BVG: Lieber ungeschützt im Nahverkehr

In einem Streit mit dem BSI definiert sich die BVG als klein, um unsicher bleiben zu dürfen. Das ist kleinkariert und absurd.

Ein IMHO von veröffentlicht am
Eine U-Bahn der BVG.
Eine U-Bahn der BVG. (Bild: Betexion/Pixabay)

Die Berliner Verkehrsbetriebe (BVG) halten laut ihrer Selbstbeschreibung "die Hauptstadt am Laufen, an 365 Tagen im Jahr, zu jeder Tages- und Nachtzeit". Bei einem Ausfall würde Berlin also stillstehen. Klingt eigentlich nach kritischer Infrastruktur (Kritis), die besonders geschützt werden muss.

Stellenmarkt
  1. Trainer (m/w/d) für Software-Qualitätssicherung
    imbus AG, Möhrendorf bei Erlangen, bundes­weiter Einsatz
  2. Project Coordinator (all genders) JIS - Supply Chain Management
    Joyson Safety Systems Aschaffenburg GmbH, Aschaffenburg
Detailsuche

Genau das will die BVG aber nicht sein und streitet sich seit nunmehr zwei Jahren mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) um die Definition. Dabei will sie augenscheinlich keine höheren Sicherheitsanforderungen erfüllen - und sich vom BSI offensichtlich keine Vorschriften machen lassen. "Es geht ums Prinzip", sagte BVG-Sprecherin Petra Nelken dem Tagesspiegel.

Es ist ein Trauerspiel und schon etwas absurd, wenn ausgerechnet der größte Berliner Betreiber des öffentlichen Nahverkehrs, der sonst bei jeder Gelegenheit betont, wie wichtig er ist, keine kritische Infrastruktur sein will - prinzipiell.

Dabei passt die obige Selbstbeschreibung der BVG relativ gut zur Definition von kritischer Infrastruktur: Es sind dies "Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden." Wie könnte also der selbsternannte "Herzschlag Berlins" keine kritische Infrastruktur sein?

Wegen kleinkarierter Zahlenspiele will die BVG keine Kritis sein

Golem Akademie
  1. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
Weitere IT-Trainings

Die BVG stützt ihre Argumentation auf Zahlen. Denn selbst wenn die Kritis-Definition zutrifft, müssen die jeweiligen Betriebe oder Organisationen bestimmte Schwellenwerte überschreiten, um auch wirklich als Kritis zu gelten. Diese hochproblematische Regelung führt dazu, dass beispielsweise viele kleine Wasser- oder Abwasserversorger keine kritische Infrastruktur sind. Entsprechend einfach war es 2018, Steuerungen solcher Betriebe offen im Internet zu finden.

Im Streit zwischen BVG und BSI geht es um die Anzahl der beförderten Fahrgäste. Der Schwellenwert zur kritischen Infrastruktur sind 125 Millionen Fahrgäste pro Jahr. Die BVG befördert laut eigenen Angaben "jährlich über eine Milliarde Fahrgäste". Eigentlich ein klarer Fall.

Doch Fahrgäste sind nicht gleich Fahrgäste: Denn die BVG zählt nach Angaben von BVG-Sprecherin Nelken nur die Fahrten, nicht die Fahrgäste. Ein Fahrgast könne allein in einer Woche 20 Fahrten mit verschiedenen Verkehrsmitteln der BVG absolvieren. Das mag stimmen, aber warum wirbt die BVG selbst dann mit dem Begriff Fahrgäste?

Eines ist jedenfalls klar: Es ist ein Armutszeugnis, sich mit solchen Zahlenspielen vor einer Kritis-Einstufung zu drücken, die ohnehin schon viel zu hoch angesetzt ist.

