissen weder bei den Damen und Herren Journalisten noch bei Unternehmen wie der VAG gesetzt ist. Vielleicht ist ja genau dieser Umstand die eigentliche, gravierendere Sicherheitslücke.

Update, 17.01.2015, 17:40: Der Herr Felme von der Stadt Nürnberg hat´s übrigens begriffen.

Chronik des Scheiterns: Die faherlose, vollautomatische U-Bahn (U3) in Nürnberg

Über die vollautomatische und fahrerlose U-Bahn U3, von den Marketingleuten der Verkehrsaktiengesellschaft Nürnberg auch als „RUBIN“ bezeichnet (nur: Außer den Marketingfuzzies der VAG nennt die so niemand) habe ich schon einiges geschrieben. Es gab auch viel zu schreiben, denn diese U-Bahn, so hat man das Gefühl, steht mehr, als sie fährt.

Am heutigen Montag waren die technischen Probleme der automatischen U-Bahnzüge allerdings so massiv, dass das massive Versagen der Technik und im Besonderen der VAG nicht mehr zu verbergen war. Ich gehe aber noch weiter und sage: Da diese U-Bahn so unglaublich viele Fehler aufweist und man nicht mehr davon sprechen kann, dass sie funktioniert, behaupte ich: Die vollautomatische, fahrerlose U-Bahn Nürnbergs der VAG, genannt „RUBIN“, ist gescheitert.

Und leider bekleckern sich in dieser Angelegenheit auch die Nürnberger Nachrichten bei der Berichterstattung nicht mit Ruhm. Der Artikel „Zwei U-Bahnlinien verspäten sich – zur Sicherheit„, heute auf den Webseiten der NN um 15.30 Uhr veröffentlicht, stimmt leider mit keiner Silbe, denn die technischen Probleme waren um 15.33 Uhr noch längst nicht behoben – sie begannen zu diesem Zeitpunkt erst.

Um etwa 16 Uhr, bis weit nach 18 Uhr ging auf den Linien U2 und U3 nichts mehr. Laut Lautsprecherdurchsage auf den Bahnhöfen sollte das Problem der U-Bahn „schnellstmöglich“ behoben werden – doch leider haben es die VAGler nicht geschafft, ihre Bahn fit zu machen. Für drei U-Bahnstationen brauchte die U2 auf der Strecke von Herrnhürtte bis zum Rennweg 30 Minuten (sic!) – und retoure brauchte der Zug ebenfalls 25 Minuten. Es funktionierte nichts mehr, die VAG erachtete es, trotz des über Stunden fortdauernden Problems, auch nicht für nötig, behelfsweise Busse einzusetzen. Und das mitten im Berufsverkehr.

Dieses Bild kann leider nicht angemessen illustrieren, wie überfüllt die Waggons waren – es passte aber wirklich nicht ein einziger Fahrgast mehr in den Waggon. Diese Situation war heute in der Nürnberger U-Bahn ein gewohntes Bild.

Von Station zu Station machten die U-Bahnen auf der Linie U2 und U3 jeweils zehn bis fünfundzwanzig Minuten Pause. Wer auf die VAG verzichtete, und selbst weite Strecken zu Fuß ging, war schneller unterwegs.

Ein bedauerlicher Einzelfall? Nein, leider nicht, denn es vergehen kaum Tage, an denen die automatische U-Bahn nicht versagt.

Diese Zustände sind nicht mehr hinnehmbar – ein Scheitern des Projekts RUBIN kann nun von niemandem mehr geleugnet werden. Das wirklich Schlimme an der Sache ist, dass für das gescheiterte Projekt von der VAG mit tatkräftiger Unterstützung der Stadt Nürnberg über 610 Millionen Euro (sic!) vernichtet wurden und die Nürnberger nun für Jahre, wenn nicht Jahrzehnte auf einer technisch unausgereiften, unzuverlässigen U-Bahn sitzenbleiben („sitzenbleiben“ im besten Wortsinne, denn „fahren“ darf man den Zustand in der U3 nicht nennen, will man nicht mit Recht der Lüge bezichtigt werden). Es ist nicht nur ein Skandal, es ist eine Schande!

Nicht vergessen werden darf, dass an der Misere auch die Firmen Siemens und Hirschmann Automation Mitschuld tragen.

