Leittechnik Verkehrs­wesen sicher vernetzen

Netzwerkverschlüsselung in Leit- und Sicherungstechnik.
Security- und Safety-Anforderungen sicherstellen.

IT-Security für Leit- und Sicherungs­technik regelkonform umsetzen

Die Leit-, Steuerungs- und Sicherungstechnik in Straßen, Schienen, Häfen und Flughäfen zählt zu den KRITIS-Systemen: Ein Ausfall kann nicht nur den Personen- oder Güterverkehr zum Stillstand bringen, sondern auch erhebliche wirtschaftliche Schäden und Gefahren für die öffentliche Sicherheit nach sich ziehen. Deshalb und vor allem weil Fehlfunktionen hier schnell lebensgefährlich werden können, gelten für diese Anlagen strengere Sicherheitsvorgaben als in vielen anderen IT‑Umgebungen. Aus gutem Grund: Die zunehmende Vernetzung von Feldgeräten, Fernwartungs­zugängen und Cloud‑Diensten vergrößert die Angriffsfläche und erschwert die Bedrohungsabwehr.

Unser Beitrag für diese Herausforderung sind der RSCS SITLine Layer‑2‑Netzwerkverschlüsseler sowie die sicheren und leistungsstarken R&S®LANCOM Unified Firewalls, Gateways und Switches. Sie kombinieren modernste Kryptografie mit einer Architektur, die exakt die Kernziele der OT‑Security erfüllt:

  1. Datenintegrität steht im Vordergrund: Durch kryptografische Authentifizierung und kryptografische Signaturen werden Manipulationen an Steuerbefehlen zuverlässig erkennbar und abwehrbar. Vertraulichkeit ist hierbei ein positiver Nebeneffekt – primär sorgt die Verschlüsselung dafür, dass übertragene Daten unverändert ankommen und für Unbefugte nicht einsehbar sind.
     
  2. Ein für Steueranlagen erforderliches deterministisches Echtzeit‑Verhalten wird dank Hardware‑basierter AES‑GCM (Advanced Encryption Standard‑Galois/Counter Mode) sichergestellt. Die zusätzliche Latenz liegt bei wenigen Mikrosekunden und bleibt für Steuerprozesse transparent.
     
  3. Eine wesentliche Forderung in der Steuertechnik ist, dass Störungen oder prozessbedingte Änderungen der Übertragung in einem Kanal andere Kommunikations- oder Steuerkanäle nicht beeinflussen dürfen (Rückwirkungsfreiheit). Die Kryptografie in Linespeed, ohne signifikante Verzögerung oder Umordnung der Elemente, sowie der sehr geringe kryptografische Overhead tragen dazu bei, diese Anforderungen zu erfüllen.

R&S OT- und KRITIS-Netzwerkarchitekturen berücksichtigen all diese Faktoren und helfen dabei, resiliente Verkehrs- und Leitsysteme aufzubauen und zu erhalten.

LANCOM Systems heißt nun R&S Networks and Cybersecurity

LANCOM Systems heißt seit dem 01.07.2026 Rohde & Schwarz Networks and Cybersecurity. Produktinformationen und Kommunikationsmaterialien werden entsprechend unter der neuen Unternehmensbezeichnung geführt.

Safety und Security in bahnnaher Leit- und Sicherungstechnik

In kritischen Infrastrukturen beim Bahn-, Straßen- oder Wasserverkehr oder in Tunneln müssen Safety und Security zusammen gedacht werden.

Während Safety auf einen sicheren Zustand bei technischen Fehlern abzielt, fokussiert Security im Verkehrsumfeld insbesondere die Integrität und Authentizität von Steuerdaten sowie den Schutz vor Manipulationen, Replay-Angriffen und unzulässigen Zugriffen. Möglich wird das u.a. über folgende kryptografische Maßnahmen.

