Die BVG möchte nicht als Betreiber kritischer Infrastruktur gelten. Das Unternehmen wehrt sich vor Gericht gegen Auflagen zur IT-Sicherheit.
Die Berliner Verkehrsbetriebe (BVG) liegen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) im Clinch. Gestritten wird, ob die BVG für den Personennahverkehr eine kritische Infrastruktur (Kritis) im Sinne des BSI- und des IT-Sicherheitsgesetzes ist. Wenn ja, greifen Melde- und Zertifizierungspflichten. Zudem müsste das öffentlich-rechtliche Unternehmen Mindeststandards einhalten und etwa IT-Sicherheitskonzepte pflegen.
[www.heise.de]

Money quote:
" 'Es geht ums Prinzip', zitiert die Zeitung eine BVG-Sprecherin. Zudem wolle de BVG Bußgelder vermeiden. Laut einer nach dem BSI-Gesetz erlassenen Verordnung gelten Verkehrsbetriebe als kritische Infrastruktur, wenn sie jährlich mindestens 125 Millionen Fahrgäste befördern. Auf ihrer Webseite schreibt die BVG zwar, jährlich über eine Milliarde Fahrgäste zu befördern. Gegenüber dem BSI gibt das Unternehmen dem dem Bericht zufolge aber nur 30 Millionen Passagiere per anno an. Den enormen Unterschied erklärte die Sprecherin damit, dass bei der Milliarde 'Fahrten' gemeint seien, nicht individuelle Personen."

--
Das Gegenteil von umfahren ist umfahren.



1 mal bearbeitet. Zuletzt am 27.01.2021 00:12 von stv. Forumleiter.

Interessanterweise findet sich auch in der Begründung zur BSI-KritisV keine
Definition des Begriffs "Fahrgäste":

[eur-lex.europa.eu]

Da bin ich ja Mal gespannt, wie der Rechtsstreit ausgeht.

Wenn mit dem Schwellwert 125Mio Fahrgäste/Jahr allerdings Individualpersonen gemeint sind, weiß ich nicht, ob irgendein Verkehrsbetrieb überhaupt diesen Schwellwert reißt. Dann hätte diese Verordnung allerdings ihr Ziel verfehlt, wichtige Unternehmen zu mehr IT-Sicherheit zu bewegen =)

Zitat
Florian Schulz
Die BVG möchte nicht als Betreiber kritischer Infrastruktur gelten. Das Unternehmen wehrt sich vor Gericht gegen Auflagen zur IT-Sicherheit.
Die Berliner Verkehrsbetriebe (BVG) liegen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) im Clinch. Gestritten wird, ob die BVG für den Personennahverkehr eine kritische Infrastruktur (Kritis) im Sinne des BSI- und des IT-Sicherheitsgesetzes ist. Wenn ja, greifen Melde- und Zertifizierungspflichten. Zudem müsste das öffentlich-rechtliche Unternehmen Mindeststandards einhalten und etwa IT-Sicherheitskonzepte pflegen.
[www.heise.de]

Money quote:
" 'Es geht ums Prinzip', zitiert die Zeitung eine BVG-Sprecherin. Zudem wolle de BVG Bußgelder vermeiden. Laut einer nach dem BSI-Gesetz erlassenen Verordnung gelten Verkehrsbetriebe als kritische Infrastruktur, wenn sie jährlich mindestens 125 Millionen Fahrgäste befördern. Auf ihrer Webseite schreibt die BVG zwar, jährlich über eine Milliarde Fahrgäste zu befördern. Gegenüber dem BSI gibt das Unternehmen dem dem Bericht zufolge aber nur 30 Millionen Passagiere per anno an. Den enormen Unterschied erklärte die Sprecherin damit, dass bei der Milliarde 'Fahrten' gemeint seien, nicht individuelle Personen."

Das ist eine ganz schöne Bockbeinigkeit der BVG, die auch ordentlich nach hinten losgehen kann.