Selbst in der Wikipedia, in der eher gelöscht wird, als nur einen Hauch von Zweifel an der Neutralität der Artikel aufkeimen zu lassen, wird über die U3 berichtet:

Seit 20. Oktober 2009 wurden Werktags in der Schwachverkehrszeit (ab 21 Uhr) und an Sonntagen ganztags die dann auf der U3 nicht benötigten Fahrzeuge als Kurzzüge außerhalb des regulären Fahrplans auf der U2 und U21 eingesetzt. Dies geschah im Vorgriff und als Test für das nach dem 2. Januar 2010 vorgesehene Betriebsprogramm, bei dem auf den beiden automatischen Linien überwiegend mit Kurzzügen, bei einem Minimaltakt von 100 Sekunden auf der gemeinsamen Stammstrecke, gefahren werden sollte. Nachdem es während des Testbetriebs im Dezember 2009 mehrmals zu Störungen im Betriebsablauf gekommen war, wurde vorerst vom geplanten 100-Sekunden-Takt abgesehen. Am 2. Januar 2010 erfolgte schließlich die vollständige Umstellung der U2/U21 auf automatischen Fahrbetrieb und die Umsetzung des neuen Betriebskonzepts, bei dem auf der U3 ganztägig und auf der U2/U21 in der Schwachverkehrszeit Kurzzüge eingesetzt werden.

Und nun haben wir den Salat. Es funktioniert nämlich nicht. Die automatische U-Bahn kann nicht umkehren und wenn irgendwo auf der Strecke eine Störung auftritt, denn stehen in der Kettenreaktion auf einmal an alle n U-Bahnhöfen alle Bahnen. Das passierte mit den von Fahrern gesteuerten Zügen nicht annähernd so häufig, denn erstens ist die Technik dieser vom Menschen gesteuerten Bahnen ausgereift und zweitens fehlt der Fahrer. Der kann, sodenn er einen Defekt bemerkt, über Lautsprecher die Fahrgäste auffordern, auszusteigen und oft gelingt es den Fahrern auch, defekte Züge als „Werkstattzüge“ über Haupt-undNebengleise zu Schleifen oder ins Depot zu fahren. Bei von Fahrern gelenkten U-Bahnen ist es in der Mehrzahl der Fälle so, dass der defekte Zug ausfällt. Einer von vielen. Bei der automatischen U-Bahn steht der ganze Betrieb. Über Stunden. Auf ganzen Linien, In vielen Stadtteilen. Das ist scheiße.

Und denen, die die U3 mit den Argumenten der Automatisierungsverfechter verteidigt haben, sei gesagt: Die U3 steht so oft, so viele Streiks können selbst mehrere Gewerkschaften nicht anzetteln. Die U3 steht so oft, so viele Fahrer können gar nicht krank werden. Für das Geld hätte man Generationen von Fahrern ein echt anständiges Gehalt und die halbe Rente noch dazu bezahlen können.

Die U3 ist kaputt – und wir Nürnberger müssen damit leben. „Herzlichen Dank!“ allen, die das verkackt haben.

Update: Während die NN heute jounalistisch im Kontext der massiven Störungen mit der automatisierten U-Bahn leider versagten, hat die Nürnberger Zeitung einen Artikel online, der das Außmaß der Störungen vernünftig beschreibt.

Die Türen in der U3

Heute sind wir wieder mit einer dieser automatischen Züge in der Nürnberger U-Bahn auf der Linie 2 gefahren. Mehr und mehr habe ich das Gefühl, dass das mit der vollautomatischen Bahn nix ist.

Der Zug fuhr ein, die erste Wagentür wollte nicht aufgehen. also wir zur nächstgelegenen Tür gesprintet, die mich dann beinahe zerquetscht hat. Ernsthaft – ich musste ziemlich dagegen halten. Mir machte das nichts aus, bevor mich das Ding zerquetscht, trete ich so dagegen, dass es aus den Angeln fliegt, das ist mir wurscht. Aber man stelle sich vor, wenn ältere Fahrgäste, die nicht mehr die Kraft haben, dagegenzuhalten, in so eine sich im Schließvorgang befindliche Tür geraten…

In den letzten beiden Wochen berichteten die Nürnberger Nachrichten immer wieder von durch automatische Züge verursachte Störungen und Ausfälle. Wenn man weiterhin bedenkt, dass auch die sich im laufenden Betrieb befindlichen Züge bzw. deren Türen außer Funktion oder einfach nur mit eklatanten Konstruktionsmängeln behaftet sind, wirft das auf das Millionenprojekt kein gutes Licht.

