 Okay, herzlichen Dank für die Einleitung. Es freut mich, dass so viele Leute draus, dass vielleicht ungewissene Vortrags am Kongress hier in den Saal 3 gefunden haben. Der Vortrag hat im Vorjahr schon ein bisschen Staub aufgewirbelt. Ich habe schon besorgte E-Mails erhalten. Und man hat mir auch geflüstert, dass Vertreter von Siemens in diesem Rahmen hier anwesend sein sollen. Ich fürchte, ich werde euch und alle Anwesen enttäuschen. Also ich werde hier nicht die Smoking Gun präsentieren und auch nicht zeigen, wie man Züge hackt. Aber ich werde versuchen, oder der Grund, warum ich diesen Vortrag halte, ist eigentlich zweierlei. Einerseits möchte ich ein bisschen Verständnis vermitteln über die Technik, die heute benutzt wird, um die Eisenbahn sicherer zu machen. Heckerkultur ist für mich auch so ein bisschen verstehen, wie Technik funktioniert. Und das werde ich versuchen, hier in diesem Vortrag rüberzubringen. Ich denke mal, dass die Sicherungstechnik eine Domäne ist, wo die wenigsten im Raum hier viel Verständnis davon haben. Die meisten, ich vermute, das zum ersten Mal hören. Und da denke ich mal, dass auch die Techniker an sich schon mal eine spannende Angelegenheit ist. Und zum zweiten, dazu komme ich den ganzen Ende des Vortrags. Wir stehen zur Zeit vor einer großen Revolution in der Eisenbahn Sicherungstechnik. Wir gehen weg von geschlossenen, in sich geschlossenen Systemen, die von einem Hersteller geliefert wurden, hin zu mehr offenen Systemen, hin zu mehr Funk-Kommunikation, was natürlich auch das Risiko für Zuverlässigkeit und für Angriffe drastisch erhöht. Und ich denke, dass wir als Security-Community auch hier in diesem Bereich in der Zukunft Antworten liefern werden müssen. Gut, ich muss mal beginnen mit dem üblichen Disclaimer. Also, nicht, dass nicht funktioniert hier. Was ist denn jetzt wieder passiert? Also, ich hacke keine Züge. Ich rufe das so nicht auf. Und ich hätte das auch wenig Verständnis, aber die Sicherungsanlagen sind tatsächlich sicherheitskritische Einrichtungen und sozusagen, dass der Eingriff darin kann, kann wirklich Menschenleben fordern. Daher sollte man hier sehr mit Bedacht, mit diesem Thema vorangehen. Gut, ich habe mir überlegt, wie ich den Vortrag aufbauen soll. Ich möchte historisch vorgehen. Ich möchte im Wesentlichen mal beginnen mit den von den Anfängen der Eisenbahn bis heute unter euch ein bisschen näher bringen, was damals getan wurde, um das Reisen mit der Bahn sicherer zu machen. Die 1. Eisenbahn vorhin in Deutschland am 7. Dezember 1835 auf dem Zug in einem kurzen Stück zwischen Nürburgring führt. Aber es war immerhin am Anfang. Damals hat man sich nicht allzu viele Gedanken gemacht über die Sicherheit an sich, weil es gar wenige Züge und die Geschwindigkeit war relativ gering. Das hat sich alles drastisch geändert. Spätestens zu dem Zeitpunkt, wo man die Zugdichte erhöht hat, und die Züge, die auf den Gleisen gefahren sind und auch die Geschwindigkeit erhöht hat, hat sich gedanken machen müssen, wie kann ich den trotz eines erhöhten Zugverkehrs einen sicheren Bahnbetrieb gewährleisten? Vielleicht noch als Vorbemerkung, ein Zug kann nicht so, wie ihr das vielleicht vom Autogewohnszeit auf Sicht fahren, wegen der deutlich geringeren Reibung zwischen Rad und Schiene, sprich, wenn ein Lokführer ein Signal oder ein Hindernis erkennen würde, dann wäre es de facto bereits zu spät. Das heißt, man muss, bevor ein Zug stattfinden kann, alle Voraussetzungen schaffen, damit der Zugfahrt auch sicher über die Bühne gehen kann. Und die Idee, die man so im Mitte des 19. Jahrhunderts letztlich hatte, war, die des Fahrens im Zeitabstand, man hat gesagt, okay, wir stellen Fahrpläne auf, die möglichst einzuhalten sind und die Fahrpläne sind eben so konstruiert, dass kein Umfällen kommt, sprich, dass die Züge sich nicht begegnen auf freier Strecke usw. Wenn es dann doch mal Abweichungen vom Regelbetrieb gab, hat man so Pufferzeiten eingeführt, man hat gesagt, okay, ein Zug darf in einem anderen, in einem gewissen Zeitabstand folgen, z.B. 10 Minuten, das hat ja den Grund, dass wenn ein Zug liegen bleibt, dann kommt der Zugführer des anderen Zugs, den Zug noch decken mit Signalen und man muss sich auch vor Augen halten, das war eine Zeit, wo es kein Telefon gab, es gab kein Telefon, es gab keine Telegraphie, es gab keine Möglichkeiten, dass die einzelnen Bahnen miteinander kommunizieren. Insbesondere konnte man auch weitere Züge nicht ankündigen, nicht, weil es gab keine Kommunikationsmöglichkeit. Und daher hat man Signale an Zügen benutzt, fahnen aufgezogen auf den letzten Wagen, hat Scheiben von hinten angehängt um sozusagen den nächsten Zug noch mitzuteilen. Da kommt den Zug nach. Man hat dann später auch zur optischen Telegraphie gegriffen. Wir wissen vielleicht, Klochapé hat zwar im 18. Jahrhundert Frankreich überzogen mit einem System von optischen Telegrafenstationen. Das waren im Prinzip kleine Häuser, wo oben so Signalmaske aufgebaut waren, die Häuser waren besetzt und die Werte mussten sozusagen das Nachbarhaus beobachten und die Signale, die sie erhalten haben, auf ihrem Signalmask reproduzieren. Und das hat sich auch diesen Mann zu Nutzer gemacht, mit solchen Kreuzflügel und z.B. Züge angekündigt. Übrigens ist es ein Bild der österreichischen Kaiserpfleger Nordbahn. Man hat gesehen, um 1900 herum war das doch im Einsatz. Wir haben eine Lokführer gewarnt, wenn irgendwas kritisch war. Man hat die wesentlichen Streckenwärter gehabt, dass sie in einem kleinen Häuschen gewohnt haben und die mussten dem Lokführer die Faktor anzeigen, ob die Strecke frei ist mit der Fahne, die mussten sich rausstellen und mussten die Faktor mit teilen. Z.B. wenn ein Zug durchgefahren ist, mussten sie sich 10 Minuten hinstellen und im Wesentlichen das Langsamfahrtssignal geben, um eben einen Nachfolg im Zug zu wahren, ein Hä, langsam fahren, die Strecke ist noch belegt. Das hat sich alles erst geändert durch eine Erfindung eines Ingenieurs von Siemens, nämlich Karl Frischchen, der hat so um 1871 herum eine Erfindung gemacht, die die Eisenmann-Sicherungstechnik revolutionieren sollte. Er hat nämlich das sogenannte Blockfeld erfunden. Das ist ein Blockfeld. Für Informatik ist das eigentlich leicht erklärt. Ein Blockfeld ist ein Automat mit zwei Zuständen. Er kann dem Zustand geblockt sein und dem Zustand endblockt und jeweils zwei von diesen Automaten sind ein paarweise geschaltet. Das ist so ein Blockfeld in einem Bahnhof und ein weiteres Blockfeld im anderen Bahnhof. Wenn das eine Blockfeld geblockt ist, ist das andere im Zustand endblockt und umgekehrt. Und wenn ein Fahrersleit in einem Bahnhof sein Blockfeld bedient, sprich, blockt, wird automatisch das Blockfeld im anderen Bahnhof endblockt. Sprich, man konnte damit letztlich ein Bit an Informationen übertragen. Und insbesondere auch zwei Geräte synchronisieren. Sprich, Frischchen hat er schon eigentlich das vorweggenommen, dass die Informatik unter dem Thema Mutex vielleicht 100 Jahre später neu erfunden hat. Wie sieht so ein Blockfeld aus? Ich habe hier eine Artbildung hereingegeben. Sein Blockfeld hat eine Blocktaste oben und hier rechts. Da sieht man es leider auch, dass auf diesem Bild nicht, gibt es eine kleine Kurbel. Erinnert euch, es gab damals keinen Strom. Sprich, man