BVG: Lieber ungeschützt im Nahverkehr

In einem Streit mit dem BSI definiert sich die BVG als klein, um unsicher bleiben zu dürfen. Das ist kleinkariert und absurd.

Ein IMHO von veröffentlicht am
Eine U-Bahn der BVG.
Eine U-Bahn der BVG. (Bild: Betexion/Pixabay)

Die Berliner Verkehrsbetriebe (BVG) halten laut ihrer Selbstbeschreibung "die Hauptstadt am Laufen, an 365 Tagen im Jahr, zu jeder Tages- und Nachtzeit". Bei einem Ausfall würde Berlin also stillstehen. Klingt eigentlich nach kritischer Infrastruktur (Kritis), die besonders geschützt werden muss.

Stellenmarkt
  1. Inhouse SAP Teamleiter (m/w/x)
    über duerenhoff GmbH, Raum Heidelberg
  2. Java-Entwickler (m/w/d)
    BWS Consulting Group GmbH, Wolfsburg, Hannover, Dortmund
Detailsuche

Genau das will die BVG aber nicht sein und streitet sich seit nunmehr zwei Jahren mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) um die Definition. Dabei will sie augenscheinlich keine höheren Sicherheitsanforderungen erfüllen - und sich vom BSI offensichtlich keine Vorschriften machen lassen. "Es geht ums Prinzip", sagte BVG-Sprecherin Petra Nelken dem Tagesspiegel.

Es ist ein Trauerspiel und schon etwas absurd, wenn ausgerechnet der größte Berliner Betreiber des öffentlichen Nahverkehrs, der sonst bei jeder Gelegenheit betont, wie wichtig er ist, keine kritische Infrastruktur sein will - prinzipiell.

Dabei passt die obige Selbstbeschreibung der BVG relativ gut zur Definition von kritischer Infrastruktur: Es sind dies "Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden." Wie könnte also der selbsternannte "Herzschlag Berlins" keine kritische Infrastruktur sein?

Wegen kleinkarierter Zahlenspiele will die BVG keine Kritis sein

Golem Karrierewelt
  1. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    11.-13.10.2022, Virtuell
  2. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    29.08.-01.09.2022, Virtuell
Weitere IT-Trainings

Die BVG stützt ihre Argumentation auf Zahlen. Denn selbst wenn die Kritis-Definition zutrifft, müssen die jeweiligen Betriebe oder Organisationen bestimmte Schwellenwerte überschreiten, um auch wirklich als Kritis zu gelten. Diese hochproblematische Regelung führt dazu, dass beispielsweise viele kleine Wasser- oder Abwasserversorger keine kritische Infrastruktur sind. Entsprechend einfach war es 2018, Steuerungen solcher Betriebe offen im Internet zu finden.

Im Streit zwischen BVG und BSI geht es um die Anzahl der beförderten Fahrgäste. Der Schwellenwert zur kritischen Infrastruktur sind 125 Millionen Fahrgäste pro Jahr. Die BVG befördert laut eigenen Angaben "jährlich über eine Milliarde Fahrgäste". Eigentlich ein klarer Fall.

Doch Fahrgäste sind nicht gleich Fahrgäste: Denn die BVG zählt nach Angaben von BVG-Sprecherin Nelken nur die Fahrten, nicht die Fahrgäste. Ein Fahrgast könne allein in einer Woche 20 Fahrten mit verschiedenen Verkehrsmitteln der BVG absolvieren. Das mag stimmen, aber warum wirbt die BVG selbst dann mit dem Begriff Fahrgäste?

Eines ist jedenfalls klar: Es ist ein Armutszeugnis, sich mit solchen Zahlenspielen vor einer Kritis-Einstufung zu drücken, die ohnehin schon viel zu hoch angesetzt ist.

