Security spielt bei Bahnsystemen kaum ein Rolle

[Didy]

Ich kenne einen Fall, wo ein Elektriker mal aus Unachtsamkeit die Kabel für grün und rot vertauscht hatte... war eine Fußgängerampel. Das System merkt diesen Fehler nicht, da es dafür keine Prüfroutine gibt. Unfälle waren vorprogrammiert.

Soetwas KANN ein System gar nicht erkennen. Selbst wenn du Sensoren in den Lampen hast, kannst du die genauso mitvertauschen.

Sicher ausschließen lässt sich dies nur, indem das System bei der Inbetriebnahme nach einem (vorher ausgearbeiteten, alle Fälle abdeckenden) Prüfplan geprüft wird - von Menschen.
Bei Signaltechnik macht man das so, wenn ein neues Stellwerk in Betrieb geht gondelt da in der Inbetriebnahmenacht eine Lok vom FTZ oder sonstwem rum und checkt alle Fahrstraßen durch.

[mapic]

Müssen da wirklich Tf ran, oder kann man auch den nächstbesten Oberschraubensortierer aus der Werkstatt nehmen, solang er rot, gelb und grün auseinanderhalten kann?

Bei der heutigen Vorschriftenlage ändert ein zweiter Mitarbeiter im Führerstand bei PZB-Ausfall überhaupt nichts. Man darf/kann deshalb trotzdem nur 100 fahren und dürfte das alleine auch. Im Fall der ET422 war das lediglich eine zusätzliche Sicherheitsmaßnahme, weil es kein Ausnahmefall war, sondern alle Fahrzeuge über einen längeren Zeitraum betroffen waren.
Anders sieht es z.B. bei Ausfall der Sifa aus: Da darf ohne Einschränkungen weitergefahren werden, wenn sich ein zweiter Mitarbeiter im Führerstand befindet, und dieser muss kein Tf sein, sondern muss lediglich wissen wie man den Zug anhalten und Hilfe holen kann.

[ICE-T-Fan]

Soetwas KANN ein System gar nicht erkennen. Selbst wenn du Sensoren in den Lampen hast, kannst du die genauso mitvertauschen.

Eben.

Bei der PZB sind mechanische Fehler an den Signalanlagen sehr gefährlich, weil sie die Stellwerkselektronik und deren Prüfströme nicht beeinflussen. Wenn eine Glühbirne kaputt geht, wird der FDL sofort informiert. Wird aber ein Signal beispielsweise durch einen Baum verdeckt, der durch einen Sturm umgeknickt ist, muss der Tf das dann beim Stellwerk melden, vorausgesetzt er merkt/sieht es.

Es gibt aber auch Fehler, die ich aus Sicherheitsgründen hier nicht spezifizieren werden, die man weder im Stellwerk noch auf der Lok merkt oder sieht, die bei einem Indusi-Magnet-Ausfall aber fatale Konsequenzen haben können.

Eine LZB-Manipulation fällt hingegen immer auf, da die Kabel in Echtzeit von Datenströmen durchflossen werden. Alle Ausfälle werden durch Signalabbruch auf der Lok und im Stellwerk registriert... genauso wie jeder merkt, wenn man mal das LAN-Kabel aus dem Router zieht, sofern er sich im Internet gerade irgendeine Stream-Anwendung ansieht oder eine Datei herunterlädt. Und LZB ist auch eine Art von Datenstreaming.

[Ubile]

Gibt es bei LZB eigentlich irgendeine Form von Authentifizierung? Oder wäre es zum Beispiel denkbar sich irgendwo bei den Antennen am Fahrzeug einzuklinken und die übertragenen Informationen zu manipulieren, also einen Man-in-the-middle-Angriff auszuführen?

[146225]

Ich sehe jetzt die Theorie eines "alleinigen Angriffs" nur auf die LZB vorläufig noch nicht als hochdramatisch an: Sollte der Tf eines LZB-geführten Zuges eine Abweichung des Soll-Signalbildes der LZB mit dem Ist-Signalbild am Mast feststellen, greift entweder in diesem Augenblick schon eine Zwangsbremsung (bei Hp0) oder der Tf meldet die LZB-Störung und fährt entsprechend "auf Sicht" weiter. Für diese Fälle gibt es ja auch entsprechende Betriebsverfahren.

[Systemfehler]

Bei Signaltechnik macht man das so, wenn ein neues Stellwerk in Betrieb geht gondelt da in der Inbetriebnahmenacht eine Lok vom FTZ oder sonstwem rum und checkt alle Fahrstraßen durch.

