Bahn-Betreiber unter KRITIS: Schienen, Stellwerke, Strom

Wer eine Bahnstrecke sichert, sichert keine Liegenschaft, sondern einen kontinuierlich fahrenden Betrieb, dessen Stillstand sich in Minuten in Millionenbeträgen niederschlägt und dessen Gleisbett, Stellwerk und Bahnstromversorgung gemeinsam ein einziges, untrennbares Schutzgut bilden.

Die Schiene ist in Deutschland seit der Einordnung in den KRITIS-Sektor Transport und Verkehr ein doppelter Adressat. Sie unterliegt eisenbahnrechtlicher Aufsicht über die Eisenbahn-Bau- und Betriebsordnung, und sie unterliegt zugleich der Logik des BSI-Gesetzes mit den dort fixierten Schwellenwerten für Betreiber kritischer Anlagen. Wer beides ernst nimmt, kommt zu einer Sicherheitsarchitektur, die nicht zwischen Betrieb und Schutz unterscheidet, sondern beides als denselben Prozess plant. Boswau + Knauer arbeitet seit Jahren mit Bahn-Betreibern, Infrastrukturgesellschaften und Werkschutzorganisationen, die genau diesen Übergang vollziehen.

Die folgende Darstellung verdichtet, was sich aus dieser Arbeit ergibt. Sie ist nicht erschöpfend, sie ist deklarativ. Wer den Schienenverkehr operativ verantwortet, erkennt die Stellen, an denen seine eigene Lage beschrieben ist.

Die Anlagentypen und ihre Schutzlogik

Bahninfrastruktur besteht aus drei physisch unterscheidbaren Schichten, die sicherheitstechnisch zusammenhängen. Die erste Schicht ist das Gleisbett mit Weichen, Schwellen, Stromschienen oder Oberleitungen und den Signalanlagen entlang der Strecke. Die zweite Schicht ist die Stellwerkstechnik, ob als historisches Relaisstellwerk, als elektronisches Stellwerk oder als digitales Stellwerk im Sinne der laufenden Modernisierung. Die dritte Schicht ist die Bahnstromversorgung mit Unterwerken, Schaltposten und Fernleitungen.

Jede dieser Schichten hat eine eigene Schadenslogik. Im Gleisbett zählen Sabotage an Weichen, Kabeldiebstahl entlang der Signalkabel und unbefugter Aufenthalt auf der Strecke, der nicht nur ein Personenrisiko darstellt, sondern auch zu unmittelbaren Streckensperrungen führt. Im Stellwerk zählen unbefugter physischer Zutritt, Manipulation an der Energieversorgung des Gebäudes und Eingriffe in die Kommunikationswege zwischen Stellwerk und Strecke. In der Bahnstromversorgung zählen Eingriffe an Schaltanlagen, Brandstiftung in Unterwerken und Zugriffe auf Fernsteuerleitungen, die heute zunehmend Bestandteil der Operational Technology sind und damit denselben Schutz wie industrielle Steuerungssysteme verlangen.

Die Schutzlogik leitet sich aus der Konsequenz eines Vorfalls ab. Eine durchtrennte Signalleitung an einer Hauptbahnstrecke zwingt den Betreiber in den Rückfallbetrieb mit handbetätigter Sicherung und reduziert die Streckenkapazität für Stunden, in ungünstigen Konstellationen für Tage. Ein Brand in einem Unterwerk zieht ein ganzes Netzsegment außer Betrieb. Ein Eingriff in das Stellwerk kann, je nach Generation der Technik, weite Streckenabschnitte gleichzeitig unverfügbar machen. Diese Hebelwirkung erklärt, warum die physische Sicherung der Schiene nicht in der Logik einer Liegenschaft gedacht werden darf, sondern in der Logik eines Systems mit Kaskadenwirkung.