Wenn die BVG sich nämlich selbst nicht als kritische Infrastruktur sieht, wird es bei einer Cyberattacke o.ä. sehr teuer und einschneidend für den Betrieb, wenn der Bund dann nicht zur Hilfe kommt. Ob es immer so glimpflich abläuft wie bei "Wanna Cry" für die Deutsche Bahn [Handelsblatt Online], dürfte zumindest hinterfragt werden. Dass das Land Berlin vollkommen überfordert wäre mit einem derartigen Angriff, der nicht unbedingt nur ein einzelnes Unternehmen/Verwaltung gleichzeitig betreffen dürfte, kann ich mir zumindest mehr als gut vorstellen. Umso unverständlicher die Haltung der Vorsitzenden des Aufsichtsrates, Ramona Pop, hierzu.

Zitat
TomB
Interessanterweise findet sich auch in der Begründung zur BSI-KritisV keine
Definition des Begriffs "Fahrgäste":

[eur-lex.europa.eu]

Da bin ich ja Mal gespannt, wie der Rechtsstreit ausgeht.

Aber wieso sollte das in diesem Gesetz extra ausdefiniert werden?

Zitat
TomB
Wenn mit dem Schwellwert 125Mio Fahrgäste/Jahr allerdings Individualpersonen gemeint sind, weiß ich nicht, ob irgendein Verkehrsbetrieb überhaupt diesen Schwellwert reißt. Dann hätte diese Verordnung allerdings ihr Ziel verfehlt, wichtige Unternehmen zu mehr IT-Sicherheit zu bewegen =)

Das wäre die Argumentation der BVG. Aber seit wann sind mit "Fahrgästen" Individualpersonen gemeint? Das macht die BVG in ihrer Werbung selbst nicht:

Zitat
https://unternehmen.bvg.de/profil/
Mit unseren Verkehrsmitteln bringen wir jährlich über eine Milliarde Fahrgäste gut, sicher und umweltfreundlich von A nach B.

1 mal bearbeitet. Zuletzt am 22.01.2021 14:29 von hvhasel.

Zitat
hvhasel
Das ist eine ganz schöne Bockbeinigkeit der BVG, die auch ordentlich nach hinten losgehen kann.

Erstmal nicht. So ne Straßenbahn ist ja kein Kernkraftwerk.
Dennoch muss sich das Unternehmen stets und ständig gegen Cyberattacken wehren.

Im Geschäftsbericht und im Zahlenspiegel ist natürlich stets von Fahrgastfahrten die Rede.

so long

Mario

Das Problem wird der Firma erst auf die Füsse fallen, wenn Fahrzeugwartung und Instandhaltung aufgrund für längere Zeit abgeschossener IT nicht mehr planbar ist,
keine Daten in die Fahrzeuge zwecks Fahrplan/Routen/Zielschilderung etc fließen,
die Abrechnung von Lohngeldern und anderer Aufträge und Rechnungen daniederliegt. usw usf.
Das der Abteilung für Propaganda das Vögelchensprachrohr etc. dann auch abhanden gerät, ist in meinen Augen allerdings kein Verlust...

T6JP

Zitat
T6Jagdpilot
Das Problem wird der Firma erst auf die Füsse fallen, wenn Fahrzeugwartung und Instandhaltung aufgrund für längere Zeit abgeschossener IT nicht mehr planbar ist,
keine Daten in die Fahrzeuge zwecks Fahrplan/Routen/Zielschilderung etc fließen,
die Abrechnung von Lohngeldern und anderer Aufträge und Rechnungen daniederliegt. usw usf.
Das der Abteilung für Propaganda das Vögelchensprachrohr etc. dann auch abhanden gerät, ist in meinen Augen allerdings kein Verlust...

T6JP

Nur weil man mit dem BSI im Klinsch liegt, folgt daraus nicht dass die IT vernachlässigt wird. Man fragt sich aber natürlich schon, was da dahinter steckt.

