Risikoorientierte Systematik zur Bewertung von Rückfallebenenkonzepten des Bahnbetriebs

Huang, Po-Chi

doi:10.24355/dbbs.084-202006031200-0

Published

Risikoorientierte Systematik zur Bewertung von Rückfallebenenkonzepten des Bahnbetriebs

German
English

Durch die zunehmende Anwendung von Informationstechnik (IT) im Eisenbahnwesen bekommt auch die Frage nach ausreichender und gewährleisteter IT-Security einen neuen und wichtigen Stellenwert. Die Bedrohung der IT-Security und ihre Auswirkung auf den Bahnbetrieb sind mittlerweile durch die gesetzlichen Anforderungen und die IT-Security-Vorfälle der Vergangenheit den Fachleuten sehr bewusst. Unabhängig von den getroffenen Vorkehrungen muss davon ausgegangen werden, dass nicht jeder Angriff tatsächlich festgestellt und abgewendet werden kann. Dies bedeutet, dass der Bahnbetrieb nach einem vermuteten oder tatsächlichen IT-Angriff teilweise oder ggf. komplett in der Rückfallebene betrieben werden muss. Das Rückfallebenenkonzept des Bahnbetriebs hat die Bestrebung, den Bahnbetrieb trotz des Einflusses der vorgegebenen Unregelmäßigkeiten stets mit einer annehmbaren kollektiven Betriebsqualität aus Sicherheit, Leistungsniveau und Verfügbarkeit zu erzielen. Das heutige Rückfallebenenkonzept des Bahnbetriebs ist darauf ausgelegt, die bisher anzunehmenden betrieblichen Einschränkungen, in der Regel Safety-Ereignisse und deren Folgen, zu beherrschen. Das sind zumeist kleinräumige und kurzzeitig andauernde Störungen. Wird der Kreis der möglichen Ursachen nun um den IT-Angriff erweitert, dann ist zu erwarten, dass der zukünftige Bahnbetrieb nicht nur häufig in der Rückfallebene durchgeführt werden muss, sondern auch häufiger mit Mehrfachausfällen von Betriebsfunktionen sowie großräumigen und lang andauernden Störungsszenarien konfrontiert sein wird. Um die Qualitäten des künftigen Störungsbetriebs systematisch bewerten zu können, wurde im Rahmen dieser Arbeit, gefördert mit dem Grant der Karl-Vossloh-Stiftung (2017-2019), eine risikoorientierte Systematik zur Bewertung von Rückfallebenenkonzepten des Bahnbetriebs entwickelt. Diese Bewertungssystematik ermöglicht die zusammenhängende Berücksichtigung des Störungsszenarios, der systemtechnischen Auslegung, des dynamischen IT-Umfelds, der Charakteristiken des IT-Angriffs sowie die Auslastung der Menschen. Die Anwendung der Bewertungssystematik verfolgt im Wesentlichen das Ziel, die Anwender bei der Gestaltung und der Entscheidungsfindung von Rückfallebenenkonzepten in einer aktuellen dynamischen Betriebslage durch eine schnelle, aber aussagekräftige Risikoschätzung zu unterstützen.

Due to the increased use of information technology (IT) in railway systems, the need for sufficient and ensured IT security for railway operation has gained significance in recent years. The railway experts are currently very conscious of the threat of IT security and its impact on railway operations due to the legal requirements and the incidents that happened in the past. Regardless the precautions it must be assumed that not every attack can be detected and averted. As a result, the railway operation might need to be operated partly or completely in degraded mode in case of an assumed or real IT attack. The purpose of railway operational concepts in degraded mode is to achieve an acceptable operational quality while considering the criterion safety, performance and availability despite the impact of known irregularities during operation. Today’s operational concepts in degraded mode are generally designed to deal with irregularities in operation resulting non-intentional safety events and their related impacts. Those irregularities are mostly disturbances restricted to a small area with a very short duration. However, if we consider possible irregularities resulting IT attacks in future operation, the railway operation might need to be operated in the degraded mode not only more frequently but also in longer durations, due to facing complex and large-scale disturbances. In order to evaluate the operational quality of the railway operation in degraded mode systematically, a risk-oriented systematic has been developed within this thesis, which was funded by the Karl-Vossloh-Stiftung (2017-2019). This systematic enables a joint consideration of operational concepts, system design, dynamic IT environment, characteristic of IT attacks and workload of the staff in the degraded operation. The use of this approach aims to provide a simplified risk evaluation process with a meaningful basis for decision making when choosing the operational concept in degraded mode.