Hinzu kommt eine geografische Eigenheit. Bahninfrastruktur ist linear, sie zieht sich über Hunderte von Kilometern durch besiedeltes und unbesiedeltes Gebiet, durch Wald, durch Tunnel, durch Bahnhofsbereiche mit hohem Publikumsverkehr und durch abgelegene Streckenabschnitte ohne ständige Präsenz. Eine sicherheitstechnische Lösung, die für eine Industrieliegenschaft funktioniert, lässt sich auf diese Geometrie nicht übertragen. Sie muss in Segmenten gedacht werden, die jeweils auf den Risikotyp und die Erreichbarkeit zugeschnitten sind. Die Architektur, die Boswau + Knauer für solche Strecken entwickelt, folgt genau dieser Segmentierung.

EBO, KRITIS-Verordnung, NIS2 und ihre Zusammenwirkung

Die Eisenbahn-Bau- und Betriebsordnung regelt seit Jahrzehnten die betrieblichen Anforderungen an Eisenbahninfrastruktur. Sie ist primär ein Sicherheitsregelwerk für den Bahnbetrieb selbst, definiert Zustandsanforderungen an Anlagen, Pflichten zur Instandhaltung, Anforderungen an Personal und Verfahrensregeln für den Fall von Störungen. Sie ist nicht in erster Linie ein Regelwerk für Schutz gegen Eingriffe Dritter, sie definiert aber den Sollzustand, gegen den jeder Eingriff gemessen wird.

Mit der Einordnung in den KRITIS-Sektor und der BSI-Kritisverordnung kommt eine zweite Regelungsebene hinzu, die ab definierten Schwellenwerten greift und Betreiber zu Maßnahmen nach Stand der Technik verpflichtet, zu Nachweisverfahren in regelmäßigen Abständen und zur Meldepflicht erheblicher Vorfälle an das BSI. Die Umsetzung der NIS2-Richtlinie in deutsches Recht erweitert diesen Kreis und vertieft die Anforderungen, insbesondere im Bereich der Lieferkette, der Verantwortlichkeit der Geschäftsleitung und der Behandlung von Vorfällen.

Für Bahn-Betreiber ergibt sich daraus eine doppelte Pflichtenlage, die in der Praxis nur dann tragfähig wird, wenn sie in einer gemeinsamen Sicherheitsarchitektur abgebildet wird. Wer EBO-konform betreibt und KRITIS-konform absichert, aber beides in getrennten Organisationen führt, produziert Lücken an den Schnittstellen. Diese Lücken sind genau die Stellen, an denen ein Vorfall zur Krise wird, weil keiner der beiden Bereiche sich zuständig fühlt. Eine integrierte Architektur ordnet diese Zuständigkeiten vor dem Vorfall, nicht in ihm.

Der BDSW hat in den vergangenen Jahren wiederholt darauf hingewiesen, dass Sicherheitsdienstleister im Verkehrssektor mit einer Komplexität konfrontiert sind, die in anderen Sektoren in dieser Form nicht besteht. Die Kombination aus EBO-Anforderungen an Personal mit Streckenkenntnis, aus KRITIS-Anforderungen an Prozesse und aus den allgemeinen Anforderungen des Bewachungsgewerbes erzeugt eine Qualifikationspyramide, die nicht beliebig skaliert. Technologie ist hier nicht ein Zusatz, sie ist die einzige tragfähige Antwort auf das Mengenproblem. Wer eine Strecke von dreißig Kilometern mit klassischem Streifendienst zu sichern versucht, scheitert an den Kosten, bevor er an der Wirkung scheitert.

Die Sicherung der Strecke ohne Betriebsunterbrechung

Eine Strecke wird im laufenden Betrieb gesichert. Das ist die erste und härteste Anforderung. Anders als eine Industrieliegenschaft kennt die Schiene keine Nachtruhe in dem Sinn, dass der Betrieb still steht. Selbst in Zeiten geringer Zugfolge fahren Instandhaltungsfahrzeuge, finden Wartungsarbeiten statt, prüfen Trupps die Anlagen. Eine Schutzlösung, die den Betrieb stört, ist keine Schutzlösung, sondern ein zusätzliches Risiko.

