Insight

Cyber Security im öffentlichen Verkehr: Drei Dimensionen für echte Resilienz

Veröffentlicht am 16. Mai 2025

  • Change Management
  • Reisen, Transport & Logistik

Key takeaways

  • Risikomanagement ist essenziell und muss systematisch betrieben werden

Unternehmen im öffentlichen Verkehr müssen Cyberrisiken wie betriebliche Risiken behandeln. Es bedarf klare Analysen, Priorisierung und kontinuierlicher Kontrolle. Gesetzliche Vorgaben wie NIS-2 sind dabei wichtige Rahmenwerke.

  • Technologie allein genügt nicht, es bedarf die richtigen organisatorischen Strukturen

Sicherheitslösungen entfalten nur dann Wirkung, wenn auch Notfallprozesse, klare Verantwortlichkeiten und Eskalationsmechanismen etabliert sind. Gerade im Ernstfall zeigt sich, ob Organisationen vorbereitet sind.

  • Menschliches Verhalten ist ein kritischer Faktor

Über 80 % der erfolgreichen Angriffe nutzen menschliche Schwächen aus. Daher ist es zentral, eine Sicherheitskultur zu etablieren: mit Schulungen, offener Fehlerkultur und sensibilisierten Führungskräften.

Der öffentliche Verkehr ist vernetzt, digital und mobil und genau das macht ihn auch angreifbar. Ob Bus, Bahn oder Betriebsleitzentrale: Je mehr Prozesse automatisiert und Systeme verknüpft sind, desto größer wird die Angriffsfläche für Cyberkriminelle. Ransomware-Attacken, DDOS-Wellen, kompromittierte Lieferketten oder gezielte Angriffe auf kritische Infrastrukturen – die Bedrohung ist real und wächst kontinuierlich.

Die Angriffe werden nicht nur mehr, sie werden intelligenter. Wer heute nicht investiert, bezahlt morgen – im schlimmsten Fall mit dem Betriebsausfall.

Tobias Bowald, Wavestone Cybersecurity-Experte mit Mobility-Background

Risikomanagement ist Pflicht und keine Kür

Viele Unternehmen verlassen sich noch auf veraltete Schutzmechanismen oder vertrauen darauf, dass „sie schon nicht gemeint sind“. Doch das funktioniert nicht mehr. Moderne Cyber Security beginnt mit einer klaren Risikoanalyse: Welche Systeme sind besonders schützenswert? Welche Eintrittswege bestehen technisch wie menschlich? Und wie lassen sich Vorfälle erkennen, bevor sie eskalieren?

Gefragt ist ein aktives Risikomanagement, das Cyberrisiken wie klassische betriebliche Risiken behandelt – inklusive Priorisierung, Maßnahmenplanung und regelmäßiger Kontrolle.

Wir sehen immer wieder, wie fehlende Vorbereitung richtig teuer wird. Gesetzliche Anforderungen wie NIS-2 oder das Schweizer Pendant sind kein Selbstzweck – sie sind die notwendige Basis für professionelles Risikomanagement.

Daniel Nussbaumer, Cyber Security Spezialist mit juristischem Hintergrund

Technik reicht nicht – Organisation entscheidet

Natürlich spielen Technologien eine zentrale Rolle: Segmentierte Netzwerke, Zero-Trust-Architekturen, End-to-End-Verschlüsselung, sichere APIs oder Monitoring-Lösungen. Aber: Ohne klare organisatorische Strukturen verlieren auch die besten Tools ihre Wirkung.

Was zählt, sind geregelte Abläufe im Ernstfall von der Incident Detection bis zur Kommunikation mit Behörden und Partnern. Dazu gehören:

  • Notfall-Playbooks
  • 24/7-Eskalationspläne
  • klare Verantwortlichkeiten
  • regelmäßige Testszenarien

Gerade kleine und mittlere Verkehrsunternehmen profitieren hier von skalierbaren Standardlösungen und erfahrenen Partnern.

Technologie ist wichtig – aber sie wirkt nur, wenn auch die Organisation funktioniert. Wer im Ernstfall nicht weiß, wer was entscheidet, hat schon verloren.

Thomas Haiz, Public Transport Experte

Awareness statt Firewall-Romantik

Technik schützt doch der Menschen entscheiden. In mehr als 80 % aller erfolgreichen Angriffe spielt menschliches Verhalten eine entscheidende Rolle. Unachtsamkeit, mangelndes Bewusstsein oder fehlende Schulung führen zu gefährlichen Einfallstoren.

Cyber Security muss Teil der Unternehmenskultur werden.
Das bedeutet:

  • Regelmäßige Trainings & Awareness-Kampagnen
  • Fehlerkultur fördern: Lieber melden als verschweigen
  • „Security Champions“ in Teams etablieren
  • Führungskräfte sensibilisieren

Sicherheit muss im Alltag ankommen – nicht nur in der IT-Abteilung. Wenn das Bewusstsein in der Organisation fehlt, bleibt jede Strategie ein Papiertiger.

Thomas Haiz, Public Transport Experte

Fazit: Resilienz entsteht in drei Dimensionen

Cyber Security im öffentlichen Verkehr braucht mehr als Technik. Nur wenn Technologie, Organisation und Kultur zusammenspielen, entsteht echte Resilienz. Unternehmen – egal welcher Größe – sollten heute beginnen, Strukturen aufzubauen, Risiken zu verstehen und ihre Mitarbeitenden mitzunehmen. Wie das in anderen Bereichen des Verkehrssektors gelingt, zeigt etwa das Beispiel von SITA’s Product Security Office, das neue Standards für Cybersecurity in der Luftfahrt setzt.

Denn der nächste Angriff kommt bestimmt, die Frage ist nur: Wie gut sind Sie vorbereitet?

Wir helfen Ihnen, sich bestmöglich gegen potenzielle Angriffe abzusichern! Setzen Sie sich dazu mit unseren Expert:innen in Verbindung!

Autoren

  • Thomas Haiz

    Senior Manager – Schweiz, Zürich

    Wavestone

    LinkedIn

  • Tobias Bowald

    Manager – Schweiz, Bern

    Wavestone

    LinkedIn

  • Daniel Nussbaumer

    Senior Manager – Schweiz, Zürich

    Wavestone

    LinkedIn