BVG möchte keine kritische Infrastruktur sein 22.01.2021 12:31 |
Re: BVG möchte keine kritsiche Infrastruktur sein 22.01.2021 14:00 |
Re: BVG möchte keine kritsiche Infrastruktur sein 22.01.2021 14:00 |
Zitat
Florian Schulz
Die BVG möchte nicht als Betreiber kritischer Infrastruktur gelten. Das Unternehmen wehrt sich vor Gericht gegen Auflagen zur IT-Sicherheit.
Die Berliner Verkehrsbetriebe (BVG) liegen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) im Clinch. Gestritten wird, ob die BVG für den Personennahverkehr eine kritische Infrastruktur (Kritis) im Sinne des BSI- und des IT-Sicherheitsgesetzes ist. Wenn ja, greifen Melde- und Zertifizierungspflichten. Zudem müsste das öffentlich-rechtliche Unternehmen Mindeststandards einhalten und etwa IT-Sicherheitskonzepte pflegen.
[www.heise.de]
Money quote:
" 'Es geht ums Prinzip', zitiert die Zeitung eine BVG-Sprecherin. Zudem wolle de BVG Bußgelder vermeiden. Laut einer nach dem BSI-Gesetz erlassenen Verordnung gelten Verkehrsbetriebe als kritische Infrastruktur, wenn sie jährlich mindestens 125 Millionen Fahrgäste befördern. Auf ihrer Webseite schreibt die BVG zwar, jährlich über eine Milliarde Fahrgäste zu befördern. Gegenüber dem BSI gibt das Unternehmen dem dem Bericht zufolge aber nur 30 Millionen Passagiere per anno an. Den enormen Unterschied erklärte die Sprecherin damit, dass bei der Milliarde 'Fahrten' gemeint seien, nicht individuelle Personen."
Re: BVG möchte keine kritsiche Infrastruktur sein 22.01.2021 14:23 |
Zitat
TomB
Interessanterweise findet sich auch in der Begründung zur BSI-KritisV keine
Definition des Begriffs "Fahrgäste":
[eur-lex.europa.eu]
Da bin ich ja Mal gespannt, wie der Rechtsstreit ausgeht.
Zitat
TomB
Wenn mit dem Schwellwert 125Mio Fahrgäste/Jahr allerdings Individualpersonen gemeint sind, weiß ich nicht, ob irgendein Verkehrsbetrieb überhaupt diesen Schwellwert reißt. Dann hätte diese Verordnung allerdings ihr Ziel verfehlt, wichtige Unternehmen zu mehr IT-Sicherheit zu bewegen =)
Zitat
https://unternehmen.bvg.de/profil/
Mit unseren Verkehrsmitteln bringen wir jährlich über eine Milliarde Fahrgäste gut, sicher und umweltfreundlich von A nach B.
Re: BVG möchte keine kritsiche Infrastruktur sein 22.01.2021 14:29 |
Zitat
hvhasel
Das ist eine ganz schöne Bockbeinigkeit der BVG, die auch ordentlich nach hinten losgehen kann.
Re: BVG möchte keine kritsiche Infrastruktur sein 22.01.2021 14:54 |
Re: BVG möchte keine kritsiche Infrastruktur sein 22.01.2021 15:37 |
Zitat
T6Jagdpilot
Das Problem wird der Firma erst auf die Füsse fallen, wenn Fahrzeugwartung und Instandhaltung aufgrund für längere Zeit abgeschossener IT nicht mehr planbar ist,
keine Daten in die Fahrzeuge zwecks Fahrplan/Routen/Zielschilderung etc fließen,
die Abrechnung von Lohngeldern und anderer Aufträge und Rechnungen daniederliegt. usw usf.
Das der Abteilung für Propaganda das Vögelchensprachrohr etc. dann auch abhanden gerät, ist in meinen Augen allerdings kein Verlust...
T6JP
Re: BVG möchte keine kritsiche Infrastruktur sein 22.01.2021 15:58 |
Zitat
Florian Schulz
Die BVG möchte nicht als Betreiber kritischer Infrastruktur gelten. Das Unternehmen wehrt sich vor Gericht gegen Auflagen zur IT-Sicherheit.
