Gregor Poletti

30 331. So viele Vorfälle wurden allein im zweiten Halbjahr 2023 dem Bundesamt für Cybersicherheit gemeldet. Besonders gefährdet sind die Betriebe des öffentlichen Verkehrs, da sie neben der eigenen IT über betriebskritische Systeme wie Sicherheitsanlagen verfügen. Ein weiteres potentielles Einfallstor: die für alle offenen Websites und Apps. Meine Kollegin Franziska Frey hat sich bei den Busunternehmen umgehört, wie sie die Lage einschätzen und was sie unternehmen, damit sie nicht gehackt werden.

So verfügen zum Beispiel Bernmobil und Postauto über ein spezielles Krisenmanagement, um im Ernstfall sofort reagieren zu können. Und das ist offensichtlich notwendig, wie Thomas Kolly von Bernmobil bilanziert: «Es ist eindrücklich zu sehen, welche Themen und Bereiche alles tangiert werden und wo man vielleicht noch nicht ganz so gut aufgestellt ist».

«Für mich ist es jedes Jahr ein Blick in die Branche der digitalen Informations-, Produktions- und Logistikprozesse. Neue Ideen, frische Impulse und ein bisschen Networking – alles verpackt in einen Tag voller Excellence», sagt Marc Inderbitzin vom Migros Genossenschaftsbund über die Excellence Days. Mein Kollege Michael Schenk war auch am Anlass, hat auch Networking betrieben – aber nicht nur: Er hat zudem mitverfolgt, wer dieses Jahr mit dem Swiss Logistics Award ausgezeichnet wird. Dabei handelt es sich um die bedeutendste nationale Auszeichnung im Supply Chain Management der Schweizer Schweizer Transport- und Logistikbranche. Erfahren Sie hier, wer der diesjährige Preisträger ist und weshalb er dazu erkoren wurde.

Ich wünsche Ihnen viel Vergnügen bei der Lektüre.

Gregor Poletti, Redaktionsleiter
gregor.poletti@tamedia.ch

UNSERE THEMEN HEUTE

NACHRICHTEN

Parlamentarischer Vorstoss

ÖV-Personal und Fahrgäste müssen besser geschützt werden

Vor einem Jahr im Raum Zürich: Ein Elektroinstallateur kommt in der S-Bahn auf seiner Fahrt von Effretikon zum Flughafen in eine Billettkontrolle. Weil er kein gültiges Ticket vorweisen kann, rennt er davon. Kurze Zeit später, an einem anderen Ort, erkennen die Kontrolleure den Flüchtigen wieder. Einer von beiden will ein Foto des Mannes machen. Das bringt den 37-Jährigen derart in Rage, dass er dem Kontrolleur zuerst das Mobiltelefon aus der Hand schlägt, um dann zu einem Pfefferspray zu greifen und beiden Kontrolleuren damit mehrfach ins Gesicht zu sprühen.

Wie oft derartig gewalttätige Vorfälle vorkommen, kommunizieren die SBB nicht. Reto Schärli, Leiter Medienstelle, sagte damals gegenüber dem «Tages-Anzeiger»: «Die SBB beobachten, dass Tätlichkeiten statistischen Schwankungen unterliegen und einzelne Vorfälle gegen Personal oder Kundinnen und Kunden gröber geworden sind.» Im Tätigkeitsbericht der SBB Security und Transportpolizei 2023 wird sogar von einer sichtbar zunehmenden Gewaltbereitschaft und Gewaltanwendung gesprochen.

Rückläufiges Sicherheitsempfinden

Die Zahl der Übergriffe, insbesondere gegen das ÖV-Personal, würden diesen «besorgniserregenden Trend» belegen, ist die Grüne Nationalrätin Greta Gysin überzeugt. Sie hat deshalb diese Woche eine Interpellation eingereicht, weil das Sicherheitsempfinden an Bahnhöfen und in Zügen erstmals rückläufig sei.

