Prüfung von Cyberabwehr: BVG eskaliert im Konflikt mit Bonner Bundesamt
Trotz hoher Gefahr von Hackerattacken kooperiert die BVG nur halbherzig mit dem BSI. Jetzt führt das Unternehmen sogar einen teuren Rechtsstreit.
Das Risiko ist der BVG bekannt. Ein Angriff professioneller Hacker auf die Steuerungssysteme der U-Bahn könnte gravierende Folgen haben. Sollte es Cyberkriminellen gelingen, die Barrieren der IT-Sicherheit zu überwinden, wären Fahrgäste stunden- oder sogar tagelangen Störungen ausgesetzt, womöglich auch der Gefahr von Zugunfällen in den Tunneln. Mit Mühe versucht die BVG, dem Eindringen von Cyberkriminellen vorzubeugen. Jedes Jahr gebe es bei der IT einen großen „Penetrationstest“, sagte BVG-Sprecherin Petra Nelken dem Tagesspiegel im Juli 2020. Manche Systeme würden sogar täglich geprüft.
Doch jetzt ergeben Recherchen des Tagesspiegels, dass die BVG schon seit Jahren im Streit mit der Behörde liegt, die in Deutschland über die meiste Kompetenz in puncto IT-Sicherheit verfügt, dem in Bonn ansässigen Bundesamt für Sicherheit in der Informationstechnik (BSI). Und der Konflikt wird härter. Seit Oktober 2020 ist eine Klage der BVG beim Verwaltungsgericht Köln anhängig.
Die Verkehrsbetriebe wollen sich vom BSI keine Vorschriften machen lassen. „Es geht ums Prinzip“, sagt Nelken vor wenigen Tagen auf Anfrage des Tagesspiegels. Dabei nimmt die BVG offenbar in Kauf, dass die IT-Sicherheit des öffentlichen Personennahverkehrs in Berlin trotz der hohen Gefahr von Hackerattacken nicht bestmöglich überprüft wird. Obwohl die BVG, jedenfalls aus Sicht des Bundesamtes, per Gesetz verpflichtet ist, regelmäßig den Stand der IT-Sicherheit mitzuteilen. Umfassend, gerade auch wenn es Mängel gibt. Doch die BVG komme den gesetzlichen Anforderungen als Betreiber einer „Kritischen Infrastruktur“ nicht nach, sagt BSI-Sprecher Matthias Gärtner.
Was die BVG bislang geboten hat, ist dem BSI zu wenig, um ein systematisches Management von Cybersicherheit nachzuweisen. Die BVG hatte nach zähem Ringen und auch nur „freiwillig“, ohne eine Rechtspflicht anzuerkennen, dem BSI im April 2018 Daten zu lediglich zwei Anlagen gemeldet. Im August 2019 dann noch zu zwei weiteren.
Um welche Anlagen es sich handelt, wollen BVG und BSI aus Sicherheitsgründen nicht öffentlich mitteilen. Es ist allerdings naheliegend, dass es sich um Systeme der Steuerung und Überwachung der U-Bahn, der Tram und der Busse handelt. Das Bundesamt betont, die Angaben der BVG zu den vier Anlagen reichten nicht aus.
Störungen bei einer Kritischen Infrastruktur hätten dramatische Folgen
Den lückenlosen Check der IT-Sicherheit bei der BVG hält das BSI für unverzichtbar. Die BVG gilt mit jährlich mehr als einer Milliarde Fahrgäste als Betreiber einer Kritischen Infrastruktur. In diese Kategorie werden hochgradig sicherheitssensible Unternehmen eingestuft. Neben großen Verkehrsbetrieben sind das unter anderem auch Wasserbetriebe und Stromerzeuger.
Kritische Infrastrukturen seien „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“, sagt das BSI.
[Wenn Sie alle aktuellen Nachrichten live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere runderneuerte App, die Sie hier für Apple- und Android-Geräte herunterladen können.]
Die Zuständigkeit des Bundesamtes ist im BSI-Gesetz geregelt. Das Bundesamt ist die „zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik“, steht in Paragraf 8b. Die Unternehmen sind verpflichtet, „angemessene organisatorische und technische Vorkehrungen“ zur Vermeidung von Störungen ihrer IT-Systeme zu treffen.