Die Berliner Verkehrsbetriebe (BVG) liegen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) im Clinch. Gestritten wird, ob die BVG für den Personennahverkehr eine kritische Infrastruktur (Kritis) im Sinne des BSI- und des IT-Sicherheitsgesetzes ist. Wenn ja, greifen Melde- und Zertifizierungspflichten. Zudem müsste das öffentlich-rechtliche Unternehmen Mindeststandards einhalten und etwa IT-Sicherheitskonzepte pflegen.
Re: BVG möchte keine kritsiche Infrastruktur sein 22.01.2021 16:27 |
Zitat
Nemo
Zitat
T6Jagdpilot
Das Problem wird der Firma erst auf die Füsse fallen, wenn Fahrzeugwartung und Instandhaltung aufgrund für längere Zeit abgeschossener IT nicht mehr planbar ist,
keine Daten in die Fahrzeuge zwecks Fahrplan/Routen/Zielschilderung etc fließen,
die Abrechnung von Lohngeldern und anderer Aufträge und Rechnungen daniederliegt. usw usf.
Das der Abteilung für Propaganda das Vögelchensprachrohr etc. dann auch abhanden gerät, ist in meinen Augen allerdings kein Verlust...
T6JP
Nur weil man mit dem BSI im Klinsch liegt, folgt daraus nicht dass die IT vernachlässigt wird. Man fragt sich aber natürlich schon, was da dahinter steckt.
Re: BVG möchte keine kritsiche Infrastruktur sein 22.01.2021 16:39 |
[/quote]Zitat
Nemo
Nur weil man mit dem BSI im Klinsch liegt, folgt daraus nicht dass die IT vernachlässigt wird. Man fragt sich aber natürlich schon, was da dahinter steckt.
Re: BVG möchte keine kritsiche Infrastruktur sein 22.01.2021 17:21 |
Zitat
andre_de
Denn offensichtlich hat die Anstalt die nötigen und ohnehin sinnvollen Sicherheitskonzepte nicht in der Schublade liegen.
Zitat
heise.de/news
Kritis-Betreiber müssen laut dem 2009 vom Bundestag beschlossenen BSI-Gesetz angemessene organisatorische und technische Vorkehrungen nach dem Stand der Technik treffen, um Störungen ihrer IT-Systeme zu vermeiden. Die BVG möchte sich dazu von der Behörde aber keine Vorschriften machen lassen, schreibt der "Tagesspiegel". Der Konzern hat im Oktober beim Verwaltungsgericht Köln Klage gegen Auflagen des BSI erhoben
Re: BVG möchte keine kritsiche Infrastruktur sein 22.01.2021 22:27 |
Zitat
Micha
Zitat
andre_de
Denn offensichtlich hat die Anstalt die nötigen und ohnehin sinnvollen Sicherheitskonzepte nicht in der Schublade liegen.
Konzepte, die für die Gewährleistung der IT Sicherheit notwendig und sinnvoll sind, sollte man generell nicht in der Schublade liegen sondern verinnerlicht und umgesetzt haben. Ich kann mir absolut nicht vorstellen, dass dies bei der BVG nicht der Fall wäre. Offenbar haben aber BVG und BSI unterschiedliche Vorstellungen darüber, was laut Gesetz nötig ist
Re: BVG möchte keine kritische Infrastruktur sein 22.01.2021 22:27 |
Zitat
andre_de
Dass ein Nahverkehrsnetz in einer Millionenstadt eine kritische Infrastruktur ist, kann doch niemand ernsthaft in Frage stellen.
Zitat
heise.de zum Bundestagsbeschluss über das BSI-Gesetz (von 2015)
Das "Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes" soll dem BSI mehr Mittel an die Hand geben, um Angriffe auf die IT-Infrastruktur des Bundes abzuwehren. Um Schadprogramme besser aufspüren zu können, darf die Bonner Behörde künftig alle "Protokolldaten" einschließlich personenbeziehbarer Nutzerinformationen wie IP-Adressen unbegrenzt speichern und automatisiert auswerten, die bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes anfallen. Vor allem E-Mail-Adressen sollen dabei herausgefiltert und durch Pseudonyme ersetzt werden, um die Erstellung von Kommunikationsprofilen zu verhindern. Eine zu protokollierende "Entpseudonymisierung" darf erfolgen, wenn dies für die Weiterverarbeitung etwa bei bestätigten Verdachtsfällen hinsichtlich eines Schadprogramms oder zur Warnung der Betroffenen erforderlich ist.
