URI: Gotthard-Basistunnel: Identifikation der IT-Risiken erfolgte zu spät

Beim Gotthard-Basistunnel ist gemäss der Eidgenössischen Finanzkontrolle (EFK) die Identifikation und die Minimierung von Risiken der IT-Sicherheit zwar zielführend, aber zu spät erfolgt. Die EFK fordert eine Stärkung des Bundesamtes für Verkehr (BAV) als Aufsichtsbehörde.

Drucken
Teilen
Zu Testzwecken sind am Montag sowohl alle schnellen Personenzüge... (Bild: Alexandra Wey / Keystone)

Zu Testzwecken sind am Montag sowohl alle schnellen Personenzüge... (Bild: Alexandra Wey / Keystone)

Die EFK hat die Wirksamkeit des Vorgehens zur Gewährleistung eines angemessenen IT-Sicherheitsniveaus der Tunnel-Betriebsautomation unter Ausklammerung der Bahnleittechnik untersucht.

Zum Zeitpunkt der Übergabe des Tunnels von der Erstellerin AlpTransit Gotthard AG (ATG) an die Betreiberin SBB am 1. Juni 2016 seien noch nicht alle notwendigen Massnahmen zur IT-Sicherheit umgesetzt gewesen, hält die EFK in einem am Dienstag veröffentlichten Bericht fest.

Sorgfältig durchgeführte Analysearbeiten der SBB zeigten auf, dass zum Zeitpunkt der Betriebsaufnahme aufgrund der vorhandenen Schwachstellen keine kurz- und mittelfristig untragbaren Risiken zu verzeichnen gewesen seien.

Keine relevanten Unfallrisiken

Zudem seien die Risiken aus Sicht der ICT-Security auf den Bereich der Verfügbarkeit des Tunnels beschränkt, schreibt die EFK weiter. Auch hinsichtlich der Betriebssicherheit, etwa Unfallrisiken mit Personenschäden, habe die Analyse keine relevanten Gefährdungen festgestellt.

Die EFK stellt in ihrem Bericht fest, dass die ICT-Security-Risiken erst spät im Projekt systematisch behandelt wurden. Die Risikoanalyse sei aber methodisch in sachgemässer Weise durchgeführt und dokumentiert worden.

Risiko von zusätzlichen Kosten

Die AlpTransit Gotthard AG und die SBB hätten den Fortschritt der Verbesserungsmassnahmen allerdings anders beurteilt, was auf unterschiedliche Beurteilungsgrundlagen seitens der SBB und der ATG zurückgeführt wird. Aus der Sicht der EFK besteht dadurch ein Risiko zusätzlicher Kosten wie auch eine Quelle für Verzögerungen.

Die Aufsichtsbehörde empfiehlt deshalb dem Bundesamt für Verkehr (BAV), die Umsetzung der noch offenen Empfehlungen überwachen zu lassen.

Zudem soll das BAV sowohl für den Ceneri-Basistunnel wie auch für weitere grosse Bahnprojekte mit unterschiedlichem Ersteller und Betreiber eine Rolle beim Ersteller einfordern, welche die ICT-Security über alle Phasen des Projektes übergreifend verantwortet. Eine solche Rolle sollte auch bei Vorhaben in einer Projektorganisation eingefordert werden, bei denen der Ersteller und der Betreiber identisch sei.

sda