Bei den Transportunternehmen selbst, bei kantonalen Polizeikorps und bei den Staatsanwaltschaften würden Offizialdelikte gegen das ÖV-Personal noch zu oft als Bagatelle behandelt, ist Gysin überzeugt: «Obwohl gemäss Art. 59 des Personenbeförderungsgesetzes (PBG) und Art. 88 des Eisenbahngesetzes (EBG) die allermeisten Straftaten gegen ÖV-Personal von Amtes wegen zu verfolgen sind, wird die Strafverfolgung der Täterschaft vernachlässigt.»

Demgegenüber habe die SBB Transportpolizei (TPO) in den letzten Jahren Stützpunkte geschlossen und zentralisiert, gerade auch entlang von sogenannten «schwierigen Linien». Der Personalbestand der TPO verharre seit Jahren auf dem gleichen Niveau.

Kritische Fragen

Gysin will deshalb vom Bundesrat unter anderem wissen, was der Bundesrat als Eigner der SBB unternimmt, um die Sicherheit zu erhöhen und ob er bereit sei, bei der SBB TPO zu intervenieren, um die Präsenz der Transportpolizei wieder zu erhöhen?

Der Bundesrat muss diese Fragen in den nächsten Wochen beantworten, wahrscheinlich dürfte dies aber erst nach den Sommerferien der Fall sein. (Gregor Poletti)

Nationalrat

Bund soll Mietenden Zugang zu Elektroauto-Ladestationen sichern

Mieterinnen und Mieter sollen künftig einen Anspruch auf eine Elektroauto-Ladestation haben. Dasselbe soll für Personen mit Stockwerkeigentum gelten. Dafür hat sich der Nationalrat ausgesprochen.

Er hat am Donnerstag eine Motion des Berner GLP-Nationalrats Jürg Grossen mit diesen Forderungen angenommen. Der Bund solle den Zugang zu Ladeinfrastrukturen für Elektroautos auch im Mietverhältnis und im Stockwerkeigentum sicherstellen, lautet Grossens Formulierung im Wortlaut.

Der Berner Oberländer Nationalrat schreibt im Vorstoss, für die optimale Nutzung und Schonung der Verteilnetze müssten Elektroautos während den Standzeiten am Netz hängen. So liessen sich Ladevorgänge mit geringer Leistung gut steuern. Netzausbaukosten und Mobilitäts- und Energiekosten würden für alle minimiert.

Die Schweizer Stromsysteme hätten immer wieder angepasst werden müssen, sagte Grossen im Rat. Früher, mit dem Bandstrom, habe es beispielsweise der nächtlichen Einschaltung von einer Million Elektroboiler bedurft, um den Bandstrom «wegzubringen», so Grossen.

«Es wäre geradezu töricht», wenn die Schweiz das grosse Speicherpotenzial von Elektroautos für die Ausgestaltung des künftigen Stromsystems nicht nutzte. Das Potenzial aller Autos zusammen übertreffe jenes aller Schweizer Pumpspeicherwerke.

Der Bundesrat beantragte Ablehnung. Personen im Mietverhältnis und im Stockwerkeigentümern den Zugang zu Ladeinfrastrukturen sicherzustellen, komme einem Rechtsanspruch auf eine Ladestation gleich. Das lehne die Landesregierung ab. Jetzt ist die Reihe am Ständerat, der die Motion auch überweisen muss, damit der Bundesrat zu Handeln gezwungen werden kann. (sda)

Schienengüterverkehr

Italien startet DAK-Versuche – Industrie ist skeptisch

Nach der Schweiz, Deutschland und Österreich will nun auch Italien bei der Einführung der digitalen automatischen Kupplung (DAK) im Schienengüterverkehr vorwärts machen. In Kürze sollen erste Tests für die DAK beginnen, teilte die italienische Agentur für die Sicherheit der Eisenbahn-, Strassen- und Autobahninfrastrukturen (ANSFISA) kürzlich mit.

