VAG sieht keine Sicherheitslücken bei Nürnberger U-Bahn

Nürnberg - Nach einem Bericht von "Report München" am vergangenen Montag waren die Nürnberger alarmiert. Ist es möglich, dass Hacker auf das Leitsystem der U-Bahnen zugreifen und diese dann in ihre Gewalt bringen können? Doch die VAG schließt einen solchen Cyber-Angriff auf ihr System völlig aus - und erhebt Vorwürfe gegen "Report München".

© Michael Matejka

Eine Fremdsteuerung von Nürnbergs U-Bahnen schloss die VAG auf einer Pressekonferenz am Montag nahezu aus. "Das besonders sensible System der U-Bahnsteuerung ist von der übrigen IT getrennt und abgeschottet", sagte Michael Richarz, Hauptverantwortlicher für Technik und Betrieb bei der VAG.

Diese "Insellösung" des Systems mache einen Hackerangriff nahezu unmöglich. "Das U-Bahnleitsystem der VAG ist aufgrund des sehr hohen Schutzbedarfes konsequent von anderen Netzen isoliert und es existieren keine unkontrollierten Einwahlstellen", so Richarz.

Doch trotz der geringen Gefahr eines Hackerangriffs führt die VAG regelmäßig sogenannte "Penetrationstests" durch, mit denen mithilfe von Sicherheitsexperten analysiert wird, ob neue Möglichkeiten bestehen, sich in das System einzuwählen. Die Tests werden sowohl von eigenen als auch externen Fachleuten durchgeführt.

Gegen die Macher des Beitrags von Report München erhebt die VAG schwere Vorwürfe. "Wir hätten es begrüßt, wenn die Report-Redaktion bei uns angefragt und um Stellungnahme gebeten hätte", sagt Richarz. Doch so sei der Eindruck entstanden, dass die Simulation ein Live-Hack in die Infrastruktur der Verkehrsbetriebe gewesen sein.

Der Sicherheitsexperte Marco Di Filippo, der in dem gesendeten Beitrag den Cyber-Angriff auf die Nürnberger U-Bahn durchgeführt haben soll, versicherte auf der Pressekonferenz am Montag: "Weder die Aufnahmen aus Zügen und Bahnanlagen, noch die dargestellten Bedienoberflächen stammen aus Systemen der VAG." Vielmehr habe er zu Demonstrationszwecken eine Simulation des Systems installiert - auch, um für seine Arbeit am sogenannten HoneyTrain-Project-Systems zu werben.

Bei diesem wird eine spezielle IT-Umgebung installiert, um Hacker glauben zu machen, sie wären tatsächlich in das System eingedrungen. Diese Ablenkungsmanöver geben Experten Rückschlüsse auf die Methoden der Hacker. IT-Systeme können dadurch besser geschützt werden.