Gruß Nemo
---

Eine Straßenbahn ist besser als keine U-Bahn!!

Zitat
Florian Schulz
Die BVG möchte nicht als Betreiber kritischer Infrastruktur gelten. Das Unternehmen wehrt sich vor Gericht gegen Auflagen zur IT-Sicherheit.
Die Berliner Verkehrsbetriebe (BVG) liegen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) im Clinch. Gestritten wird, ob die BVG für den Personennahverkehr eine kritische Infrastruktur (Kritis) im Sinne des BSI- und des IT-Sicherheitsgesetzes ist. Wenn ja, greifen Melde- und Zertifizierungspflichten. Zudem müsste das öffentlich-rechtliche Unternehmen Mindeststandards einhalten und etwa IT-Sicherheitskonzepte pflegen.

Ich verstehe nicht, was die Anzahl der beförderten Fahrgäste damit zu tun hat bzw. warum die IT-Sicherheit an diese Zahl gekoppelt ist. Was macht also einen Hacker-Angriff weniger schlimm, wenn nur 124.000.000 Fahrgäste befördert werden?

---

Das Gegenteil von pünktlich ist kariert.

Zitat
Nemo

Zitat
T6Jagdpilot
Das Problem wird der Firma erst auf die Füsse fallen, wenn Fahrzeugwartung und Instandhaltung aufgrund für längere Zeit abgeschossener IT nicht mehr planbar ist,
keine Daten in die Fahrzeuge zwecks Fahrplan/Routen/Zielschilderung etc fließen,
die Abrechnung von Lohngeldern und anderer Aufträge und Rechnungen daniederliegt. usw usf.
Das der Abteilung für Propaganda das Vögelchensprachrohr etc. dann auch abhanden gerät, ist in meinen Augen allerdings kein Verlust...

T6JP

Nur weil man mit dem BSI im Klinsch liegt, folgt daraus nicht dass die IT vernachlässigt wird. Man fragt sich aber natürlich schon, was da dahinter steckt.

Doch, genau dieser Verdacht drängt sich auf. Denn offensichtlich hat die Anstalt die nötigen und ohnehin sinnvollen Sicherheitskonzepte nicht in der Schublade liegen.

Dass ein Nahverkehrsnetz in einer Millionenstadt eine kritische Infrastruktur ist, kann doch niemand ernsthaft in Frage stellen. Außer, man sieht das alles alles große Modellbahn zur Selbstbeschäftigung an.

Viele Grüße
André



1 mal bearbeitet. Zuletzt am 22.01.2021 16:28 von andre_de.

Zitat
Nemo
Nur weil man mit dem BSI im Klinsch liegt, folgt daraus nicht dass die IT vernachlässigt wird. Man fragt sich aber natürlich schon, was da dahinter steckt.

[/quote]

Fehlendes Geld, ganz einfach.
Die Schaffung dieser Sicherheitsstruktur, die Berichtspflichten, zusätzliche Posten etc. kostet viele Milliönchen. Stellt sich die Frage: Will man Busse fahren lassen, oder Konzepte schreiben?

Mit besten Grüßen

phönix

Zitat
andre_de
Denn offensichtlich hat die Anstalt die nötigen und ohnehin sinnvollen Sicherheitskonzepte nicht in der Schublade liegen.

Konzepte, die für die Gewährleistung der IT Sicherheit notwendig und sinnvoll sind, sollte man generell nicht in der Schublade liegen sondern verinnerlicht und umgesetzt haben. Ich kann mir absolut nicht vorstellen, dass dies bei der BVG nicht der Fall wäre. Offenbar haben aber BVG und BSI unterschiedliche Vorstellungen darüber, was laut Gesetz nötig ist:

Zitat
heise.de/news
Kritis-Betreiber müssen laut dem 2009 vom Bundestag beschlossenen BSI-Gesetz angemessene organisatorische und technische Vorkehrungen nach dem Stand der Technik treffen, um Störungen ihrer IT-Systeme zu vermeiden. Die BVG möchte sich dazu von der Behörde aber keine Vorschriften machen lassen, schreibt der "Tagesspiegel". Der Konzern hat im Oktober beim Verwaltungsgericht Köln Klage gegen Auflagen des BSI erhoben

Gruß
Micha

Zitat
Micha

Zitat
andre_de
Denn offensichtlich hat die Anstalt die nötigen und ohnehin sinnvollen Sicherheitskonzepte nicht in der Schublade liegen.