hat das Signal übertragen, indem man die Blocktaste heruntergedrückt hat und indem man diese Kurbel gedreht hat, um Mittelsinduktion schon zu produzieren. Sprich, um Mittelsinduktion schon zu produzieren. Um eben dieses eine Bit an Informationen zwischen den beiden Bahnhöfen hin und her zu ermitteln. Und diese Erfindung hat zum ersten Mal es ermöglicht, wegzugehen von diesem fehleranfälligen Fahren im Zeitabstand, hin zu dem Konzept, dass eigentlich alle Eisenbahnen Mittel Europas inzwischen anwenden. Nämlich dass die fahren im Raumabstand. Da ist die generelle Idee die folgende. Wir haben eine Strecke ein, insofern die Abschnitte ein Blockabschnitte. Und diese Blockabschnitte werden der Hauptsignale gedeckt. Und ich erzwinge den Grundsatz, dass in jedem Blockabschnitt sich zu jedem Zeitpunkt nur ein Zug befinden darf. Und dem Lockführer zeige ich im Prinzip an, ob der nächste Abschnitt frei ist, indem ich an den Rennen dieser Abschnitte, jeweils ein Hauptsignal aufstelle. Das Hauptsignal zeigt an, dass der nächste Blockabschnitt belegt ist oder nicht, ob er einfahren darf oder nicht. Diese Signale gibt es in mechanischer Ausführung oder in der moderneren Lichtsignalausführung. Die mechanische Ausführung war schlichtweg ein Flüge, der so waagrecht montiert war und den er mit einem Seilzug in die Schräge nach oben ziehen konnte. Die neuen Signale sind ganz einfach Lichtsignale, die entweder rote oder grüne Landen zeigen. Ich habe vorhin schon erwähnt, dass ein Lockführer nicht auf Sicht fahren kann. Dementsprechend, wenn er so ein Signal sieht, ist es bereits zu spät. Ich muss ihm etwas davor noch anzeigen, wie das nächste Signal stehen wird. Und genau das macht das so eine Vorsignal, dass das Vorsignal steht im Bremswegdistanz vor dem entsprechenden Hauptsignal und zeigt die Stellung des nächsten Hauptsignals an. Auch da gibt es wieder eine mechanische Ausführung und eine Lichtsignalausführung. Eine mechanische Ausführung ist so eine orange Scheibe, die man nach hinten wegklappen kann, während die Lichtsignalausführung zeigt zwei orange bzw. zwei grüne Lichter. Ein Lockführer, der ein Vorsignal sieht, dass Halt zeigt, weiß, er muss bereits jetzt zu Bremsen beginnen, damit er sicher vor dem nächsten Blocksignal steckt. Also, wenn ich euch schon mal gefragt habe, wenn der Zug fährt und der Zug irgendwie so völlig unmotiviert zwischen zwei Bahnhöfen auf der Schlecke stehen bleibt, dann war das vermutlich ein Blockabschnitt, weil eben der Abschnitt davor belegt war. Bitte. Aber die Frage, wie groß ein Blockabschnitt ist, in der Regel ist das Bahnhofsdistanz. Auf keinen Strecken ist das von Bahnhof zu Bahnhof. Auf größeren Strecken sind die Distanzen zwischen den Bahnhöfen nochmals unterteilt in kleinerer Abschnitte. Gut, und die Sicherungsanlage hat jetzt im Wesentlichen den Zweck, diesen Grundsatz dass es in jedem Blockabschnitt zu jedem Zeitpunkt einen Zug befinden darf und die Sicherungsanlage muss weiter garantieren, dass sämtliche Bedingungen für eine sichere Zugfahrt möglich sind. Sprich, dass die Strecke frei ist, dass hinten kein weiterer Zug nachfolgt und dass kein Zug von der Seite her in den Fahrweg eindringen kann. Und dieses Konzept wird realisiert über sogenannte Fahrstraßen. Man verknüpft sämtliche Weichen und sonstigen Einrichtungen, die man noch dafür braucht. Das ist logisch in sogenannten Fahrstraßen. Bevor man ein Signal freistellen kann, muss man sich eine Fahrstraße einstellen. Erst wenn diese Fahrstraße gesichert ist, erst dann und alle Bedingungen erfüllt sind, erst dann kann ich das Signal freistellen und kann eine Zugfahrt durchgefüllt werden. Die Sicherungsanlage macht nichts anderes als die Abhängigkeiten zwischen Weichen, Fahrstraßen und Signalen garantieren. Damit eben alle Weichen so richtig liegen, dass eben keine Gefährdung stattfinden kann. Welche Bedingungen sind das? Im Wesentlichen sind das, ich habe jetzt mal willkürlich zwei herausgegriffen, um sie ein bisschen näher zu erleitern. Eine Bedingung, die man gewährleisten muss, ist der Flankenschutz. Nimm wir mal an, hier dieses schwarze Zug möchte aus dem Bahnhof ausfahren. Da steht gerade vor dem Signal. Und der Blockabschnitt geht von diesem Ausfahrsignal hier bis zu dem nächsten Blocksignal hier. Und was muss ich garantieren? Na ja, ich muss garantieren, dass hier kein weiterer Zug steht. Es darf nicht passieren, dass in diesem Abschnitt bereits noch was eben belegt ist. Und ich muss auch garantieren, dass ich hier seitlich noch ein weiterer Zug hier oben sozusagen hineinfahren kann. Sprich, den Fahrweg tangieren kann, den ich eingestellt habe. Das nennt man Flankenschutz. Das redet man dadurch, dass man diese Weiche, die hier oben im Gegengleis eingebaut ist, dass man die sozusagen in die gerade festlegt und eben physikalisch nicht möglich ist, was man noch garantiert, ist meistens der Durchrutschweg. Das ist das Problem, dass wenn ein Lokführer nicht unmittelbar vor dem Signal stehen bleibt, sondern vielleicht zu spät reagieren und ein bisschen rüber hinausrutscht, dann garantiert man sozusagen, fügt man zur Fahrstrasse auch noch ein Stückchen der Strecke hinzu, die der Zug gar nicht mehr befahren würde, aber potenziell befahren könnte. Das ist der Durchrutschweg. Wir haben wieder als Illustration eine Fahrstrasse eingefahren ist. Es gibt eine Fahrstrasse. Die Fahrstrasse ändert sozusagen hier, wo dieser rote Strich aufhört. Zur geilen Zeit möchte ich den Zweiter Zug einfahren. Ich muss sozusagen diese Fahrstrasse kreizen und auf das untere Geist zu kommen. Das wäre zum Beispiel eine Bedingung, die eine Sicherungsfrage ausschließen würde, weil sozusagen die Zugfahrt würde hier sozusagen diesen Durchrutschweg tangieren. Dementsprechend kann ich diese beiden parallelen Einfahrten nicht stellen. Gut, all diese Basisprinzipien, die übrigens also mehr als 100 Jahre alt sind, werden umgesetzt in Sicherungsanlagen. Die ersten Anlagen, die man historischerweise installiert hat, waren solche mechanische Stellwerke. Das waren im Wesentlichen Sicherungsanlagen, bei denen man die Signale und die Weichen mit stärtigen Hebeln gestellt hat. Ich muss sich vorstellen, an all diesen Hebeln hingen eine Drahtleitung dran. Die Drahtzug ging hinaus zur Weiche, ging hinaus zum Signal, um die, indem man diesen Hebel zu einem Physium gestellt hat, hat man die Weiche bewegt oder hat das Signal freigestellt. Bereits diese sehr relativ primitiven mechanischen Stellwerke haben es erlaubt, Fahrstrasse einzustellen, Fahrstrasse festzulegen und zu sichern. Und all diese Dinge wie Flankenschutz, Ausstoßgefährterfahrten, ist bereits sozusagen mechanisch implementiert gewesen in diesen Systemen. Ich möchte mal ganz kurz vorführen, wie so etwas funktioniert. Ich hoffe, wir kriegen das hin. Gibt es hier jemand, einer Techniker, der sich auskennt? Bitte? Nicht Ali auf einmal, genau. Ist hier jemand noch eine Technik? Kann mir jemand helfen? Ich bin ja Informatiker. Nein, lass mal das. Fenster nach rechts schieben. Das ist gut. Also, das hat eine Simulationsanlage, sondern der Eisennamer Tripsfeld. Das ist im Wesentlichen eine Modellbahnanlage, die man mit echten Stellwerken steuern kann. Das wird benutzt für Lehrveranstaltungen. Also wenn sie beim Baunschnerwesen studiert und die Vertiefung im Gebiet