Die Konsequenz für die Architektur ist eindeutig. Sensorik entlang der Strecke darf den Bahnbetrieb nicht gefährden, sie muss EMV-fest sein gegenüber der Bahnstromversorgung, sie muss erschütterungstauglich sein gegenüber dem Zugbetrieb, sie muss bei Witterungsbedingungen funktionieren, die in keiner Industriehalle vorkommen. Videoanalyse entlang der Strecke muss zwischen Zug, Instandhaltungsfahrzeug, autorisiertem Personal und unbefugtem Aufenthalt unterscheiden können, und sie muss diese Unterscheidung in einer Geschwindigkeit treffen, die eine Reaktion vor dem Schaden erlaubt. Mobile Komponenten wie Videotürme oder autonome Plattformen, wie sie in dem Buch Boswau + Knauer, Vom Bau zur Sicherheitstechnologie beschrieben sind, ergänzen die fest installierte Sensorik dort, wo sich Risikolagen verschieben, etwa bei Baustellen entlang der Strecke oder bei längeren Streckensperrungen für Großbaumaßnahmen.

Stellwerke verlangen eine andere Logik. Hier geht es um Zutrittskontrolle, um Videoüberwachung des Gebäudes und seines Umfelds, um die physische Sicherung der Energie- und Kommunikationszuführung und um die organisatorische Abgrenzung zwischen autorisiertem Personal und externem Service. Die Modernisierung im Rahmen der digitalen Schiene Deutschland verschiebt das Gewicht der Stellwerkstechnik in zentrale Bedienplätze, was die Anzahl unbemannter Stellwerke entlang der Strecke erhöht. Unbemannte Stellwerke sind ein eigenständiger Risikotyp, der nur durch Fernüberwachung in Verbindung mit definierten Eingreifketten tragfähig zu sichern ist.

Unterwerke und Schaltposten der Bahnstromversorgung schließlich verlangen ein Schutzkonzept, das den Anforderungen an Energieinfrastruktur entspricht, mit dem zusätzlichen Faktor, dass ein Ausfall hier unmittelbar auf den Fahrbetrieb durchschlägt. Hier greifen die einschlägigen Normen für Energieanlagen, ergänzt um die spezifischen Anforderungen der Bahnstromversorgung. VdS-Konzepte zur Brandfrüherkennung und zur Einbruchmeldung sind in diesem Bereich nicht optional, sie sind die Grundlage der Versicherbarkeit.

ETCS und die Rolle der physischen Sicherung

Das European Train Control System ist die Klammer, die den europäischen Schienenverkehr technisch zusammenführt. Es ersetzt die nationalen Zugsicherungssysteme schrittweise und verlagert die Sicherheitsfunktion vom streckenseitigen Signal in die Kommunikation zwischen Strecke und Fahrzeug. Diese Verlagerung verändert die physische Schutzanforderung an die Strecke grundlegend.

Im klassischen System war das streckenseitige Signal das primäre Schutzgut. Wer das Signal manipuliert oder zerstört, zwingt den Betreiber in den Rückfallbetrieb. Im ETCS-System verschiebt sich das Gewicht auf die Balisen entlang der Strecke, auf die Radio Block Center, auf die Funkkommunikation über GSM-R und in Zukunft über FRMCS. Jedes dieser Elemente ist ein eigenes Schutzgut mit eigener Schadenslogik. Eine manipulierte Balise ist physisch unscheinbar, sie wirkt aber unmittelbar auf die Fahrzeugführung. Ein gestörter Funkkanal kann ganze Streckenabschnitte unverfügbar machen, ohne dass eine sichtbare physische Beschädigung vorliegt.