Kryptografische Maßnahmen in der Leittechnik

  • Geschützte Zeitstempel, Sequenznummern oder Nonces (“number used once”) in verschlüsselten Kommunikations­protokollen: Erkennung und Blockierung von doppelt gesendeten oder zeitlich veralteten Nachrichten
  • Non-Repudiation u.a. durch verschlüsselte digitale Signaturen bei Konfigurationsänderungen oder Steuerbefehlen: Eindeutige Nachvollziehbarkeit von System- und Nutzeraktionen
  • Manipulationsresilienz durch abgesicherte Steuer­telegramme (u.a. durch kryptografische Signaturen oder Prüfsummen wie MAC, ICV, etc.): Sofortige Entdeckung und Ablehnung veränderter Datenpakete
  • Verschlüsselung der übertragenen Daten auf Layer-2-Ebene: Zusätzlicher Schutz vor der Einsicht oder Kenntnisnahme von essenziellen Daten, wie z.B. Metadaten, die oft bei verteilten Angriffen genutzt werden

Steuer- und Leitsysteme sind Echtzeitsysteme und müssen möglichst unabhängig von Seiteneinflüssen sein. Im Bahnumfeld wird diese Eigenschaft als „rückwirkungsfrei“ bezeichnet.

Für die IT-Netzwerkarchitekturen bedeutet das: Security-Elemente müssen so integriert werden, dass Reaktionszeiten, Kommunikationskanäle und Betriebsverhalten der ursprünglichen Systeme möglichst unbeeinträchtigt bleiben. Aus diesem Grund ist es erforderlich, klar definierte Netzwerkzonen und Pfade (Conduits) festzulegen, die Sicherungstechnik sorgfältig auszuwählen und eine nahezu physikalische Trennung von Nutzdaten- und Managementkommunikation zu planen.

Wie ein sicheres IT-/OT-Netzwerk für Leittechnik aufgebaut sein sollte

Bei der Realisierung einer IT-Vernetzung und Layer-2-Verschlüsselung für Leit- und Sicherungstechnik als unabhängige Securtiy-Lösung sind die Beachtung der Sicherheitsanforderungen, der resiliente Betrieb sowie zentrales, sicheres Management essenziell.

Zusätzlich müssen Ereignisse, welche die Security oder Safety der Kommunikation beeinträchtigen können, zuverlässig und sofort erkannt und offengelegt werden. Diese Ereignismeldung muss sowohl im eigenen zentralen Sicherheitsmanagement als auch in zentralen Überwachungssystemen / SIEM-Systemen erfolgen.

Fünf IT-Architekturprinzipien für Leit- und Sicherungs­technik im Verkehrs­wesen

Ein Security-Zielbild für Leit- und Sicherungstechnik im Verkehrswesen folgt fünf wichtigen IT-Architekturprinzipien:

Klare Trennung von Information Technology (IT) und OT

Auch wenn IT heute eine notwen­dige Voraus­setzung vieler OT-Systeme ist, braucht Leit- und Sicherungs­technik im Verkehrs­wesen eine klare Trennung zu allge­meinen IT-Bereichen. Das reduziert Seiten­effekte, begrenzt Stör- und Angriffs­flächen und schafft eine belast­barere Planungs­grundlage.

So sind beispielsweise Stell­werks­netze und Leitstellen­­systeme strikt von Office-IT getrennt, sodass ein kompro­mittier­ter Arbeits­platz­­rechner im Büro keinen direkten Zugriff auf sicherheits­kritische Steuer­funktionen wie Signal- oder Weichen­steuerung erhält.

Zonen- und Conduits-Modell nach IEC 62443

Ein an IEC 62443 orientiertes Zonen- und Leitungs­modell unterstützt nachvoll­­ziehbare Kommuni­kations­­beziehungen, definierte Übergabe­punkte und klare Zuständig­keiten. Kommunikation erfolgt nicht implizit, sondern über bewusst gestaltete Verbindungs­wege. Idealerweise werden an den Zonen­übergängen als klare Trenn­elemente Layer-2-Verschlüs­seler wie der Rohde & Schwarz Cybersecurity SITLine eingesetzt. 

In der Praxis werden beispiels­weise Leitstelle, Stellwerke und strecken­seitige Kompo­nenten jeweils eigenen Zonen zugeordnet, wobei die Kommuni­kation ausschließ­lich über defi­nierte Übergänge erfolgt – etwa für Fahr­befehle oder Zustands­meldungen.