Verkehr macht, dann macht man die Übungen in diesem Anlage. Die Deutsche Bahn benutzt sie auch, um Schulungen durchzuführen. Und wir haben mal hier, ich zeige mal hier einen kurzen Ausstatt aus einem Film, der im Wesentlichen zeigt, wie so eine Sicherungsanlage bedient wird in dieser mechanischen Welt. Also alles beginnt im Wesentlichen damit, dass der Fallensleiter findet, dass es Zeit ist, dass ein Zug ausfahren soll. Erstens ist immer okay, wir müssen Zugmeldung machen, sprich, dass die Bahnhof darüber informieren, dass ein Zug kommt, natürlich klassisch mit dem Siemens Ober 33, in den Teilen gemacht wird. Es gibt eine vorgeschriebene Wortlaut, sprich, ich sage, okay, Fahrleitensleiter Wilhelmstahl, in diesem Fall Zugmeldung, Zug so und so, ab in Wilhelmstahl, voraussichtlich um und die Uhrzeit. Gegenüber bestätigt mir das und wir verbuchen das Ganze im Zugmeldepuch, damit nachher auch dokumentiert ist, was letztlich gefahren ist. Dann können wir im Wesentlichen beim Fenster hinaus schauen, also wir sitzen irgendwo in einem erhöhten Stellwerk und wir müssen schauen, ob die Fahrstrasse frei ist. Wenn die Fahrstrasse frei ist, sprich nicht besetzt von Zügen ist, dann können wir die Fahrstrasse einstellen, sprich, wir können sämtliche Weichen umlegen, die eben benötigt werden und man sieht tatsächlich, die Weichen auf der Modellbahn laufen ebenfalls um. Sobald das Geschehen ist, müssen wir wiederum aus dem Fenster schauen und wiederum uns vergewissern, ok, liegen die Weichen richtig, ist der Fahrwerk immer noch frei, es könnte sein, dass es inzwischen etwas passiert ist. Wenn das der Fall ist, können wir die Fahrstrasse festlegen. Das geschieht, indem wir einen Hebel nach oben ziehen. Also für jede Fahrstrasse, die ich einstellen kann, gibt es einen so einen kleinen Hebel und dieser Hebel kann ich nur dann ziehen, wenn sämtliche Weichen in der richtigen Lage waren. Und diese Hebel mechanisch blockiert. Und das heißt aber auch, es gibt nur diese Fahrstrasse, die vorgesehen sind, also andere Einfahrten gibt es nicht. Gut, man sieht auch, wenn man jetzt noch versucht, die Weichen wieder umzustellen, das geht nicht, sprich, das ist tatsächlich mechanisch blockiert. Sobald ich eine Fahrstrasse eingestellt habe, kann ich die Weichen, die ich brauche, nicht mal zurücklegen. Macht Sinn, nicht? Sonst könnte ich vielleicht eine Weiche unter dem Zug umlegen. Okay, dann könnte man probieren, das Signal zu ziehen, Signalhebels sind immer rot, aber tatsächlich, man sieht, das Signalhebel blockiert immer noch, sprich, irgendeine Bedingung ist immer noch erfüllt, damit, sozusagen, eine sichere Zugfahrt gewässert sein kann. Und der Grund liegt daran, dass wir die Fahrstrasse zwar mechanisch festgelegt haben, aber wir haben sie nicht elektrisch festgelegt. Es gibt hier auf diesem Blockwerk gibt es auch eine elektrische Fahrstrasse, Festlegung, die man ebenfalls noch betätigen muss. Ja, das hat den Sinn, oder so mal so. Die kann ich nur dann mehr auflösen, wenn eine Zugfahrt stattgefunden hat. Sprich, das ist der Punkt of no return. Wenn ich sozusagen hier diesen Hebel nach unten bewege, heißt das, ich habe mich festgelegt, dass ein Zug auf eine Fahrstrasse ausfahren muss. Wenn das nicht passiert, kann ich die Fahrstrasse nicht mehr auflösen. Und wenn ich das gemacht habe, kann ich tatsächlich diesen unteren Fahrstrassehebel, der jetzt hier nach oben steht, nicht mehr zurücknehmen. Dann ist auch der blockiert. Aber ich schaffe es jetzt, das Signal freizustellen, weil alle Bedingungen sind erfüllt für eine sichere Zugfahrt. Tatsächlich, okay, hier folgt jetzt der Zug ausfahren. Leider Gott, das ist es auf dem Video nicht zu sehen. Sobald das geschehen ist, wird die mechanische Festlegung herausfallen. Die elektrische Festlegung herausfallen. Ihr habt es gesehen, dass die Fahrstrasse nicht mehr auflösen kann. Wir können im Folgen das Signal wieder zurücklegen. Der Signal geht auch wieder auf Halt. Und wir können den Streckenblock bedienen, also ein Blockdass, der unterdrückend kurbeln. Damit zeigen wir, dass wir uns dann gegenüberahmen. Aha, Zug ist auf der Strecke. Und wir können von unserer Seite aus keinen weiteren Zug ausfahren lassen, wenn nicht, wie die Bestätigung vom anderen Bahnhof erhalten haben, dass das Zug eben vollständig angekommen ist. Das illustriert so ein bisschen die Technik, wie sie immer noch in sehr grosser Stückzahl vorhanden ist in Deutschland. Man glaubt es kaum, aber das ist tatsächlich noch so. Auf Nebenbahnen ist das noch Gang und Gebe. Auf Hauptstrecken kaum mehr. Fallen wir nur ein paar ein, aber auf Nebenbahnen ist das noch sehr viel ganz zu treffen. Bitte? Ja, also die meisten Anlagen, die es noch gibt, zählen genauso aus. Ja. Nein, das ist gar nicht. Das ist Technik, die hat 100 Jahre funktioniert. Ja, und das funktioniert auch noch. Ich meine, wenn Sie dort einen PC hinstellen würden, müssen Sie den nach 10 Jahren wieder ersetzen, nicht? Ich meine, diese Dinge, die halten 50 Jahre. Okay. Bedienen habe ich gerade kurz gezeigt. Ich möchte noch ganz kurz drauf eingehen, wie das sozusagen implementiert wurde. Wie man diese Ausschlüsse implementiert hat. Damals in einer ganz simplen Art und Weise. Es gibt den Verschlusskasten. Der Verschlusskasten enthält Stahlstangen. Und zwar horizontal und vertikale Stahlstangen. Die vertikalen Stahlstangen hängen an diesen Hebeln, an den weichen Hebeln dran. Wenn ich die Hebel bediene, heben und senken sich diese Stahlstangen. Während die horizontalen Stangen hängen an diesen Fahrstrassehebeln, an diesen kleinen Hebeln und diese Stangen haben Widerhaken, wie man hier so schön sieht. Und wenn sozusagen eine weiche Fall steht, dann schlägt die Metall auf Metall auf. Ich kann den Hebel nicht bedienen. Ich kann den Hebel erst dann bedienen, wenn sämtliche Bedingungen erfüllt sind. Und wenn das der Fall ist, dann greift dieser Widerhaken über diese Stange drüber und hält sie fest. Dementsprechend, sobald der Fahrstrassehebel verschoben ist, ungelegt ist, kann ich auch die Weiche nicht mehr zurückstellen. Man muss sich überlegen, dass es für alles Technologie nicht so 100 Jahre alt ist. Man hat damals schon mit sehr einfachen Mitteln extreme Szykulationsprobleme lösen können. Historisch gesehen, dass die nächsten Entwicklungen eine elektromechanischen Stellwerke machen. Da ist im Wesentlichen alles die Logik, ist die gleiche. Der einzige Unterschied ist, dass die Weichen elektrisch ferngestellt werden, und es ist genau so, wie man hier rechts bewegt. Der Rest ist immer noch ziemlich gleich. Der nächste größere Innovationsstufe kam erst um 1950 mit den Drucktasten-Stellwerken. Da ist die Idee, die folgende, der Bediener, der Vereinsleiter hat im Wesentlichen ein Gleisbild eines Bahnhofs vor sich und kann sämtliche Elemente, sprich Weichen, Signale und so weiter durch Drucktasten bedienen. Und zwar immer mit zwei Händen. Hier muss immer eine Gruppentaste drücken und die entsprechende Taste, die das Element, die er bedienen möchte, ganz einfach auszuschließen, dass irgendwelche Fehlhandlungen durch Zufall passieren. Und der Bildzeitung ausbreitet über den Stellwerkstisch, dann soll er nicht irgendwelche Handlungen durchführen, die er nicht will. Neuigkeit ist, hier haben wir bereits eine Gleisfrei-Meldung, sprich, das