Kritische Infrastruktur: BVG will IT-Sicherheitsstandards nun doch einhalten

Die Berliner Verkehrsbetriebe (BVG) haben ihre IT-Systeme auf Sicherheitsmängel überprüfen lassen. 23 Probleme wurden entdeckt.

Artikel veröffentlicht am ,
Eine U-Bahn der BVG am Bahnhof Zoo
Eine U-Bahn der BVG am Bahnhof Zoo (Bild: JoachimKohlerBremen/CC-BY-SA 4.0)

Im Streit über die Sicherheitsstandards ihrer IT-Systeme lenken die Berliner Verkehrsbetriebe (BVG) ein. Anders als zunächst gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) behauptet, sieht sich das Unternehmen nun doch als Teil der kritischen Infrastruktur, für die höhere Sicherheitsanforderungen gelten.

Stellenmarkt
  1. IT-Berater (m/w/d)
    Finanz Informatik GmbH & Co. KG, Frankfurt, München
  2. Referent Übergreifende Anwendungen (m/w/d)
    ERGO Group AG, Köln
Detailsuche

"Wir haben diesen Donnerstag dem BSI eine Liste mit 23 Mängeln geschickt und damit den Anforderungen Genüge getan", sagte die BVG-Vorstandsvorsitzende Eva Kreienkamp dem Tagesspiegel. "Die BVG ist falsch abgebogen", sagt sie weiter.

Das Unternehmen hatte sich zuvor zwei Jahre lang mit dem BSI über eine entsprechende Einstufung gestritten. Dabei ging es um die Anzahl der beförderten Fahrgäste. Der Schwellenwert zur kritischen Infrastruktur sind 125 Millionen Fahrgäste pro Jahr. Die BVG befördert laut eigenen Angaben "jährlich über eine Milliarde Fahrgäste".

Allerdings wollte das Unternehmen für die Sicherheitseinstufung nur die Fahrten und nicht die Fahrgäste zählen. Ein Fahrgast könne allein in einer Woche 20 Fahrten mit verschiedenen Verkehrsmitteln der BVG absolvieren. Weil das BSI diese Argumentation nicht akzeptierte, klagte die BVG vor dem Verwaltungsgericht Köln.

Eine schwerwiegende Abweichung

Golem Karrierewelt
  1. Einführung in das Zero Trust Security Framework (virtueller Ein-Tages-Workshop)
    18.01.2023, virtuell
  2. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    28.02.2023, Virtuell
Weitere IT-Trainings

Doch die neue Vorstandschefin Kreienkamp wollte den Konflikt nach ihrem Amtsantritt beilegen. Die BVG engagierte laut Tagesspiegel daher im Februar 2021 das Berliner Unternehmen Hisolutions, das auf Beratung für Security und IT-Management spezialisiert ist. Dieses habe die IT-Sicherheit der BVG untersucht. Maßstab der sechswöchigen Prüfung seien die Vorgaben des BSI gewesen. Sobald das BSI den Empfang des vertraulichen Prüfberichts schriftlich bestätige, werde die BVG ihre Klage zurückziehen, sagte Kreienkamp dem Blatt. Das sei für kommende Woche zu erwarten.

Bei den 23 Mängeln handele es um eine schwerwiegende und 22 geringfügige Abweichungen von den Sicherheitsstandards. Bei der schwerwiegenden Abweichung habe es sich nicht um ein technisches Problem der IT-Sicherheit gehandelt, sondern um ein organisatorisches "im Sinne von ,wer kontrolliert wen'", sagte Kreienkamp dem Tagesspiegel. Weitere Details wollte sie nicht erläutern, weil potenzielle Angreifer sonst Rückschlüsse auf die Sicherheitssysteme der BVG ziehen könnten.

Die BVG betreibt in Berlin das U-Bahn-, Straßenbahn- und Busliniennetz. Die S-Bahn wird von der Deutschen Bahn betrieben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Bundesarbeitsgericht
Arbeitgeber müssen Arbeitszeiten zwingend erfassen

Das vollständige Urteil des BAG zur Arbeitszeiterfassung liegt nun vor. Diese muss zwingend erfolgen, aber nicht unbedingt elektronisch.

Bundesarbeitsgericht: Arbeitgeber müssen Arbeitszeiten zwingend erfassen
Artikel
  1. I am Jesus Christ angespielt: Der Jesus-Simulator lässt uns vom Glauben abfallen
    I am Jesus Christ angespielt
    Der Jesus-Simulator lässt uns vom Glauben abfallen

    Kein Scherz, keine geplante Gotteslästerung: In I am Jesus Christ treten wir als Heiland an. Golem.de hat den kostenlosen Prolog ausprobiert.
    Von Peter Steinlechner

  2. Glasfaser: Autonome Glider der Marine überwachen Seekabel
    Glasfaser
    Autonome Glider der Marine überwachen Seekabel

    Die Marine hat das Ziel, den Ozean zu überwachen, um Seekabel zu schützen. Dabei spielen autonome Wasserfahrzeuge eine große Rolle.

  3. Zusammen mit Keychron: Oneplus entwickelt mechanische Tastatur
    Zusammen mit Keychron
    Oneplus entwickelt mechanische Tastatur

    Zusammen mit Keychron will Oneplus eine mechanische Tastatur auf den Markt bringen. Der Preis dürfte eher niedrig als hoch sein.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • NBB: Samsung Odyssey G5 WQHD/165 Hz 203,89€ u. Odyssey G9 49"/DQHD/240Hz 849,90€ • ViewSonic VX3258 WQHD/144 Hz 229,90€ • Elgato Cam Link Pro 146,89€ • Mindstar: Alphacool Eiswolf 2 AiO 360 199€ • Alternate: Tt eSPORTS Ventus X Plus 31,98€ • 4x Philips Hue White Ambiance 49,99€ [Werbung]
    •  /