- Der momentane Cyberschutz von Regionalbahnen reicht nicht, wie die Eidgenössische Finanzkontrolle in einem neuen Bericht feststellt.
- Vier Bahnen hat die Finanzkontrolle überprüft. Drei davon erfüllen die Mindestanforderungen gegen Cyberangriffe nicht.
- Die Finanzkontrolle stellte beträchtliche Unterschiede beim Stand der Informationssicherheit fest und ortete Handlungsbedarf in verschiedenen Bereichen.
Die Eidgenössische Finanzkontrolle hat geprüft, wie gut die vier Bahnen ihre Steuerungsanlagen gegen Cyberangriffe schützen. Relevant ist dies, weil der Schienenverkehr zu den sogenannten kritischen Infrastrukturen gehört: Diese versorgen das Land mit unverzichtbaren Gütern und Dienstleistungen.
Erhebliche Mängel
Die Freiburger Transportbetriebe, die Zentralbahn in Stansstaad und die LEB (Lausanne-Echallens-Bercher-Bahn) müssen verschiedentlich nachbessern. Als einzige der vier überprüften Bahnen hat die Rhätische Bahn die Mindestanforderungen erfüllt. Laut Prüfbericht der Finanzkontrolle gibt es «in mancher Hinsicht erhebliche Mängel» beim Zugriffsmanagement, das heisst bei der Frage, wer sich wo und wie einloggen darf.
Das sind wirklich Basics.
Es gehe um Grundsätzliches, sagt Robert Scheidegger, Verantwortlicher öffentlicher Verkehr bei der Finanzkontrolle. Zum Beispiel «dass man die Passwörter personifiziert, dass jeder Mitarbeiter sein eigenes Passwort bekommt, dass das alle drei Monate gewechselt werden muss, dass die Passwörter nicht irgendwo abgespeichert werden, wo sie andere lesen können. Das sind wirklich solche Basics.»
Wenn ein Hacker in das Informatiksystem einer Eisenbahn eindringe, bestehe für die Reisenden keine Gefahr, betont Robert Scheidegger. Züge reagierten auf solche Manipulationen sofort. Sie würden einfach stillstehen. «Wenn Züge ausfallen, sind wir alle betroffen und es entsteht ein Schaden für die Volkswirtschaft, aber auch für den Bund und die Kantone, weil sie die ungedeckten Kosten zahlen müssen.»
Wenn Züge ausfallen, sind wir alle betroffen und es entsteht ein Schaden für die Volkswirtschaft, Bund und Kantone.
Doch um Kosten und die Verärgerung der Bahnkunden zu vermeiden, müssen die Bahnunternehmen gewisse Sicherheitsstandards erreichen. Die Verantwortlichen hätten die Bedeutung der Cybersicherheit erkannt, schreibt dazu die Lausanne-Echallens-Bercher-Bahn. Es sei noch einiges zu tun.
Die Bahnen sollen ebenfalls der physischen Sicherheit mehr Beachtung schenken. Die LEB-Bahn müsse auch den Zutritt zur Schaltzentrale besser schützen, bemängelt die Finanzkontrolle. Jeder und jede im Haus könne in die Betriebszentrale eindringen.
Anforderungen an den Bund
Verbesserungspotenzial ist vorhanden. Für kleinere Betriebe dürfte es aufgrund des Aufwands von Vorteil sein, mit grösseren Bahnen und mit externen Dienstleistern zusammenzuarbeiten.
Seit 1. November 2020 verpflichten neue Vorgaben alle Bahnen dazu, ein Managementsystem für die Informationssicherheit aufzubauen und zu betreiben. Das Bundesamt für Verkehr sollte die Mindestanforderungen präzisieren und die Frist zur Umsetzung definieren, heisst es im Bericht.