Das italienische DAK-Projekt soll sechs Züge und über 120 Waggons umfassen, die zwischen 2026 und 2027 getestet werden sollen, wie der Leiter der ANSFISA bei einem Treffen in Venedig sagte. Unklar ist, inwieweit das italienische DAK-Projekt mit den anderen Vorhaben abgesprochen ist, die derzeit europaweit laufen. Derzeit gibt es drei DAC-Konsortien: DACFIT, DAC4EU, bei dem auch die SBB Cargo dabei ist und das Projekt FP5-TRANS4M-R.

Kritik von Industrievertretern
Wie die Zeitung «Railfreight» schreibt, wird jedoch der Nutzen der digitalen automatische Kupplung von einigen italienischen Industrievertretern kritisch beurteilt. Sie sind der Meinung, dass die Einführung von DAC keine Priorität haben sollte, da es dringendere Themen gebe, die wesentlich weniger kosten und einen grösseren Nutzen bringen würden. Eine Kritik, die ansonsten vor allem aus osteuropäischen Ländern wie etwa Tschechien zu hören ist. Konkret wurde bemängelt, dass die Einführung von DAC Milliarden von Euro kosten würde, aber nur bestimmten Segmenten des Sektors zugutekäme, wie etwa dem Einzelwagenladungsverkehr (EWLV).

Mit rund 40 Millionen Euro könne man einen Fonds einrichten, der die EWLV-Betreiber für Verluste entschädige, die durch die Schliessung von Infrastrukturen entstünden, findet ein Industrievertreter. «Sie können keine 40 Millionen Euro aufbringen, um die Unternehmen in den nächsten Jahren am Leben zu erhalten, aber jetzt reden sie davon, Milliarden für die Umsetzung des DAC auszugeben. Das ist eine absurde Initiative», so eine Quelle gegenüber «Railfreight». Von wem die Kritik kommt, ist unklar, da im Bericht nur anonyme Quellen zitiert werden.

Peter Füglistaler, scheidender BAV-Direktor und bekannter Befürworter der DAK, sieht der Ablehnung durch die italienische Industrie gelassen entgegen. Die Diskussion komme ihm bekannt vor, schreibt er via Linkedin. «Vor Einführung der lärmarmen Güterwagen kamen aus Italien nur ablehnende Stimmen. Eingeführt wurden sie trotzdem mit Erfolg und sie verkehren heute auch in Italien.» Ausserdem: Eine wirklich bedeutende Rolle spielt Italien in dieser DAK-Frage sowieso nicht, so Füglistaler. (Benjamin Bitoun)

KÖPFE

Astara-Personalnews I

Neuer Comercial Direktor

Astara, Importeur auf dem Schweizer Markt der Marken Fiat, Abarth, Alfa Romeo, Jeep, Hyundai, KGM (ex SsangYong), Maxus, MG und Nissan, hat sein Brand Department verstärkt und neu aufgestellt. So wurde die Position des Commercial Directors geschaffen, bei dem sämtliche Bereiche in Bezug auf Import, B2B und Logistik der von Astara vertriebenen Marken gebündelt sind. Mit Youcef Benachour wurde ein ausgewiesener Experte für diese Position ernannt. Er hat umfassende Erfahrungen in der Automobilbranche und ist seit sieben Jahren in verschiedenen Leitungspositionen für die Marke Hyundai tätig. Zuletzt als Brand Director Hyundai Switzerland. Diese Position wird Benachour neben seiner neuen Aufgabe als Commercial Director Astara Schweiz übergangsmässig weiterführen.

Astara-Personalnews II

Neuer Brand Director

Yannick Lagger wird neuer Brand Director für die Marken Fiat, Abarth, Fiat Professional, Alfa Romeo und Jeep. Er wird die strategische Ausrichtung dieser Marken in der Schweiz weiter vorantreiben. Er verfügt über breite Kenntnisse des Schweizer Marktes und hat in verschiedenen Führungspositionen in der Automobilindustrie gearbeitet. Zuletzt war er als Marketing Director für Renault Schweiz tätig.