Den Nachweis, wie das gelingt, müssen die Unternehmen mindestens alle zwei Jahre dem BSI liefern. Zum Beispiel anhand von „Sicherheitsaudits“, also gezielter Analysen von Schwachstellen in der IT-Sicherheit. Doch die Berliner Verkehrsbetriebe bestreiten, dass in ihrem Fall das Bundesamt überhaupt zur Kontrolle befugt ist.
Die BVG bestreitet "Gesetzgebungskompetenz"
Die BVG falle nicht unter die Regelungen des BSI-Gesetzes, sagt Sprecherin Nelken. Für den Bereich des öffentlichen Nahverkehrs und die Informationssicherheit der dort betriebenen Anlagen „fehlt dem Bundesgesetzgeber die erforderliche Gesetzgebungskompetenz“.
Das BSI kontert mit dem Hinweis auf eine bundesweit gültige, dem BSI-Gesetz angegliederte Rechtsverordnung aus dem Jahr 2016. Dort wird beschrieben, welche Unternehmen als Kritische Infrastrukturen gelten. Dazu gehören auch Verkehrsbetriebe, die jährlich mindestens 125 Millionen Fahrgäste befördern.
Die Zahl wird von der BVG, dem größten dieser Betriebe in Deutschland, offensichtlich klar übertroffen. Auf ihrer Website verkündet die BVG, sie sorge „mit U-Bahn, Straßenbahn, Bus und Fähre dafür, dass jährlich über eine Milliarde Fahrgäste pünktlich, umweltfreundlich und kostengünstig an ihr Ziel kommen“. Warum also der Streit mit dem BSI?
Eine Milliarde Fahrgäste oder nur 30 Millionen?
Spätestens an diesem Punkt wird die Geschichte bizarr. BVG-Sprecherin Nelken sagt am Telefon, mit der einen Milliarde seien „Fahrten und nicht Fahrgäste gemeint“ – obwohl auf der Website der BVG „Fahrgäste“ steht. Außerdem hat 2018 die damalige BVG-Vorstandsvorsitzende Sigrid Nikutta im Tagesspiegel geäußert, „allein im Jahr 2017 wurden die gelben Busse und Bahnen 1,06 Milliarden Mal genutzt“. Doch gegenüber dem BSI spricht die BVG von lediglich 30 Millionen Fahrgästen pro Jahr. Nelken meint nun, ein Fahrgast könne „in einer Woche mehr als 20 Fahrten mit den unterschiedlichsten Verkehrsmitteln wie U-Bahn, Bus, Straßenbahn unternommen haben“. Fahrgäste seien, betont Nelken, „für uns alleine natürliche Personen“.
Aber wie will die BVG feststellen, welche „natürliche Person“ wie oft bei ihr unterwegs ist? Und was würden Datenschützer dazu sagen? Nelken antwortet vage. Es gebe „Zählungen in Fahrzeugen“. Nikutta, in deren Amtszeit der Streit mit dem BSI begann, äußert sich nicht.
Furcht vor Bußgeldern
Nelken nennt noch einen Grund für den Widerstand der BVG. Es gehe auch darum, Bußgelder abzuwehren. Die Betreiber Kritischer Infrastrukturen müssen bei Verstößen gegen das BSI-Gesetz bis zu 100.000 Euro zahlen. Die BVG hofft offenbar, sie hätte nichts zu befürchten, wenn sie gar nicht erst anerkennt, dass das BSI-Gesetz für sie gilt.
Seit 2018 verhandelt das Bundesamt mit der BVG. Fortschritte gab es nur begrenzt. Die BVG richtete für den Fall von Hackerangriffen und anderen Störungen in der IT eine Kontaktstelle ein, die das BSI rund um die Uhr erreichen kann. Doch die Behörde wartet weiter darauf, dass die BVG alle geforderten Daten zu den vier Anlagen der Leitsysteme für U-Bahn, Tram und Busse schickt.
BSI drohte mit Zwangsgeld
Im November 2019 schaltete das BSI einen Gang hoch: Die BVG erhielt eine Anordnung, die Informationspflichten gegenüber dem BSI zu erfüllen, verbunden mit der Androhung eines Zwangsgeldes in Höhe von 15.000 Euro. Einen Monat später legte die BVG Widerspruch ein. Das BSI nahm die Androhung von Zwangsgeld zurück. Dennoch eskalierte der Streit weiter.
