BVG-Datenskandal: 180.000 Fahrgäste betroffen – Behörde rügt Versäumnisse

Die Sicherheit des öffentlichen Nahverkehrs und der Schutz von Fahrgastdaten sind in den Fokus der deutschen Digitalpolitik gerückt. Auslöser sind gleich mehrere Vorfälle: Die Berliner Verkehrsbetriebe (BVG) kassieren eine formelle Rüge wegen versäumter Kontrollpflichten, während die gesamte Branche mit zunehmenden Ransomware-Angriffen und Sicherheitslücken in der digitalen Lieferkette kämpft. Die Entwicklungen fallen in eine Zeit, in der das Bundesministerium für Digitales und Verkehr seinen ersten Jahrestag begeht.

Datenleck bei der BVG: Verspätete Meldung und mangelnde Kontrolle

Die Berliner Datenschutzbeauftragte Meike Kamp hat die BVG offiziell abgemahnt. Grund ist ein schwerwiegender Datenschutzvorfall, bei dem die persönlichen Daten von rund 180.000 Personen abhandenkamen. Der Vorfall geht auf April 2025 zurück – ein externer Dienstleister hatte die sensiblen Informationen verarbeitet.

Nach Erkenntnissen der Aufsichtsbehörde gelangten Namen, Adressen und Vertragsnummern in falsche Hände. Bankdaten und Passwörter blieben zwar verschont, doch die Behörde monierte eklatante Mängel in der Überwachung des Dienstleisters. Besonders schwer wiegt: Die BVG hatte nicht überprüft, ob der Partner die Daten vertragsgemäß gelöscht hatte.

Kritik gab es auch am zeitlichen Ablauf. Der Datenleak wurde den Angaben zufolge bereits um den 17. April 2025 entdeckt – gemeldet wurde er den Behörden jedoch erst am 30. April 2025. Diese Verzögerung und die mangelnde Kontrolle über die Datenverarbeitung Dritter bildeten die Grundlage für die Abmahnung. Der Fall zeigt einen wachsenden Trend: Verkehrsbetriebe haften nicht nur für ihre eigenen Systeme, sondern auch für die Sicherheitspraktiken ihrer gesamten digitalen Lieferkette.

Datenschutzpannen wie bei der BVG zeigen, wie riskant Dokumentationslücken für Unternehmen sind. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO zeitsparend und rechtssicher zu erstellen. Muster-Verarbeitungsverzeichnis jetzt kostenlos herunterladen

Cyberangriff auf die Deutsche Bahn: Ermittler identifizieren REvil-Kopf

Die Verwundbarkeit des Verkehrssektors beschränkt sich nicht auf Datenschutzpannen. Im Februar 2026 traf es die Deutsche Bahn: Ein Cyberangriff legte Informations- und Buchungsplattformen lahm. Zwar konnte das Unternehmen die Systeme bis zum 18. Februar 2026 wiederherstellen, doch der Vorfall unterstrich die anhaltende Bedrohung für die nationale Mobilitätsinfrastruktur.

Die Strafverfolgungsbehörden haben nun einen Erfolg vermeldet. Ende April 2026 gab das Bundeskriminalamt (BKA) bekannt, einen mutmaßlichen Anführer der berüchtigten REvil-Ransomware-Gruppe identifiziert zu haben. Die kriminelle Organisation soll zwischen 2020 und 2024 mindestens 130 Angriffe auf deutsche Ziele verübt haben – der direkte finanzielle Schaden wird auf mindestens 35 Millionen Euro beziffert. Das BKA hat einen Haftbefehl beantragt und Auslieferungsersuchen gestellt. Die Verfolgung dieser Drahtzieher gilt als entscheidend für den Schutz der deutschen Infrastruktur.

Sicherheitslücken in der Lieferkette: Wenn Zertifikate zur Waffe werden

Die Komplexität der Sicherung des öffentlichen Nahverkehrs wird durch Schwachstellen in der globalen digitalen Infrastruktur weiter verschärft. Im April 2026 geriet die Zertifizierungsstelle DigiCert in die Schlagzeilen: 27 Codesignatur-Zertifikate wurden versehentlich an Malware-Autoren ausgegeben. Diese Zertifikate umgingen anschließend die Windows-Sicherheitsprotokolle. Insgesamt waren 61 Zertifikate von Organisationen aus 13 Ländern betroffen – darunter Einrichtungen in Deutschland, der Schweiz und Frankreich.

Die Folgen waren weitreichend: Ein Microsoft Defender-Update am 30. April 2026 stufte legitime DigiCert-Root-Zertifikate fälschlicherweise als Schadsoftware ein. Dieser Fehlalarm legte SSL/TLS-Validierungen und Codesignatur-Prozesse zahlreicher Unternehmen lahm, bis ein korrigiertes Update bereitgestellt wurde. Zudem bestätigte der Cybersicherheitsspezialist Trellix am 4. Mai 2026 einen unbefugten Zugriff auf sein Quellcode-Repository.