Höhere Sicherheitsauflagen und mögliche Strafen

Doch der BVG dürfte es vor allem um die Vermeidung höherer IT-Sicherheitsauflagen und saftiger Strafen bei Verstößen gehen. Was die Sache nicht weniger absurd macht. Laut BSI müsste die BVG "angemessene Vorkehrungen zur Vermeidung von Störungen [...] ihrer informationstechnischen Systeme, Komponenten und Prozesse" nach dem "Stand der Technik" treffen - und diese gegenüber dem BSI nachweisen. Beispielsweise durch Sicherheitsaudits und Berichte.

Nach zähem Ringen mit dem BSI stellte die BVG im April 2018 Daten zu zwei Anlagen zur Verfügung, allerdings ohne eine Rechenschaftspflicht anzuerkennen. Im August 2019 kamen zwei weitere hinzu. Um welche Anlagen es sich dabei handelte, wollten BVG und BSI auf Nachfrage des Tagesspiegels nicht sagen. Jedenfalls reichen die Daten dem BSI nicht aus.

Der BVG gehe es auch darum, Bußgelder abzuwehren, gibt Petra Nelken zu. Bei Verstößen gegen das BSI-Gesetz müssen Betreiber von kritischer Infrastruktur bis zu 100.000 Euro zahlen. Statt ihre IT auf den Stand der Technik zu bringen, möchte die BVG offensichtlich durch die Nichtanerkennung Strafzahlungen entgehen.

Nun streiten sich BSI und BVG vor dem Verwaltungsgericht Köln. Auch das könnte laut dem Tagesspiegel sehr teuer werden: Die BVG habe die international tätige Wirtschaftskanzlei Taylor Wessing als Prozessbevollmächtigte engagiert. Als regelmäßiger BVG-Kunde sehe ich das Geld besser in die IT-Sicherheit der BVG investiert.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


TW1920 28. Jan 2021

Habt ihr euch wohl jemand unfähigen ins Haus geholt und einfach mal alles ohne drüber...

MountWalker 26. Jan 2021

Ich würde die Leute, die wegen sowas gar nicht auf Arbeit erscheinen, für die...

adorfer 25. Jan 2021

Zumindest ist das meine Unterstellung der Motivlage, wenn man die Zusammenarbeit mit dem...

tom.stein 25. Jan 2021

Ich bezweifle, dass die "DB Regio AG S-Bahn Stuttgart in Plochingen" eine Infrastruktur...

Benutztername12345 24. Jan 2021

Eine der Aufgaben der Presse ist die Einordnung des Geschehens. Welche Kritik gibt es an...



Aktuell auf der Startseite von Golem.de
Waffensystem Spur
Menschen töten, so einfach wie Atmen

Soldaten müssen bald nicht mehr um ihr Leben fürchten. Wozu auch, wenn sie aus sicherer Entfernung Roboter in den Krieg schicken können.
Ein IMHO von Oliver Nickel

Waffensystem Spur: Menschen töten, so einfach wie Atmen
Artikel
  1. OpenBSD, TSMC, Deathloop: Halbleiterwerk für Automotive-Chips in Japan bestätigt
    OpenBSD, TSMC, Deathloop
    Halbleiterwerk für Automotive-Chips in Japan bestätigt

    Sonst noch was? Was am 15. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  2. Whatsapp: Vater bekommt wegen eines Nacktfotos Ärger mit Polizei
    Whatsapp
    Vater bekommt wegen eines Nacktfotos Ärger mit Polizei

    Ein Vater nutzte ein 15 Jahre altes Nacktfoto seines Sohnes als Statusfoto bei Whatsapp. Nun läuft ein Kinderpornografie-Verfahren.

  3. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bis 21% auf Logitech, bis 33% auf Digitus - Cyber Week • Crucial 16GB Kit 3600 69,99€ • Razer Huntsman Mini 79,99€ • Gaming-Möbel günstiger (u. a. DX Racer 1 Chair 201,20€) • Alternate-Deals (u. a. Razer Gaming-Maus 19,99€) • Gamesplanet Anniversary Sale Classic & Retro [Werbung]
    •  /