Trennung von Management- und Nutzdaten

Management- und Nutz­daten­verkehr sollten weitest­gehend physisch getrennt werden. Wo das nicht voll­ständig möglich ist, müssen die Wechsel­wirkungen durch die Architektur minimiert werden und die Trennung sollte auf dem tiefst­möglichen ISO-/OSI-Layer erfolgen. Gerade im Bahnumfeld ist diese Trennung kein Komfort­merkmal, sondern essenziell für Beherrsch­barkeit und Rück­wirkungs­freiheit.

So werden Steuerdaten für Signale und Weichen über separate Kommuni­kations­pfade übertragen, während Konfi­gurations­änderungen oder Monitoring-Zugriffe über ein eigenes Manage­ment­netz erfolgen, um Echtzeit­­kommunikation nicht zu beeinflussen.

Minimale Berech­tigungen und passive OT-Transparenz

Mit ihren besonderen Anforderungen bezüglich Echtzeit­verhalten, Verfüg­barkeit, Security und Langlebig­keit werden klassische OT-Netzwerke zuneh­mend auf moderne IT-Netze portiert und mit diesen zusammen­geführt. Hierbei ist besonders wichtig, dass das IT-Netzwerk nur minimale Berech­tigungen auf das OT-Netzwerk hat und dieses kaum bis gar nicht beei­nflusst. Um Ereignisse dennoch früh­zeitig zu erkennen, wird daher für die IT ledi­glich eine passive OT-Transparenz gewährt. So werden produk­tive Pfade nicht unnötig verändert und die erfor­derliche Sicht­barkeit geht nicht auf Kosten der Stabilität.

Beispielsweise dürfen Wartungs­systeme nur auf defi­nierte Kompo­nenten wie einzelne Stell­werke zugreifen, während Moni­toring-Lösungen den Daten­verkehr passiv überwachen, ohne aktiv in die Steuer­kommunikation einzu­greifen.

Resiliente Auslegung und ausfallsicherer Betrieb

Ausfallsicherheit, Redundanz und belastbare Über­gänge sind in sicher­heits­kritischen Verkehrs­netzen Grund­anforderungen. Störungen einzelner Kompo­nenten oder gesicherter Kommuni­kations­pfade dürfen nicht unkontrol­liert auf andere Kanäle durch­schlagen. Ebenfalls essenziell sind ein autarker, resili­enter Betrieb, ein knoten- und kanten­disjunktes Design sowie die Orien­tierung an Safety Integrity Level (SIL) 3 bzw. SIL 4.

Fällt beispiels­weise eine Kommuni­kations­verbin­dung zwischen zwei Stell­werken aus, über­nehmen redundante, physisch getrennte Leitungs­wege automatisch die Daten­übertragung, ohne dass andere Strecken­abschnitte oder Steuer­funktionen beein­trächtigt werden. Idealer­weise werden die Safety- von den Security-Netz­elementen getrennt, um das Risiko erfolg­reicher Angriffe auf oder Beeinträch­tigungen / Ausfälle von Safety und Security zu minimieren.

Management-Zone, Monitoring und Auditierbarkeit von Steuer- und Sicherungsnetzwerken

Eine eigene Management-Zone ist Voraussetzung für sicheres Management, nachvollziehbare Administration und stabile Betriebsprozesse. Dazu gehören standardisierte Schnittstellen und Verwaltungsfunktionen wie SNMP, NETCONF, REST, Audit-Logs und Syslog-Archivierung sowie eine redundante Auslegung.

  • Die Management-Infrastruktur muss dabei selbst höchsten Anforderungen genügen und mindestens das gleiche Sicherheitsniveau (z. B. SIL-Level 1-4 nach IEC 62443) wie die angebundenen Steuerungszonen und Security-Komponenten erreichen.
  • Zusätzlich sind Funktionen wie zentrale PKI (Public Key Infrastruktur), gesicherte Geräteverwaltung sowie standardisierte Offenbarungs- und Auditfunktionen erforderlich.
  • Ereignisse müssen dabei nicht nur lokal erfasst, sondern auch an zentrale Sicherheits- und Überwachungssysteme wie SIEM-Plattformen weitergeleitet werden, um sicherheitsrelevante Zustände systemübergreifend auswerten zu können.