Die physische Sicherung von ETCS-Infrastruktur ist daher in zwei Richtungen zu denken. Erstens als klassischer Schutz der Komponenten entlang der Strecke und in den Technikgebäuden, mit Zutrittskontrolle, Videoüberwachung und Manipulationserkennung. Zweitens als Schutz vor jenen Eingriffen, die nicht offensichtlich sind, die also nicht durch Beschädigung wirken, sondern durch unbemerkte Manipulation. Hier reicht klassische Sicherheitstechnik nicht aus. Sie muss verbunden werden mit der Überwachung der Operational Technology, mit einer Beweissicherungskette, die forensisch tragfähig ist, und mit einer Eingreiflogik, die zwischen technischem Defekt und vorsätzlichem Eingriff unterscheiden kann.

Die Trennung zwischen physischer und logischer Sicherheit ist im ETCS-Kontext nicht mehr aufrechtzuerhalten. Wer den Zutritt zu einem Technikraum mit einer Funkkomponente sichert, ohne die Kommunikation in diesem Raum zu schützen, hat die halbe Arbeit gemacht. Wer die Kommunikation schützt, ohne den physischen Zugang zu kontrollieren, hat die andere halbe Arbeit gemacht. Beides gehört in eine gemeinsame Architektur, in der Sensorik, Videoanalyse, Zutrittssysteme und die Operational Technology denselben Eingreifprozess auslösen.

Vorfallhistorie und ihre Lehren

Öffentlich bekannte Vorfälle der vergangenen Jahre haben die Verletzlichkeit der Schiene in mehreren Dimensionen sichtbar gemacht. Brände an Kabelschächten haben gezeigt, dass die Bündelung mehrerer Kommunikations- und Steuerleitungen in einem Punkt eine Schwachstelle ist, die mit überschaubarem Aufwand angegriffen werden kann und deren Folgen über Stunden bis Tage reichen. Eingriffe in die Kommunikationsinfrastruktur des Bahnbetriebs haben gezeigt, dass die Verbindung zwischen physischem Zugang und logischer Wirkung enger ist, als die klassische Trennung der Schutzdisziplinen wahrhaben will. Kabeldiebstähle entlang von Strecken haben in der wirtschaftlichen Summe einen Schaden erzeugt, der die Investition in eine flächige Sensorik in vielen Korridoren längst gerechtfertigt hätte.

Die Lehre aus dieser Vorfallhistorie ist nicht, dass die Schiene besonders unsicher wäre. Die Lehre ist, dass die Hebelwirkung eines einzelnen Eingriffs auf der Schiene überproportional ist. Ein Bauunternehmen, das einen Werkzeugdiebstahl erleidet, verliert Material und Zeit. Ein Bahn-Betreiber, der einen vergleichbaren Eingriff erleidet, verliert die Verfügbarkeit eines Streckensegments und damit eine Leistung, die sich nicht nachholen lässt. Die Lehre ist außerdem, dass die Aufklärungsquote bei Eingriffen in die Bahninfrastruktur ohne sensorische Vorabdokumentation niedrig ist. Wer den Tatzeitpunkt nicht eingrenzen kann, wer keine Bildsequenz hat, wer keine Sensorspuren in der Operational Technology auswerten kann, hat im Anschluss an einen Vorfall ein Aufklärungsproblem, das die Verfolgung erschwert und die zivilrechtliche Geltendmachung gegenüber Versicherern oder Verursachern verkompliziert.

Die BG BAU hat im Bereich der Bauarbeiten an Bahnanlagen mehrfach darauf hingewiesen, dass die Verbindung von Arbeitsschutz und Anlagenschutz in der Praxis nicht trennscharf ist. Wer eine Baustelle an einer Bahnstrecke sichert, sichert nicht nur das Material und das Personal der Baustelle, sondern auch die angrenzende Bahninfrastruktur, deren Verfügbarkeit für den Bauablauf ebenso entscheidend ist wie für den Fahrbetrieb. Diese Verschränkung ist eine der Stellen, an denen Boswau + Knauer aus seiner baulichen Herkunft einen Vorteil einbringt, der in rein technologisch geprägten Anbietern nicht angelegt ist.

