Cybersicherheit

Finanzkontrolle rüffelt Zentralbahn in Stansstad

03.06.2021, 17:24 Uhr

· Online seit 03.06.2021, 10:40 Uhr

Bahnunternehmen könnten sich besser vor Cyber-Angriffen schützen. Zu diesem Schluss kommt die Eidgenössische Finanzkontrolle in einem Bericht. Verbesserungspotential gibt es demnach auch bei der Zentralbahn.

Ein Bericht der Eidgenössischen Finanzkontrolle sieht bei der Zentralbahn Handlungsbedarf.

Bildquelle: KEYSTONE/Urs Flueeler

Ein Bericht der Eidgenössischen Finanzkontrolle sieht bei der Zentralbahn Handlungsbedarf.

1 / 1

Die Eidgenössische Finanzkontrolle hat bei vier ausgewählten Bahnen geprüft, wie gut sie ihre Steuerungsanlagen gegen Cyber-Angriffe schützen. Unter die Lupe genommen wurden die Freiburgischen Verkehrsbetriebe (TPF), die Lausanne-Echallens-Bercher-Bahn, die Zentralbahn und die Rhätische Bahn.

Dabei stellte die Finanzkontrolle beträchtliche Unterschiede beim Stand der Informationssicherheit fest und ortete Handlungsbedarf in verschiedenen Bereichen. Die Mindestanforderungen erfüllt hat von den vier geprüften Unternehmen einzig die Rhätische Bahn.

Bahnunternehmen sollen nachbessern

Verbesserungswürdig sei in mehreren Fällen das Zugriffsmanagement. Die Verwaltung der Benutzerkonten und die Vergabe der Rechte «weisen in mancher Hinsicht erhebliche Mängel auf». Zudem müssten Fernzugriffe durch Lieferanten nachvollziehbar dokumentiert werden.

Generell mehr Beachtung schenken sollten die Bahnen der physischen Sicherheit. So sei in einem Fall der Zutritt zur Leitzentrale ungesichert, so dass die darin befindenden Systeme der Informations- und Kommunikationstechnik nicht ausreichend gegen unbefugte Zugriffe geschützt seien.

Keine Gefahr für Zugpassagiere

Laut Robert Scheidegger, Verantwortlicher öffentlicher Verkehr bei der Finanzkontrolle, geht es bei den festgestellten Mängeln um Grundsätzliches, wie er gegenüber SRF präzisiert. Dazu gehört zum Beispiel, dass jeder Mitarbeiter ein eigenes Passwort erhält und dieses regelmässig wechseln muss.

Einen direkten Einfluss auf die Sicherheit der Zugpassagiere hätte ein Hackerangriff nicht. Züge würden einfach stillstehen, was zu Verspätungen führt. Dies sei aber immer auch mit Kosten verbunden, ergänzt Scheidegger.

Bund soll Anforderungen präzisieren

Verbesserungspotenzial ist also vorhanden. Für kleinere Betriebe dürfte es aufgrund des Aufwands von Vorteil sein, mit grösseren Bahnen und mit externen Dienstleistern zusammenzuarbeiten.

Seit 1. November 2020 verpflichten neue Vorgaben alle Bahnen dazu, ein Managementsystem für die Informationssicherheit aufzubauen und zu betreiben. Das Bundesamt für Verkehr sollte die Mindestanforderungen präzisieren und die Frist zur Umsetzung definieren, heisst es im Bericht.