System zeigt uns an, ob ein Gleis frei ist oder nicht. Wir müssen nicht nur aus den Fenster schauen wie vorhin, aber auch aus der roten Ausleuchtung, ob die Streike frei ist oder nicht. Auch hier habe ich wieder ein kleines Video aus unserem Betriebsfeld vorbereitet. Ich hoffe, ich, man sieht schon, das ist etwas moderner schon, der Stellwerk, also wie gesagt, Gleisbild-Stellwerk eines kleinen Bahnhofs. Fadensteiter kommt zum Dienst, sperrt auf, also steckt seine Bedienschlüssel ein hier und da kommt dann die Zugmeldung, die ist mal auf einem etwas moderneren Telefon. Aber im Prinzip läuft das genauso aus, wie bei diesem alten Stellwerk, was wir vorhin gesehen haben. Da kommt sozusagen den Zug abgemeldet, vom letzten Bahnhof trägt das ein, das Zugmeldepuch und wird dann beginnen, die Fahrstrasse oder die Leichenzustellung, die Fahrstrasse einzustellen. Das ist deutlich einfacher, wie man sieht, die Kraft benötigen und auch einige Handlungen, das sind deutlich vereinfacht. Stellt jetzt die Weichen, wenn man die Weichengruppentaste drückt und die entsprechende Taste der Weiche. Man sieht, die Weiche sozusagen, wie das Bedienfeld blinkt und sobald die Weiche umgelaufen ist, zeigt es Dauerlicht und jetzt wird die Fahrstrasse eingestellt und zwar wieder um 2-Punkt-Bedienung vom Signal oder Zug einfahren soll und das gleiche, dort steht 13 Zug. Sobald der Zug einfährt, werden diese Elemente von links nach rechts kommen hier rot, weil das System weiß, auf welcher Position gerade ein Zug sich befindet. Die Zugfahrt geht hier in das oberste Gleis hinein. Man sieht ja auch sehr schön, wie ganz oben die Rodeausleuchtung kommt, nicht hier, wird jetzt gleich rot, genau jetzt ist rot geworden und das zeigt die Fallseite an, dieser Gleis ist tatsächlich belegt. Sobald der Zug im Bahnhof ist, können wir jetzt einen Rückblock geben. Wir können unseren Gegenüber anzeigen, der Zug ist vollständig hier, das hat er jetzt gemacht. Dieser Blockanzeiger hier, dieses kleine Pfeilchen, wechselt von Rot auf Weiß, zeigt, die Anstrecke ist frei. Das war es, wir wollen den Zug weiter schicken im nächsten Bahnhof. Wir haben die nächste Fahrstrasse eingestellt, wiederum von Signal in das entsprechende Gleis. Hier haben wir die Besonderheit, dass hier noch ein Bahnwirkang im Bahnhof befindet, der automatisch zu läuft. Um Autofahrer vor sich selbst zu schützen, muss der Bahnseite dann auch noch beim Fenster hinaus schauen, ob ein Auto eingekämpft ist und wenn nein, kann er den Bahnwirkang entsprechend auf Grün, das war frei, und Zug kann abfahren, und was wir auch wieder gleich sehen werden, ist, auch hier bekommen wir, sozusagen, mittels Rotausleuchtung angezeigt, wie weit der Zug bereits gekommen ist. Und auch hier, das System hat automatisch vorgeblockt, sprich, dieser kleine Pfeil ist wieder rot geworden, sprich, zeigt an die Streitgerichtung zum nächsten Bahnhof ist belegt. Bitte. Das sind isolierte Gleisstücke im Wesentlichen. Also, die Technik funktioniert im Wesentlichen so, dass man Abschied des Gleises isoliert und Spannung anlegt oder ein gewisses Signal anlegt. Und sobald ein Zug drüber fährt, gibt es einen Kurzschluss zwischen den beiden Schienen, und ich kann das Signal wieder dektieren. Auch ganz simple Technik, auch relativ alt inzwischen. Gut, das war im Wesentlichen die Drucktaste, man sieht schon, deutlich einfacher zu bedienen, einige Handlungen wurden automatisiert, auch von diesem gibt es noch sehr, sehr viele im Einsatz. Das war im Prinzip standard Technik, bis in die frühen 80er Jahre gab es de facto ausschließlich mechanisch, elektromechanisch und wertige Drucktasten-Stellwerke. Also mehr als 1.500 damals im Gesamtnetz der Deutschen Bundesbahn. Man sieht schon, für große Bahnen, das ist sehr unübersichtlich, das ist der Stelltisch, das Bahnhof Darmstadt-Hauptbahnhof, der füllt schon die ganze Wand aus. Also die Bedienung erfolgt dann auch nicht mehr direkt an dem Stelltisch, sondern gibt es noch eine kleine Bedienkonsole, wo man mittels Zifferneingabe die entsprechenden Handlungen durchführen muss. Also auch hochgradig komplex. Technisch realisiert das, ist das alles mittels Relais, sprich die gesamte Bahnhof-Slogan, die dahinter steckt, ist mit ausfallssicheren Relais modelliert. Sprich, das kann man auch noch sehen, diese modernen Stellwerke sind meistens in so hohen Gebäuden eingebaut. Oben sitzt der Fallensgleiter und das gesamte Gebäude darunter ist im Wesentlichen voll mit der den Signalrelais. Ein Relais hat so etwa diese Größe, man muss sich vorstellen, man braucht 100 davon, damit man diese Logik irgendwie abbilden kann. In der Mitte der 80er-Jahre hat man erkannt, dass das vermutlich nicht mehr standard Technik ist und dass man schwierige Satzteile bekommt als für große Bahnhofes sehr sehr behebig geworden ist, sprich man wollte zu einem Stellwerkskonzept übergehen, dass etwas moderner ist und auch etwas leistungsfähiger ist. Das war der Zeitpunkt, wo man erstmals über elektronische Stellwerke nachgedacht hat. Stellwerke, die rechnergesteuert sind, die in Deutschland relativ spät erst in Betrieb gingen, erst 1988, aufgrund der hohen Sicherheitsstandards, die man letztlich gefordert hat. Genauso ausfallsicher ist wie die alte Technik. Und das hat natürlich damals die Ingenieure vor durchaus schwierige Probleme gestellt. Hier oben seht ihr im Wesentlichen die Bedienkonsole einer solchen elektronischen Stellwerks. Sieht ähnlich aus wie das Drucktasten-Stellwerk, also auch dort hat der Fallensleiter ein Geistbild vor sich und bedient jetzt nicht mehr mit Drucktasten, sondern klickt mit der Maus auf die entsprechenden Elemente hin, die umstellen möchte, nämlich dem Drucktasten-Stellwerk. In den letzten Jahren ist die Zahl der ESTVs also drastisch gewachsen. 2008 gab es 220 Stück im Netz der TV und inzwischen geht man auch davon über diese Elektronischen Stellwerke auch fernzusteuern. Sprich man besetzt sie nicht mal örtlich, sondern man fasst sie zu größeren Stellbereichen zusammen, die dann eben ferngesteuert werden. Zum Beispiel Bayern wird noch nicht mehr ausführen gesteuert. Wie sieht so ein ESTV jetzt im Wesentlichen aus? Das hat im Wesentlichen drei Ebenen, drei Komponenten, die man unterscheiden kann. Es gibt den Außenbereich, die ganz unten dargestellt, es gibt die ESTV-Zentrale und es gibt oben die Elemente des Bedienraums. In der ESTV-Zentrale steht im Wesentlichen der Bedien- und Anzeigerechner, der letztlich um dieses Rechname ins Eck kiere, wo ich die Abkürzung immer vergesse, um diese beiden Recher zusammen erhalten Stellbefehle, und zwar über das Bedienplatz- Rechner, da sind die Recher, die dann vor Ort beim Fahrungsleiter stehen und diese Befehle werden auf Konsistenz geprüft, auf Zuverlässigkeit geprüft und dann über ein Stellwerksbus in den Außenbereich übertragen. Jeder Bereich, das kann Bahnhof sein, das kann aber auch ein Teil eines Bahnhofs sein, hat einen so einen Bereichstellrechner, der neben mit dieser ESTV-Zentrale verbunden ist und von dort geht in Sternförmige Verkabelung jeweils ein Kabel zu allen Weichen, zu allen Signalen usw. Hier sind noch ganze Kupferbergwerke verbaut. Es gibt wirklich ein Kabel von diesem Bereichstellrechner zu jedem Element. Bei der Bedienung gibt es im Wesentlichen zwei Ansichten. Es gibt