Verhalten der BVG „absolut nicht akzeptabel“: Berliner SPD-Fraktionsvize fordert Ende des Konflikts um IT-Sicherheit

Jörg Stroedter ist genervt. „Die BVG beharrt auf ihrer Position, Sicherheitsfragen spielen da keine Rolle“, sagt der Vizevorsitzende der SPD-Fraktion im Abgeordnetenhaus. Das Verhalten des Vorstands der Berliner Verkehrsbetriebe sei „absolut nicht akzeptabel“. Der jahrelange Streit zwischen der BVG und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) um den Nachweis bestmöglicher Sicherheit gegen Cyberattacken ist für Stroedter nicht nachvollziehbar. Ein politisches Risiko für die BVG.

Der Sozialdemokrat leitet im Parlament den Unterausschuss für Beteiligungsmanagement und -controlling, zuständig für die Kontrolle von Unternehmen des Landes Berlin. Stroedter ist zudem Vizevorsitzender des Wirtschaftsausschusses und dort Sprecher für Energie und Betriebe. Stroedters Meinung im Konflikt zwischen BVG und BSI hat Gewicht. Auch in der SPD. Inzwischen interessiert sich der Regierende Bürgermeister Michael Müller für den Streit. Innensenator Andreas Geisel (SPD) hat sich auf die Seite des BSI gestellt.

Die BVG weigert sich, die gesetzlich vorgeschriebene Kontrolle der IT-Sicherheit durch das BSI anzuerkennen. Bislang hat die BVG nur „freiwillig“ Angaben zu vier Anlagen gemacht, die als hochsensible „Kritische Infrastruktur“ eingeordnet werden. Das ist dem BSI zu wenig. Gegen eine Anordnung des Bonner Bundesamtes legte die BVG im Oktober 2020 Klage beim Verwaltungsgericht Köln ein. Das Verfahren könnte den seit 2018 schwelenden Streit noch um mehr als ein Jahr verlängern. Nachdem der Tagesspiegel am 20. Januar den Konflikt öffentlich gemacht hatte, schickte Stroedter, der wie die Ausschüsse vom Streit nichts gewusst hatte, dem BVG-Vorstand schriftlich Fragen. Die Antworten haben Stroedters Ärger noch gesteigert.

Die BVG sage, es gehe nur um die IT-Sicherheit der vier Anlagen, nicht des Betriebes insgesamt. „Das ist nicht sachgerecht“, kritisiert Stroedter. „Wenn es IT-Störungen gibt, können sich sehr wohl Probleme in der gesamten BVG ergeben.“ Auch ein weiteres Argument der BVG hält er für „vorgeschoben“. Die Sorge des Vorstands, es könnten Bußgelder in Höhe von bis zu zwei Millionen Euro fällig werden, sollte die BVG die Informationspflichten gegenüber dem BSI nicht einhalten, überzeugt Stroedter nicht.

„Es kann nicht sein, dass man wegen drohender Bußgelder Verpflichtungen nicht nachkommt“, sagt Stroedter. Er betont, „die Sicherheit der Fahrgäste ist das oberste Gut“. Die BVG sagt jedoch im Schreiben an Stroedter, sie sehe sich „in der Pflicht, solche Bußgeldzahlungen um jeden Preis zu vermeiden“.

Bundesregierung will härtere Sanktionen bei Verstößen

Die Zahlung von zwei Millionen ist aber bislang fiktiv. Im BSI-Gesetz sind Bußgelder von maximal 100 000 Euro vorgesehen, sollte der Betreiber einer Kritischen Infrastruktur seinen Pflichten gegenüber dem Bundesamt nicht nachkommen. Das könnte sich allerdings ändern. Die Bundesregierung hat im Dezember 2020 den Entwurf für ein „IT-Sicherheitsgesetz 2.0“ beschlossen. Womöglich wird es im Bundestag noch vor der Wahl im September verabschiedet. Im Entwurf sind für Ordnungswidrigkeiten, die ein gravierendes Risiko für die IT-Sicherheit bedeuten, Bußgelder zwischen 50 000 Euro und zwei Millionen vorgesehen. Die Regierung begründet die Verschärfung so: Die Bußgelder müssten sich „neben der Schwere des Verstoßes auch an der Wirtschaftskraft der Adressaten orientieren“. Nur so könnten die Sanktionen „generalpräventiv wirken". Andernfalls bestünde die Gefahr, dass Unternehmen eher ein geringes Bußgeld zahlen, als mit viel Geld die gesetzlichen Pflichten bei der IT-Sicherheit zu erfüllen.

[Wenn Sie alle aktuellen Nachrichten live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere App, die Sie hier für Apple- und Android-Geräte herunterladen können.]

Warum ausgerechnet die BVG hohe Bußgelder befürchten muss, ist allerdings unklar. Im Sommer 2020 betonte die Sprecherin der Verkehrsbetriebe, Petra Nelken, um Hackerangriffen vorzubeugen gebe es bei der IT jedes Jahr einen großen „Penetrationstest“. Manche Systeme würden täglich geprüft. Demnach müsste sich die BVG keine Sorgen machen, könnte sie für die vom BSI gewünschte Kooperation einen rundum gewappneten Betrieb präsentieren.

Wirtschaftssenatorin Ramona Pop (Grüne) setzte zudem vergangenen Donnerstag im Abgeordnetenhaus einen anderen Schwerpunkt in der Darstellung des Streits zwischen BVG und BSI. Sie sprach nicht von drohenden Bußgeldern, sondern von der "Frage", ob das BSI Anforderungen ans gesamte IT-System der BVG stellen könne. Was dann möglicherweise zu einem "erheblichen Mehraufwand bei der BVG vor allem an Kosten führen kann".

Senatorin soll BVG Anweisung erteilen

Stroedter fordert, die Wirtschaftssenatorin solle die BVG anweisen, den Rechtsstreit mit dem BSI zu beenden. Pop leitet den Aufsichtsrat der BVG, hat aber nach eigenen Angaben erst im Juni 2020 vom Konflikt mit dem BSI erfahren. Kommenden Montag wird Stroedter, und wohl nicht nur er, bei der Sitzung des Wirtschaftsausschusses von Pop Erklärungen verlangen. Die Senatorin steht unter Druck. CDU-Fraktionschef Burkard Dregger forderte vergangenen Freitag, der Regierende Bürgermeister solle Pop als Aufsichtsratsvorsitzende der BVG „unverzüglich ablösen“. Die Senatorin verkündete im Abgeordnetenhaus, sie gehe davon aus, dass der Rechtsstreit mit dem BSI "einem baldigen, und zwar guten Ende zugeführt wird". Ob die BVG die Klage beim Verwaltungsgericht Köln zurücknimmt, sagte Pop nicht.