Ich fordere, dass der Schließmechanismus der Türen so sanft eingestellt wird, dass er bei geringem Widerstand stoppt und nicht die Leute zusammenquetscht. Jeden Fahrstuhl, dessen Tür so rabiat schließt, würde der TÜV stilllegen! Auch, dass defekte Türen nicht als defekt gekennzeichnet werden, ist untragbar. Früher hätte der Fahrer ein Schild an der Tür und im Wagen angebracht, dass auf den Defekt hinweist. Der „Roboter“ kann das natürlich nicht. Und wenn die Türen nur so kurz öffnen, dass es einem gesunden Unterdreißigjährigen nicht gelingt, die nächstgelegene Tür zu erreichen, ohne gequetscht zu werden, dann läuft definitiv etwas schief.

Sehr scheiße, liebe VAG, sehr scheiße!

Nürnbergs 100-Sekunden-Takt

Ich bin zwar kein absoluter Gegner der vollautomatisierten fahrerlosen U-Bahn in Nürnberg, aber ich beobachte dieses Großprojekt der VAG doch kritisch, zumal ich als technikaffiner Mensch um die Tücken unterschiedlichster automatisierter Abläufe weiß.

Gestern nun, ich fuhr von Ziegelstein zum Rathenauplatz, konnte ich die neue Kurzzugstrategie der VAG auf den Linien U2 (und U3) beobachten und ich muss sagen: Das Vorhaben ist vielersprechend.

Im Kern dreht es sich um die Bestrebung der VAG, je nach Fahrgastaufkommen adäquate Beförderungskapazitäten anzubieten. Ob das immer das Beste ist, bleibt zu hinterfragen, weil man immer damit rechnen muss, dass Angebote auf geringerfrequentierten Strecken zu Nicht-Stoßzeiten eingedampft werden. Die VAG, das glaube ich ihnen sogar , will nun einen anderen Weg gehen und ersann einen Kompromiss: Die Strecke der U2 und U3 wird im vollautomatisierten Betrieb befahren werden, der Takt wird grundsätzlich erhöht (was ich gut finde), zur Rush-Hour fahren normal lange Züge und in den „Nebenzeiten“ werden Kurzzüge eingesetzt.

Ich sehe als Fahrgast folgenden Vorteil: Abends und am Wochenende sind die etwas außerhalb gelegenen U-Bahnhöfe oft recht leer. Und die im Verhältnis wenigen Fahrgäste finden auch in Kurzzügen (die sind etwa um die Hälfte der Wagons verkürzt) immer noch gut Platz. Wenn sich nun auch noch der Takt von jetzt zehn Minuten (Sonntags) auf vier Minuten verkürzt, dann habe ich als Fahrgast gewonnen, denn ich komme schneller weg und an und kriege trotzdem einen Sitzplatz (bislang läuft das Ganze im Testbetrieb, der Regelbetrieb soll dann Anfang 2010 aufgenommen werden).

Nicht so ganz klar ist mir allerdings, wie die VAG bei diesem Kompromiss überhaupt auf „Null“ kommen kann – ohne gar Verluste zu machen. Zwar sind die U-Bahnzüge nun um die Hälfte kürzer, aber es werden ja mehr als doppelt so viele Züge auf den Weg geschickt. Das muss etwas kosten!

Am Rathenauplatz standen gestern einige VAG-Mitarbeiter mit Infozetteln in der Hand bereit und informierten über die Kurzzüge und die neue Taktung. Ein netter, älterer VAGler sprach mich an und drückte mir den Infozettel in die Hand. Er erklärte die Taktung und dass diese durch den Einsatz von Kurzzügen erreicht wird. Ich fragte ihn ganz offen nach den Arbeitsplätzen und er sagte sinngemäß, dass sich für die Fahrer der U-Bahnen innerhalb der VAG vielfältige Möglichkeiten böten, ihren Job zu behalten. Jeweils ein Mitarbeiter betreue drei Bahnhöfe, auf denen automatisiert gefahren werde, manche der Fahrer würden zur Straßenbahn wechseln oder hätten eine spezielle Fahrerlaubnis für die Personenbeförderung in den Bussen und es sei bis heute noch kein Fahrer bedingt durch die Automatisierung der U-Bahn entlassen worden. Ich will es ihm glauben (die Stärke von ver.di hat sich während des ÖPNV-Streiks ja bewiesen), ob das aber auf Dauer durchzuhalten ist?

Der Kompromiss, der da derzeit im besten Wortsinne „gefahren“ wird, ist für mich ganz angenehm. Dennoch habe ich die Sorge, dass man irgendwann in den „Nebenzeiten“ oder am Wochenende den Takt wieder herunterfährt – allein schon aus Rentabilitätsgründen. Das wird aber die Zukunft zeigen.

Hier ist eine Kundenmitteilung der VAG, der die Taktung näher erklärt.

Und das schreibt der Bayreuther „Kurier“.