Der Konflikt schwelt seit Jahren, jetzt ist offenbar ein Ende in Sicht. Die Berliner Verkehrsbetriebe (BVG) geben ihren harten Kurs im Streit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) um den Nachweis bestmöglicher Sicherheit gegen Cyberattacken auf. Das Risiko einer Schutzlücke in den IT-Systemen zur Steuerung und Überwachung von U-Bahn, Tram und Bussen scheint nun reduziert zu sein.

„Wir haben diesen Donnerstag dem BSI eine Liste mit 23 Mängeln geschickt und damit den Anforderungen Genüge getan“, sagte die BVG-Vorstandsvorsitzende Eva Kreienkamp jetzt dem Tagesspiegel.

Die BVG engagierte von sich aus im Februar das Berliner Unternehmen HiSolutions, spezialisiert auf Beratung für „Security und IT-Management“, um die IT-Sicherheit der BVG zu untersuchen. Maßstab der sechswöchigen Prüfung waren dann doch die Vorgaben des BSI, die von der BVG lange nicht vollständig akzeptiert wurden.

Sobald das Bundesamt den Empfang des vertraulichen Prüfberichts schriftlich bestätige, werde die BVG ihre Klage beim Verwaltungsgericht Köln gegen das BSI zurückziehen, sagte Kreienkamp. Das sei für kommende Woche zu erwarten.

Seit 2018 hatte sich die BVG, wie berichtet, den vom BSI geforderten Nachweispflichten zur IT-Sicherheit teilweise verweigert. Im Oktober 2020 eskalierte der Streit, die BVG klagte beim Kölner Gericht gegen eine im September ergangene Anordnung des BSI, alle gesetzlich vorgeschriebenen Daten zum Schutz vor Hackerangriffen zu liefern.

Harte Kritik an Wirtschaftssenatorin Ramona Pop

Der Fall verursachte in Berlin enormen Wirbel, nachdem der Tagesspiegel im Januar den eskalierenden Streit zwischen BVG und BSI öffentlich gemacht hatte. Innensenator Andreas Geisel (SPD) appellierte an die BVG, es sollte unstrittig sein, „ein möglichst hohes IT-Sicherheitsniveau zu gewährleisten und sich an den bundesweit geltenden Standards des BSI auszurichten“.

Der Chef der CDU-Fraktion im Abgeordnetenhaus, Burkard Dregger, forderte den Regierenden Bürgermeister Michael Müller (SPD) auf, Wirtschaftssenatorin Ramona Pop (Grüne) vom Vorsitz des Aufsichtsrates der BVG „unverzüglich“ abzulösen und durch einen Experten zu ersetzen. Dregger warnte, Cyberangriffe auf die Steuerungssysteme der BVG „können nicht nur zu längerfristigen Zugausfällen führen, sondern zu lebensgefährlichen Schienenunfällen“.

Auch das Bundesinnenministerium schaltete sich in Sorge um die IT-Sicherheit des größten deutschen ÖPNV-Unternehmens ein und „bedauerte“ öffentlich die Haltung der BVG.

„Die BVG ist falsch abgebogen“

Der wachsende Druck scheint bei der BVG ein Umdenken bewirkt zu haben. Eva Kreienkamp, erst seit Oktober 2020 Chefin des Unternehmens, hatte den Konflikt mit dem BSI von ihrer Vorgängerin Sigrid Nikutta geerbt und war zunehmend unglücklich. „Die BVG ist falsch abgebogen“, sagt sie jetzt. Als das Thema öffentlich hochkochte, habe sie „wahnsinnig schlecht geschlafen“. Im Februar steuerte Kreienkamp um und suchte einen Ausweg.

Das Unternehmen hatte zuvor behauptet, es falle nicht unter den Regelungsbereich des BSI-Gesetzes. Es sieht bei Unternehmen einer hochgradig sicherheitssensiblen „Kritischen Infrastruktur“ den umfassenden Nachweis der Schutzmaßnahmen gegen Cyberangriffe vor. Die BVG bestritt, die nötigen Fahrgastzahlen zu haben, um als Kritische Infrastruktur zu gelten.

Nur 30 Millionen Fahrgäste?

Rechtlich gilt ein ÖPNV-Betrieb mit mindestens 125 Millionen Fahrgästen pro Jahr als Kritische Infrastruktur. Die BVG argumentierte, sie befördere nur 30 Millionen „als natürliche Personen“. Auf der Website des Betriebs werden allerdings mehr als eine Milliarde Fahrgäste pro Jahr genannt. Dennoch vertrat die BVG im Streit mit dem BSI die Ansicht, für den ÖPNV fehle „dem Bundesgesetzgeber die erforderliche Gesetzgebungskompetenz“. Verständnis für die zweifelhaften Argumente fand das Unternehmen weder beim BSI noch in der Politik.

