Ein Schienenfahrzeug fährt 30 bis 40 Jahre. Die Flotte, die abgesichert werden muss, ist längst im Einsatz, und sie lässt sich nicht gegen sichere Neufahrzeuge austauschen. Autos und Züge fahren heute Software, sind vernetzt und binden externe Dienste an. Angriffe muss man deshalb in den vorhandenen Fahrzeugen erkennen, im laufenden Betrieb und ohne die sicherheitskritische Technik zu stören.
Für Betreiber kritischer Infrastruktur ist Angriffserkennung seit dem IT-Sicherheitsgesetz 2.0 auch eine gesetzliche Anforderung. Im Automotive-Bereich gibt es dafür erste Bausteine, im Bahnbereich fehlte ein vergleichbarer Ansatz. FINESSE bringt beide Welten zusammen, damit Straße und Schiene voneinander lernen.
FINESSE (Cyber-Schutzsysteme für Fahrzeuge und Infrastruktur im Straßen- und Schienenverkehr) lief von Juli 2022 bis Dezember 2025 und baut die durchgehende Kette der Angriffserkennung für Fahrzeugflotten, vom Sensor im Fahrzeug über den Übertragungsweg bis ins Security Operations Center beim Betreiber, mit regelbasierter und KI-gestützter Analyse und teilautomatisierter Reaktion. Im Automotive-Bereich gibt es dafür reifere Bausteine wie IDS-Sensoren für CAN und Ethernet, den AUTOSAR-IDS-Manager (IdsM) und mit UN R155 die Flottenpflicht zur Angriffserkennung; für die Schiene fehlte ein solcher Ansatz, dafür bringt sie eigene Randbedingungen mit, etwa rückwirkungsfreie Erkennung und 30 bis 40 Jahre Fahrzeuglebensdauer. Der Mehrwert liegt im Austausch zwischen beiden: Angriffsklassifikation, Erkennungsregeln und Ereignisformate stehen für Straße und Schiene auf einer gemeinsamen Basis, sodass ein Erkennungsmuster aus dem einen Bereich im anderen nutzbar wird, ein Austausch, den wir Mobility Threat Intelligence nennen. Die Ergebnisse beruhen auf offenen Komponenten und Schnittstellen und fließen in die Standardisierung ein.
Das Konsortium: DB Systemtechnik, ETAS (Bosch-Gruppe), Fraunhofer SIT, INCYDE (Konsortialführer), Universität Passau und Yekta IT. Gefördert vom Bundesministerium für Forschung, Technologie und Raumfahrt (BMFTR, vormals BMBF), Förderkennzeichen 16KIS1584K.
Reale Angriffe auf Straße und Schiene
Beim Auto zeigt der Jeep-Cherokee-Hack von 2015 die Reichweite: Charlie Miller und Chris Valasek übernahmen über das vernetzte Uconnect-System aus der Ferne die Kontrolle bis zu Getriebe und Bremsen, Fiat Chrysler rief 1,4 Millionen Fahrzeuge zurück, der erste Produktrückruf wegen einer Cyber-Schwachstelle (SecurityWeek). 2018 zeigte das Tencent Keen Security Lab vergleichbare Angriffsketten bis ins Fahrzeugnetz von BMW.
Bei der Bahn liegt das Risiko oft im Funk. Im April 2026 stoppte ein Student vier Hochgeschwindigkeitszüge der Taiwan High Speed Rail, indem er den Bahnfunk mit einem Software Defined Radio analysierte und einen gefälschten Generalalarm an die Leitzentrale sendete (Taipei Times). In Polen genügten 2023 unverschlüsselte Töne auf einer analogen VHF-Frequenz, um bei mehr als 20 Zügen die Radio-Stop-Notbremsung auszulösen, ein einfacher Funksender reichte (The Record). Funk-Angriffe dieser Art bilden wir in VATT&EK als eigene Technik ab.
