zum Hauptinhalt
Konflikt um IT-Sicherheit der BVG beendet. Die Verkehrsbetriebe beugen sich den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik zum Schutz vor Cyberattacken

© Jörn Hasselmann Tsp

Exklusiv

Streit um Cybersicherheit der Berliner U-Bahn: BVG nimmt Klage gegen das Bundesamt endgültig zurück

Jahrelang wollten die Berliner Verkehrsbetriebe gegen Hacker-Attacken allein vorbeugen und sich nichts vom Bundesamt vorschreiben lassen. Jetzt steuern sie um.

Von Frank Jansen

Im jahrelangen Streit um die IT-Sicherheit der Berliner Verkehrsbetriebe ist nun das Ende besiegelt. Die BVG hat am Mittwoch beim Verwaltungsgericht Köln die Klage gegen das in Bonn ansässige Bundesamt für Sicherheit in der Informationstechnik (BSI) zurückgezogen. Eine entsprechende Mitteilung der BVG bestätigte eine Sprecherin des Gerichts.

Die Verkehrsbetriebe hatten im Oktober 2020 gegen eine Anordnung des BSI geklagt, umfassend den Schutz vor Cyberattacken auf die Steuerungssysteme von U-Bahnen, Tram und Bussen nachzuweisen. Der Konflikt schwelte seit 2018, mit der Klage eskalierte er noch.

Die BVG wollte, wie berichtet, sich vom Bundesamt nichts vorschreiben lassen. Behauptet wurde, die Verkehrsbetriebe seien keine hochgradig sicherheitssensible Kritische Infrastruktur, wie sie in einer rechtlichen Verordnung zum BSI-Gesetz definiert ist. Danach ist ein Unternehmen des Öffentlichen Personennahverkehrs mit mindestens 125 Millionen Fahrgästen pro Jahr eine Kritische Infrastruktur und bei der IT-Sicherheit nachweispflichtig gegenüber dem Bundesamt.

Die BVG sagte, sie habe im Jahr nur 30 Millionen Fahrgäste als „natürliche Personen“. Auf der Website der Verkehrsbetriebe ist jedoch von mehr als einer Milliarde Passagiere die Rede, die allein 2019 befördert wurden. Mehrfache Fahrten sind darin natürlich enthalten.

Innensenator Geisel stellte sich hinter das Bundesamt

Die BVG begann erst umzudenken, als sich im Januar nach Berichten des Tagesspiegels über den Konflikt zunehmend politischer Druck aufbaute. Innensenator Andreas Geisel (SPD), Verkehrssenatorin Regine Günther (Grüne), weitere Politiker von SPD und CDU sowie das Bundesinnenministerium stellten sich hinter das BSI.

[Wenn Sie alle aktuellen Nachrichten live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere App, die Sie hier für Apple- und Android-Geräte herunterladen können.]

Im Februar änderte BVG-Chefin Eva Kreienkamp den Kurs. Sie beauftragte die Berliner Cybersecurity-Firma HiSolutions, die IT-Sicherheit der BVG gemäß BSI-Standard zu prüfen. HiSolutions stellte in der sechswöchigen Untersuchung insgesamt 23 Mängel fest. Diese seien eher organisatorischer als technischer Art, heißt es bei der BVG. Sie schickte den Report dem Bundesamt und signalisierte so, den Konflikt beenden zu wollen.

Kreienkamp sagte vergangene Woche dem Tagesspiegel, die BVG sei in dem Streit einst „falsch abgebogen“. Das BSI begrüßt die Kehrtwende, hält das Thema IT-Sicherheit der BVG jedoch weiter für offen. Geprüft werde, ob der Untersuchungsbericht vollständig und plausibel sei, hieß es.

Zur Startseite