Verkehr & Smart Mobility: Namensartikel von Dr. Florian Eck, Geschäftsführer, Deutsches Verkehrsforum

Eine IT-Panne führte am vergangenen Freitag weltweit zu massiven Störungen und Ausfällen im Flugverkehr, schränkte Logistikunternehmen sowie den Zahlungsverkehr ein. Die betroffene Verkehrs- und Logistikwirtschaft bleibt auf den Folgekosten sitzen und trägt allein die Risiken. Das zeigt das Ungleichgewicht der Kräfte im KRITIS-Bereich. Es braucht eine klare Regelung zur Herstellerhaftung von Cybersicherheitshard- und software.

Am vergangenen Freitag starteten 8,5 Millionen Computer durch ein fehlerhaftes Update in eine Endlosschleife. Ihr Ausfall beeinträchtigte bodenseitig die Flugabwicklung, schränkte Logistikunternehmen ein und bremste den Zahlungsverkehr aus. Der verursachende Softwarehersteller entschuldigt sich für die Unannehmlichkeiten und präsentiert zeitnah einen Bugfix.

Alleine die Arbeitskosten für die Schadensbeseitigung dürften in die Milliarden gehen, der Kollateralschaden in der Wirtschaft und bei den Endkunden liegt noch deutlich darüber. Für das Softwareunternehmen beschränkt sich das Haftungsrisiko lediglich auf die Lizenzkosten und den Aufwand für das Programmieren und Veröffentlichen eines Bugfixes.

Nehmen wir einen Perspektivwechsel vor: Seit 2015 sind ausgewählte Verkehrs- und Logistikunternehmen sowie Infrastrukturbetreiber als versorgungskritisch nach dem IT-Sicherheitsgesetz (IT-SiG) eingestuft und unterliegen damit besonderen Auflagen für den Betrieb ihrer IT-Systeme sowie regelmäßigen Berichtspflichten. Wer als versorgungskritisches Unternehmen gilt, ergibt sich aus den Schwellenwerten der KRITIS-Verordnung. Das sind große ÖPNV-Unternehmen und Logistiker ebenso wie Eisenbahnverkehrsunternehmen, Häfen und Flughäfen.

KRITIS: Aufwendiges Prüf- und Berichtswesen

(...) Die Mobilitäts- und Logistikbranche nimmt das Thema Cybersicherheit sehr ernst. Aus eigenem Interesse setzen die Unternehmen auf den Einsatz zertifizierter Hard- und Software und regelmäßige Audits. Ihre Unternehmen unterliegen zudem bereits umfassenden Haftungsvorschriften als Hersteller und Betreiber. Mit dem IT-SiG wurde ein einheitliches Sicherheitskennzeichen für Hard- und Software eingeführt, das – ebenso wie andere cybersicherheitsrelevante Zertifikate – vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft und vergeben wird. (...)

Zahnloser Tiger der Zertifizierung

Die Praxis sieht anders aus: Das Unternehmen, das für die massiven Störungen der kritischen Infrastrukturen und anderer Unternehmen am 19. Juli 2024 verantwortlich war, wurde im April 2022 vom BSI für seine Softwarekomponente zertifiziert. Nach dem Vorfall droht dem Unternehmen allenfalls ein Entzug der Zertifizierung mit der Aufforderung zur erneuten Zulassung. (...)