Für den Bahnsektor stellte die ENISA Bedrohungen fest, die von Ransomware (45 %) bis hin zu datenbezogenen Bedrohungen (25 %) reichen und in erster Linie auf IT-Systeme wie Fahrgastdienste, Fahrkartensysteme und mobile Anwendungen abzielen und zu Unterbrechungen der Dienste führen. Hacktivistische Gruppen führen zunehmend DDoS-Angriffe gegen Eisenbahnunternehmen durch, was vor allem auf den Einmarsch Russlands in der Ukraine zurückzuführen ist.
Die meisten der beobachteten Angriffe zielten auf die IT-Systeme der Bahn (Fahrgastdienste, Fahrkartensysteme, mobile Anwendungen, Anzeigetafeln usw.) ab und führten zu Unterbrechungen aufgrund der Nichtverfügbarkeit dieser Dienste. Beispiele hierfür sind die Ransomware-Angriffe auf Skånetrafiken (August 2021) und Ferrovie dello Stato Italiane (März 2022), die dazu führten, dass die Kunden keine Fahrkarten mehr kaufen konnten, nachdem die IT-Systeme infiziert waren. Die einzigen Fälle, in denen OT-Systeme und -Netzwerke betroffen waren, betrafen entweder ganze Netzwerke oder geschäftskritische IT-Systeme, die nicht verfügbar waren.
Zu den bemerkenswerten Datendiebstählen gehören die Fälle OmniTRAX, MTA, Merseyrail, Norfolk Southern Railroads und Lokaltog A/S, bei denen Personal- und medizinische Daten gestohlen wurden. Der OmniTRAX-Fall ist der erste öffentlich bekannte Fall eines Ransomware-Angriffs mit doppelter Erpressung gegen ein US-Güterbahnunternehmen.
In einem anderen Fall kam es im Netz des dänischen Bahnbetreibers DSB zu Unterbrechungen (Oktober 2022) aufgrund eines Angriffs auf einen seiner IKT-Dienstleister infolge eines mutmaßlichen DDoS-Angriffs. Der Vorfall beeinträchtigte Berichten zufolge die Erreichbarkeit eines wichtigen sicherheitskritischen IT-Systems, wodurch der Betrieb der DSB an diesem Tag für mehrere Stunden unterbrochen wurde.
In einem interessanten Fall starteten Hacktivisten einen Ransomware-Angriff auf die staatliche Eisenbahngesellschaft von Belarus, um die russischen Truppenbewegungen zu stören (Januar 2022). Zu diesem Zweck setzte die Gruppe modifizierte Ransomware ein, um das Eisenbahnsystem lahmzulegen, und verschlüsselte Server, Datenbanken und Workstations der belarussischen Eisenbahngesellschaft.
DDoS-Angriffe sind im Jahr 2022 auf dem Vormarsch und machen ein Fünftel (20 %) der Angriffe auf den Bahnsektor aus. Dies ist in erster Linie auf verstärkte hacktivistische Aktivitäten nach Russlands unprovoziertem Einmarsch in der Ukraine zurückzuführen. Hacktivistische Elemente mit pro-russischer/anti-NATO-Stimmung haben DDoS-Angriffe gegen Eisenbahnunternehmen gestartet. Beispiele hierfür sind pro-russische Hackergruppen, die die Verantwortung für Angriffe auf den Bahnbetreiber CFR Calatori (April 2022), die Litauischen Eisenbahnen (Juni 2022), die Lettischen Personenbahnen SJSC (Juni 2022) und die Estnischen Eisenbahnen (August 2022) übernehmen.
Bei den Schwachstellen (15 %) stechen zwei Fälle hervor. Im Dezember 2021 schaltete die kanadische Verkehrsbehörde Metrolinx ihre Website vorübergehend als Vorsichtsmaßnahme ab, nachdem sie von der Bundesregierung über eine Cyberschwachstelle informiert worden war. Im Januar 2022 meldete ein anonymer Hacker eine Schwachstelle im Schweizer Eisenbahnsystem, die möglicherweise den Zugriff auf personenbezogene Daten der Kunden ermöglichte, schließt die ENISA ihren auf den Eisenbahnverkehr ausgerichteten Teil dieses Berichts.
