IT-Sicherheit: Berliner Verkehrsbetriebe ziehen Klage gegen BSI zurück

Die BVG erkennt nun doch an, eine kritische Infrastruktur im Sinne des Gesetzes zu unterhalten und entsprechende Schutznachweise erbringen zu müssen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 45 Beiträge

(Bild: DeffiSK CC BY-SA 4.0)

Von
  • Stefan Krempl

Die Berliner Verkehrsbetriebe (BVG) lenken im Streit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) über die Pflicht zum Nachweis der bestmöglichen Absicherung gegen Cyberangriffe ein. "Wir haben diesen Donnerstag dem BSI eine Liste mit 23 Mängeln geschickt und damit den Anforderungen Genüge getan", erklärte BVG-Chefin Eva Kreienkamp dem Tagesspiegel. Das Nahverkehrsunternehmen sei "falsch abgebogen", sodass ein Umsteuern nötig geworden sei.

Stein des Anstoßes: Die BVG verstand sich bislang nicht als Betreiberin einer besonders sensiblen kritischen Infrastruktur (Kritis) im Sinne des BSI- und des IT-Sicherheitsgesetzes. Sie wollte so vermeiden, Melde- und Zertifizierungspflichten sowie Mindeststandards einhalten und IT-Sicherheitskonzepte vorlegen sowie pflegen zu müssen.

Kritis-Betreiber sind laut dem BSI-Gesetz gehalten, angemessene organisatorische und technische Vorkehrungen nach dem Stand der Technik zu treffen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu vermeiden. Über ihre einschlägigen Aktivitäten sollen sie das BSI informieren. Die BVG wollte sich in diesem Bereich keine Vorschriften von der Behörde machen lassen und klagte daher im Oktober gegen Auflagen durch das BSI vor dem Verwaltungsgericht Köln.

Nach massiver Kritik auch aus dem Berliner Senat steuerte Kreienkamp dem Bericht zufolge im Februar um. Die BVG engagierte demnach von sich aus die Berliner IT-Sicherheitsfirma HiSolutions, um sich im Security-Bereich auf den Zahn fühlen zu lassen. Maßstab der sechswöchigen Prüfung sollen dann doch die BSI-Vorgaben gewesen sein.

Die Experten fanden laut Kreienkamp 22 "geringfügige" IT-Sicherheitsprobleme sowie "eine schwerwiegende Abweichung". Dabei habe es sich aber nicht um ein technisches Problem gehandelt, sondern um ein organisatorisches im Sinne von "wer kontrolliert wen". Weitere Details zur Mängelliste wollte die Managerin der Zeitung zufolge nicht nennen, weil sonst potenzielle Angreifer Rückschlüsse auf die Sicherheitssysteme der BVG ziehen könnten.

Sobald das BSI den Empfang des vertraulichen Prüfberichts schriftlich bestätige, werde die BVG ihre Klage in Köln zurückziehen, kündigte Kreienkamp an. Damit sei in der kommenden Woche zu rechnen. Die IT-Sicherheitsbehörde erklärte gegenüber der Zeitung, die Nachweisunterlagen erhalten zu haben. Sie würden nun "im üblichen Verfahren durch das BSI auf Vollständigkeit und Geeignetheit geprüft". Man begrüße den Schritt grundsätzlich.

Laut einer dem BSI-Gesetz angegliederten Rechtsverordnung von 2016 gelten Verkehrsbetriebe als Kritis, die jährlich mindestens 125 Millionen Fahrgäste befördern. Auf ihrer Webseite führt die BVG zwar aus, jährlich über eine Milliarde Fahrgäste zu befördern. Der öffentlich-rechtliche Konzern stellte sich gegenüber dem BSI aber zunächst auf den Standpunkt, nur 30 Millionen Kunden pro anno zu haben, sodass ihn die gesetzlichen Bestimmungen nicht beträfen. Der Unterschied sollte sich daraus ergeben, dass bei der genannten Milliarde "Fahrten" gemeint seien, nicht individuelle Nutzer.

Mit dem IT-Sicherheitsgesetz 2.0 will die Bundesregierung die Meldepflichten auf Unternehmen ausdehnen, die "von besonderem öffentlichem Interesse sind", weil ihr "Ausfall oder ihre Beeinträchtigung zu erheblichen volkswirtschaftlichen Schäden" oder zu einer Gefährdung für die öffentliche Sicherheit und Ordnung führen könnten. Friedrich-Wilhelm Menge, Chief Information Officer der BVG, hatte diesen Ansatz schon 2019 kritisiert und gemahnt, die tatsächliche erzielte Sicherheit in ein "gesundes Verhältnis zum Aufwand" zu stellen.

Bereits die bestehenden Regeln belasteten die Industrie laut einer Studie mit über einer Milliarde Euro, obwohl die Regierung von neun Millionen ausgegangen sei, gab Menge zu bedenken. Über die bei der BVG eingerichteten Meldekanäle für IT-Sicherheitsvorfälle sei bis dato nur eine Information eingegangen, die eine "Fehldatenverarbeitung" verhindert habe.

(tiw)