Detail

Informationssicherheit im öffentlichen Personennahverkehr: Vorgehen zur Umsetzung der regulatorischen Vorgaben

31.05.2017

Relevanz des ÖPNV und Einordnung der Regulatorik

Wegen ihrer besonderen Bedeutung für ein funktionierendes Gemeinwesen, insbesondere in Ballungszentren, gelten Unternehmen des ÖPNV als Betreiber kritischer Infrastrukturen im Sinne des IT-Sicherheitsgesetzes, sofern sie gewissen Kriterien unterliegen. Mit dem zweiten Referentenentwurf des Bundesministeriums des Inneren (BMI) vom 23. Mai 2017 werden Geltungsbereich, Anlagenkategorien sowie quantifizierbare Schwellenwerte in Bezug auf die Anlagengrößen für den Sektor Transport und Verkehr geregelt. Am 31. Mai 2017 hat die Bundesregierung der, vom Bundesminister des Innern, vorgelegten Änderung der Verordnung zur Bestimmung Kritischer Infrastrukturen zugestimmt. Die Verordnung wird daher zeitnah – vermutlich im Juni 2017 – in Kraft treten.

Die Vorschrift erfasst Schienennetz und Stellwerk, Fahrzeugflotte, Verkehrssteuerungs- und Leitsystem des ÖPNV sowie Leitzentrale im ÖPNV, mithin der Stadt-Schnellbahn (U-Bahn), der Straßenbahn sowie des Omnibusverkehrs. Tangiert sind dabei u.a. die betreiberseitige Überwachung und Steuerung des Verkehrs in Kontrollzentralen und Kommunikationsanlagen, Verkehrsleitzentralen zur betrieblichen Steuerung, durch Systeme der Fahrgastinformation, des Fahrgastservice und der Fahrgastsicherheit, durch Systeme zur Reaktion auf Störungen und Unterbrechungen der Dienstleistung sowie Systeme zur Optimierung von Betriebsabläufen.

Aktuell ist davon auszugehen, dass die betroffenen ÖPNV-Unternehmen den Nachweis der Einführung eines geeigneten Informationssicherheits-Managementsystem (ISMS) erbringen müssen. Einen solchen Nachweis müssen bereits bspw. Betreiber von Energie- und Versorgungsnetzen (Strom, Gas, Fernwärme, Wasser) mit einer erfolgreichen (Erst-)Zertifizierung ihres ISMS nach ISO/IEC 27001:2015 bis spätestens Januar 2018 (zwei Jahre nach In-Kraft-Setzung des ersten Referentenentwurfes) erbringen.

Orientierung für die Einführung eines ISMS im ÖPNV-Umfeld

Sofern nicht bereits andere Managementsysteme (z.B. Qualitätsmanagement-system nach ISO 9001) im Unternehmen existieren, stellt die Einführung und Umsetzung eines ISMS die ÖPNV-Unternehmen vor große Herausforderungen. Besondere Schwierigkeiten bereitet den Unternehmen hierbei vor allem die Festlegung eines zertifizierungsfähigen Anwendungsbereichs des ISMS, die Verankerung einer funktionsfähigen Sicherheitsorganisation, die Konzeption einer geeigneten Risikomethodik und deren anschließende Operationalisierung mit der strukturierten Aufnahme von Geschäftsprozessen und Informations-und Kommunikationssystemen (IuK-Systeme). Parallel zu allen zuvor aufgeführten Aspekten sind die prüfungsrelevanten Dokumentationen nach ISO 27001 und 27002 zu erstellen und in durch die internen Abstimmungs- und Freigabeprozesse zu bringen.

Vielfach befinden sich die Betreiber von Energie- und Versorgungsnetzen sowie die öffentlichen Nahverkehrsunternehmen unter dem gemeinsamen Dach einer Stadtwerke-Holding. Dieser Umstand kann dazu genutzt werden, sowohl auf Management- als auch Arbeitsebene eine effektive und effiziente Lösung für die Umsetzung und Einhaltung des IT-Sicherheitsgesetzes zu erarbeiten. Obwohl hier Methoden und querschnittlich nutzbare Dokumente gemeinsam erarbeitet und angewendet werden können, verbleibt die Verantwortung für eine angemessene Informationssicherheit in den ÖPNV-Gesellschaften, in denen in der Regel auch die kritischen Systeme entwickelt und betrieben werden. Flankierend sind branchenspezifische Regelungen, wie z.B. die Vorgaben der „Verordnung über den Bau und Betrieb der Straßenbahnen“ (BoStrab), der technischen Aufsichtsbehörde (TAB) oder Empfehlungen des Verbands deutscher Verkehrsunternehmen (VDV), zu beachten.

Smarte Evaluierung der Vorgehensweise zur ISMS-Umsetzung

plenum empfiehlt ÖPNV-Unternehmen die Durchführung einer Vorstudie, um den Umfang sowie das zu erwartende Budget für die Umsetzung eines ISMS abzuschätzen. Zunächst wird gemeinsam mit dem Unternehmen der (zertifizierungsrelevante) Anwendungsbereich erarbeitet. Aus der Analyse bestehender Risikoelemente in den vorhandenen Geschäftsprozessen und IuK-Systeme lassen sich die betroffenen Fachbereiche ableiten. Mit der Abschlussdokumentation werden die Voraussetzungen für die Einführung und Umsetzung eines ISMS beschrieben und ein erster Umsetzungsplan mit notwendigen Projektstrukturen abgeleitet.

  • Energie
  • IT-Management

Ihr Ansprechpartner

Volker Elders, Vorstand

Volker Elders
Vorstand

+49 (0)69 6435524-32
Volker.Elders@plenum.de

Achim Zeiner, Senior Manager

Achim Zeiner
Senior Manager

+49 (0)170 8785015
Achim.Zeiner@plenum.de