Konzepte, die für die Gewährleistung der IT Sicherheit notwendig und sinnvoll sind, sollte man generell nicht in der Schublade liegen sondern verinnerlicht und umgesetzt haben. Ich kann mir absolut nicht vorstellen, dass dies bei der BVG nicht der Fall wäre. Offenbar haben aber BVG und BSI unterschiedliche Vorstellungen darüber, was laut Gesetz nötig ist

Klar, so war es mit der Schublade ja auch gemeint. Die Anforderungen des BSI kann man als Stand der Technik ansehen. Diese nicht erfüllen zu können oder zu wollen, ist mindestens fahrlässig. Die BVG erfüllt sie nicht, sonst gäbe es den Streit ja nicht.

Viele Grüße
André



1 mal bearbeitet. Zuletzt am 22.01.2021 22:28 von andre_de.

Zitat
andre_de
Dass ein Nahverkehrsnetz in einer Millionenstadt eine kritische Infrastruktur ist, kann doch niemand ernsthaft in Frage stellen.

Dass es selbst bei Lahmlegung der gesamten BVG zu keinen sicherheitskritischen Situtionen in der Hauptstadt kommt, ist doch durch die Warnstreiks der letzten Jahre hinlänglich bewiesen. Die Zugsicherungstechnik der U-Bahn, auch die Fernwirktechnik der Stromversorgung ist vom öffentlichen Telekommunikationsnetz völlig getrennt. Es gibt keine Schnittstellen, die irgendjemand angreifen könnte.

Müssten nun alle EDV-Anwendungen, wie die täglichen Fahrinfo-Updates oder Fahrzeugsoftware nun auch noch einzeln vom BSI geprüft und zertifiziert werden, dauerten solche Dinge erheblich länger als ohnehin schon. Die gesetzlichen Befugnisse der Personalvertretung und weiterer Gremien wäre auszuhebeln. Millionen Datensätze von Mitarbeitern, Kunden und Geschäftspartnern wären ständig an die Behörde zu übermitteln.

Zitat
heise.de zum Bundestagsbeschluss über das BSI-Gesetz (von 2015)
Das "Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes" soll dem BSI mehr Mittel an die Hand geben, um Angriffe auf die IT-Infrastruktur des Bundes abzuwehren. Um Schadprogramme besser aufspüren zu können, darf die Bonner Behörde künftig alle "Protokolldaten" einschließlich personenbeziehbarer Nutzerinformationen wie IP-Adressen unbegrenzt speichern und automatisiert auswerten, die bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes anfallen. Vor allem E-Mail-Adressen sollen dabei herausgefiltert und durch Pseudonyme ersetzt werden, um die Erstellung von Kommunikationsprofilen zu verhindern. Eine zu protokollierende "Entpseudonymisierung" darf erfolgen, wenn dies für die Weiterverarbeitung etwa bei bestätigten Verdachtsfällen hinsichtlich eines Schadprogramms oder zur Warnung der Betroffenen erforderlich ist.
...