Architektur einer tragfähigen Lösung

Eine tragfähige Sicherheitsarchitektur für Bahn-Betreiber verbindet vier Ebenen. Die erste Ebene ist die feste streckenseitige Sensorik, mit Detektion an kritischen Punkten wie Weichen, Kabelschächten, Technikgebäuden und Brücken. Die zweite Ebene ist die mobile Komponente, mit Videotürmen an temporären Baustellen, an Streckensperrungen für Großbaumaßnahmen und an Streckenabschnitten mit erhöhtem Risiko. Die dritte Ebene ist die Auswertung in einer Leitstelle, die mehrere Streckenkilometer gleichzeitig führt und durch Videoanalyse vorfiltert, so dass das eingesetzte Personal seine Aufmerksamkeit auf die geprüften Auffälligkeiten konzentriert. Die vierte Ebene ist die Eingreifkette, die zwischen interner Reaktion, Bundespolizei, Landespolizei und Notfallmanagement des Betreibers in geprüften Abläufen aufgeteilt ist.

Diese Architektur ist nicht in einem Schritt zu bauen. Sie entsteht in Etappen, und jede Etappe muss für sich tragfähig sein. Wer die gesamte Architektur in einem Schritt ausschreibt, baut Risiko, weil die Lernkurve in der ersten Etappe in den Folgeetappen nicht mehr korrigiert werden kann. Boswau + Knauer empfiehlt seinen Bahn-Kunden in der Regel den Einstieg über einen abgegrenzten Streckenabschnitt oder eine definierte Anlagengruppe, in der die Architektur über neunzig Tage erprobt wird, bevor die Skalierung beginnt.

Die TÜV-Organisationen prüfen Anlagen der Bahninfrastruktur in mehreren Rollen, von der Baumusterprüfung über die wiederkehrende Prüfung bis zur Begleitung von Inbetriebnahmen. Eine Sicherheitsarchitektur, die in diesem Prüfumfeld bestehen soll, muss nicht nur funktionieren, sie muss prüfbar dokumentiert sein. Diese Anforderung ist in den Standards von Boswau + Knauer verankert. Jede installierte Komponente wird in einer Form dokumentiert, die ein externer Prüfer ohne Einarbeitung nachvollziehen kann. Diese Disziplin schützt den Betreiber, nicht den Hersteller.

Was bleibt

Die Schiene ist KRITIS, und sie ist mehr als KRITIS. Sie ist der Sektor, in dem sich die Verletzlichkeit linearer Infrastruktur am deutlichsten zeigt, in dem die Verbindung von Betriebsregelwerk und Schutzregelwerk am dichtesten ist und in dem die physische und die logische Sicherheit sich nicht mehr sauber trennen lassen. Wer Bahninfrastruktur verantwortet, kommt um eine integrierte Sicherheitsarchitektur nicht herum, und er kommt um sie umso weniger, je weiter die Modernisierung in Richtung digitaler Stellwerke und ETCS voranschreitet.

Boswau + Knauer arbeitet mit Bahn-Betreibern, Infrastrukturgesellschaften und Werkschutzorganisationen, die diesen Übergang aktiv gestalten. Die Erfahrung aus baulicher Tätigkeit an Bahnanlagen, aus der Sicherung von Baustellen entlang von Strecken und aus der Entwicklung eigener Sensorik- und Videoanalyseplattformen führt zu einer Position, in der wir nicht eine Komponente liefern, sondern eine Architektur. Wer den Einstieg sucht, wählt das Gespräch nach Weg I, sechzig Minuten, vertraulich, ohne Folgeverpflichtung. Wer eine Standortbestimmung an einer konkreten Anlage oder einem Streckenabschnitt braucht, wählt das Audit nach Weg II. Wer die Architektur an einem definierten Abschnitt erproben will, bevor er skaliert, wählt den Pilotbetrieb nach Weg III über neunzig Tage.

