• IT-Karriere:
  • Services:

BVG: Lieber ungeschützt im Nahverkehr

In einem Streit mit dem BSI definiert sich die BVG als klein, um unsicher bleiben zu dürfen. Das ist kleinkariert und absurd.

Ein IMHO von veröffentlicht am
Eine U-Bahn der BVG.
Eine U-Bahn der BVG. (Bild: Betexion/Pixabay)

Die Berliner Verkehrsbetriebe (BVG) halten laut ihrer Selbstbeschreibung "die Hauptstadt am Laufen, an 365 Tagen im Jahr, zu jeder Tages- und Nachtzeit". Bei einem Ausfall würde Berlin also stillstehen. Klingt eigentlich nach kritischer Infrastruktur (Kritis), die besonders geschützt werden muss.

Stellenmarkt
  1. Ärztekammer Westfalen-Lippe, Münster
  2. Winterhalder Selbstklebetechnik GmbH, Heitersheim

Genau das will die BVG aber nicht sein und streitet sich seit nunmehr zwei Jahren mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) um die Definition. Dabei will sie augenscheinlich keine höheren Sicherheitsanforderungen erfüllen - und sich vom BSI offensichtlich keine Vorschriften machen lassen. "Es geht ums Prinzip", sagte BVG-Sprecherin Petra Nelken dem Tagesspiegel.

Es ist ein Trauerspiel und schon etwas absurd, wenn ausgerechnet der größte Berliner Betreiber des öffentlichen Nahverkehrs, der sonst bei jeder Gelegenheit betont, wie wichtig er ist, keine kritische Infrastruktur sein will - prinzipiell.

Dabei passt die obige Selbstbeschreibung der BVG relativ gut zur Definition von kritischer Infrastruktur: Es sind dies "Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden." Wie könnte also der selbsternannte "Herzschlag Berlins" keine kritische Infrastruktur sein?

Wegen kleinkarierter Zahlenspiele will die BVG keine Kritis sein

Die BVG stützt ihre Argumentation auf Zahlen. Denn selbst wenn die Kritis-Definition zutrifft, müssen die jeweiligen Betriebe oder Organisationen bestimmte Schwellenwerte überschreiten, um auch wirklich als Kritis zu gelten. Diese hochproblematische Regelung führt dazu, dass beispielsweise viele kleine Wasser- oder Abwasserversorger keine kritische Infrastruktur sind. Entsprechend einfach war es 2018, Steuerungen solcher Betriebe offen im Internet zu finden.

Im Streit zwischen BVG und BSI geht es um die Anzahl der beförderten Fahrgäste. Der Schwellenwert zur kritischen Infrastruktur sind 125 Millionen Fahrgäste pro Jahr. Die BVG befördert laut eigenen Angaben "jährlich über eine Milliarde Fahrgäste". Eigentlich ein klarer Fall.

Doch Fahrgäste sind nicht gleich Fahrgäste: Denn die BVG zählt nach Angaben von BVG-Sprecherin Nelken nur die Fahrten, nicht die Fahrgäste. Ein Fahrgast könne allein in einer Woche 20 Fahrten mit verschiedenen Verkehrsmitteln der BVG absolvieren. Das mag stimmen, aber warum wirbt die BVG selbst dann mit dem Begriff Fahrgäste?

Eines ist jedenfalls klar: Es ist ein Armutszeugnis, sich mit solchen Zahlenspielen vor einer Kritis-Einstufung zu drücken, die ohnehin schon viel zu hoch angesetzt ist.

Höhere Sicherheitsauflagen und mögliche Strafen

Doch der BVG dürfte es vor allem um die Vermeidung höherer IT-Sicherheitsauflagen und saftiger Strafen bei Verstößen gehen. Was die Sache nicht weniger absurd macht. Laut BSI müsste die BVG "angemessene Vorkehrungen zur Vermeidung von Störungen [...] ihrer informationstechnischen Systeme, Komponenten und Prozesse" nach dem "Stand der Technik" treffen - und diese gegenüber dem BSI nachweisen. Beispielsweise durch Sicherheitsaudits und Berichte.

Nach zähem Ringen mit dem BSI stellte die BVG im April 2018 Daten zu zwei Anlagen zur Verfügung, allerdings ohne eine Rechenschaftspflicht anzuerkennen. Im August 2019 kamen zwei weitere hinzu. Um welche Anlagen es sich dabei handelte, wollten BVG und BSI auf Nachfrage des Tagesspiegels nicht sagen. Jedenfalls reichen die Daten dem BSI nicht aus.

Der BVG gehe es auch darum, Bußgelder abzuwehren, gibt Petra Nelken zu. Bei Verstößen gegen das BSI-Gesetz müssen Betreiber von kritischer Infrastruktur bis zu 100.000 Euro zahlen. Statt ihre IT auf den Stand der Technik zu bringen, möchte die BVG offensichtlich durch die Nichtanerkennung Strafzahlungen entgehen.

Nun streiten sich BSI und BVG vor dem Verwaltungsgericht Köln. Auch das könnte laut dem Tagesspiegel sehr teuer werden: Die BVG habe die international tätige Wirtschaftskanzlei Taylor Wessing als Prozessbevollmächtigte engagiert. Als regelmäßiger BVG-Kunde sehe ich das Geld besser in die IT-Sicherheit der BVG investiert.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. XFX Radeon RX 6800 QICK319 BLACK Gaming 16GB für 949€)

TW1920 28. Jan 2021 / Themenstart

Habt ihr euch wohl jemand unfähigen ins Haus geholt und einfach mal alles ohne drüber...

MountWalker 26. Jan 2021 / Themenstart

Ich würde die Leute, die wegen sowas gar nicht auf Arbeit erscheinen, für die...

adorfer 25. Jan 2021 / Themenstart

Zumindest ist das meine Unterstellung der Motivlage, wenn man die Zusammenarbeit mit dem...

tom.stein 25. Jan 2021 / Themenstart

Ich bezweifle, dass die "DB Regio AG S-Bahn Stuttgart in Plochingen" eine Infrastruktur...

Benutztername12345 24. Jan 2021 / Themenstart

Eine der Aufgaben der Presse ist die Einordnung des Geschehens. Welche Kritik gibt es an...

Kommentieren


Folgen Sie uns
       


Gocycle GX - Test

Das Gocycle GX hat einen recht speziellen Pedelec-Sound, aber dafür viele Vorteile.

Gocycle GX - Test Video aufrufen
    •  /