Am 19. Juli 2024 sahen 8,5 Millionen Microsoft-Nutzer blau: Auf ihren Bildschirmen erschien der gefürchtete «blue screen of death», der blaue Todesbildschirm. Dieser zeigt an, dass ein schwerwiegender Fehler aufgetreten ist und das System nicht starten kann.
Der IT-Crash historischen Ausmasses stoppte weltweit den Flugverkehr, legte Spitäler lahm und setzte Verwaltungen ausser Gefecht. Der geschätzte Schaden belief sich auf 10 Milliarden Dollar. Verantwortlich dafür war ein fehlerhaftes Update des Software-Anbieters Crowdstrike. Die Panne hatte auch direkte Folgen für die Microsoft-Cloud: Die dort gespeicherten Daten waren für die betroffenen Unternehmen nicht mehr zugänglich.
Ein solcher Cloud-Crash könnte auch den Schweizer Bahnverkehr lahmlegen. Denn hiesige Verkehrsunternehmen lagern – wie viele Firmen – Datensätze aus. Dazu gehören laut Bundesamt für Verkehr (BAV) «digitale Instrumente im Bereich der Sicherungsanlagen, Bahnleitsysteme, Instandhaltung sowie Daten und Applikationen der Bahnstromversorgung».
Die Auslagerung ermöglicht Flexibilität und drückt die eigenen Investitionskosten. Das hat aber auch Nachteile. Das BAV warnte kürzlich in einem Schreiben an SBB & Co. davor, dass die «Risiken eines Kontrollverlusts mit den entsprechenden Auswirkungen auf die Sicherheit des Bahnbetriebs» nicht zu unterschätzen seien. Bisher ist der Einsatz von Cloud Computing in den Vorgaben des Bundes nicht explizit geregelt.
Das Bundesamt von Verkehrsminister Albert Rösti (SVP) hat deshalb seine Vorgaben konkretisiert. Die Unternehmen müssen künftig das «Risiko eines Ausfalls der Cloud mit betriebs- oder sicherheitsrelevanten Folgen» untersuchen. Konkret müssen sie etwa die Wahrscheinlichkeit und das Ausmass einer Störung bestimmen.
Erst nach einer solchen Bewertung und der Abschätzung des Restrisikos dürfen Cloud-Lösungen eingesetzt werden. Zudem seien «Kompensationsmassnahmen zu benennen und die Analyse schriftlich festzuhalten». Der Bund will die Kontrolle künftig «intensivieren».
Die SBB sehen sich dafür gerüstet. Das Risiko eines Ausfalls werde fortlaufend überwacht. Im Fall einer Störung verfüge die Bahn über entsprechende Massnahmenpläne. Die Erwartungen des Bundes seien bereits in der IT-Strategie zu Cloud Computing integriert. «Ausserdem werden laufend technische und organisatorische Massnahmen ergriffen, um die Risiken zu minimieren. Konkrete Massnahmen und weitere Informationen dazu geben wir nicht bekannt, um Missbrauch zu verhindern», sagt SBB-Sprecherin Mara Zenhäusern.
Eine Gefahr für den Bahnverkehr droht nicht nur bei einem Ausfall in der Datenwolke. Im Juni 2023 gerieten die SBB ins Visier russischer Hacker, die den Ticketshop mit einem sogenannten Distributed Denial of Service-Angriff (DDos) lahmlegten. Auch der digitale Zugang zum Swisspass-Log-in und die Seite der Südostbahn waren nicht mehr erreichbar.
Die SBB haben auch hier vorgesorgt. Die Bahn hat einen neuen Bereich «Konzernsicherheit» geschaffen. Als Leiter wurde der bisherige Cybersicherheitschef Marcus Griesser eingesetzt. Die SBB investieren laut eigenen Angaben jährlich einen zweistelligen Millionenbetrag in die Cybersicherheit.
