IT-Sicherheit: Berliner Verkehrsbetriebe wollen unwichtig sein
Die BVG möchte nicht als Betreiber kritischer Infrastruktur gelten. Das Unternehmen wehrt sich vor Gericht gegen Auflagen zur IT-Sicherheit.
Berliner U-Bahnzug der Baureihe IK17 in Doppeltraktion im U-Bahnhof Hönow.
(Bild: DeffiSK CC BY-SA 4.0)
Die Berliner Verkehrsbetriebe (BVG) liegen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) im Clinch. Gestritten wird, ob die BVG für den Personennahverkehr eine kritische Infrastruktur (Kritis) im Sinne des BSI- und des IT-Sicherheitsgesetzes ist. Wenn ja, greifen Melde- und Zertifizierungspflichten. Zudem müsste das öffentlich-rechtliche Unternehmen Mindeststandards einhalten und etwa IT-Sicherheitskonzepte pflegen.
Kritis-Betreiber müssen laut dem 2009 vom Bundestag beschlossenen BSI-Gesetz angemessene organisatorische und technische Vorkehrungen nach dem Stand der Technik treffen, um Störungen ihrer IT-Systeme zu vermeiden. Die BVG möchte sich dazu von der Behörde aber keine Vorschriften machen lassen, schreibt der "Tagesspiegel". Der Konzern hat im Oktober beim Verwaltungsgericht Köln Klage gegen Auflagen des BSI erhoben.
BVG nennt unterschiedliche Fahrgastzahlen
"Es geht ums Prinzip", zitiert die Zeitung eine BVG-Sprecherin. Zudem wolle de BVG Bußgelder vermeiden. Laut einer nach dem BSI-Gesetz erlassenen Verordnung gelten Verkehrsbetriebe als kritische Infrastruktur, wenn sie jährlich mindestens 125 Millionen Fahrgäste befördern. Auf ihrer Webseite schreibt die BVG zwar, jährlich über eine Milliarde Fahrgäste zu befördern. Gegenüber dem BSI gibt das Unternehmen dem dem Bericht zufolge aber nur 30 Millionen Passagiere per anno an. Den enormen Unterschied erklärte die Sprecherin damit, dass bei der Milliarde "Fahrten" gemeint seien, nicht individuelle Personen.
Das BSI ist der Auffassung, dass die BVG ihren gesetzlichen Verpflichtungen nicht nachkommt. So habe sie nur "freiwillig" nach und nach Angaben zu vier relevanten Steuerungsanlagen gemacht. Dies sei zu wenig, um systematisches Management der IT-Sicherheit nachzuweisen.
Mit dem IT-Sicherheitsgesetz 2.0 will die Bundesregierung Meldepflichten auf Unternehmen ausdehnen, die "von besonderem öffentlichem Interesse sind", weil ihr "Ausfall oder ihre Beeinträchtigung zu erheblichen volkswirtschaftlichen Schäden" oder zu einer Gefährdung für die öffentliche Sicherheit und Ordnung führen könnten.
(ds)