Als Reaktion auf diese systemischen Risiken treibt die Deutsche Kommission für Elektrotechnik (DKE) die Digitalisierung von Standards voran. In einem Strategie-Update betont die DKE den Übergang zu sogenannten „SMART Standards“ – maschinenlesbare, skalierbare Format mit Echtzeit-Updates. Diese Standards sollen direkt in Unternehmenssoftware integriert werden, um eine widerstandsfähigere Grundlage für den automatisierten Verkehr zu schaffen.

Digitalministerium: Ein Jahr „Staatsproduktagentur“

Diese Sicherheitsherausforderungen bilden den Hintergrund für den ersten Jahrestag des Bundesministeriums für Digitales und Verkehr (BMDV) unter Minister Karsten Wildberger. Seit seinem Amtsantritt im Mai 2025 positioniert Wildberger das Ministerium als „Staatsproduktagentur“ – mit Fokus auf konkrete digitale Lösungen statt politischer Grundsatzdebatten. Am 4. Mai 2026 zog der Minister Bilanz und verwies auf Fortschritte bei Schlüsselprojekten.

Im Zentrum steht die „Deutschland-App“ – eine mobile Plattform für Verwaltungsaufgaben und den Zugang zu öffentlichen Dienstleistungen. Eine Pilotphase ist für den Sommer 2026 geplant, die vollständige Verfügbarkeit für 2027. Begleitend dazu kommt das EUDI-Wallet, eine digitale Identitätslösung, die am 2. Januar 2027 starten soll. Diese freiwillige „Brieftasche“ soll herkömmliche Video-Ident-Verfahren durch einen staatlich abgesicherten digitalen Ausweis ersetzen. Kritiker weisen jedoch darauf hin, dass der Erfolg dieser digitalen Produkte maßgeblich von der Bereitschaft der Kommunen abhängt, ihre Register zu öffnen und einheitliche IT-Standards zu übernehmen.

Daten-Governance: Der neue Schwerpunkt der IT-Budgets

Die aktuellen Entwicklungen deuten auf einen grundlegenden Wandel hin, wie digitale Budgets in der DACH-Region (Deutschland, Österreich, Schweiz) verteilt werden. Marktforschung von Anfang 2026 zeigt: 73 Prozent der IT-Leiter (CIOs) in diesen Ländern planen, ihren finanziellen Schwerpunkt von der Benutzeroberfläche hin zur Dateninfrastruktur und -verwaltung zu verlagern. Grund sind die gescheiterten Initiativen der Vergangenheit: Berichten zufolge scheiterten 68 Prozent der KI-Pilotprojekte im Jahr 2025 an mangelnder Datenqualität.

Für Verkehrsbetriebe bedeutet dies den Abschied von fragmentierten „Data Lakes“ hin zu einem „Data Mesh“-Ansatz, der dezentrales, aber streng kontrolliertes Datenmanagement betont. Neue Regulierungen wie der EU AI Act und der Digital Operational Resilience Act (DORA) stellen höhere Anforderungen an die Nachvollziehbarkeit von Daten. Experten prognostizieren, dass Unternehmen mit einer sauberen Datenbasis bereits 2027 Produktivitätssteigerungen von zwei- bis dreimal dem aktuellen Niveau erzielen könnten.

Neben der Daten-Governance stellt auch der neue EU AI Act Unternehmen vor strikte Anforderungen an die Risikodokumentation. Dieser kostenlose Umsetzungsleitfaden verschafft Ihrer IT-Abteilung den nötigen Überblick über Fristen, Pflichten und Risikoklassen. Leitfaden zum EU AI Act jetzt kostenlos anfordern

Ausblick: Die digitale Bewährungsprobe für den Nahverkehr

Die kommenden zwölf Monate werden für die digitale Widerstandsfähigkeit des deutschen Verkehrs entscheidend sein. Der Fokus verschiebt sich von reaktiven Maßnahmen – wie der Reaktion auf den BVG-Datenleck oder die DB-Störungen – hin zur proaktiven Integration von Sicherheit in die digitale Infrastruktur. Das Netzausbaubeschleunigungsgesetz hat bereits dazu beigetragen, kritische Infrastrukturen als „vorrangiges öffentliches Interesse“ einzustufen – ein Status, der künftige Cybersicherheits-Upgrades beschleunigen dürfte.

Während die „Deutschland-App“ in den kommenden Monaten in die Pilotphase geht, wird der Verkehrssektor voraussichtlich als wichtigstes Testfeld für integrierte digitale Identitäten dienen. Doch die wiederkehrenden Sicherheitslücken in der digitalen Lieferkette – zuletzt bei DigiCert und Trellix – sind eine ernste Mahnung: Der Weg zu einem vollständig digitalisierten und sicheren Verkehrsnetz bleibt voller technischer und administrativer Hürden. Die Abstimmung zwischen Bund, Ländern und Kommunen bleibt der entscheidende Faktor dafür, ob diese digitalen Initiativen für die Bürger tatsächlich einen nahtlosen und sicheren Service bieten werden.

de | wissenschaft | 69278275 |