Was bleibt, ist die Erkenntnis, dass die Sicherung der Schiene keine Zusatzaufgabe ist, sondern Bestandteil des Betriebs. Wer sie als Zusatz behandelt, zahlt sie als Aufwand. Wer sie als Bestandteil behandelt, rechnet sie als Investition.

Häufige Fragen

Welche Bahnanlagen sind KRITIS?

Unter die BSI-Kritisverordnung im Sektor Transport und Verkehr fallen Eisenbahninfrastrukturen ab den dort festgelegten Schwellenwerten, gemessen an Fahrgastzahlen oder Tonnage und an der Bedeutung für den überregionalen Verkehr. Erfasst sind in der Regel Eisenbahnnetze, Stellwerke, Leit- und Sicherungstechnik, Bahnstromversorgung und zugehörige Kommunikationsinfrastruktur. Mit der Umsetzung von NIS2 und dem KRITIS-Dachgesetz erweitert sich der Kreis der erfassten Betreiber. Die genaue Einordnung ist anlagenbezogen zu prüfen, regelmäßig durch eine Bestandsaufnahme, die Boswau + Knauer im Rahmen eines Audits liefert.

Was schreibt die EBO vor?

Die Eisenbahn-Bau- und Betriebsordnung regelt die betriebssicheren Zustände der Eisenbahninfrastruktur, die Anforderungen an Bau und Instandhaltung, an die Qualifikation des Personals und an die Verfahren bei Störungen. Sie ist primär ein Regelwerk für den sicheren Bahnbetrieb, nicht für den Schutz gegen Eingriffe Dritter. Sie definiert jedoch den Sollzustand der Anlagen, gegen den jeder sicherheitsrelevante Vorfall gemessen wird. Eine Sicherheitsarchitektur für Bahninfrastruktur muss EBO-konform geplant und ausgeführt werden, insbesondere bei Eingriffen in Gleisbereiche und bei der Montage von Sensorik an Bahnanlagen.

Wie wird ETCS geschützt?

Der Schutz von ETCS-Komponenten verbindet physische und logische Maßnahmen. Physisch geht es um die Sicherung von Balisen entlang der Strecke, von Technikgebäuden mit Radio Block Centern, von Antennenstandorten der Funkkommunikation und der zugehörigen Energieversorgung. Eingesetzt werden Zutrittskontrolle, Videoüberwachung mit Analyse, Manipulationsdetektion und Sensorik an kritischen Punkten. Logisch geht es um den Schutz der Funkkommunikation, der Steuerungsschnittstellen und der Beweissicherung. Beide Ebenen müssen in eine gemeinsame Eingreifkette integriert sein, weil ein Eingriff in der einen Ebene meist auch in der anderen Spuren hinterlässt.

Welche Vorfälle waren öffentlich?

Öffentlich bekannt geworden sind in den vergangenen Jahren mehrere Vorfälle mit erheblicher Wirkung auf den Bahnbetrieb. Brände an Kabelschächten und in Technikbereichen haben Streckensperrungen von mehreren Stunden bis Tagen ausgelöst. Eingriffe in die Kommunikationsinfrastruktur haben gezeigt, dass die Verbindung zwischen physischem Zugang und betrieblicher Wirkung enger ist als oft angenommen. Kabeldiebstähle entlang von Strecken summieren sich seit Jahren zu Schadensbeträgen im hohen Millionenbereich. Die Lehre aus diesen Vorfällen ist nicht spektakulär, sondern systematisch: die Hebelwirkung eines Eingriffs auf der Schiene rechtfertigt eine flächige sensorische Vorabdokumentation in nahezu jedem Korridor mit nennenswertem Verkehr.