...
Den Linken, der FDP und den Grünen gehen die Befugnisse noch deutlich zu weit, auch wenn die Koalition eine besonders umkämpfte Erlaubnis für Anbieter von Telemedien zur Speicherung von Nutzerdaten zur "Störungsbekämpfung" zunächst nicht weiter verfolgt hat. Kritisch beäugt die Opposition etwa das Prinzip, dass das BSI neue Datenberge anhäufen dürfe. Vor allem Liberale äußerten im Vorfeld der nächtlichen Abstimmung zudem scharfe Kritik am formalen Vorgehen: Ein solches Gesetz dürfe nicht "heimlich" durchs Parlament gehievt werden, monierte die frühere Justizministerin Sabine Leutheusser-Schnarrenberger. Union und SPD hätten eine "ordentliche parlamentarische Beratung des Gesetzes komplett verweigert". Ex-Bundestagsvize Burkhard Hirsch riet dem Bundespräsidenten, den Entwurf nicht zu unterzeichnen. Er sprach vom "Missbrauch der Protokollabsprache", die einer Überprüfung durch das Bundesverfassungsgericht wohl nicht standhalte.
Re: BVG möchte keine kritische Infrastruktur sein 22.01.2021 23:01 |
Re: BVG möchte keine kritische Infrastruktur sein 22.01.2021 23:37 |
Zitat
der weiße bim
Dass es selbst bei Lahmlegung der gesamten BVG zu keinen sicherheitskritischen Situtionen in der Hauptstadt kommt, ist doch durch die Warnstreiks der letzten Jahre hinlänglich bewiesen. Die Zugsicherungstechnik der U-Bahn, auch die Fernwirktechnik der Stromversorgung ist vom öffentlichen Telekommunikationsnetz völlig getrennt. Es gibt keine Schnittstellen, die irgendjemand angreifen könnte.
Re: BVG möchte keine kritische Infrastruktur sein 23.01.2021 00:04 |
Zitat
Salzfisch
Zitat
der weiße bim
Dass es selbst bei Lahmlegung der gesamten BVG zu keinen sicherheitskritischen Situtionen in der Hauptstadt kommt, ist doch durch die Warnstreiks der letzten Jahre hinlänglich bewiesen. Die Zugsicherungstechnik der U-Bahn, auch die Fernwirktechnik der Stromversorgung ist vom öffentlichen Telekommunikationsnetz völlig getrennt. Es gibt keine Schnittstellen, die irgendjemand angreifen könnte.
Ich möchte den Weißen Bim mal unterstützen: Bei kritischer Infrastruktur würde ich auch zunächst an Einrichtungen denken, von denen bei Ausfall direkt eine Gefahr ausgeht (Kernkraftwerke, Staudämme, Notstromversorgen etc.) oder bei deren Ausfall die öffentliche Ordnung bedroht ist (Krankenhäuser, Polizei, Feuerwehr, Stromversorgung, Wasserversorung, Abwasserentsorgung, Lebensmittelversorgung, Treibstoffversorgung). Öffentlicher Personennahverkehr kommt da bei mir irgendwie nicht vor... Und bevor jetzt das Argument kommt, die Beschäftigten der oben genannten Betriebe müssen ja zum Arbeitsplatz kommen: Auch das geht ohne öffentlichen Personenahverker, dauert ggf. nur länger.
Nur mal als Hinweis, wie es dort zu geht, wo es wirklich brenzlig werden kann: Die Notfallpläne eines deutschen Kernkraftwerksbetreibers sahen bereits im Zuge der ersten Corona-Welle im Frühjahr vor, sich auf die Schichtmannschaften zu konzentrieren und diese arbeitsfähig zu halten. Das hätte in letzter Konsequenz bedeutet (Verwaltungsmitarbeiter wurden da schon lange nicht mehr auf die Anlage gelassen, um Kontakte zu verhindern), dass die Schichtmannschaften das Kraftwerksgelände auch zwischen ihren Schichten nicht mehr verlassen hätten und vor Ort versorgt worden wären, um einen Eintrag von Infektionen zu verhindern...
Da würde ich die BVG nun wirklich nicht auf einer Stufe sehen!
