Cloud-Risiken in kritischen Infrastrukturen: Die Schweizer Bahn als Vorbild für moderne Cloud-Governance

Cloud-Technologien haben sich in den vergangenen Jahren von einer experimentellen IT-Lösung zu einer zentralen Infrastruktur moderner Unternehmen entwickelt. Skalierbarkeit, hohe Rechenleistung und flexible Ressourcenallokation ermöglichen es Organisationen, digitale Geschäftsmodelle schneller umzusetzen und IT-Ressourcen effizienter zu nutzen.

Diese Entwicklung betrifft zunehmend auch Branchen, die für das Funktionieren von Wirtschaft und Gesellschaft besonders wichtig sind. Verkehrssysteme, Energieversorgung, Gesundheitswesen oder Telekommunikation sind heute in hohem Mass von digitalen Infrastrukturen abhängig. Ausfälle zentraler IT-Systeme können in diesen Bereichen daher weitreichende Folgen haben – nicht nur wirtschaftliche Schäden, sondern auch Beeinträchtigungen der öffentlichen Sicherheit oder der Grundversorgung.

Solche Systeme werden als kritische Infrastrukturen bezeichnet. Darunter versteht man Einrichtungen und Organisationen, deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf die öffentliche Sicherheit, die wirtschaftliche Stabilität oder die Versorgung der Bevölkerung haben kann. Mit der zunehmenden Digitalisierung dieser Bereiche gewinnt auch die Frage an Bedeutung, wie digitale Technologien – insbesondere Cloud-Infrastrukturen – sicher, kontrolliert und resilient betrieben werden können.

Der Eisenbahnsektor ist ein besonders anschauliches Beispiel für diese Entwicklung. Moderne Bahnsysteme sind hochgradig digitalisiert. Betriebsleitsysteme, Fahrgastinformation, Ticketing, Wartungsplanung und Fahrzeugdiagnostik basieren zunehmend auf komplexen IT-Systemen. Mit dieser Digitalisierung wächst auch der Bedarf an leistungsfähiger IT-Infrastruktur. Cloud-Technologien bieten hierfür erhebliche Vorteile – stellen Unternehmen jedoch gleichzeitig vor neue Herausforderungen im Bereich der Sicherheit und Governance.

Das Branchenschreiben des BAV als regulatorischer Impuls

Vor diesem Hintergrund veröffentlichte das Bundesamt für Verkehr (BAV) im April 2025 ein Branchenschreiben zum Thema „Cloud Computing für Eisenbahnanwendungen“. Das Schreiben verfolgt einen pragmatischen Ansatz: Cloud-Technologien werden nicht grundsätzlich eingeschränkt oder verboten. Stattdessen verlangt das BAV eine systematische Bewertung der Risiken sowie klare organisatorische Verantwortlichkeiten. Der regulatorische Fokus liegt dabei insbesondere auf drei zentralen Elementen:

• strukturierte Risikoanalyse
• klare Governance- und Entscheidungsprozesse
• Sicherstellung der Betriebskontinuität

Bemerkenswert ist dabei, dass das Schreiben keine neue Regulierung im formellen Sinne darstellt. Vielmehr handelt es sich um eine aufsichtsrechtliche Konkretisierung bestehender Sicherheitsanforderungen im Eisenbahnrecht. Solche Dokumente sind typisch für moderne Infrastrukturregulierung. Sie dienen dazu, technologische Entwicklungen in bestehende regulatorische Rahmenwerke zu integrieren.

Rechtliche Grundlage: Sicherheitsanforderungen im Eisenbahnrecht

Die grundlegenden Anforderungen an Eisenbahnunternehmen ergeben sich insbesondere aus der Eisenbahnverordnung (EBV) sowie den Ausführungsbestimmungen zur EBV (AB-EBV). Diese Vorschriften verpflichten Betreiber von Bahninfrastruktur dazu, jederzeit einen sicheren und zuverlässigen Betrieb zu gewährleisten. Systeme mit Einfluss auf den Bahnbetrieb müssen daher besonders hohe Anforderungen an Verfügbarkeit, Integrität und Betriebssicherheit erfüllen.

Cloud-Technologien werden in diesen Regelwerken allerdings nicht ausdrücklich erwähnt. Gerade deshalb gewinnt das Branchenschreiben des BAV besondere Bedeutung. Es überträgt bestehende Sicherheitsanforderungen auf moderne Cloud-Architekturen.

