blog.diozaka.org

Heise schreibt:

Medienberichten zufolge hat ein 14-jähriger Schüler aus Polen eine Infrarotfernbedienung für Fernseher so umgebaut, dass er damit Weichen der Lodzer S-Bahn umstellen und sogar Züge entgleisen lassen konnte. Der Jugendliche soll bei der Polizei ausgesagt haben, dass er lediglich einen Streich spielen wollte.

Laut einem Benutzerkommentar zu dem Bericht gibt es in Lodz zwar gar keine S-Bahn, sondern nur eine Straßenbahn, aber das nimmt der Meldung nicht ihre Brisanz. Jetzt stellt man sich nämlich zwangsläufig die Frage: Kann das auch bei uns passieren? Auf der Webseite der Kölner Verkehrs-Betriebe AG findet man zur Weichenstelltechnik folgende Information.

Mit dem Integrierten Bordinformationssystem (IBIS) sendet jede Bahn eine codierte Kennung aus. Meldeempfänger zwischen den Schienen nehmen den Code auf, der aus Linien- und Kursnummer sowie festgelegten Routen besteht. Über einen Rechner werden diese Informationen in Kommandos zur Weichen- und Signalstellung umgewandelt. So wird der Bahn der Fahrtweg geschaltet, ohne dass der Fahrer mit dem Stelleisen Weichen umlegen müsste. Nur in Ausnahmefällen schaltet er ein Signal oder eine Weiche per Schlüssel oder mit im IBIS-Gerät integrierten Weichenschaltern in die gewünschte Stellung.

Interessant ist also die Kommunikation zwischen IBIS-Gerät und Weiche. Schließlich ist jede drahtlose Verbindung aus physikalischen Gründen nicht nur abhörbar, sondern auch anfällig für Packet Injection, Man-In-The-Middle-Attacken oder ähnliche Späße. Schafft man es, das zur Kodierung genutzte Verfahren in Erfahrung zu bringen — z.B. durch einen Einbruch bei der KVB — und kommt so an die nötigen Daten, um tatsächlich eigene Kommandos absetzen zu können, lässt sich damit eine Menge Unfug anrichten. Findige Reverse Engineers könnten gar mitgelauschte Verbindungen, die bekannte Linien- und Kursnummern sowie Routen enthalten, mit kryptologischen Methoden untersuchen. Dokumentiert wird das IBIS-System vom Verband Deutscher Verkehrsunternehmen (VDV). Wer bereit ist, 32,50 € zu zahlen kann die Spezifikationen über einen Verlag beziehen und auf Schwachstellen untersuchen.

Bevor es so weit kommt, muss man allerdings erstmal ein Mittel finden, um an die Datenverbindung heran zu kommen. Gerade das dürfte sich als relativ schwierig herausstellen, denn anders als in Lodz arbeiten die im Zitat genannten Meldeempfänger induktiv und nicht mit Infrarot-Technik. In einer Ausarbeitung zu rechnergestützten Betriebsleitsystemen heißt es:

Eine Variante ist die induktive Meldungsübertragung (IMU). Mittels Koppelspulen im Gleis und am Fahrzeug werden Daten ausgetauscht. Dabei steht nur eine sehr geringe Symbolanzahl für eine Übertragung zur Verfügung, [üblicherweise] kann genau ein Symbol übertragen werden. Auch die Anzahl der unterschiedlichen zur Verfügung stehenden Symbole ist nicht sehr groß. [...] Die Reichweite der induktiven Meldungsübertragung ist mit etwa einem Meter sehr gering. Zur Kommunikation zwischen Fahrweg und Fahrzeug reicht dies aber aus, [da] das Fahrzeug unmittelbar über die Koppelspule hinweg fährt.

Ein Dritter müsste also seine “Induktions-Fernbedienung” ziemlich nah am vorbeifahrenden Zug (um genau zu sein: zwischen Zug und Meldeempfänger) positionieren, um überhaupt etwas von der Kommunikation mitzubekommen, geschweige denn sie zu unterbrechen und eigene Signale zu senden. Ein Szenario wie in Polen ist damit ziemlich ausgeschlossen. Doch frei nach dem Motto “Sag niemals nie”: man weiß ja nie was große kriminelle Energien alles so zustande bringen können. Wobei es da selbst für Terroristen lohnenswerter wäre, einen Stein auf die Gleise zu legen.