Muss nicht zwingend eine Lok vom FTZ sein... war in allen mir bekannten Fällen bisher NIE eine Maschine vom FTZ.
Meistens ist das sogar irgendein privates EVU, oftmals sogar eine der beteiligten Baufirmen.

Mit der Lok wird übrigens nur die Blockschaltung ausprobiert. Dazu wird jedes Streckengleis einmal in jeder möglichen Richtung befahren, bei Zs 6 also einmal Regel- und einmal Gegenrichtung.
Zwischen A und B finden also insgesamt 4 Fahrten statt (A - B auf dem Regelgleis und Gegengleis, B - A auf Regel- und Gegengleis.
Und es werden evtl. noch sämtliche Gleisfreimeldeabschnitte abgefahren, um zu testen ob die alle funktionieren.

Sämtliche Fahrstraßen werden hingegen vom Fdl zusammen mit zwei Prüfern durchgeprüft, einer davon steht beim Fdl, der andere steht am Startsignal und schaut, ob das richtige Signalbild angezeigt wird.
Dabei wird von jedem möglichen Startsignal (Ein- und Ausfahrsignale) jede mögliche Fahrstraße durchprobiert, mit allen Umfahrzugstraßen und allen D-Wegen.
Und das sowohl beim betroffenen ESTW als auch bei allen Nachbarstellwerken.

Ich hatte während dem Inbetriebnahmewochenende des ESTW Laim die Nachtschichten auf einem Nachbarbahnhof. Samstag Nacht hatte ich meine Ruhe, ab Mitternacht keine Techniker mehr da, gefahren ist eh nix. Nur die paar Sperrfahrten um die alten Blocksignale auf der Strecke einzusammeln.
Sonntag Nacht wars hingegen nur stressig. Von der ganzen Fahrstraßen-Einstellerei und -Auflöserei ist das Zählwerk fast heißgelaufen!

Da darf ohne Einschränkungen weitergefahren werden, wenn sich ein zweiter Mitarbeiter im Führerstand befindet, und dieser muss kein Tf sein, sondern muss lediglich wissen wie man den Zug anhalten und Hilfe holen kann.

Offiziell heißt der dann Triebfahrzeugbegleiter.
War bei mir in der EiB F-Ausbildung das zweite Seminar, "Einführung in den Bahnbetrieb" oder so ähnlich.
Hat 5 Tage gedauert, danach hatten wir die Befähigung zum Tfz-Begleiter. Ob das bei Vorkenntnissen im Bahnbetrieb schneller geht weiß ich nicht.

Da gehört Signalkunde dazu, Unterstützung des Tf bei der Zugabfertigung (Abfahrauftrag entgegennehmen und an den Tf "weiterleiten"), Hilfe aufrufen, etc.
Und der Tf muss einem halt bei jedem Tfz kurz einweisen, wie man den Zug anhält (also Leistung abschalten und Zug bremsen).

[Boris Merath]

Videoaufzeichnung des Vortrages

Die Panikmache und das Sensationsgehabe entstammt also nicht dem Vortrag (der in meinen Augen sehr gut war!) sondern vom Autor des Golem-Artikels.

[Michi Greger]

Anschließend durchtrennt man das kabel schickt falsche Daten an die Leitstelle und lässt ein paar ICE's mir 300 km/h aufeinander fahren.

Das bzw. ähnliche Gefährdung kann die LZB auch ohne Hacker-Angriff. Siehe den Wikipedia-Eintrag über die LZB, Abschnitt Fehlfunktionen. (2x überhöhte Geschwindigkeit, 1x Vermiedener Doppel-Auffahrunfall)

Und zur allgemeinen Sabotage: Jedes Signalsystem und jede Verkehrsampel ist "sabotierbar" - ich fände es am einfachsten, nachts ne grüne Taschenlampe irgendwo an einen Baum neben der Strecke oder Straße zu hängen. Irgendwann kommt schon einer, der sich in der Ecke schlecht auskennt und zufährt, und dann krachts, egal ob Straße oder Schiene. Wie will man diese Form von "Sabotage" überwachen?

Gruß Michi

[Bayernlover]

ich fände es am einfachsten, nachts ne grüne Taschenlampe irgendwo an einen Baum neben der Strecke oder Straße zu hängen.