Den Linken, der FDP und den Grünen gehen die Befugnisse noch deutlich zu weit, auch wenn die Koalition eine besonders umkämpfte Erlaubnis für Anbieter von Telemedien zur Speicherung von Nutzerdaten zur "Störungsbekämpfung" zunächst nicht weiter verfolgt hat. Kritisch beäugt die Opposition etwa das Prinzip, dass das BSI neue Datenberge anhäufen dürfe. Vor allem Liberale äußerten im Vorfeld der nächtlichen Abstimmung zudem scharfe Kritik am formalen Vorgehen: Ein solches Gesetz dürfe nicht "heimlich" durchs Parlament gehievt werden, monierte die frühere Justizministerin Sabine Leutheusser-Schnarrenberger. Union und SPD hätten eine "ordentliche parlamentarische Beratung des Gesetzes komplett verweigert". Ex-Bundestagsvize Burkhard Hirsch riet dem Bundespräsidenten, den Entwurf nicht zu unterzeichnen. Er sprach vom "Missbrauch der Protokollabsprache", die einer Überprüfung durch das Bundesverfassungsgericht wohl nicht standhalte.

Das Gesetz wurde dennoch rechtskräftig und nun folgt eine darauf fußende Verordnung nach der anderen. Gut, dass mal jemand widerspricht und Schwachstellen nutzt.
Nicht dass die BVG nichts tun würde in Sachen Datensicherheit: Die Richtlinie zur Informationssicherheit bei IT-Nutzung von 2012 wurde im letzten Herbst völlig neu erarbeitet und vom Vorstand per Vorstandsverfügung in Kraft gesetzt. Alle Unternehmensbereiche haben sie umzusetzen.

so long

Mario

Wie sieht das eigentlich mit anderen Verkehrsunternehmen aus? Wieviel Kontakt haben die mit dem BSI? Was macht die DB?

Gruß Nemo
---

Eine Straßenbahn ist besser als keine U-Bahn!!

Zitat
der weiße bim
Dass es selbst bei Lahmlegung der gesamten BVG zu keinen sicherheitskritischen Situtionen in der Hauptstadt kommt, ist doch durch die Warnstreiks der letzten Jahre hinlänglich bewiesen. Die Zugsicherungstechnik der U-Bahn, auch die Fernwirktechnik der Stromversorgung ist vom öffentlichen Telekommunikationsnetz völlig getrennt. Es gibt keine Schnittstellen, die irgendjemand angreifen könnte.

Ich möchte den Weißen Bim mal unterstützen: Bei kritischer Infrastruktur würde ich auch zunächst an Einrichtungen denken, von denen bei Ausfall direkt eine Gefahr ausgeht (Kernkraftwerke, Staudämme, Notstromversorgen etc.) oder bei deren Ausfall die öffentliche Ordnung bedroht ist (Krankenhäuser, Polizei, Feuerwehr, Stromversorgung, Wasserversorung, Abwasserentsorgung, Lebensmittelversorgung, Treibstoffversorgung). Öffentlicher Personennahverkehr kommt da bei mir irgendwie nicht vor... Und bevor jetzt das Argument kommt, die Beschäftigten der oben genannten Betriebe müssen ja zum Arbeitsplatz kommen: Auch das geht ohne öffentlichen Personenahverker, dauert ggf. nur länger.

Nur mal als Hinweis, wie es dort zu geht, wo es wirklich brenzlig werden kann: Die Notfallpläne eines deutschen Kernkraftwerksbetreibers sahen bereits im Zuge der ersten Corona-Welle im Frühjahr vor, sich auf die Schichtmannschaften zu konzentrieren und diese arbeitsfähig zu halten. Das hätte in letzter Konsequenz bedeutet (Verwaltungsmitarbeiter wurden da schon lange nicht mehr auf die Anlage gelassen, um Kontakte zu verhindern), dass die Schichtmannschaften das Kraftwerksgelände auch zwischen ihren Schichten nicht mehr verlassen hätten und vor Ort versorgt worden wären, um einen Eintrag von Infektionen zu verhindern...

Da würde ich die BVG nun wirklich nicht auf einer Stufe sehen!

Gruß
Salzfisch

---
Berlins Straßen sind zu eng, um sie mit Gelenkbussen zu verstopfen!