Manche Gefahr steckt in der Software selbst. 2023 deckte Dragon Sector auf dem 37C3 eine versteckte Sperr-Logik in Newag-Triebzügen auf, die der Hersteller eingebaut hatte und die Fahrzeuge nach Werkstattbesuchen blockierte (37C3-Vortrag). Wer nicht beobachtet, was die eigene Fahrzeug-Software tut, kann einen Angriff weder von einer Fehlfunktion noch von einer Hersteller-Sperre unterscheiden.
Vom teuren Eingriff ins Fahrzeugnetz bis zum billigen Funk-Angriff: ein Sekunden-Hack war keiner dieser Fälle. Erkennung muss die ganze Spanne abdecken, und dafür braucht es zuerst eine saubere Klassifikation.
VATT&EK: eine gemeinsame Sprache für Fahrzeug-Angriffe
In der klassischen IT leistet das MITRE ATT&CK diese Arbeit. Für Fahrzeuge mit Steuergeräten, Feldbussen und Echtzeit-Anforderungen reicht es nicht. Die fahrzeugspezifische Antwort darauf haben wir entwickelt: VATT&EK (Vehicle Adversarial Tactics, Techniques & Expert Knowledge), eine Adaption für Straße und Schiene mit 14 Taktik-Klassen, von CAN-Injection über Funk-Angriffe bis GNSS-Spoofing. In die Entwicklung sind eigene Analysen und der Austausch mit Herstellern, Zulieferern und Sicherheitsfachleuten eingeflossen.
Formalisiert und veröffentlicht haben wir VATT&EK mit Dominik Spychalski (INCYDE) und Prof. Stefan Katzenbeisser (Universität Passau) auf dem ACM Computer Science in Cars Symposium.
Den Ausbau auf das Diagnoseprotokoll UDS (Unified Diagnostic Services, ISO 14229) haben wir mit Nicolas Loza, Jens Gramm und Michael Peter Schneider (alle ETAS) sowie Prof. Stefan Katzenbeisser vorangetrieben. Wir haben alle 27 UDS-Dienste analysiert und daraus 50 Angriffstechniken über neun Taktiken abgeleitet, geprüft gegen 33 veröffentlichte Schwachstellenberichte. Zwei Drittel der Techniken waren bereits real dokumentiert, der Rest deckte bisher unerforschte Angriffsvektoren auf. Veröffentlicht auf der IEEE CNS 2025.
Unsere Kernkompetenz: das SOC, jetzt auch für Fahrzeuge
Yekta IT baut und betreibt seit Jahren Security Operations Center für Betreiber kritischer Infrastrukturen. In FINESSE haben wir dieses Wissen aus dem OT-SOC-Umfeld in die Fahrzeugwelt übertragen.
An Bord aggregiert und korreliert ein Security Event Center (SEC) die Meldungen einzelner Sensoren und erlaubt schnelle lokale Reaktionen. Im Backend laufen die Daten in einem Vehicle Security Operations Center (VSOC) flottenweit zusammen, angereichert um VATT&EK-Klassifikation und Bedrohungsinformationen. Die AUTOSAR-Ereignisformate erweitern wir um forensische Felder wie Regel-ID, Schweregrad und Konfidenz und definieren erstmals strukturell kompatible Formate für den Bahnbereich. DSGVO-konforme Pseudonymisierung ist von Beginn an Teil des Modells.
Für Betreiber heißt das: Angriffe und Anomalien werden über eine ganze Flotte hinweg sichtbar, eingeordnet und nachvollziehbar dokumentiert, ohne den laufenden Betrieb zu stören.
Demonstratoren: vom realen Bauteil zum erlebbaren Angriff
Wir haben reale Fahrzeuge, Hardware und Komponenten analysiert und daraus zwei Demonstratoren gebaut.
YekCar bildet die Sicherheitsarchitektur eines vernetzten Autos ab: echte Steuergeräte, CAN- und UDS-Kommunikation, OBD-II-Schnittstelle, ein Angreifer-Dashboard und ein Echtzeit-Monitor des IDS (Intrusion Detection System). Live-Angriffe auf CAN, UDS und Keyless werden ausgeführt und in Echtzeit erkannt.