die Bereichsübersicht, mit der großen Anzeige eines gesamten Bahnhofs und es gibt auch die sogenannte Looper, wo man sich ganz speziell gewisse Bahnhofteile nochmal anschauen kann und ganz genau sehen kann, wie steht die Weiche, welches Signalbild wird gerade gezeigt und so weiter. Wenn das ESTV ferngesteuert ist, gibt es diesen Bedienplatzrechner nicht. Stattdessen kommen die ganzen Bestelltefehle aus einer Betriebszentrale von extern der im Wesentlichen die Authentifikation und die Integrität und die Vertraulichkeit der Kommunikation gewährleistet. Dazu aber auch noch später ein paar Worte. Man hat relativ viele Sicherheitsmechanismen eingeführt, also Sicherheit im Sinne von Safety. erste Ws sind redundant ausgefühlt, wie es die Tarte-Redondanz üblicherweise arbeiten zwei oder sogar mehr Rechner parallel, um den Ausfall von Komponenten hinnehmen zu können. Dann wird die ganze Sache verglichen auf Konsistenz und nur wenn das Ergebnis konsistent ist, wird der Befehl tatsächlich ausgeführt. Man stellt sich hohe Anforderungen an die Crux-Heter-Software, sprich man möchte garantieren durch systematisches Testen, dass nur 10 nach minus 9 bis 10 nach minus 8 kritischer Fehler pro Stunde auftreten und man benutzt inzwischen auch Softereondanz. Ein Hersteller hat so ein System implementiert, wo sozusagen ein Stellrechner, Stellbefehle generiert und dann auf den europäischen Systems auf Konsistenz. Also auch hier versucht man, indem man Software diversifiziert, möglichst Softwarefehler zu minimieren. Ein ganz wichtiger Punkt war die sichere Darstellung, weil der Vereinsleiter eines solchen Bahnhofs kann er de facto nicht bloß den Fenster schauen, sprich er muss sich darauf verlassen, dass das Bild, was er auf seinem Rechner bekommt, tatsächlich correct ist. Das war früher bei den Reuenmotoren ein echtes Problem, da konnten Drähte reißen und es war nicht mehr rot. Dementsprechend hat man sehr komplexe Verfahren, um zu garantieren, dass das Bild, was der Fallseiter bekommt, auch tatsächlich das korrekte ist. Man hat zum Teil zwei Grafikkarten benutzt und dann perulisch umgeschaltet zwischen diesen beiden Bildern und sozusagen wenn dann eine Grafikkarte ausgefallen wäre oder ein Kabel gerissen wäre, hätte der Fallseiter das unmittelbar gesehen anhand eines Flackerns im Bild. Was man also heute macht, ist, dass man das Bild vom Bildschirm gleich mit dem Bild das eigentlich sozusagen dargestellt werden soll. Da wird viel Aufwand getrieben und es ist auch der Grund, warum diese Geräte extrem teuer sind, weil das ist alle Sonderanfertigungen. Aber in Prinzip Ausfallsicherheit ist da noch natürlich sehr gut implementiert. Natürlich gibt es eine ausfallsichere Stromversorgung, sprich Batteriesysteme oder Notstromaggregate und selbst wenn es tatsächlich mal einen Ausfall der Stromversorgung gibt es auch noch ein Zugnotprogramm. Sprich, alle diese Bereichstellrechner haben den Fahrplan gespeichert und können, sofern sie keine Befehle mehr sozusagen von außen bekommen, autonom für eine gewisse Zeit sozusagen den Zugverkehr abwickeln, sofern der Zugverkehr eben noch korrekt sozusagen, also sofern es keine Verspätigung uns weiter gibt. Das hält in etwa eine Stunde. Danach muss der Stellwerkort besetzt werden. Es muss jemand hinfahren, physikalisch fortgehen und das System wieder in Betrieb nehmen. Also das ist alles ist auch der Grund, warum es dann doch hin und wieder mal Signalstrahlung gibt. Also das Gut, aber das ist ein Bild einer solchen Außenanlage, also auch diese Hütten sprießen auch aus dem Boden neben der Bahn ist ja vielleicht auch schon mal aufgefallen, wenn der Zug fährt. Die Datenübertragung wird entsprechend gesichert, intern gibt es einen Bus, um die ganzen Daten zu ermitteln zwischen den einzelnen Rechnern. Dieser Bus ist zweikanalig, sprich es werden die gleichen Stellbefehle auf zwei Kanälen übertragen und auf Konsistenz geprüft und erst, wenn sozusagen auf beiden Kanälen der gleiche Befehl kam, nimmt man an, okay, dieser Befehl ist korrekt übertragen worden und damit ausgeführt. Exakt Datenübertragung zwischen Betriebszentrale und grötlichen ESDWs geschieht in der Regel zur Zeit noch über eigene Lichtwellenleiter, die die Deutsche Bahn betreibt die im wesentlichen Neben der Bahn vergraben sind. Inzwischen geht man aber auch dazu über öffentliche Netze zu benutzen weil es aus kosten Gründen nicht mehr so ökonomisch ist, tatsächlich ein eigenes Kommunikationsnetz zu betreiben und dieses Netz, dieses öffentliche Netz wird dann durch eine so eine Security Gateway gesichert. Es ist leider nichts so einfach Informationen über diesen Security Gateway zu bekommen es ist ein Gerät, das Siemens herstellt man weiß nur so viel, dass dieses Gerät eine von Siemens entwickelte Schifferei benutzt, nahmens SCA 45 dies zwar BSI zertifiziert aber ich werde trotzdem meine Hand nicht ins Feuer legen dafür. Gut, aber im wesentlichen ESDWs funktionieren relativ gut und haben drastisch zur Kosten der Spanis im Bahnverkehr beigetragen. Gut, bis jetzt haben wir eigentlich uns nur überlegt naja, wie ich Signale ansteuere nicht sozusagen, wie ich garantiere dass ein Signal nur dann ein Freistellung Gerät, wenn alle Bedingungen erfüllt sind aber ich habe mich bis jetzt immer noch verlassen darauf, dass der Lokführer die Signale beachtet sprich vor einem halbzeigenden Signal stehen bleibt ja und auch sonst die Signale eben wahrnehmen dummerweise ist das nicht immer der Fall ja, also das man hat gesehen in der Vergangenheit gab es viele Unfälle dadurch, dass schlichtweg Lokführer die Signale nicht beachtet haben und da hat man schon in den 30er Jahren begonnen Zugbeeinflussungsanlagen zu installieren die letztlich das Ziel haben sollen das Verhindern von Signalüberfahrungen ja und das in Deutschland gängige Systeme nennt sich INDUSI Induktive Zugsicherung oder auf neu deutsch pzb.familie Zugbeeinflussung das könnt ihr ja auch sehen, wenn ihr mal die gelben Kästen, die hier neben einem Signal am Gleis montiert sind diese Kästen sind nichts anderes als die Schwingkreise die wenn sie angeregt werden ein Feld einer gewissen Frequenz generieren und der Lokomotive jeder Lokomotive hat ein Detektor und kann eben so zu sagen delekthieren ob sie jetzt gerade über so einen Induzimagneten drüber gefahren ist oder nicht und ob der jetzt gerade in Betrieb war oder nicht, also ich kann im Prinzip mit diesem Ding zwischen der Strecke und der Lok ja, wir sind ja in Berlin Berlin ist ein bisschen anders die S-Pan-Berlin nutzt ein anderes Zugsicherung-System mit so einem Fahrsperren es wird einigen vielleicht auch schon aufgefallen sein also alle die heute abends mit S-Pan nach Hause fahren Hausaufgabe die Fahrsperre besichtigen in Resling sind das so dreiecksförmige Gebilde die ebenfalls neben dem Signal stehen und liegen das in der Lichtraum sozusagen der Bahn hineinreichen und wenn tatsächlich eine S-Panger-Nature über das Signal drüberfahren würde dann würde dieser Teil hier mechanisch an einem anderen Teil reiben der des Triebwagens und dadurch mit der Zwangsbremsung ausgelöst ja, und sobald der Signal auf Freistät klappt dieser dreiecksförmige Teil nach hinten weg es kann wunderschön sein wenn man sich mal hinstellt zum Signal und wartet bis das Signal von Rodolf Grün übergeht dummerweise