Zitat
Salzfisch

Zitat
der weiße bim
Dass es selbst bei Lahmlegung der gesamten BVG zu keinen sicherheitskritischen Situtionen in der Hauptstadt kommt, ist doch durch die Warnstreiks der letzten Jahre hinlänglich bewiesen. Die Zugsicherungstechnik der U-Bahn, auch die Fernwirktechnik der Stromversorgung ist vom öffentlichen Telekommunikationsnetz völlig getrennt. Es gibt keine Schnittstellen, die irgendjemand angreifen könnte.

Ich möchte den Weißen Bim mal unterstützen: Bei kritischer Infrastruktur würde ich auch zunächst an Einrichtungen denken, von denen bei Ausfall direkt eine Gefahr ausgeht (Kernkraftwerke, Staudämme, Notstromversorgen etc.) oder bei deren Ausfall die öffentliche Ordnung bedroht ist (Krankenhäuser, Polizei, Feuerwehr, Stromversorgung, Wasserversorung, Abwasserentsorgung, Lebensmittelversorgung, Treibstoffversorgung). Öffentlicher Personennahverkehr kommt da bei mir irgendwie nicht vor... Und bevor jetzt das Argument kommt, die Beschäftigten der oben genannten Betriebe müssen ja zum Arbeitsplatz kommen: Auch das geht ohne öffentlichen Personenahverker, dauert ggf. nur länger.

Nur mal als Hinweis, wie es dort zu geht, wo es wirklich brenzlig werden kann: Die Notfallpläne eines deutschen Kernkraftwerksbetreibers sahen bereits im Zuge der ersten Corona-Welle im Frühjahr vor, sich auf die Schichtmannschaften zu konzentrieren und diese arbeitsfähig zu halten. Das hätte in letzter Konsequenz bedeutet (Verwaltungsmitarbeiter wurden da schon lange nicht mehr auf die Anlage gelassen, um Kontakte zu verhindern), dass die Schichtmannschaften das Kraftwerksgelände auch zwischen ihren Schichten nicht mehr verlassen hätten und vor Ort versorgt worden wären, um einen Eintrag von Infektionen zu verhindern...

Da würde ich die BVG nun wirklich nicht auf einer Stufe sehen!

Nun ist es natürlich nicht Sinn der Übung, dass sich jedes Unternehmen selbst überlegt, ob es Betreiber einer kritischen Infrastruktur ist oder nicht. Tatsächlich sind (öffentlicher) Transport und Verkehr eine kritische Infrastruktur:
https://de.wikipedia.org/wiki/Kritische_Infrastrukturen

Wenig zielführend ist hier der Verweis auf das "Extrembeispiel" Kernkraftwerk. Wenn man so ranginge, könnte sich jeder andere rausreden, weil ein Kernkraftwerk der Joker unter den Spielkarten ist.

Die von Dir zitierten Notfallpläne gibt es übrigens nicht nur bei Kernkraftwerken, sondern z.B. auch bei Telekommunikationsnetzbetreibern. Dort wurden sie im Frühjahr sogar nicht nur bereitgehalten, sondern teilweise umgesetzt (Separierung, Trennung in A/B-Teams, Resiliance-Tests, Ausbau von VPN-Infrastruktur usw.). Bei Wasser-, Strom-, Bahnbetreibern usw. dürfte es genauso gewesen sein. Wie man sieht, sind solche Maßnahmen eben nicht nur im Extrembeispiel Kernkraftwerk üblich. Die BVG ist hier in die gleiche Reihe zu stellen, siehe Definition oben. Ob es ihr nun gerade genehm ist oder nicht.

Viele Grüße
André

Zitat
andre_de
Die von Dir zitierten Notfallpläne gibt es übrigens nicht nur bei Kernkraftwerken, sondern z.B. auch bei Telekommunikationsnetzbetreibern. Dort wurden sie im Frühjahr sogar nicht nur bereitgehalten, sondern teilweise umgesetzt (Separierung, Trennung in A/B-Teams, Resiliance-Tests, Ausbau von VPN-Infrastruktur usw.). Bei Wasser-, Strom-, Bahnbetreibern usw. dürfte es genauso gewesen sein.

