EFK prüft vier Bahnen

Bei Schweizer Regionalbahnen hat's Sand im Cybersecurity-Getriebe

Uhr
von Kevin Fischer und cka

Das EFK hat vier Schweizer Regionalbahnen auf ihre Cybersecurity hin geprüft. Das Fazit: Nur eine Bahn erfüllte die empfohlenen Mindestanforderungen.

(Source: Johannes Hofmann / Unsplash)
(Source: Johannes Hofmann / Unsplash)

Von vier geprüften Schweizer Regionalbahnen hat nur die Rhätische Bahn eine ausreichende Cybersecurity. Zu diesem Schluss kommt die Eidgenössische Finanzkontrolle (EFK). Die anderen drei geprüften Bahnen erfüllen den "Minimalstandard zur Verbesserung der IKT-Resilienz" nicht. Dieser wird vom Bundesamt für wirtschaftliche Landesversorgung empfohlen.

Bei den weiteren geprüften Bahnen handelt es sich um die Freiburgischen Verkehrsbetriebe, die Lausanne-Echallens-Bercher-Bahn und die ZB Zentralbahn. In der Schweiz gibt es übrigens mehr als 35 Regionalbahnen. Die EFK spricht daher auch von einer "Querschnittsprüfung".

Obschon die Rhätische Bahn die Minimalanforderungen übertrifft, haben gemäss Bericht alle geprüften Bahnen in bestimmten Bereichen Nachholbedarf. So müsse etwa das Zugriffsmanagement bei drei Bahnen verbessert werden: "Die Verwaltung der Benutzerkonten und die Vergabe der Rechte weisen in mancher Hinsicht erhebliche Mängel auf", wie es im Bericht heisst. "Fernzugriffe durch Lieferanten müssen in der Kontrolle der Kunden sein und nachvollziehbar dokumentiert werden. Hier besteht für die betroffenen Bahnen ein umfangreicher Handlungsbedarf."

Auch bei der physischen Sicherheit hapert's

Der physischen und umgebungsbezogenen Sicherheit müsse generell ebenfalls mehr Beachtung geschenkt werden. Bei einer Bahn sei etwa der Zutritt zur Leitzentrale ungesichert gewesen, womit auch die ICT-Systeme darin technisch ungeschützt waren. Ausserdem sei der Brandschutz bei allen Bahnen unterschiedlich implementiert.

Das EFK schliesst im Bericht, dass grössere Bahnen hinsichtlich ICT-Sicherheit besser aufgestellt seien als kleinere. Für Letztere stellt die Cybersecurity eine grosse finanzielle und personelle Herausforderung dar. Helfen könne etwa die Zusammenarbeit mit grösseren Bahnen und externen Dienstleistern.

Sollte ein Unternehmen trotz entsprechenden Massnahmen mal Opfer etwa einer Ransomware-Attacke werden, kann es ja noch auf die Cyberversicherung hoffen - oder etwa nicht? Wie Schweizer Versicherer mit Ransomware-Opfern umgehen, erfahren Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_218944