• IT-Karriere:
  • Services:

BVG: Lieber ungeschützt im Nahverkehr

In einem Streit mit dem BSI definiert sich die BVG als klein, um unsicher bleiben zu dürfen. Das ist kleinkariert und absurd.

Ein IMHO von veröffentlicht am
Eine U-Bahn der BVG.
Eine U-Bahn der BVG. (Bild: Betexion/Pixabay)

Die Berliner Verkehrsbetriebe (BVG) halten laut ihrer Selbstbeschreibung "die Hauptstadt am Laufen, an 365 Tagen im Jahr, zu jeder Tages- und Nachtzeit". Bei einem Ausfall würde Berlin also stillstehen. Klingt eigentlich nach kritischer Infrastruktur (Kritis), die besonders geschützt werden muss.

Stellenmarkt
  1. Fachhochschule Südwestfalen, Hagen, Soest
  2. KiKxxl GmbH, Osnabrück

Genau das will die BVG aber nicht sein und streitet sich seit nunmehr zwei Jahren mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) um die Definition. Dabei will sie augenscheinlich keine höheren Sicherheitsanforderungen erfüllen - und sich vom BSI offensichtlich keine Vorschriften machen lassen. "Es geht ums Prinzip", sagte BVG-Sprecherin Petra Nelken dem Tagesspiegel.

Es ist ein Trauerspiel und schon etwas absurd, wenn ausgerechnet der größte Berliner Betreiber des öffentlichen Nahverkehrs, der sonst bei jeder Gelegenheit betont, wie wichtig er ist, keine kritische Infrastruktur sein will - prinzipiell.

Dabei passt die obige Selbstbeschreibung der BVG relativ gut zur Definition von kritischer Infrastruktur: Es sind dies "Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden." Wie könnte also der selbsternannte "Herzschlag Berlins" keine kritische Infrastruktur sein?

Wegen kleinkarierter Zahlenspiele will die BVG keine Kritis sein

Die BVG stützt ihre Argumentation auf Zahlen. Denn selbst wenn die Kritis-Definition zutrifft, müssen die jeweiligen Betriebe oder Organisationen bestimmte Schwellenwerte überschreiten, um auch wirklich als Kritis zu gelten. Diese hochproblematische Regelung führt dazu, dass beispielsweise viele kleine Wasser- oder Abwasserversorger keine kritische Infrastruktur sind. Entsprechend einfach war es 2018, Steuerungen solcher Betriebe offen im Internet zu finden.

Im Streit zwischen BVG und BSI geht es um die Anzahl der beförderten Fahrgäste. Der Schwellenwert zur kritischen Infrastruktur sind 125 Millionen Fahrgäste pro Jahr. Die BVG befördert laut eigenen Angaben "jährlich über eine Milliarde Fahrgäste". Eigentlich ein klarer Fall.

Doch Fahrgäste sind nicht gleich Fahrgäste: Denn die BVG zählt nach Angaben von BVG-Sprecherin Nelken nur die Fahrten, nicht die Fahrgäste. Ein Fahrgast könne allein in einer Woche 20 Fahrten mit verschiedenen Verkehrsmitteln der BVG absolvieren. Das mag stimmen, aber warum wirbt die BVG selbst dann mit dem Begriff Fahrgäste?

Eines ist jedenfalls klar: Es ist ein Armutszeugnis, sich mit solchen Zahlenspielen vor einer Kritis-Einstufung zu drücken, die ohnehin schon viel zu hoch angesetzt ist.

Höhere Sicherheitsauflagen und mögliche Strafen

Doch der BVG dürfte es vor allem um die Vermeidung höherer IT-Sicherheitsauflagen und saftiger Strafen bei Verstößen gehen. Was die Sache nicht weniger absurd macht. Laut BSI müsste die BVG "angemessene Vorkehrungen zur Vermeidung von Störungen [...] ihrer informationstechnischen Systeme, Komponenten und Prozesse" nach dem "Stand der Technik" treffen - und diese gegenüber dem BSI nachweisen. Beispielsweise durch Sicherheitsaudits und Berichte.