Sogar der ORF hat im Frühjahr eine solche Strategie verfolgt, was ich damals zufällig in einer Nachrichtensendung gesehen habe. Deutsche Rundfunkanstalten eventuell auch? Also insofern kann man "kritische Infrastruktur" wirklich sehr weiter fassen als "alles explodiert, wenn sie nicht funktioniert", da bin ich bei Dir.

Hallo Mario,

Zitat
der weiße bim

Zitat
andre_de
Dass ein Nahverkehrsnetz in einer Millionenstadt eine kritische Infrastruktur ist, kann doch niemand ernsthaft in Frage stellen.

Dass es selbst bei Lahmlegung der gesamten BVG zu keinen sicherheitskritischen Situtionen in der Hauptstadt kommt, ist doch durch die Warnstreiks der letzten Jahre hinlänglich bewiesen.

Bzgl. Definition kritischer Infrastruktur siehe [de.wikipedia.org]. Diese Definition ergibt sich nicht daraus, ob jemand streiken darf oder nicht. Über die Problematik, dass das Streikrecht (bzw. dessen Auslegung) komplett inkompatibel ist mit der Tatsache, dass Transport und Verkehr zur zu garantierenden Grundversorgung gehören und eben auch zur kritischen Infrastruktur, möchte ich mich lieber nicht weiter auslassen. Nur so viel: Strom-, Gas- und Telekommunikationsnetzbetreiber bzw. deren Gewerkschaften kommen zum Glück nicht auf die Idee, mit ihrer Grundversorgungsinfrastruktur die ganze Gesellschaft in Geiselhaft zu nehmen für Partikularinteressen. Und trotzdem gibt es dort Tarifverträge und funktionierende Mitbestimmung.

Zitat
der weiße bim
Die Zugsicherungstechnik der U-Bahn, auch die Fernwirktechnik der Stromversorgung ist vom öffentlichen Telekommunikationsnetz völlig getrennt. Es gibt keine Schnittstellen, die irgendjemand angreifen könnte.

Um den Betrieb lahmzulegen, braucht man keinen Zugriff auf Zugsicherungstechnik oder Stromversorgungstechnik, da reichen einfachere Anlagen wie Disposition, Betriebsleitung, interner Kommunikationstechnik. Früher wurde so was tatsächlich mal konsequent von öffentlichen Kommunikationsnetzen getrennt. Das ist aber schon seit Jahren bei diversen Netzbetreibern nicht mehr üblich und nicht mehr durchzuhalten. Ich arbeite bei einem großen Telekommunikationsnetzbetreiber, dort gab es die gleiche Entwicklung in den letzten Jahren. Am Beispiel BVG: Um Fahrzeugpositionen sowohl für Echtzeit-Informationen im Internet als auch für die Betriebslenkung nutzen zu können, sind die Kommunikationswege zwangsweise irgendwo verbunden.

Zitat
der weiße bim
Müssten nun alle EDV-Anwendungen, wie die täglichen Fahrinfo-Updates oder Fahrzeugsoftware nun auch noch einzeln vom BSI geprüft und zertifiziert werden, dauerten solche Dinge erheblich länger als ohnehin schon. Die gesetzlichen Befugnisse der Personalvertretung und weiterer Gremien wäre auszuhebeln. Millionen Datensätze von Mitarbeitern, Kunden und Geschäftspartnern wären ständig an die Behörde zu übermitteln.

Wie gesagt, ich arbeite bei einem Unternehmen, was unter die Regeln der kritischen Infrastruktur fällt. Und ich kann Dich beruhigen: Die Welt ist von diesen Regeln nicht untergegangen. Auch liefern wir natürlich weder alle unsere Software ans BSI, ebenso wenig unsere Kunden- und Infrastrukturdaten. Ich weiß nicht, wie Du auf solche Unterstellungen kommst.