Astara-Personalnews III

Neuer Brand Director

Gleichzeitig wird Daniel Fuchs neuer Brand Director für Nissan Switzerland wird. Er verfügt über umfangreiches Know-how in verschiedenen Bereichen und Marken der Automobilbranche, darunter Opel, Chevrolet, Citroën, DS Automobiles und zuletzt bei Astara Fiat, Abarth, Fiat Professional, Alfa Romeo und Jeep. Zudem war Daniel Fuchs mehrere Jahre Mitglied der Geschäftsleitung der Galliker Gruppe. Der bisherige Brand Director von Nissan Switzerland, Michel Jansen, wird das Unternehmen verlassen.

PRESSESCHAU

STELLENMONITOR

UNSERE THEMEN HEUTE

Cybersecurity bei ÖV-Busbetrieben

Busbetriebe rüsten sich gegen Cyberkriminalität

ÖV-Betriebe sind nicht nur besonders anfällig für Cyberattacken. Ein erfolgreicher Hackerangriff könnte auch gravierende Folgen haben. Wie sich die Busunternehmen in der Schweiz dagegen wappnen.

Franziska Frey

Die zunehmende Gefahr durch Cyberkriminelle war auch Thema an der VöV-Tagung Bus24 in Thun. Foto: zvg

Im zweiten Halbjahr 2023 wurden dem Bundesamt für Cybersicherheit insgesamt 30 331 Cybervorfälle gemeldet, fast doppelt so viele wie im selben Zeitraum im Jahr zuvor.

Besonders gefährdet für Cyberangriffe sind auch Betriebe des öffentlichen Verkehrs, da sie neben der eigenen IT über betriebskritische OT-Systeme wie Sicherungsanlagen verfügen und gleichzeitig für alle offen zugängliche Webseiten und Apps betreiben. All diese Bereiche bieten Cyberkriminellen potentielle Einfallstore, um Schaden anzurichten, was sich diese auch zunehmend zu Nutzen machen.

Ernstfall bereits erlebt

Bei den Verkehrsbetrieben Luzern ist das «Wann?» bereits eingetreten: 2022 wurden sie Opfer eines Cyberangriffs der Gruppe ALPHV, auch bekannt als «BlackCat», die bis zur teilweisen Lahmlegung ihres Netzwerkes im Dezember 2023 zu den gefährlichsten und aktivsten Ransomware-Kriminellen weltweit gehörte. Die Gruppe habe mit einem Ransomware-Angriff «diverse Systeme manipuliert, beschädigt sowie verschlüsselt», wie Marc Schwegler, Mediensprecher der Verkehrsbetriebe Luzern VBL, ausführt.

Nach dem Angriff haben die Verkehrsbetriebe Luzern ihr Backup-Konzept weiter optimiert und gestärkt, sowie das Notfallkonzept erweitert. «Unsere Sicherheitssysteme wurden ausgebaut und wir überprüfen regelmässig den Krisenbetrieb unserer betriebsrelevanten Kernprozesse», so Schwegler weiter.

Zusätzlich wurde die IT-Abteilung bei den Verkehrsbetrieben Luzern personell verstärkt und die Awarness-Schulungen für die Mitarbeitenden ausgebaut. Die Mitarbeitenden würden regelmässig Updates und aktuelle Hinweise über die Mitarbeitenden-App erhalten und die IT-Sicherheit sei auch bereits an den Willkommens-Events für neue Mitarbeitende ein Thema.

Anders sieht die Situation bei Bernmobil aus: Noch vor zehn Jahren hätte er gesagt, dass Cyberangriffe in ihrem Bereich eher Fiktion als Realität seien, sagte Thomas Kolly, Leiter Informatik bei Bernmobil,vergangene Woche an der VöV-Tagung Bus24. Das habe sich jedoch stark gewandelt, die Situation sei heute eine ganz andere. «Die Angriffsversuche sind nicht nur viel häufiger geworden, sie werden auch immer ausgeklügelter und perfider», betont Kolly.

