(Es ist mein 1. Beitrag in dem Forum. Wenn ich Fehler mache, dann gibt mir bitte Feedback)
Stimme dem IT Experten Sven Herpig zu. Es sind sehr einfache Angriffe, aber können viel sichtbaren Ausfall verursachen.Trotzdem möchte ich ergänzen, dass es eine ganze Liste von Schutzmaßnahmen gibt.
Die spürbar die Server vor solchen Attacken schützen. Ganz geht das Risiko nicht weg, aber die Server können mit Lasttests und bestimmten Konfigurationen besser gesichert werden:
Vorallem in den Apps ein bestimmten Grunddienst gewähleisten. Wie Bahncard und Tickets anzeigen. So etwas wie Fahrplandaten oder Buchungen gehen da leider nicht mehr ohne Server
Grundsätzlich kann ich sagen, dass wir bei der DB gut aufgestellt sind. Die Richtlinien, Anforderungen und Prozesse an die Systeme und den Betrieb klar geregelt, aber schützen nicht immer.
Leider gibt es aktuell aber die Entwicklung im Rahmen des DB Konzern-Umbaus die IT wieder mehr im Konzern zu verteilen und auch teilweise abzubauen! Hier gibt es sehr hohes Risko, da der Umbau sehr von Oben getrieben kommt und vermutlich nicht benötigt wird. Bei gut eingespielten Teams ist die Verzahnung mit den anderen DB Töchern kein Problem. Vermutlich ist es aber eher eine finanzielle Rechnung im Vorstand.
Grundsätzlich finde es wichtig die Strukturen im Konzern zu erneuern und zu verschlanken.
Nur ist es der falsche Weg die IT zu kürzen, wenn eigentlich noch viel mehr Kapazität benötigt wird. Denn langfristig wird sowas durch externe teure IT Dienstleister kompensiert.
Bin selber Angestellter bei der DB Systel seit einigen Jahren und sah davor schon große Herausforderungen. Jetzt bin ich mir nicht sicher ob die nicht noch viel Größer geworden sind.
Die Unsicherheit im Team ist hoch wie die Zukunft wird bei jedem Teammitglied persönlich.
Meine große Hoffnung ist das Alles noch stabil bleibt.
Auch der Umzug/Verkauf/Umbau vom Bahn Navigator wird sicher noch sehr spannend (egal ob intern oder beim Kunden)
Offtopic 1: Laut Artikel möchte die DB Fernverkehr AG die DB Navigator App an die InfraGO AG verkaufen. Aber warum sollte oder dürfte der regulierte Monopolist InfraGO die App kaufen und betreiben? Wurde das von der Bundesnetzagentur angeordnet? Ferner gehe ich davon aus, dass InfraGO alle (Schienen-)Mobilitätsanbieter diskriminierungsfrei gleich behandeln muss. Das müsste dann auch für diese App gelten. Ist das im Interesse der Vertriebsunternehmen im DB Konzern?
Offtopic 2: Wie steht InfraGO mit der DB Systel in Kontakt? Darf die InfraGO Leistungen von der DB Systel in Anspruch nehmen?
Vielen Dank für die proaktive Einordnung und die transparente Darstellung hier im Forum!
Von außen ist schwer zu beurteilen, ob und in welchem Umfang ein CDN-/DDoS-Schutz aktiv war bzw. wie dieser konfiguriert war/ ist. Ohne Einblick in Architektur und Traffic-Analyse lassen sich daraus keine belastbaren Schlüsse ziehen.
Mich würde jedoch noch mehr interessieren, ob geplant ist, die gewonnenen Erkenntnisse in Form einer abstrahierten „High-Level Lessons Learned“-Betrachtung aufzubereiten selbstverständlich ohne sicherheitsrelevante Details. Gerade im Kontext der Verantwortung der DB als Betreiber kritischer Infrastruktur könnte eine solche Einordnung ein wichtiges Signal für Professionalität, Transparenz Gegenüber Kunden und konsequente Weiterentwicklung setzen.
In diesem Zusammenhang erscheint mir zudem die strategische Frage nach einem möglichst europäischen CDN-/DDoS-Schutz relevant insbesondere mit Blick auf Resilienz, regulatorische Anforderungen und digitale Souveränität.