Im Oktober 2020 reichte die BVG beim Verwaltungsgericht Köln die Klage gegen das BSI ein, um dessen Anordnung zur Erfüllung der Informationspflichten abzuwenden. Die BVG „bleibt sperrig“, sagt BSI-Sprecher Gärtner. Mit den anderen großen Verkehrsbetrieben in der Bundesrepublik hat das Bundesamt solche Probleme offenbar nicht.
Verfahren könnte mehr als ein Jahr dauern
Der Gang zum Verwaltungsgericht könnte für den Steuerzahler teuer werden. Die BVG hat die international tätige Wirtschaftskanzlei Taylor Wessing als Prozessbevollmächtigte engagiert. Die Anwälte arbeiten nicht für kleines Geld. Und das Verfahren, schätzt ein Sprecher des Gerichts, könnte ein Jahr dauern, „wegen Corona vielleicht auch länger“.
[In unseren Leute-Newslettern berichten wir wöchentlich aus den zwölf Berliner Bezirken. Die Newsletter können Sie hier kostenlos bestellen: leute.tagesspiegel.de]
Politisch verantwortlich für das Verhalten der BVG ist die Senatorin für Wirtschaft, Energie und Betriebe, Ramona Pop (Grüne). Sie leitet den Aufsichtsrat der BVG und könnte im Streit mit dem BSI intervenieren.
Der Präsident des Bundesamtes, Arne Schönbohm, hat sich direkt an Pop gewandt. Auf Fragen des Tagesspiegels antwortet die Senatorin allerdings karg. Das Schreiben des BSI sei eingegangen, teilt ein Sprecher mit. Die Aufsichtsratsvorsitzende tausche sich „intensiv über den Vorgang mit der BVG aus“.
Auf die Frage, ob Pop die BVG als Betreiber einer Kritischen Infrastruktur im Sinne des BSI-Gesetzes werte, kommt die Antwort: „Es ist richtig, dass die BVG mit dem BSI die Anwendung des BSI-Gesetzes als Betreiber Kritischer Infrastruktur zügig klärt und alle dazu notwendigen Vorbereitungen trifft“. Die Bezeichnung „zügig“ für einen Streit, der seit 2018 schwelt und nun auch das Verwaltungsgericht Köln beschäftigt, erscheint zumindest gewagt. Außerdem erinnert Pops Kommunikationstaktik an den Schlingerkurs vom vergangenen Sommer.
Schon im Fall der IT-Mängel bei den Wasserbetrieben geriet Pop in die Kritik
Als der Tagesspiegel über gravierende Mängel bei der IT-Sicherheit der Berliner Wasserbetriebe berichtete, reagierte die Senatorin mit Phrasen. Und im Abgeordnetenhaus erzählte sie, es habe zu keiner Zeit eine Gefahr für die Abwasserentsorgung bestanden. Obwohl ein Beratungsunternehmen gewarnt hatte, bei einem Hackerangriff drohe ein wochenlanger Zusammenbruch. Pop musste sich damals reichlich Kritik anhören. Und jetzt gibt es Anzeichen, dass im Senat der Kurs der BVG keinen Beifall findet.
Verkehrssenatorin argumentiert wie das BSI
Verkehrssenatorin Regine Günther, auch Grüne, für die technische Aufsicht der BVG zuständig und Mitglied des Aufsichtsrats, hält den Streit mit dem BSI offenbar für einen Fehler. Ein Sprecher sagt, die BVG betreibe Anlagen der Kritischen Infrastruktur „gemäß der BSI-Definition“. Und: die BVG falle auch mit ihren Fahrgastzahlen, im Sinne von beförderten Personen, „eindeutig unter das Bemessungskriterium für Kritische Infrastruktur“. Demnach transportiert die BVG auch aus Sicht von Günther pro Jahr mehr als eine Milliarde Fahrgäste. Und nicht nur 30 Millionen.
Für die Verkehrssenatorin gibt es demnach keinen plausiblen Grund, die Position des Bundesamtes in Frage zu stellen. Das BSI sagt, man sehe der Entscheidung des Gerichts zur Klage der BVG „positiv entgegen“.