Re: BVG möchte keine kritische Infrastruktur sein 23.01.2021 00:10 |
Zitat
andre_de
Die von Dir zitierten Notfallpläne gibt es übrigens nicht nur bei Kernkraftwerken, sondern z.B. auch bei Telekommunikationsnetzbetreibern. Dort wurden sie im Frühjahr sogar nicht nur bereitgehalten, sondern teilweise umgesetzt (Separierung, Trennung in A/B-Teams, Resiliance-Tests, Ausbau von VPN-Infrastruktur usw.). Bei Wasser-, Strom-, Bahnbetreibern usw. dürfte es genauso gewesen sein.
Re: BVG möchte keine kritische Infrastruktur sein 23.01.2021 00:25 |
Zitat
der weiße bim
Zitat
andre_de
Dass ein Nahverkehrsnetz in einer Millionenstadt eine kritische Infrastruktur ist, kann doch niemand ernsthaft in Frage stellen.
Dass es selbst bei Lahmlegung der gesamten BVG zu keinen sicherheitskritischen Situtionen in der Hauptstadt kommt, ist doch durch die Warnstreiks der letzten Jahre hinlänglich bewiesen.
Zitat
der weiße bim
Die Zugsicherungstechnik der U-Bahn, auch die Fernwirktechnik der Stromversorgung ist vom öffentlichen Telekommunikationsnetz völlig getrennt. Es gibt keine Schnittstellen, die irgendjemand angreifen könnte.
Zitat
der weiße bim
Müssten nun alle EDV-Anwendungen, wie die täglichen Fahrinfo-Updates oder Fahrzeugsoftware nun auch noch einzeln vom BSI geprüft und zertifiziert werden, dauerten solche Dinge erheblich länger als ohnehin schon. Die gesetzlichen Befugnisse der Personalvertretung und weiterer Gremien wäre auszuhebeln. Millionen Datensätze von Mitarbeitern, Kunden und Geschäftspartnern wären ständig an die Behörde zu übermitteln.
Zitat
der weiße bim
Nicht dass die BVG nichts tun würde in Sachen Datensicherheit: Die Richtlinie zur Informationssicherheit bei IT-Nutzung von 2012 wurde im letzten Herbst völlig neu erarbeitet und vom Vorstand per Vorstandsverfügung in Kraft gesetzt. Alle Unternehmensbereiche haben sie umzusetzen.
Re: BVG möchte keine kritsiche Infrastruktur sein 23.01.2021 06:06 |
Zitat
Florian Schulz
Die BVG möchte nicht als Betreiber kritischer Infrastruktur gelten. Das Unternehmen wehrt sich vor Gericht gegen Auflagen zur IT-Sicherheit.
Die Berliner Verkehrsbetriebe (BVG) liegen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) im Clinch. Gestritten wird, ob die BVG für den Personennahverkehr eine kritische Infrastruktur (Kritis) im Sinne des BSI- und des IT-Sicherheitsgesetzes ist. Wenn ja, greifen Melde- und Zertifizierungspflichten. Zudem müsste das öffentlich-rechtliche Unternehmen Mindeststandards einhalten und etwa IT-Sicherheitskonzepte pflegen.
[www.heise.de]
Money quote:
" 'Es geht ums Prinzip', zitiert die Zeitung eine BVG-Sprecherin. Zudem wolle de BVG Bußgelder vermeiden. Laut einer nach dem BSI-Gesetz erlassenen Verordnung gelten Verkehrsbetriebe als kritische Infrastruktur, wenn sie jährlich mindestens 125 Millionen Fahrgäste befördern. Auf ihrer Webseite schreibt die BVG zwar, jährlich über eine Milliarde Fahrgäste zu befördern. Gegenüber dem BSI gibt das Unternehmen dem dem Bericht zufolge aber nur 30 Millionen Passagiere per anno an. Den enormen Unterschied erklärte die Sprecherin damit, dass bei der Milliarde 'Fahrten' gemeint seien, nicht individuelle Personen."
Re: BVG möchte keine kritische Infrastruktur sein 23.01.2021 08:23 |
Zitat
Nemo
Wie sieht das eigentlich mit anderen Verkehrsunternehmen aus? Wieviel Kontakt haben die mit dem BSI? Was macht die DB?