Cybersicherheit sei ein Thema, «das Bernmobil sehr stark beschäftigt und dies auch weiterhin tun wird», so Kolly weiter. Einen grossen Einfluss auf die zunehmende Bedrohung durch Cyberattacken habe die fortschreitende Digitalisierung. «Damit erhöhen sich auch die Vernetzung und die Komplexität, was wiederum dazu führt, dass Angriffspunkte in der Summe zunehmen», betont er.

Dies stellt auch Stadtbus Winterthur fest. «Im Schatten der voranschreitenden Digitalisierung nehmen auch die Cyberrisiken zu», sagt Matthias Gerth, Leiter Marketing und Kommunikation von Stadtbus Winterthur. «Eine grosse Herausforderung sehen wir aktuell in der stark steigenden Anzahl von Dienstleistungen, die auf der Verwendung von Cloud-Technologie basieren." Damit würde auch die mögliche Angriffsfläche steigen.

Als kleines Praxisbeispiel, wie sich die Vorkehrungen gegen mögliche Angriffe gegenüber früher gewandelt haben, führt Thomas Kolly von Bernmobil die Installation von Sicherheitspatches – Softwarekomponenten, die sicherstellen, dass IT-Systeme vor Cyberangriffen geschützt sind – an: «Früher haben wir die Sicherheitspatches gesammelt und durchgeführt, sobald wir ein paar zusammen hatten, heute wird ein Patch sofort installiert, sobald er verfügbar ist», erklärt er. Sofortige Reaktion und Geschwindigkeit seien ein Key-Element einer wirkungsvollen Cybersecurity.

Penetrationstests für Busse

Waren sogenannte Penetrationstests bei Bernmobil früher vorwiegend für Webapplikationen ein Thema, wurde im Jahr 2023 der erste Bus des Unternehmens einem solchen unterzogen. Penetrationstests sind eine Testform, bei der IT-Security Experten die Angriffsflächen einer Anwendung umfassenden Tests unterziehen und dabei nach allfälligen Schwachstellen absuchen.

Weshalb sind solche Tests denn bei Bussen überhaupt notwendig? In den meisten Bestandteilen externer Lieferanten sind auch IT-Komponenten im Einsatz, so beispielsweise in den Aussenanzeigen der Busse oder in den Bildschirmen, die in den Fahrzeugen die nächsten Haltestellen oder auch Werbung anzeigen. «Wir haben festgestellt, dass die IT-Sicherheit im jeweiligen Bereich des Anbieters zwar erfüllt ist, dies jedoch bei der End-to-End Sicherheit nicht sichergestellt war», erklärt Kolly.

Um allfällige Schwachstellen aufzudecken, hat Bernmobil einen ihrer Busse Penetrationstests im sogenannten Blackbox-Verfahren unterzogen. Bei diesem Verfahren hat der Angreifende, respektive der Testende, keine oder nur sehr wenig Informationen über das zu testende System. Die benötigten Informationen müssen also zuerst beschafft werden. «Das Blackbox-Verfahren ist sehr beliebt, weil es sehr realitätsnahe Ergebnisse liefert», erklärt Kolly.

«Die gute Nachricht ist: Das Fahrzeug konnte nicht manipuliert werden.»

Thomas Kolly, Leiter Informatik Bernmobil

Das Resultat: Bei den Tests wurden Schwachstellen gefunden, das heisst, es gab Systeme, die manipuliert werden konnten. Welche genau das waren, wollte Kolly nicht sagen. Allerdings waren nur Systeme betroffen, die zusätzlich im Bus eingebaut sind. Sicherheitsrelevante Systeme waren nicht dabei. «Die gute Nachricht ist: Das Fahrzeug konnte nicht manipuliert werden», so Kolly. Gemäss Kolly plant Bernmobil auch in Zukunft solche Tests durchzuführen. «Wir haben bei den Bussen angefangen und werden die nächsten Tests bei den Trams durchführen», erklärt Thomas Kolly.

