TSA erlässt Richtlinien an den Bahnsektor, um die Cybersicherheit zu stärken

Die Transportation Security Administration (TSA) hat am Donnerstag zwei Sicherheitsrichtlinien herausgegeben, in denen Bahn- und Transportunternehmen verpflichtet werden, Schritte zur Stärkung der Cybersicherheit des Sektors umzusetzen, einschliesslich der Verpflichtung, jegliche Cybervorfälle an die Bundesregierung zu melden.

Die Sicherheitsrichtlinien schreiben vor, dass risikobehaftete Gruppen im Schienengüterverkehr, im Schienenpersonenverkehr und im Schienenverkehr alle Cybersicherheitsvorfälle innerhalb von 24 Stunden nach der Entdeckung der “Cybersecurity and Infrastructure Security Agency” (CISA) zu melden und einen Cybersicherheitskoordinator innerhalb der Unternehmen zu benennen.

Die Richtlinien verlangen von diesen Gruppen auch, Schwachstellenbewertungen ihrer Netzwerke durchzuführen und dann einen Reaktionsplan für Cybersicherheitsvorfälle basierend auf den entdeckten Sicherheitsproblemen zu entwickeln. Eine Richtlinie gilt für Schienengüterverkehrskonzerne, die andere für Schienenpersonenverkehrs- und Eisenbahnverkehrsunternehmen, sie sind jedoch identisch und wurden nun veröffentlicht.

„Diese neuen Cybersicherheitsanforderungen und -empfehlungen werden dazu beitragen, die Sicherheit der Reisenden zu gewährleisten und unsere kritische Infrastruktur vor neuen Bedrohungen zu schützen. Das Departement of Homeland Security (DHS) wird weiterhin mit unseren Partnern auf allen Regierungsebenen und im privaten Sektor zusammenarbeiten, um die Widerstandsfähigkeit unserer kritischen Infrastruktur landesweit zu erhöhen“, sagte Heimatschutzminister Alejandro Mayorkas.

Mayorkas kündigte im Oktober erstmals die anstehende Richtlinie für den Bahnsektor an und verwies dabei insbesondere auf die Notwendigkeit, sich vor Ransomware-Angriffen zu schützen.

Mayorkas kündigte auch an, dass eine ähnliche Richtlinie für den Luftfahrtsektor eingeführt werde, wobei hochrangige DHS-Beamte mitteilten, dass die TSA „vor kurzem die Luftsicherheitsprogramme aktualisiert habe, um Flughafenbetreiber zu verpflichten, ähnliche Schritte zu unternehmen“, wie es jetzt auch von Gruppen des Bahnsektors verlangt wurde.

Seit der Ankündigung von Mayorkas haben wichtige Branchengruppen Bedenken hinsichtlich der geplanten Richtlinie geäussert, einschliesslich der möglichen Frage, dass das Meldemandat für Vorfälle zu weit gefasst ist. Ein besonderes Problem war die Notwendigkeit zu definieren, welche Art von Cyber-Vorfall gemeldet werden sollte.

Victoria Newhouse, die stellvertretende Verantwortliche für Politik, Pläne und Engagement bei der TSA, sagte während einer Anhörung des Verkehrs- und Infrastrukturausschusses des Repräsentantenhauses am Donnerstag aus, dass die TSA Schritte unternommen habe, um den Beitrag der Industrie zu der Richtlinie zu verstärken, und dabei „extrem eng“ mit anderen Behörden zusammenzuarbeiten.

„Wir haben unser starkes Engagement fortgesetzt“, bezeugte Newhouse. „Erst in dieser Woche habe ich mich zusammen mit mehreren meiner Top-Führungskräfte hier bei TSA mit Führungskräften im Güter- und Personenverkehr zu einer geheimen Einweisung in unserer Einrichtung getroffen, um zu definieren, welche Inputs noch zu gewinnen seien“, entweder für zukünftige Anforderungen oder andere Richtlinien, die wir gemeinsam herausgeben könnten.

Zuvor hatte die TSA Anfang des Jahres zwei Sicherheitsrichtlinien erlassen, um die Cybersicherheit des Pipeline-Sektors zu stärken, nachdem der Ransomware-Angriff auf die Colonial Pipeline in mehreren Bundesstaaten vorübergehend zu Gasknappheit geführt und eine wichtige Lieferkette lahmgelegt hatte.

Die früheren Richtlinien für den Pipeline-Sektor verlangten von Eigentümern und Betreibern, Cybersicherheitsvorfälle innerhalb von 12 Stunden an CISA zu melden, Sicherheitsmassnahmen zum Schutz vor Ransomware-Angriffen zu ergreifen und Incident Response Pläne für den Fall eines erfolgreichen Angriffs zu entwickeln und bereitzuhalten.

Quelle: The Hill

Es ist aktuell eine intensive Zeit, die uns alle sehr stark fordert. Daher ist es umso wichtiger für einen potenziellen Angriff vorbereitet zu sein. Ein Incident Response Plan kann darüber entscheiden, ob es zu einem heiklen Vorfall oder zu einer Katastrophe im Unternehmen kommt.

Stellen Sie sich mal vor, die Feuerwehr übt Ihre Einsätze nie und wenn es ernst gilt, dann machen sie einfach mal nach dem besten Wissen und Gewissen – das gäbe eine Katastrophe.

Aber genau so steht es in ihrem Unternehmen, wenn Sie sich nicht mittels einem Incident Response Plan auf das (leider) unausweichliche vorbereiten.

Treten Sie mit uns in Kontakt, wir beraten Sie gerne und erstellen mit Ihnen zusammen einen Incident Response Plan und begleiten Sie in der Umsetzung dieses.