Das ist doch genau der Punkt - die DB betreibt aktuell die Platform und damit ist nicht sichergestellt, dass die Mitbewerber*innen nicht benachteiligt werden - gleichzeitig ist der DB Navigator praktisch Monopolist auf dem Feld von Apps mit denen man im deutschen Zugverkehr Tickets lösen kann und Informationen bekommt
Diese App jetzt als allgemeine Infrastruktur für alle zu verstehen und damit an die DB InfraGo zu geben ist dementsprechend die Reaktion: Alle Anbieter*innen sollen gleich behandelt werden, das monopol wird gemeinwohlorientiert bewirtschaftet usw. das ist erstmal nicht im Interesse der DB, weil ein Monopol ist immer gut fürs Geschäfft, aber der Konzern verkauft die App ja an die DB InfraGo und kann das Geld was da rein kommt gut gebrauchen um Schulden zu tilgen/zu investieren usw.
Langfristig ist die spannendere Frage ob die InfraGo weiter unter dem Dach der DB bleibt oder aus dem Konzern gelöst wird und direkter unter staatliche Kontrolle gestellt wird…
Ist die InfraGO nicht bereits direkt unter staatlicher Kontrolle (reguliert durch die Bundesnetzagentur; ähnlich wie bei den privatisierten Stromnetzbetreibern)?
Wie gesagt: Ich könnte es nachvollziehen, wenn die Bundesnetzagentur die InfraGO anweisen würde, eine „Deutschland Navigator App“ anzubieten (bzw. eine IT-Infrastruktur, an die sich alle Mobilitätsanbieter anschließen können). Aber erstens kann niemand den DB Konzern zwingen, seine DB Navigator (Vertriebs-)App zu verkaufen. Und zweitens war meine Frage, ob das Thema von der Bundesnetzagentur oder vom DB Konzern initiiert wurde (da es befremdlicherweise so wirkt, dass letzteres der Fall ist).
Doch mit Kartellrecht kann ein Konzern zerschlagen werden wenn er auf unlautere Weise ein Monopol ausnutzt - da die DB aber zu 100% dem Bund gehört kann sowas einfach politisch entschieden werden ohne Eingriffe durch Bundesnetzagentur oder Kartellamt
Klar, der Bund als Eigner des DB Konzerns kann sich selbst „zwingen“. Die Regulierung des Netzmonopols liegt in der Verantwortung der Bundesnetzagentur, nicht des Kartellamts. Das Kartellamt könnte höchstens die (nicht-monopolische) Marktmacht der DB im deutschen Schienenverkehr kritisch sehen.
Offtop 1:
Soweit ich informiert bin aus den Medien, geht es hier eher nicht um kaufen dürfen. Sondern eher um eine Forderung aus dem Verkehrsministerium/Eigentümer.
InfraGo sollte diskriminierungsfrei agieren, aber kann die aktuelle Lage überhaupt nicht abschätzen.
Finde es schwierig eine Vertriebsplatform wie Navigator und bahn.de diskriminierungsfrei umzubauen.
Die Fahrplanauskunft ist hier eigentlich kein Problem, aber das Buchungssystem schon:
Aktuelles Buchungssystem ist auf die DB und Partnergesellschaften ausgelegt
Öffnung kommt einer (mindestens teilweise) Neuentwicklung von großen Teilen des Systems
** Fachlicher muss erst verstanden werden was die Anforderungen sind
** Technische Umsetzung könnte einige Jahre dauern
Wie werden die Ticketpreise berechnet (auch bei Nutzung von verschiedenen Anbietern)
Andere Anbieter wie Flixtrain, Leo-Express, Eurostar, müssen erst integriert werden
** Werden die Anbieter es freiwillig umsetzen, bei Zwang oder nur wenn es die InfraGo bezahlt?
Ich würde die aktuelle App und Webseite nicht verändern und als reines DB Produkt behalten. Stattdessen wäre ich für die Entwicklung einer neuen Platform mit ganz neuen Konzept:
Auch das Verkehrsministerium müsste die Entwicklung unterstützen, denn es wird schon einige Millionen von Euro kosten.
Offtopic 2:
Es gibt Kontakt zwischen verschiedenen Teams auf Basis von Teams.
Aber Details kenne ich nicht, da ich aktuell bei DB Fernverkehr unterwegs bin.
Die InfraGo ist immer noch Teil vom Konzern und ist noch in einem Ressort oder direkt der DB Chefin zugeordnet. Wurde nur innerhalb des Konzern separiert.