Kreienkamp entschloss sich dann, die unhaltbaren Positionen aufzugeben. Die BVG-Chefin beauftragte die Firma HiSolutions, die Verkehrsbetriebe auf IT-Sicherheit so durchzuchecken, wie es der Branchenstandard verlangt. Die Cyber-Experten hätten „eine schwerwiegende Abweichung und 22 „geringfügige“ entdeckt, sagte Kreienkamp.

Bei der schwerwiegenden Abweichung habe es sich allerdings nicht um ein technisches Problem der IT-Sicherheit gehandelt, sondern um ein organisatorisches „im Sinne von ,wer kontrolliert wen“. Weitere Details zur Mängelliste wollte Kreienkamp nicht nennen, weil sonst potenzielle Angreifer Rückschlüsse auf die Sicherheitssysteme der BVG ziehen könnten.

In Erklärungsnot. Die Aufsichtsratsvorsitzende Ramona Pop hält sich zu den Vorwürfen noch bedeckt. Annette Riedl/dpa

Das BSI reagiert positiv, bleibt aber vorsichtig. „Die BVG hat zum 1. April 2021 die Nachweisunterlagen beim BSI eingereicht“, sagte die Sprecherin des Bundesamtes, Josephine Steffen. Die Unterlagen würden derzeit „im üblichen Verfahren durch das BSI auf Vollständigkeit und Geeignetheit geprüft“. Steffen betonte, „wir begrüßen diese Entwicklung grundsätzlich“.

Berliner Politiker atmen auf

In der Berliner Politik wird die Kehrtwende der BVG mit Erleichterung zur Kenntnis genommen. „Wir begrüßen das Einlenken der BVG“, sagte der Sprecher von Innensenator Geisel, Martin Pallgen. „Mit Blick auf die Sicherheit in unserer Stadt ist der störungsfreie Betrieb kritischer Infrastrukturen existenziell.“ Es liege „in unser aller Interesse, ein möglichst hohes IT-Sicherheitsniveau zu gewährleisten und sich an den bundesweit geltenden Standards des BSI auszurichten.“

Auch der Vizechef der SPD-Fraktion im Abgeordnetenhaus, Jörg Stroedter, begrüßte „ausdrücklich, dass die BVG ein Einsehen hat und die Klage zurückzieht“. Die Zuständigkeit des Bundesamtes für die Kritische Infrastruktur der BVG „war von Anfang an unstrittig“. Die Argumentation der BVG, vor allem bei den Fahrgastzahlen, sei „absurd“ gewesen. Es sei gut, dass die BVG ihre IT-Sicherheit durch die Firma HiSolutions habe prüfen lassen.

Abgeordnete erfuhren erst aus der Zeitung vom jahrelangen Streit

Stroedters Unmut über das Verhalten von BVG und Senatorin Pop ist allerdings noch nicht verraucht. Der von Stroedter geleitete parlamentarische Unterausschuss für Beteiligungsmanagement und -controlling, zuständig für die Kontrolle von Unternehmen des Landes Berlin, erfuhr erst aus dem Tagesspiegel vom jahrelangen Konflikt zwischen BVG und BSI. „Das sehe ich äußerst kritisch“, betonte Stroedter.

Und er erwarte, dass die BVG und die Senatorin dem Ausschuss mitteilen, „welche Kosten der Rechtsstreit verursacht hat“. Die BVG hatte für die Klage die international tätige Wirtschaftskanzlei Taylor Wessing als Prozessbevollmächtigte engagiert.

CDU-Fraktionschef Dregger ist ebenfalls froh über das Ende des Konflikts, bleibt aber bei seiner Kritik an Senatorin Pop. „Ich frage mich, warum es überhaupt soweit gekommen ist unter den Augen der Aufsichtsratsvorsitzenden der BVG“, sagte Dregger. Ein Aufsichtsrat sei gesetzlich verpflichtet, „die Einhaltung des Rechts durch den Vorstand zu kontrollieren, erst recht in einem so sensiblen Bereich wie einer Kritischen Infrastruktur“.

Wäre es wegen Mängeln in der IT-Sicherheit der BVG „zu einer Katastrophe gekommen, hätte der Aufsichtsrat gehaftet“, betonte der CDU-Politiker. Senatorin Pop hätte beim Thema IT-Sicherheit „proaktiv die BVG fragen müssen“.

Pop hatte im Januar im Abgeordnetenhaus zugegeben, erst im Juni 2020 durch ein Schreiben von BSI-Präsident Arne Schönbohm von dem seit 2018 schwelenden Konflikt erfahren zu haben. Die Senatorin sagte dann, sie gehe davon aus, dass der Rechtsstreit einem baldigen Ende zugeführt wird. Für Pops Verhalten gebe es „keine Entschuldigung“, meint Dregger, „das ist Dilettantismus“. Von der Senatorin war keine Stellungnahme zu der neuen Entwicklung zu bekommen. „Da Frau Pop Urlaub hat, kann ich leider heute nicht mit einem Statement dienen“, teilte ihr Sprecher am Donnerstag mit.