Kritische Infrastruktur
06.06.2021, 10:33 Uhr
EFK: Bahnen könnten sich besser vor Cyberangriffen schützen
Der Schutz vor Cyber-Bedrohungen ist für kleinere Bahnunternehmen eine grosse finanzielle und personelle Herausforderung. Zu diesem Schluss kommt die Eidgenössische Finanzkontrolle.
Die Eidgenössische Finanzkontrolle hat bei vier ausgewählten Bahnen geprüft, wie gut sie ihre Steuerungsanlagen gegen Cyber-Angriffe schützen. Denn der Schienenverkehr gehört zu den sogenannten kritischen Infrastrukturen, die das Land mit unverzichtbaren Gütern und Dienstleistungen versorgen. Unter die Lupe genommen wurden die Freiburgischen Verkehrsbetriebe (TPF), die Lausanne-Echallens-Bercher-Bahn, die Zentralbahn und die Rhätische Bahn. Die Finanzkontrolle stellte beträchtliche Unterschiede beim Stand der Informationssicherheit fest und ortete Handlungsbedarf in verschiedenen Bereichen, wie sie in ihrem Bericht schildert.
Verbesserungswürdig sei in mehreren Fällen das Zugriffsmanagement. Die Verwaltung der Benutzerkonten und die Vergabe der Rechte «weisen in mancher Hinsicht erhebliche Mängel auf», schreibt die EFK. Zudem müssten Fernzugriffe durch Lieferanten nachvollziehbar dokumentiert werden. Generell mehr Beachtung schenken sollten die Bahnen der physischen Sicherheit. So sei in einem Fall der Zutritt zur Leitzentrale ungesichert, so dass die darin befindenden Systeme der Informations- und Kommunikationstechnik nicht ausreichend gegen unbefugte Zugriffe geschützt seien. Geräte für die Wartung des Rollmaterials seien teilweise unverschlossen zugänglich. Beim Brandschutz seien Massnahmen implementiert, die sich stark voneinander unterscheiden. Im Bericht ist die Rede von Stellwerken ohne Brand- und Rauchmeldesysteme und von fehlenden Löschmitteln für eine allfällige Erstintervention.
Verbesserungspotenzial ist also vorhanden. Für kleinere Betriebe dürfte es aufgrund des Aufwands von Vorteil sein, mit grösseren Bahnen und mit externen Dienstleistern zusammenzuarbeiten. Seit 1. November 2020 verpflichten neue Vorgaben alle Bahnen dazu, ein Managementsystem für die Informationssicherheit aufzubauen und zu betreiben. Das Bundesamt für Verkehr sollte die Mindestanforderungen präzisieren und die Frist zur Umsetzung definieren, heisst es im Bericht.