Intern wird es sicher eine Aufarbeitung des Vorfalles geben, so wie ich die internen Prozesse kenne. Es gehört zum üblichen Vorgehen in der IT bzw agilen Projektgeschäft die Fehler zu bewerten und auf Feedback zu reagieren.
Vermutlich wird der Angriff irgendwann in Fachkreisen besprochen, wenn die Schwachstellen behoben wurde.
Aber hier wird die Kommunikation vermutlich eher von hoher Stelle wie CISO (Chief Information Security Officer) oder Vorstand kommen.
Allgemein kann ich nur den Tipp aussprechen öfters bei den verschiedenen Apps und Webseiten Feedback zu geben. Langfristig wird soetwas schon eingeplant, nur je nach Komplexität dauert es.
Denn so kann jeder die Entwicklung langfristig bisschen beeinflussen.
Um die Bahn etwas zu verteidigen: Anne Will hat den Experten in der Lagefolge wohl missverstanden. Der Experte sagte, dass ein solcher Angriff relativ einfach wäre, wenn man Zugriff auf genügend gekaperte Systeme hätte. Diese Voraussetzung ist jedoch nicht leicht zu erfüllen, sodass man nicht pauschal sagen kann, dass solche Angriffe einfach durchzuführen sind.
Naja, (D-)DoS ist schon mit das Einfachste, was man an Angriffen auf eine Website machen kann, da es ja noch nicht einmal ein Hack im eigentlichen Sinne ist. Genügend Clients zum Senden der Anfragen lassen sich für entsprechend ausgestattete APTs / staatliche Akteure schon organisieren, zum Beispiel über gekaperte IoT-Devices. Das ist keine Hürde, auf die man sich als potentielles Ziel verlassen sollte.
Es stimmt das DDOS Angriffe sehr einfach sind.
Die Herausforderung ist die richtigen Endpunkte/Server anzugreifen um maximale Wirkung zu erreichen.
Die Regel ist das es ein ganzes Ökosystem aus Serveranwendungen gibt und je nach Anforderung an die Leistungsfähigkeit sind die bei DOS Angriffen bzw. Starker Nachfrage sehr verwundbar. Das schwächste Glied trifft es in der Regel hier.
Einen erfolgreichen DDOS-Angriff auf die Netz-Infrastruktur einer vergleichsweise gut geschützten Organisation wie der Bahn durchzuführen ist nicht einfach.
Ja, aus technischer Sicht sind diese Attacken nicht kompliziert. Aber man kann sie nur durchführen, wenn man Zugriff auf eine Menge gehackter Systeme hat. Diese Voraussetzung mag für staatliche Akteure leicht erfüllbar sein, aber das macht den Angriff nicht grundsätzlich einfach. Diese Differenzierung geht mir in der Diskussion hier etwas verloren.
Die Konsequenz ist für mich, dass wir wegen so eines Angriff eben nicht gleich in Panik verfallen und alles infrage stellen, was die Bahn und andere Organisationen hier im Land für ihren IT-Schutz tun. Diese Verunsicherung zu erzeugen war möglicherweise ja das eigentliche Ziel dieses Angriffs.
Die DB InfraGo und die DB Systel GmbH sind erstmal eigenständige Unternehmen innerhalb des DB Konzerns.
Die InfraGo hat ein IT-Budget mit dem sie Leistungen bei der DB Systel beziehen kann:
Beratung / Entwicklung
Bereitstellung u. Betrieb von Hardware/Software
Andere DB-Töchter können selbiges tun.
Die DB Systel verrechnet sich nach verhandelten Sätzen mit den Auftraggebern.
Die Idee war mal ein zentraler IT-Ansprechpartner, der von Allen im Konzern angefragt und genutzt wird und damit den Überblick hält und die technologische Marschrichtung vorgibt.
Die Realität ist aber eine andere:
Die Systel hat (je nach Geschäftsfeld) einen mal mehr oder mal weniger guten Ruf.
InfraGo und Co. haben das Geld und wollen damit auch bestimmen.
Missmanagement und schlechte Beratung “haben ein Geschmäckle hinterlassen”
Doppelstrukturen und viel Bürokratie und Mittelsmänner.