YekTrain bildet dieselbe Kette für die Schiene ab. Aus der Analyse realer Implementierungen des MVB (Multifunction Vehicle Bus nach IEC 61375, mit der Baureihe 605 / ICE TD als Referenz) entstand ein virtueller MVB-Simulator mit allen neun kritischen Fahrzeugsystemen, eine kompromittierte DMI-Komponente (Driver Machine Interface, die Anzeige- und Bedieneinheit im Führerstand) zum Einspielen gefälschter Sicherheitstelegramme, ein MVB-IDS zur Erkennung und ein Rail-SOC mit Echtzeit-Visualisierung.
Beide Demonstratoren haben wir öffentlich gezeigt, unter anderem auf der Nationalen Konferenz IT-Sicherheitsforschung 2025 und dem IT-Sicherheitstag NRW.
Live auf einem echten Zug: das Advanced TrainLab
Im Advanced TrainLab (aTL) der DB Systemtechnik haben wir unser Monitoring auf einem fahrenden Fahrzeug gezeigt.
Wir greifen die MVB- und CAN-Kommunikation des Zuges rückwirkungsfrei ab und übertragen sie per UDP an einen abgesetzten RailPC. In diesen Transportpfad haben wir manipulierte MVB-Telegramme eingespielt und so Angriffe erzeugt, ohne den sicherheitskritischen Fahrzeugbus zu berühren. Unser MVB-IDS erkannte die Angriffe und meldete sie an das SEC, im Rail-SOC liefen die Ereignisse zentral zusammen. Die Kette von der Erkennung bis zur Lagedarstellung lief live auf einem realen Fahrzeug. Unterstützt haben uns die DB Systemtechnik, die Universität Passau und unser Konsortialpartner INCYDE.
Rückwirkungsfreiheit ist im Bahnbetrieb Pflicht. Erkennungssysteme dürfen sicherheitsrelevante Feldbusse nicht beeinflussen. Diese Anforderung haben wir auf einem echten Zug erfüllt.
Was bleibt
Die Ergebnisse aus FINESSE fließen in die Standardisierung, in reale Bahnplattformen wie das Advanced TrainLab und in unsere tägliche SOC- und Beratungsarbeit ein. Straße und Schiene profitieren voneinander: Erkennungsmuster aus dem Automotive-Bereich schärfen die Bahn-Überwachung und umgekehrt.
Dank an das BMFTR für die Förderung und an unsere Partner DB Systemtechnik, ETAS, Fraunhofer SIT, INCYDE und Universität Passau für dreieinhalb Jahre Zusammenarbeit.
Publikationen aus dem Projekt
- VATT&EK: Formalization of Cyber Attacks on Intelligent Transport Systems. A. R. Yekta, D. Spychalski, E. Yekta, C. Yekta, S. Katzenbeisser. ACM CSCS 2023. https://doi.org/10.1145/3631204.3631867
- UDS Attack Taxonomy: Systematic Classification of Vehicle Diagnostic Threats. A. R. Yekta, N. Loza, J. Gramm, M. P. Schneider, S. Katzenbeisser. IEEE CNS 2025. https://doi.org/10.1109/CNS66487.2025.11195020
- From ECU to VSOC: UDS Security Monitoring Strategies. A. R. Yekta et al. SECURWARE 2025. https://doi.org/10.48550/arXiv.2510.25375
- Towards a Holistic and Multi-Modal Vehicle Security Monitoring. A. R. Yekta, D. Spychalski, C. Yekta, M. Heinrich, C. Krauß, S. Katzenbeisser. (Springer LNCS, Link folgt.)
- Vehicle Threat Matrix: https://vehicle-threat-matrix.com/
Alle Ergebnisse im Detail stehen in der FINESSE-Abschlussbroschüre.