Zitat
der weiße bim
Nicht dass die BVG nichts tun würde in Sachen Datensicherheit: Die Richtlinie zur Informationssicherheit bei IT-Nutzung von 2012 wurde im letzten Herbst völlig neu erarbeitet und vom Vorstand per Vorstandsverfügung in Kraft gesetzt. Alle Unternehmensbereiche haben sie umzusetzen.

Das ist sehr schön, allerdings "Closed-Shop"-Arbeit. Niemand weiß, wie gut eine Betriebs-interne Richtlinie ist und wie konsequent umgesetzt ist, sofern dies alles ausschließlich innerhalb eines Unternehmens läuft. Daher erzwingt das BSI für kritische Infrastruktur eine externe Überprüfung. Ähnlich, wie sich ein Lebensmittelproduzent auch nicht selbst Regeln gibt und diese ausschließlich selbst überwacht.

Viele Grüße
André

Zitat
Florian Schulz
Die BVG möchte nicht als Betreiber kritischer Infrastruktur gelten. Das Unternehmen wehrt sich vor Gericht gegen Auflagen zur IT-Sicherheit.
Die Berliner Verkehrsbetriebe (BVG) liegen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) im Clinch. Gestritten wird, ob die BVG für den Personennahverkehr eine kritische Infrastruktur (Kritis) im Sinne des BSI- und des IT-Sicherheitsgesetzes ist. Wenn ja, greifen Melde- und Zertifizierungspflichten. Zudem müsste das öffentlich-rechtliche Unternehmen Mindeststandards einhalten und etwa IT-Sicherheitskonzepte pflegen.
[www.heise.de]

Money quote:
" 'Es geht ums Prinzip', zitiert die Zeitung eine BVG-Sprecherin. Zudem wolle de BVG Bußgelder vermeiden. Laut einer nach dem BSI-Gesetz erlassenen Verordnung gelten Verkehrsbetriebe als kritische Infrastruktur, wenn sie jährlich mindestens 125 Millionen Fahrgäste befördern. Auf ihrer Webseite schreibt die BVG zwar, jährlich über eine Milliarde Fahrgäste zu befördern. Gegenüber dem BSI gibt das Unternehmen dem dem Bericht zufolge aber nur 30 Millionen Passagiere per anno an. Den enormen Unterschied erklärte die Sprecherin damit, dass bei der Milliarde 'Fahrten' gemeint seien, nicht individuelle Personen."

Es ist schon bemerkenswert, auf was für Ideen die BVG gelegentlich kommt. Wenn man sich den Anhang 7 der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz einmal ansieht (in der der Schwellenwert von 125 Mio. Fahrgästen für den ÖPNV festgelegt ist), dürfte die Sache wohl eindeutig sein.

Ziel der Aufnahme des ÖPNV ins Gesetz war sicherlich nicht, den ÖPNV aus dem Geltungsbereich des Gesetzes herauszunehmen, wozu der abenteuerliche Standpunkt der BVG führen würde.

Über denn Sinn des Schwellenwerts von 125 Mio. Fahrgästen läßt sich natürlich streiten. Nach meiner unmaßgeblichen Meinung ist z.B. die Hallesche Verkehrs-AG mit ihren schlapp 55 Mio. Fahrgästen (vor der Pandemie) für die schöne Stadt an der Saale verdammt wichtig,

Marienfelde.


Hier noch ein Link zum Anhang 7 der Verordnung: [www.gesetze-im-internet.de]



1 mal bearbeitet. Zuletzt am 23.01.2021 13:46 von Marienfelde.

Zitat
Nemo
Wie sieht das eigentlich mit anderen Verkehrsunternehmen aus? Wieviel Kontakt haben die mit dem BSI? Was macht die DB?

Die DB hat sich nicht so albern wie die BVG. Da nimmt man das Thema IT-Sicherheit ernst. :-)

Die Berliner Linienchronik (+Stationierungen S-Bahn/BVG) 1858-2024