So mal stark vereinfacht Licht ins Dunkle gebracht
Angriffe auf komplexe Computersysteme sind selten simpel, darum geht es doch gar nicht. Der Punkt ist, im Kontext der Komplexität, die Cyberangriffe auf diesem Level eigentlich immer mit sich bringen, ist ein DDoS Angriff vergleichsweise einfach (siehe zum Vergleich die sog. Cyber Kill-Chain zur Beschreibung der verschiedenen Phasen eines komplexeren Cyberangriffs).
Das heißt natürlich nicht, dass das jeder Hobby-Hacker mal eben aus dem Stehgreif machen kann. Aber wer definiert denn, was „grundsätzlich einfach“ bedeutet? Wenn so ein Angriff für die relevanten Akteure „leicht erfüllbar“ ist, kann man ihn meiner Meinung nach auch „einfach“ nennen.
Im Endeffekt ist es auch egal, für wie einfach wir so einen Angriff halten. Es gibt wie bereits von anderen erwähnt Maßnahmen das Risiko von DDoS Angriffen zu reduzieren und die sollten große Unternehmen wie die Bahn auf jeden Fall auch einsetzen.
Klar, man kann den Angriff einfach nennen. Ich halte dieses Framing jedoch für irreführend.
Das heißt natürlich nicht, dass das jeder Hobby-Hacker mal eben aus dem Stehgreif machen kann.
Da sind wir uns einig. Aber so ein falscher Eindruck kann nunmal entstehen, wenn wir den Kontext weglassen. Vielleicht nicht bei dir, @sereksim, weil du dich auszukennen scheinst. Aber bei anderen. Ganz oben im Thread z.B. hielt es ein Bahn-Insider offenbar für notwendig, die existierenden Sicherheitsmaßnahmen hervorzuheben. Das wäre ja nicht nötig gewesen, wenn alle in der Diskussion sich einig wären, dass die Bahn ausreichend geschützt ist.
Warum sollten wir uns einig sein, dass das so ist? Und wie koennten wir? Selbst innerhalb der Bahn wird es nur wenige Leute geben die genuegend Einblick und Verstaendnis haben um eine solche Aussagen, fundiert, treffen zu koennen.
Fakt #1, einige oeffentliche Schnittstellen der Bahn wurden durch einen Angriff so in Mitleidenschaft gezogen, dass es fuer viele Kunden offensichtlich war, dass es ein Problem gibt.
Fakt #2 ein DDoS Angriff ist eher die Attacke mit dem Vorschlaghammer, als mit einem Florett. Und ist, wenn man dieser Quelle glauben moechte als Servicedienstleistung im Internet bestellbar.
War die Bahn-IT ausreichend gegen diesen Angriff geschuetzt? Offensichtlich nicht, sonst haetten die Kunden ja nix gemerkt.
War das Schutzniveau der Bahn trotzdem prinzipiell ausreichend, und der Angriff war einfach besonders heftig, so dass es wirtschaftlich nicht sinnvoll waere sich grundsaetzlich dagegen zu wappnen? Das koennen wir von aussen nicht beurteilen.
Warum sollten wir uns einig sein, dass das so ist?
Sind wir uns nicht. Gerade deswegen finde ich es wichtig darauf hinzuweisen, dass nicht jeder beliebige Angreifer so eine Attacke einfach durchführen kann.
War die Bahn-IT ausreichend gegen diesen Angriff geschuetzt? Offensichtlich nicht, sonst haetten die Kunden ja nix gemerkt.
War das Schutzniveau der Bahn trotzdem prinzipiell ausreichend, und der Angriff war einfach besonders heftig, so dass es wirtschaftlich nicht sinnvoll waere sich grundsaetzlich dagegen zu wappnen? Das koennen wir von aussen nicht beurteilen.
Sehe ich genau so. DDOS-Angriffe von Angreifern mit genügend Resourcen (z.B. staatlichen Akteuren) lassen sich praktisch nicht komplett verhindern, wie du ja richtigerweise sagst.
Die Bahn kann ihre Systeme so gut absichern wie sie will, manche Akteure werden trotzdem erfolgreiche Angriffe durchführen können (solange die Systeme öffentlich erreichbar sind). Dieser konkrete Angriff zeigt nicht, dass die Bahn ihre Systeme mangelhaft gesichert hat. Mir war es wichtig, das zu betonen, weil ich den Eindruck hatte, dass diese Einschätzung in der Diskussion mitschwingt.
Mehr wollte ich dazu eigentlich gar nicht sagen. Ich glaube nicht, dass unsere Ansichten weit auseinanderliegen.