Höhere Sicherheitsauflagen und mögliche Strafen

Doch der BVG dürfte es vor allem um die Vermeidung höherer IT-Sicherheitsauflagen und saftiger Strafen bei Verstößen gehen. Was die Sache nicht weniger absurd macht. Laut BSI müsste die BVG "angemessene Vorkehrungen zur Vermeidung von Störungen [...] ihrer informationstechnischen Systeme, Komponenten und Prozesse" nach dem "Stand der Technik" treffen - und diese gegenüber dem BSI nachweisen. Beispielsweise durch Sicherheitsaudits und Berichte.

Nach zähem Ringen mit dem BSI stellte die BVG im April 2018 Daten zu zwei Anlagen zur Verfügung, allerdings ohne eine Rechenschaftspflicht anzuerkennen. Im August 2019 kamen zwei weitere hinzu. Um welche Anlagen es sich dabei handelte, wollten BVG und BSI auf Nachfrage des Tagesspiegels nicht sagen. Jedenfalls reichen die Daten dem BSI nicht aus.

Der BVG gehe es auch darum, Bußgelder abzuwehren, gibt Petra Nelken zu. Bei Verstößen gegen das BSI-Gesetz müssen Betreiber von kritischer Infrastruktur bis zu 100.000 Euro zahlen. Statt ihre IT auf den Stand der Technik zu bringen, möchte die BVG offensichtlich durch die Nichtanerkennung Strafzahlungen entgehen.

Nun streiten sich BSI und BVG vor dem Verwaltungsgericht Köln. Auch das könnte laut dem Tagesspiegel sehr teuer werden: Die BVG habe die international tätige Wirtschaftskanzlei Taylor Wessing als Prozessbevollmächtigte engagiert. Als regelmäßiger BVG-Kunde sehe ich das Geld besser in die IT-Sicherheit der BVG investiert.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


TW1920 28. Jan 2021

Habt ihr euch wohl jemand unfähigen ins Haus geholt und einfach mal alles ohne drüber...

MountWalker 26. Jan 2021

Ich würde die Leute, die wegen sowas gar nicht auf Arbeit erscheinen, für die...

adorfer 25. Jan 2021

Zumindest ist das meine Unterstellung der Motivlage, wenn man die Zusammenarbeit mit dem...

tom.stein 25. Jan 2021

Ich bezweifle, dass die "DB Regio AG S-Bahn Stuttgart in Plochingen" eine Infrastruktur...



Aktuell auf der Startseite von Golem.de
James Webb Space Telescope
Das Weltraumteleskop wird mit Javascript betrieben

Die in der Raumfahrt verwendete Software ist manchmal kurios. Im Fall des JWST wird das ISIM mit Javascript kontrolliert und betrieben.

James Webb Space Telescope: Das Weltraumteleskop wird mit Javascript betrieben
Artikel
  1. Betrug: Wenn die Phishing-Mail wirklich von Paypal kommt
    Betrug
    Wenn die Phishing-Mail wirklich von Paypal kommt

    Die E-Mail stammt von Paypals Servern und weist auf eine unter Paypal.com einsehbare Transaktion hin. Doch hinter E-Mail und Hotline stecken Betrüger.

  2. ADAC-Test: Elektroautos als Zugmaschinen - was bringt's?
    ADAC-Test
    Elektroautos als Zugmaschinen - was bringt's?

    Der ADAC hat den Stromverbrauch von Elektroautos mit Anhängern und Fahrradgepäckträgern gemessen. Gute Noten gibt es dabei keine.

  3. Botnetz: Google blockiert Rekord-DDoS-Angriff
    Botnetz
    Google blockiert Rekord-DDoS-Angriff

    Für einen Kunden konnte Google den größten HTTPS-basierten DDoS-Angriff mit 46 Millionen Anfragen pro Sekunde abwehren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (MSI RTX 3090 Gaming 1.269€, Seagate Festplatte ext. 18 TB 295€) • PS5-Deals (Uncharted Legacy of Thieves 15,38€, Horzizon FW 39,99€) • HP HyperX Gaming-Maus -51% • Alternate (Kingston Fury DDR5-6000 32GB 219,90€ statt 246€) • Samsung Galaxy S22+ 5G 128 GB 839,99€ [Werbung]
    •  /