Eine integrierte Steuerung der Sicherheitsaufgaben sowie der Cybersicherheit ist die Voraussetzung für einen sicheren Bahnbetrieb. Die Cybersicherheit als Teil einer integrierten Konzernsicherheit übernimmt nicht nur eine rein strategische und steuernde Funktion, die SBB beobachtet auch rund um die Uhr den Netzwerkverkehr, um sich bei Angriffen aus dem Cyberraum wirkungsvoll zu schützen. 

Die zunehmenden Bedrohungen machen den öffentlichen Verkehr in der Schweiz zu einer kritischen Infrastruktur. Diese Infrastruktur muss nicht nur Vorgaben im Bereich Pünktlichkeit und Zuverlässigkeit erfüllen, sondern auch den Erwartungen im Bereich der IT-Sicherheit genügen. Um die Vernetzung und Versorgung der Schweiz durch die Bahn zu gewährleisten, sind neue Technologien, Digitalisierung und Automatisierung unabdingbar. Ohne eine sichere IT-Infrastruktur kann sich heute kein Zug mehr sicher auf den Schienen bewegen.

Gleichzeitig entwickelt sich die Cyberkriminalität als globales Milliardenbusiness ständig weiter, wovor auch die SBB, ihre Kundinnen und Kunden und Partner nicht geschützt sind. Neben staatlichen Akteuren versuchen vor allem professionelle private Hackerorganisationen, Profit aus Angriffen auf Unternehmen zu erzielen. Die SBB gewährleistet mit ihrer Strategie zur Cybersicherheit, dass ihre Informatik-Infrastruktur ausreichend gegen Cyberangriffe geschützt ist. Dadurch wird verhindert, dass das Bahnsystem aufgrund eines Cyberangriffs für Tage oder sogar Wochen zum Erliegen kommt.

Steuerung der Risiken auf mehreren Ebenen.

Die SBB schafft vertrauenswürdige, resiliente digitale Anwendungen für Systeme, Anlagen sowie Fahrzeuge. Sie betreibt zudem ein eigenes «Cyber Defence Center» mit welchem sie ihren Netzwerkverkehr rund um die Uhr überwacht und im Ereignisfall die notwendigen Gegenmassnahmen einleitet. 

Die SBB verpflichtet sich, ihren Beitrag zur technologischen und gesellschaftlichen Weiterentwicklung der Schweiz zu leisten und engagiert sich bei Initiativen der Cybersicherheit und bringt sich auch in der Weiterbildung von Fachspezialisten im Bereich Cybersicherheit ein. Der Austausch und die Zusammenarbeit mit anderen Unternehmen, Partnern und der Wissenschaft ist dabei integraler Bestandteil.

Zertifiziertes Managementsystem ISMS zum Schutz der IT-Infrastrukturen.

Ihre Risiken hinsichtlich der Informationssicherheit bewertet und steuert die SBB im Rahmen des «Information Security Management System ISMS» für ihre digitalen Lösungen. Dieses ist im Bereich der Geschäftsanwendungen nach ISO 27001 zertifiziert.

Mit einem «Information Security Management System» oder ISMS wird die Informationssicherheit systematisch gelenkt und gesteuert. ISMS hilft dabei, die regulatorischen und vertraglichen Anforderungen der Compliance zu erfüllen und die Qualität der Informationssicherheit über alle SBB Assets zu belegen und zu messen. Das Ziel von ISMS ist es, die Sicherheitsniveaus in den zertifizierten Bereichen kontinuierlich zu verbessern. ISMS unterstützt die Sicherheitsziele, die für die SBB Werte in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit definiert sind.

Das ISO 27001 Zertifikat fokussiert sich in der Anwendung auf die Digitale Zone der SBB mit dem Zertifizierungs-Scope: «Planen, entwickeln & betreiben von digitalen Lösungen im Bereich Geschäftsanwendungen der SBB Informatik». 

Das Informationssicherheits-Managementsystem (ISMS) wird in die Konzernsicherheit gesteuert und durch das Team im Bereich Informationssicherheit für die gesamte SBB gesteuert und weiterentwickelt.