ist es nicht da bereits zu spät nicht weil sobald sozusagen ein Signal überfahren ist braucht die Lok abhängig von der Geschwindigkeit durchaus relativ lang um zum Stehen zu kommen und daher verbaut man heute nicht nur einen in Dusikmangelien sondern bis zur Drei davon und zwar einen an einem Hauptsignal der gibt 2000 Hertz einen an einem Vorsignal mit 1000 Hertz und einen in der Mitte mit 500 Hertz und sobald sozusagen die Lok über diese Mangelien drüber fährt er zwingt ein Stück Software eine so nette Bremskurve sprich die Software garantiert dass binnen 23 Sekunden nach dem Belektieren dieser 1000 Hertz dieses 1000 Hertzfeldes der Zug maximal 85 kmh mehr schnell ist und maximal 65 kmh am 500 Hertz Magneten und so weiter und so weiter sprich sozusagen punktförmig wird die Geschwindigkeit des Zugs überprüft und dann immer so ein Signal belegtiert wird und sobald es eine Abweichung davon gibt sprich wenn ein Lokführer wieder beschleunigt oder sich eben nicht an die Bremskurve hält immer dann gibt es eine Zwangsbremsung und das garantiert dass sozusagen in der Regel ein Zug tatsächlich bei einem roten Hauptsignal vor einem Hauptsignal zu stehen kommt oder maximal ein bisschen drüber hinaus rutscht aber das ist mit dem Durchrutschweg den ich vorhin beschrieben habe ohne hinabgedeckt soweit zur Theorie leider Gottes gibt es nicht überall in Deutschland Zugsicherungsanlagen also im besten Deutschland ist es der Faktor welchen Leckentfahrenden im Osten leider noch nicht und wir haben mussten leider die Konsequenz der fehlenden Zugsicherung dieses Jahr im Jänner erfahren einige von euch werden Sie vielleicht noch erinnern am 29.01. kam es auf der Stärke zwischen Ausschussleben und Halberstadt zu einer frontalen Kollision einem Güterzug und einen Personenzug mit dem Resultat dass also 10 Donussopfer zu beklagen waren was war geschehen in der Nähe von Hordorf wird die eigentlich 2 gleisige Strecke eingleisig aus Richtung Roschesleben kam der Personenzug 8086 also Richtung Halberstadt der Güterzug 6912 die Fahrstrasse war für den Personenzug eingestellt also Hordorf hat genauso wie ich Sie vorhin auf dem Video gesehen habe so ein viel viel kleineres hat eben nur 2 Fahrstrasse der Fallslat in Hordorf hat tatsächlich korrekterweise die Fahrstrasse für den Personenzug eingestellt sprich das Signal A war auf Fahrt und die Weiche B1 war richtig in der Ablenkung gestellt während das Signal B für den Güterzug war auf Halt ebenfalls korrekt dummerweise hatte Lokführer von diesem Zug 61192 sowohl das Vorsignal VB als auch das Blocksignal B überfahren aus welchen Grund wissen wir nicht dummerweise gab es dort eben keine Zugssicherung das Resultat war dass beide Züge in der Nähe von der Überleitstelle Hordorf frontal kollidiert sind das Eisenbahn mit Bundesamt also die genauer die Eisenbahn und Untersuchungsstelle des Bundes ist nicht übrigens ein Paradebeispiel von Transparenz man kann sämtliche Untersuchungsberichte des Eisenbahnbundes auf diesen Homepage runterladen also wenn jemand das nachlesen möchte das sind alle unverfügbar und der Bericht hält fest, aufgrund der vorliegenden Kenntnis ist davon auszugehen, dass die Ursache der Verbeifahrt an dem Vorsignal Halt erwarten und Blocksignal B Halt und letztlich der Zug-Kollision in den menschlichen Fehlhandeln begründet ist und so weiter auszugehen, dass man in einer Streckens- und Fahrzeugseitigen-Zugweinfluss-Einrichtung das Ereignis nicht eingetreten wäre das wäre die Konsequenz einer fehlenden Zug-Sicherung tatsächlich ist es so, dass auf Strecken die mit maximal 100 kmh befahren werden bis heute der Zug-Sicherung nicht vorgeschrieben ist also sprich die DB hat sich im Prinzip korrekt verhalten aber inzwischen wird auch dort eine BZB nachgerüstet nicht als Konsequenz aus diesem Unfall man muss natürlich dazu sagen, dass bereits sozusagen vor dem Unfall bereits Auspobläne vorhanden waren der Grund legt sich durch darin, dass der deutsche Reichsbahn in den letzten Jahren als Bestehenskammer investiert hat und es einen gewaltigen Rückstau an Investitionen letztlich gab gut, das wäre sozusagen Stand der Technik wie er jetzt vorhanden ist ich möchte in den letzten paar Minuten immer noch bleiben ein bisschen die Zukunft blicken schauen, ok welche Neuerungen werden sich auf dem Gebiet der Sicherungswesen ergeben und welche Gefahren werden da noch entstehen das heiße Thema zur Zeit in dem Gebiet ist ETCS Zug-Sicherungslagen haben sich in der Vergangenheit national entwickelt sprich, jedes Land hat ihre eigenen Systeme entwickelt das hat zur Folge, dass wenn heute ein Zug grenzbescheid fahren möchte, dass er die Zug-Sicherung-Systeme jedes befahrenden Landes sozusagen implementieren muss was natürlich letztlich ein Hemnis für den internationalen Personen- und Güterverkehr darstellt das hat die EU-Kommission erkannt und hat schon Anfang der 90er-Jahre begonnen die Harmonisierung der Sicherungsanlagen voranzutreiben in Europa und das Resultat ist eben ETCS parallel dazu wird auch oder wurde auch ein Mobilfunksystem eingeführt namens GSMR das erlauben soll zwischen Lokführer und Fallsleiter zu kommunizieren und dass man auch benutzen wird in Zukunft um Stellbefehle und um kritische Informationen zu übertragen einige sagen jetzt schon oh je es ist nicht ganz so schlimm, bis ich es anhör dazu komme ich auch noch später es gibt 3 Levels von ETCS Level 1 ist im Wesentlichen Weiterführung des Stands der Technik es gibt nach wie vor Signale ein Instrument zwischen Zug und Strecke es gibt eine klassische Gleisformelle und immer noch ein Stellwerk also das ist alles das was heute eigentlich bei einem Medikronenstellwerk auch schon vorhanden ist das ist nichts Neues mit dem Unterschied dass das eben europaweit harmonisiert sein soll Interessante wird Level 2 da verzichtet man auf Signale wie das kann hin und wieder mal noch Signale geben aber in der Regel gibt es keine mehr die Information ob eine Strecke die wird dem Lokführer unmittelbar auf den Führerstand übertragen und zwar mittels GSMR es gibt immer noch ein Stellwerk dass die Gleisformellung sich erstellt das garantiert dass eben ein Blockabschiff frei ist und so weiter aber da wird kein Signal mehr angesteuert sondern der Stellwerk schickt die Befehle anders als die Radio Blockcenter dieses Radio Blockcenter überträgt die nötige Information unmittelbar für den Drittfahrzeugführer unmittelbar in seinen Führerstand das ist das Level was jetzt im Prinzip schon langsam ausgebaut wird also die großen Neuberstrecken da schon in Österreich werden inzwischen mit ETCS Level 2 ausgeschafft es gibt auch ein Level 3 Level 3 ist absolute Zukunftsmusik da geht man sogar von diesem alte Wertenkonzept der Blockabschnitte weg und sagt ok ich garantiere zu jedem Zeitpunkt mein Zug ist vollständig sprich es kann nicht passieren der ist immer vollständig es sollte immer ohnehin nicht passieren aber trotzdem und ich habe keine Blockabschnitte mehr ich habe keine Signale mehr ich habe keine Geistfreimellung mehr schlichtweg ich weiß durch Ballisen wo sich der Zug befindet und ich kann sozusagen on the fly ausrechnen wann ich den nächsten Zug schicken darf damit es zu keiner Kollision kommt das ist Level 3 volliger Zukunftsmusik gibt es keines anders dafür weil man mit Level 2 schauen also massive