Monitoring und Auditierbarkeit sind in diesem Umfeld kein nachträglicher Ausbau. Sie gehören von Anfang an in die IT-Grundarchitektur. Nur so bleiben Ereignisse, Änderungen und Security-relevante Zustände nachvollziehbar, ohne die Stabilität und Rückwirkungsfreiheit der produktiven Steuerungsnetze zu gefährden.

Normen, Zulassung und Betrieb in der Leit- und Sicherungstechnik

Leit- und Sicherungstechnik beispielsweise im Bahnumfeld ist immer auch ein Normen- und Zulassungsthema. Relevante Bezugspunkte sind unter anderem:

  • EN 50159
  • EN 50129
  • IEC 61508
  • IEC 62443
  • ISO 26262
  • ISO 27001
  • Zertifizierungen und Sicherheitsbewertungen wie Common Criteria (z. B. EAL4+) oder nationale Anforderungen wie BSI-Vorgaben, um die Vertrauenswürdigkeit der eingesetzten Komponenten nachzuweisen

Je nach Einsatzumfeld kommen weitere Anforderungen an Zertifizierung, Nachweisfähigkeit, Zulassung und sichere Betriebsführung hinzu. Die IT-Architektur garantiert selbstverständlich nicht automatisch eine Zulassung. Sie schafft aber die Voraussetzung dafür, dass Integrität, digitale Souveränität, Rückwirkungsfreiheit, Management-Trennung, Logging, Monitoring, Langlebigkeit und sichere Betriebsprozesse konsistent umgesetzt und nachgewiesen werden können. 


Sichere Leittechnik-Netzwerke von Rohde & Schwarz als Grundlage stabiler Verkehrssteuerung

Moderne Leit- und Sicherungstechnik in Verkehrsanlagen erfordert ein durchgängiges Sicherheitskonzept, das Integrität, Verfügbarkeit und deterministisches Verhalten gleichermaßen gewährleistet. Im Fokus steht dabei nicht die Abschottung um jeden Preis, sondern die zuverlässige und unverfälschte Übertragung steuerungsrelevanter Informationen auf einem hohen Niveau – als Grundlage für einen sicheren Betrieb.

Entscheidend ist eine Lösung, die sich nahtlos in bestehende Systeme, Protokolle und Prozesse integriert, ohne deren Verhalten zu beeinflussen. Rückwirkungs­freiheit, strikt getrennte Kommuni­kations­kanäle und ein resili­entes Design stellen sicher, dass Sicherheits­mechanismen keine negativen Effekte auf die eigentliche Steuerung oder andere Netzbereiche haben.

Gleichzeitig gewährleisten autarke Betriebsfähigkeit, zentrale und abgesicherte Management­strukturen sowie normen­konforme Umsetzung einen dauerhaft stabilen Betrieb – auch unter anspruchs­vollen Umwelt­bedingungen und im Störungsfall. Offene Standards, klare Trennung von Management- und Nutzdaten sowie redundante Archi­tekturen sorgen für Transparenz, Kontrolle und hohe Ausfall­sicherheit.

Für Betreiber bedeutet das: eine unabhängige, integrierbare Security-Schicht, die bestehende Bahnsteuerungsnetze schützt, ohne deren Funktionalität zu beeinträchtigen – und damit die Grundlage für einen sicheren, verfügbaren und zukunftsfähigen Verkehrsbetrieb schafft.

Kontaktieren Sie uns gerne und lassen Sie sich individuell und unverbindlich beraten! Wir freuen uns darauf, Ihr Projekt gemeinsam mit Ihnen zu realisieren.


Ihre Fragen beantworten wir gerne!

Lassen Sie uns ins Gespräch kommen

Haben Sie Fragen zu unseren Produkten oder Lösungen oder möchten Sie ein Projekt mit uns besprechen? Wir finden gemeinsam die passende Lösung.

Nutzen Sie bitte unser Kontaktformular, so erreicht Ihre Anfrage direkt die richtigen Expert:innen.

Vertrieb Deutschland: +49 (0)2405 49936 333
Vertrieb International: +49 (0)2405 49936 122