Ja und dann? Fährt er höchstens zu schnell - und wird am nächsten echten Signal wieder ausgebremst. Und ich glaube so doof sind Lokführer nun wirklich nicht

[189 100-1]

Ich sehe jetzt die Theorie eines "alleinigen Angriffs" nur auf die LZB vorläufig noch nicht als hochdramatisch an: Sollte der Tf eines LZB-geführten Zuges eine Abweichung des Soll-Signalbildes der LZB mit dem Ist-Signalbild am Mast feststellen, greift entweder in diesem Augenblick schon eine Zwangsbremsung (bei Hp0) oder der Tf meldet die LZB-Störung und fährt entsprechend "auf Sicht" weiter. Für diese Fälle gibt es ja auch entsprechende Betriebsverfahren.

LZB scheint nicht Dein Fachgebiet zu sein?

Im LZB-Betrieb ist die PZB, mitsamt Fahrzeugmagnet, abgeschaltet - somit führt ein 2000 Hz-Magnet auch zu keiner Zwabgsbremsung. Wäre bei der Dunkelschaltung ziemlich unpraktisch. Und die LZB kann selbstverständlich andere Geschwindigkeiten anzeigen, als draußen per Zs 3 signalisiert ist - z.B. bekommst in Frankfurt Flughafen Fernbahnhof 60 km/h mit Zs 3 signalisiert, die LZB lässt aber 70 km/h zu. "Die Signale am Fahrweg gelten nicht."

[Systemfehler]

LZB scheint nicht Dein Fachgebiet zu sein?

Deines auch nicht?!

Ich hatte immer gedacht, dass bei der LZB die PZB nach wie vor aktiv ist, und auch die Magnete am Gleis von der PZB-Software registriert werden, die PZB aber einfach keinen Einfluss auf das Fahrzeug nimmt, solange die LZB aktiv ist.

Im verlinkten Wiki-Eintrag über die LZB-Fehlfunktionen steht beim zweiten Fall ja auch, dass bei dem einen Zug, der unter verwirrter LZB gelitten hat, die PZB ausgewertet wurde. Dort wurde ein Zug LZB-geführt (neu heißt es ja jetzt: anzeigegeführt ) an ein Hp 0 hingeführt, bei einer späteren Auswertung der PZB wurde jedoch unerwarteterweise keine Beeinflussungen registriert.
Das widerspricht deiner Aussage, dass die PZB-Fahrzeugmagnete bei LZB-Führung komplett deaktiviert sind.

[189 100-1]

Deines auch nicht?!

Zum darauf fahren reicht's...

Ich hatte immer gedacht, dass bei der LZB die PZB nach wie vor aktiv ist, und auch die Magnete am Gleis von der PZB-Software registriert werden, die PZB aber einfach keinen Einfluss auf das Fahrzeug nimmt, solange die LZB aktiv ist.

Da kann ich nicht widersprechen. Mit abgeschaltet meinte ich es auch in diesem Sinne. Beim PZB-Störschalter wird schließlich auch abgeschaltet, aber weiter aufgezeichnet.

Wie es aktuell mit verdeckt wirkender PZB beim LZB-Endeverfahren aussieht, weiß ich aber auch nicht. Ich bleib lieber vorsichtshalber unter den PZB-Überwachungsgeschwindigkeiten, wenn ich nach einem Vr 0 / Vr 2 aus der LZB entlassen werde...

[Systemfehler]

Achso, dann will ich gar nichts gesagt haben

[JNK]

Bei der heutigen Vorschriftenlage ändert ein zweiter Mitarbeiter im Führerstand bei PZB-Ausfall überhaupt nichts. Man darf/kann deshalb trotzdem nur 100 fahren und dürfte das alleine auch. Im Fall der ET422 war das lediglich eine zusätzliche Sicherheitsmaßnahme, weil es kein Ausnahmefall war, sondern alle Fahrzeuge über einen längeren Zeitraum betroffen waren.

Danke für die Korrektur, das war mir in der Tat entfallen.

[imp-cen]

Hackereingriff bei US-Bahngesellschaft

[Boris Merath]

Laut Artikel war es aber wohl kein gezielter Angriff.

[ropix]

Laut Artikel war es aber wohl kein gezielter Angriff.

fragt sich ob und was das überhaupt für ein Angriff war. Ich mein, ich kann meine LapTop-Tasche auf einen Bahnsteig stellen und habe dann ggf. erheblich länger dafür gesorgt dass Signale rot geblieben sind...

[imp-cen]

Das macht es jetzt aber auch nicht vertrauenswürdiger macht, wenn jemand so "ganz aus Versehen" in diese Netze kommen kann.
Oder?

[Boris Merath]

Das macht es jetzt aber auch nicht vertrauenswürdiger macht, wenn jemand so "ganz aus Versehen" in diese Netze kommen kann.

Doch - wer sagt, dass in das Netz eingedrungen wurde? Das kann genauso ein stinknormaler DDoS-Angriff gewesen sein.