Bereits 2019 liess Postauto gezielte Penetrationstests an Postautos durchführen. Ebenfalls mit dem Ergebnis, dass Schwachstellen aufgedeckt wurden. «Wir konnten alle entdeckten Schwachstellen in der gesamten Fahrzeugflotte schliessen», so Ben Küchler, Mediensprecher von Postauto. Zudem seien die Postautos mit Sensoren bestückt, dank denen Angriffe frühzeitig erkannt werden können. Im Rahmen eines Bug-Bounty-Programms arbeitet die Post zudem intensiv mit ethischen Hackerinnen und Hackern zusammen: «Sie überprüfen in unserem Auftrag IT-Systeme auf Sicherheitslücken, pro gefundene Schwachstelle erhalten sie eine Belohnung», erklärt Küchler.

Sowohl Postauto als auch Bernmobil betreiben zudem ein Krisenmanagement, um im Ernstfall sofort reagieren zu können. Bernmobil hat erst vor kurzem spezifisch zum Thema Cybersecurity eine Übung durchgeführt. «Es ist eindrücklich zu sehen, welche Themen und Bereiche alles tangiert werden und wo man vielleicht noch nicht ganz so gut aufgestellt ist», so Thomas Kolly.

Wichtiger Faktor: die Mitarbeitenden

Neben den technischen Massnahmen und Vorkehrungen gegen Cyberangriffe ist bei den Busbetrieben die Schulung und Sensibilisierung der Mitarbeitenden ein wichtiger Faktor. Gerade auch hinsichtlich der bei den Busbetrieben mit Abstand am häufigsten vorkommenden Art von Cyberattacken, den Phisingversuchen.

«92 Prozent aller an Bernmobil gerichteten Mails werden gar nicht erst an den Exchange Server weitergeleitet.»

Thomas Kolly, Leiter Informatik Bernmobil

Zwar erreicht der allergrösste Teil der an Bernmobil gerichteten e-Mails ihre Empfänger gar nie: «92 Prozent aller an Bernmobil gerichteten Mails werden gar nicht erst an den Exchange Server weitergeleitet», so Thomas Kolly. Von den acht Prozent, die es bis zu ihm schaffen, werden noch einmal zwei Prozent durch den Spamfilter aussortiert.

Trotz all dieser Vorkehrungen kann es vorkommen, dass doch mal ein Phising-Mail einen Weg zum Empfänger findet. Umso wichtiger also, dass die Mitarbeitenden wissen, wie sie in einer solchen Situation reagieren müssen.

Deshalb sensibilisieren und schulen alle angefragten Busbetriebe ihre Mitarbeitenden regelmässig zum Thema Informationssicherheit, Postauto und Bernmobil führen bei ihren Mitarbeitenden auch gezielte «Anti-Phising-Trainings» durch. Dafür werden durch eine externe Firma fingierte Phising-Mails an die Mitarbeitenden verschickt. Bei Bernmobil wird die Leistung der Mitarbeitenden mit einem Punktesystem bewertet. Reagiert jemand richtig auf ein Phising-Mail, kriegt er Punkte. Reagiert er falsch, werden Punkte abgezogen. Mitarbeitende, die sich mehrmals falsch verhalten oder einen bestimmten Schwellenwert unterschreiten, werden aufgefordert, ein Lernmodul zu absolvieren.

Teurer Schutz

Obwohl sich die angefragten Busbetriebe nicht zu den anfallenden Kosten äussern, dürfte sie die zunehmende Bedrohung durch Cyberkriminelle teuer zu stehen kommen. Von Bernmobil beispielsweise ist lediglich zu erfahren, dass «sowohl Investitionen als auch Massnahmen im Verhätnis zur Grösse des Unternehmens und der Cyberrisiken stehen.»

Für Thomas Kolly ist es entscheidend, zum Schutz der Infrastruktur und für die Gewährleistung eines sicheren, zuverlässigen Betriebes in die Cyber-Security zu investieren. «Informationssicherheit ist kein Zustand, sondern ein Prozess, an dem man arbeiten muss», bringt er es auf den Punkt.