Schwierigkeiten hat ich möchte noch jetzt komme ich langsam zu meinem eigenen Fachgebiet ich möchte noch ganz kurz ein paar Worte zur Sicherheit von ETCS verlieren da habe ich jetzt verschwiegen es gibt neben der punktverbegenden Zugbeinflussung auch noch die Linienzugbeinflussung namens LZB das geht schon ein bisschen in die Richtung ETCS Level 2 bis zu einem gewissen Grad dort verzichtet man auf und dem Lokführer wird im Führerschein angezeigt wo zu sagen, wie weit die Strecke frei ist sprich wie schnell er maximal fahren darf das ist auf allen schnell versteigenden Darstands verbaut sobald ein Zug mehr als 160 kmh schnell ist ist es vorgeschrieben dass die Strecke, wo er fahren kann mit LZB ausgestattet ist aber auch das ist eine nationale Entwicklung die sich bewährt hat und von der man natürlich auch nicht so gern weggehen möchte weil man gewaltige Investitionen bereits gedichtet hat zum Thema ETCS ich habe schon erwähnt Kommunikation im Geschiedswidels GSMR das haben schon einige gesagt oh je, oh je, GSM also man hat immerhin ein bisschen aus dem Desaster von GSM gelernt man hat immerhin die Sicherheit erhöht indem man die Teile von GSM entsorgt hat die komplett gebrochen sind also A5 wird nicht mehr benutzt man hat stattdessen eine Authentifikation sämtliche Nachrichten eingeführt diese Nachrichten basieren auf Triple Des also im Prinzip naja, ich meine Triple Des ist okay der NIST nimmt an, dass das bis 2030 sicher ist da würde ich sagen kann man wenig vorbeifermachen das sind ja diese auch schon älter das ist nicht so, dass der gestern geschrieben wurde und tatsächlich läuft zwischen dem COLLR und dem COLLEE voll ab zur Authentifikation das ist im Wesentlichen so, er beginnt mit einer Zufallzahl zu schicken der COLLEE antwortet mit ebenfalls mit der Zufallzahl RA und die Nachricht ist dann über einen MAC also über eine Message Authentication Code authentifiziert und dieser MAC basiert auf einem Session Key das ist DSS hier DSS basiert letztlich auf den beiden Zufallzahlen die da ausgetauscht wurden im ersten Teil vergessen Sie mal DSL Authentifikationsschlüssel sprich, jede Lokomotive in jeder Stripfahrzeug die eine EDTA Strecke befahren muss einen summatischen Schlüssel besitzen und das Eisenbahnverkehrsunternehmen wo diese Lok unterwegs ist musste diese Schlüssel auch kennen jetzt haben wir nicht zwei Probleme das erste ist wenn man das Sammelt genau liest steht aber dort okay in der Regel sind alle Nachrichten authentifiziert aber high priority data das mittet unreliably and non safely also alles was sicherlich kritisch ist wie Haltaufträge wird davon ausgenommen weil man vermutlich die Zeit nicht investieren möchte sozusagen diesen MAC zu brechen sondern den Haltauftrag unmittelbar verschicken möchte ob das gut ist oder nicht wird sich letztlich zeigen ob das ein einfaches Dorf für den Adolf-Service-Angriff letztlich wird oder nicht das viel größere Problem ist dass der Schlüssel tauscht wenn man diesen Standort sich anschaut erwartet man ja dass irgendwann einmal etwas kommt zum Thema Austausch der Schlüssel leider gottes Fehlanzeige alles was sanitisiert ist ist was die Autoren offline key distribution genannt haben und was vermutlich so ablaufen soll in die deutsche Bahn irgendwo in einem Büro und im PC stehen hat wo Schlüssel generiert werden die Schlüssel werden vielleicht bei Diskette an der ÖB verschickt und irgendwann mal per Laptop in ein Fahrzeug für den nächsten Wartungsarbeit initiiert das ist übrigens nicht zu weit von der Realität entfernt da habe ich noch mal schon ganz bemerkend also es ist insgesamt ein Problem wenn ein Zug zwischen Starten unterwegs ist dann muss der Schlüssel ja tatsächlich beiden EUs bekannt sein das sind jetzt sieben zwei Optionen vor entweder jedes Fahrzeug besitzt einen Schlüssel der in allen Domänen gültig ist oder hat pro Domäne einen Schlüssel dann wird die Fremddomäne den Schlüssel generieren und ihn an die Heimatdomäne übertragen wie man die Schlüssel ausdauschen in sichere Art und Weise über die Bühne kriegt gut das bringen wir schon ans Ende ich hoffe ich habe ein bisschen motiviert dass sich in unseren Lagen komplexer werden, digitaler werden dass der Fokus bis jetzt eigentlich eher auf Safety geht und das ist ja auch ein Problem das ist ja auch ein Problem das ist ja auch ein Problem das ist ja auch ein Problem dass der Fokus bis jetzt eigentlich eher auf Safety lag auf Ausfallssicherheit, auf Zuverlässigkeit dass sich das aber zukünftig in Richtung Security verschieben wird weil wir eben Funkkommunikation benutzen die viel viel einfacher angreifbar sein wird es werden neue Bedrohsnarien entstehen man lenke nur an Insider man lenke an das Kidysubition Problem man lenke an Stuxnet man lenke an die Frage, wir werden eigentlich Schlüssel auf den Lok sicher gespeichert aber es wird im Prinzip noch nicht festgeschrieben und ich bin da fest immer zeigen, dass wir hier ein Dialog mit unserer Community wichtig ist damit wir letztlich in der Lage sind auch hier entsprechende Lösungen anzubieten gut das bringt mich schon ans Ende meines Vortages, möchte noch eine kleine Werbung einschalten also das Verriebsfeld, was ihr vorhin gesehen habt betreibt die AK Bahn das ist ein gemeinnütziger Verein und dieses Verriebsfeld kann man auch besuchen es gibt immer wieder mal Tage da auf einer Tür beziehungsweise Führungen wo man auch das Verriebsfeld live erleben kann auch mal Warnsorte spielen kann also wer in der SNH hat kann da durchaus auch mal auf mich zukommen ok, dann vielen Dank für die Aufmerksamkeit und ja, wir haben noch 10 Minuten für Fragen Danke für den Talk es gibt ein Audioengel der wird sich ungefähr dahinten hinter den Kameras befinden alle Frage bitte an den Audioengel gehen da vorne ist er bitte auf die Kameras achten es gibt auch noch ein Signalengel hier d.h. Fragen über Twitter oder IRC sind möglich und damit bitte zur ersten Frage ja, meine erste Frage betrifft eher den Nahverkehr und zwar in Darmstadt da wird ja wo sie herkommen da wird sehr viel mit Infrarot gesteuert die Straßenbahn steuern die Weichen vom Fahrzeug aus mit Infrarot Bahnübergänge werden per Infrarot aktiviert dass sie sich schließen das ist ja auch eine Sicherheitslöcke es ist in der Standardprotokolle die da verwendet werden die man mit Logitech Harmonie aufzeichnen und wieder abspielen können da bin ich da bin ich offenbar überfragt das kann ich aus dem Steg einfach nicht beantworten also Straßenbahn ist ein Thema das mich nie wirklich interessiert hat die kleine Bahn hab ich nicht so interessiert tut mir leid ich müsste mal nachsehen ich hab noch eine Frage zu diesem Indusimagnet sind die irgendwie abgesichert ich meine, das wissen sie nicht aber auf der anderen Seite jede Lok müsste darauf reagieren das heißt also wenn jemand so ein Indusimagneten neben der Strecke verliert hält die Lok an das sind sich alle Sachen das System ist mit Safety-Gesichtspunkten designat worden das System ist 70 Jahre alt wir haben niemand auf die Idee dass es jemand benutzen könnte und umkehren könnte noch eine kleine Frage zu diesen Achskurzschlüssen um zu gucken wo das Fahrzeug sich gerade aufhält könnte man nicht theoretisch einfach eine Eisenstange nehmen und so einen Achskurzschluss induzieren und dadurch dem System vortäuschen