Nach zähem Ringen mit dem BSI stellte die BVG im April 2018 Daten zu zwei Anlagen zur Verfügung, allerdings ohne eine Rechenschaftspflicht anzuerkennen. Im August 2019 kamen zwei weitere hinzu. Um welche Anlagen es sich dabei handelte, wollten BVG und BSI auf Nachfrage des Tagesspiegels nicht sagen. Jedenfalls reichen die Daten dem BSI nicht aus.

Der BVG gehe es auch darum, Bußgelder abzuwehren, gibt Petra Nelken zu. Bei Verstößen gegen das BSI-Gesetz müssen Betreiber von kritischer Infrastruktur bis zu 100.000 Euro zahlen. Statt ihre IT auf den Stand der Technik zu bringen, möchte die BVG offensichtlich durch die Nichtanerkennung Strafzahlungen entgehen.

Nun streiten sich BSI und BVG vor dem Verwaltungsgericht Köln. Auch das könnte laut dem Tagesspiegel sehr teuer werden: Die BVG habe die international tätige Wirtschaftskanzlei Taylor Wessing als Prozessbevollmächtigte engagiert. Als regelmäßiger BVG-Kunde sehe ich das Geld besser in die IT-Sicherheit der BVG investiert.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 5 5600X für 359€, Ryzen 7 5800X für 489€)
  2. (u. a. Ryzen 7 5800X 469€)

TW1920 28. Jan 2021 / Themenstart

Habt ihr euch wohl jemand unfähigen ins Haus geholt und einfach mal alles ohne drüber...

MountWalker 26. Jan 2021 / Themenstart

Ich würde die Leute, die wegen sowas gar nicht auf Arbeit erscheinen, für die...

adorfer 25. Jan 2021 / Themenstart

Zumindest ist das meine Unterstellung der Motivlage, wenn man die Zusammenarbeit mit dem...

tom.stein 25. Jan 2021 / Themenstart

Ich bezweifle, dass die "DB Regio AG S-Bahn Stuttgart in Plochingen" eine Infrastruktur...

Benutztername12345 24. Jan 2021 / Themenstart

Eine der Aufgaben der Presse ist die Einordnung des Geschehens. Welche Kritik gibt es an...

Kommentieren


Folgen Sie uns
       


Radeon RX 6800 (XT) im Test mit Benchmarks

Lange hatte AMD bei Highend-Grafikkarten nichts zu melden, mit den Radeon RX 6800 (XT) kehrt die Gaming-Konkurrenz zurück.

Radeon RX 6800 (XT) im Test mit Benchmarks Video aufrufen
Verschlüsselung: Auch das BKA nutzt Staatstrojaner nur ganz selten
Verschlüsselung
Auch das BKA nutzt Staatstrojaner nur ganz selten

Die neue Zitis-Behörde soll bei Staatstrojanern eine wichtige Rolle spielen. Quantennetzwerke zum eigenen Schutz lehnt die Regierung ab.
Ein Bericht von Friedhelm Greis

  1. Staatstrojaner-Statistik Aus 368 werden 3
  2. Untersuchungsbericht Mehrere Fehler führten zu falscher Staatstrojaner-Statistik
  3. Staatstrojaner Ermittler hacken jährlich Hunderte Endgeräte

The Legend of Zelda: Das Vorbild für alle Action-Adventures
The Legend of Zelda
Das Vorbild für alle Action-Adventures

The Legend of Zelda von 1986 hat das Genre geprägt. Wir haben den 8-Bit-Klassiker erneut gespielt - und waren hin- und hergerissen.
Von Benedikt Plass-Fleßenkämper


    MCST Elbrus: Die Zukunft von Russlands eigenen Prozessoren
    MCST Elbrus
    Die Zukunft von Russlands eigenen Prozessoren

    32 Kerne für Server-CPUs, eine Videobeschleunigung für Notebooks und sogar SSDs: In Moskau wird die Elbrus-Plattform vorangetrieben.
    Ein Bericht von Marc Sauter

    1. Sipearl Rhea Europäische Supercomputer-CPU wird richtig schnell
    2. Anzeige Verkauf von AMDs Ryzen-5000-Serie startet
    3. Alder Lake S Intel bestätigt x86-Hybrid-Kerne für Desktop-CPUs

      •  /