dass sich irgendwo Züge befinden wo sich gar keine befinden es geht das Gerücht wenn man weiß wo es ist das Kupferkabel nimmt ein ganz feines und das geeignet um die Kühne legt dass man damit den ganzen Bahn auf Lamm legen kann wenn man weiß wo das Ding entschlägt wie gesagt, gleiche Antwort wie vorhin das System war nie nach Safety nach Security Design das war immer nur das war nie im Fokus und daher kann man nicht erwarten dass das eben ein Problem ist gibt es ETCS Standard Überlegungen zur Interaktion mit den IMSI-Catchern der Polizei der Verfassungsschütze Nein, gibt es nicht aus dem einfachen Grund weil Vertraulichkeit ist kein Thema sprich wir reden immer nur über Integrität der Nachrichten Verschlüsselung an sich spielt keine Rolle im Standard weil man weiß ja ohnehin welche Befehle er bekommt sehe ich ja, wenn ich dort stehe das Protokoll ist im Wesentlichen GSM ja es gibt andere Verquenzen es gibt ein bisschen mehr Ausfallsicherheit aber im Wesentlichen ist es GSM ja der ÖG würde gern wissen zwecks zum Thema Verschlüsselung warum es keine asymmetrische Verschlüsselung zum Einsatz kommt und Zertifikate verwendet werden das ist eine gute Frage, die frage ich mich auch ich kann also ich kann ich kann an der Mutmaßen ich meine, der Standard ist aus den frühen 90er Jahren und damals war in der Industrie noch die Meinung vorherrschend dass asymmetrische Kriptografie böse ist weil sie Platzverbraucht, Stromverbraucht schwierig zu implementieren ist das hat auch gestimmt zur damaligen Zeit gestimmt aber heute nicht mehr und daher ist es mir selbst nicht klar dass sie diesen Weg gewählt hat also ich gehe mal davon aus dass das schlichtweg aus Gewohnheit war die frage die ich stelle hat mir in der Vergangenheit zu tun ist aber gut zum Thema asymmetrische Kriptografie und zwar, ich habe mal gehört dass es vor diesen mechanischen Stellwerken, die gezeigt wurden mit sogenannten Plus- und Minusschlüsseln mich würde interessieren, wie haben die funktioniert die gibt es heute noch auf keine Nebenbahnen sind das Zentralschlösser also jede Weiche hat zwei Schlüssel und zwar einen Plus und eine Minusschlüssel und wenn ich eine Weiche umstelle da muss ich die Weiche versperren und ich kann dann einen diese Schlüssel herausziehen, aber nur einen und wenn ich im Besitz das Plus-Schlüssel bin weiß ich, die Weiche da draußen steht in die Gerade wenn ich im Besitz das Minusschlüssel bin weiß ich, die Weiche steht in die Ablenkung der Schlüssel, den ich habe den sperre ich dann in den Zentralschloss im Wesentlichen ein den führe ich ein und lege um und wenn ich alle Schlösser entsprechend umgelegt habe erst dann wird ein weiterer Schlüssel frei und mit dem Schlüssel kann ich zum Signal gehen und das Signal freistellen auch so ein Synchronisationsmechanismus auch das gibt es immer noch wenn auch auf sehr kleinen Bahnen natürlich, weil das mühsame es niesen nicht aufwandt wenn ich mich in Weiche stellen möchte wenn ich mich in den Zentralschloss und in anderen Rennstecken stecke das finde ich schlecht hier noch eine Frage und zwar, warum verwendet man nicht einfach Einmal Schlüssel? warum verwendet man nicht einfach Einmal Schlüssel? man könnte doch theoretisch jede Lok mit so einem 8 Gigabyte USB-Stick an Random Daten ausstatten und denselben USB-Stick an der Zentrale und dann würde das doch für die nächsten 30, 40 Jahre an Kommunikation ausreichen dass man also Gigabyteweise Random Daten durch die Gegend schickt also die Lösung mittels Public Gigabitografie plus Zertifikaten ist mir die viel sympathischere weil da brauche ich sozusagen keine Randomness generieren man kann die physikalisch austauschen aber was passiert wenn diese CD verloren geht das ist alles Fragen, die man eigentlich lieber nicht haben möchte nicht stellen möchte was im Talk vorgekommen ist man kann sich stellwechselnd Sicherungstechnik was mir ganz abgegangen ist bei kein Trains beheckt viele Bahnverwaltungen sind dazu übergegangen von Zeitintervallwartung und Demantwartung überzugehen indem sie permanent Telemetritaten von den Zügen erfassen und die auch über GSM oder Weimax oder anderen Backhaul übertragen ein Abfallprodukt dieser Technik ist Internetzugang für die Fahrgäste und so wie es einem namhaften Flugzeughersteller passiert ist der auch im Flieger Internet angeboten hat der Wortlaut der Pressemitteilung war damals der Internetzugang für die Fluggäste ist nicht vollständig vom Telemetriesystem des Flugzeuges getrennt ein paar Researcher haben dann irgendwann bei der Engine-Kontrolle aufgehört weiter nachzuschauen das war ihnen dann zu heiß vielleicht ist das auch für den ein oder anderen interessant um mal zu schauen ob man nicht irgendwo beim Zug weiterkommt ja, die Frage ist halt das ist für das eine Sache da würde ich sehr stark davon abraten das kann man vielleicht in einem Hersteller dazu einlädt das mal auszuprobieren kann man das tun aber im laufenden Betrieb würde ich das sehr stark davon abraten so, ich würde sagen jetzt noch zwei weitere Fragen und ich glaube hier war eine hallo, ich habe es mal überschlagen die Ausfallssicherheit der ETSW ist ähnlich der von einem Atomkopf wer kommt das hin also alle so 12,5 bis 125.000 Jahre kann sein, ja und dann noch eine zweite Frage diese Lichtwellenleiter die kann man doch mit verschiedenen Wellenlängen betreiben und dann könnte doch die Bahn wunderbar auf ihrem Lechtenwellenleiternetz noch das Internet beschleunigen physikalisch sauber getrennt man kann vieles, ja gut aber natürlich diese Kabel stellen schon auch ein gewitzes Problem da das hat man ja gesehen vor einem Jahr wieder in Berlin Feuer gelegt wurde unter der Brücke wieder war mal halt Berlin vom Internet abgeklemmt, aber auch natürlich die Eisenbahn hatte über Tage lang Probleme natürlich es gibt schon so eine arabische Punkte wo es tatsächlich Probleme geben kann ja, man weiß wo sie sind so, die letzte Frage ah, es gibt noch eine also das ist mal zum Internet das macht die Bahn auch, die verkauft die Leitungen teilweise oder vermutet sie und zweite Aussage zum Thema Sicherheit man muss doch immer vorstellen dass der Zugriff auf die Schienennetz sehr frei ist also wenn ich da irgendwas anstellen will es ist einfacher wenn ich irgendwo einen Anschlag auf ein Stück Schiene veranstalte anstatt dass ich mich ins Netzwerk einhacke oder da irgendwas probiere das ist natürlich Teil der Security Engineering ich muss mal so zu sagen überlegen welche Angriffsmöglichkeiten gibt es welche Wahrscheinlichkeiten stecken dahinter, wie einfach ist es und natürlich wird ein Angreifer immer den Weg des geringsten Widerstandes wählen keine Frage, daher ist das bis zum Güsten gerade natürlich auch legitim zu sagen solange rund um die Bahn keine großen Zäune gebaut werden macht wenig Sinn da jetzt groß das ist eine Abwägungssache natürlich kann man wieder sagen ok, sobald ich Funk-Kommunikation habe ist das einfacher, da muss ich nicht mal hingehen vor Ort, da kann ich sozusagen eine Antenne aufstellen und kann irgendwas tun damit ich glaube schon dass es hier auch eine neue Qualität der Angriffe ermöglicht, die wir jetzt nicht so sehen bei trotzdem fahre ich immer noch sorglos bahn also ich möchte keine Horror-Szenarien verbreiten noch mal vielen Dank für den sehr interessanten Vortrag Dankeschön