Regulatorische Bedeutung von „Soft Law“

Juristisch interessant ist auch die regulatorische Form des Branchenschreibens. Das Dokument stellt keinen verbindlichen Erlass dar. Es handelt sich vielmehr um eine aufsichtsrechtliche Orientierungshilfe. Solche Instrumente werden häufig als „Soft Law“ bezeichnet. Obwohl sie formal nicht verbindlich sind, haben sie für regulierte Unternehmen erhebliche praktische Bedeutung. Sie zeigen auf, welche Erwartungen eine Aufsichtsbehörde im Rahmen ihrer Kontroll- und Bewilligungstätigkeit stellt. Unternehmen, die solche Vorgaben ignorieren, riskieren daher faktisch regulatorische Konflikte.

Praxisbeispiel SBB: Hybrid-Cloud als strategischer Ansatz

Die Schweizerischen Bundesbahnen (SBB) gehören zu den technologisch fortschrittlichsten Bahnunternehmen Europas. In den vergangenen Jahren hat das Unternehmen seine IT-Landschaft umfassend modernisiert und setzt zunehmend auf Cloud-Technologien. Cloud-Dienste werden insbesondere in folgenden Bereichen eingesetzt:

• Datenanalyse und Prognosesysteme
• Fahrgastinformation und mobile Anwendungen
• digitale Plattformen für Wartung und Betrieb
• Entwicklungs- und Testumgebungen

Die SBB verfolgt dabei einen Hybrid-Cloud-Ansatz. Besonders sicherheitskritische Systeme bleiben in unternehmenseigenen Rechenzentren, während weniger kritische Anwendungen in Cloud-Umgebungen betrieben werden. Dieser Ansatz entspricht weitgehend den Grundprinzipien des BAV-Schreibens.

Praxisbeispiel BLS: Datengetriebene Infrastruktur

Auch die BLS AG (ursprünglich: Bern-Lötschberg-Simplon-Bahn) setzt zunehmend auf datenbasierte Anwendungen, insbesondere im Bereich der Infrastrukturüberwachung und Instandhaltung. Cloud-Technologien ermöglichen es dem Unternehmen, grosse Datenmengen aus Fahrzeugen und Infrastruktur effizient auszuwerten. Solche Systeme werden etwa genutzt für:

• predictive maintenance
• Analyse von Betriebsstörungen
• Optimierung von Fahrplänen
• Verbesserung der Kundeninformation

Die Cloud wird dabei vor allem für datenintensive Anwendungen genutzt, während sicherheitskritische Steuerungssysteme weiterhin lokal betrieben werden.

Ein Jahr nach dem BAV-Schreiben: Erste Entwicklungen

Ein Jahr nach Veröffentlichung des Branchenschreibens zeigt sich, dass das Dokument eine wichtige Orientierungsfunktion für die Branche übernommen hat. Die betroffenen Unternehmen haben ihre Cloud-Strategien überprüft und stärker formalisiert. Insbesondere wurden Prozesse zur Cloud-Risikobewertung aufgebaut oder erweitert. Die Unternehmen führen zunehmend Cloud-Inventare, analysieren Abhängigkeiten von Cloud-Anbietern und integrieren Cloud-Risiken stärker in bestehende Informationssicherheits- und Business-Continuity-Prozesse.

Parallel dazu rücken strategische Abhängigkeiten von einzelnen Cloud-Anbietern stärker in den Fokus. In der Praxis wird zunehmend diskutiert, wie Risiken eines sogenannten „Vendor Lock-in“ reduziert werden können. Dazu gehören etwa Multi-Cloud-Strategien, die Nutzung standardisierter Schnittstellen oder vertragliche Regelungen zur Datenportabilität. Auch geopolitische Entwicklungen können in diesem Zusammenhang relevant werden, etwa wenn Cloud-Infrastrukturen von Anbietern betrieben werden, die unterschiedlichen Rechtsordnungen unterliegen.

Verbindung zum Informationssicherheitsgesetz (ISG)

Die im BAV-Schreiben formulierten Grundsätze stehen in engem Zusammenhang mit den regulatorischen Entwicklungen im Bereich der Cybersicherheit. Mit dem Informationssicherheitsgesetz (Bundesgesetz über die Informationssicherheit, ISG, SR 128) hat die Schweiz einen umfassenden Rahmen für den Schutz staatlicher Informationsinfrastrukturen geschaffen. Das Gesetz verpflichtet betroffene Organisationen insbesondere zur Einführung eines systematischen Informationssicherheitsmanagements.

Die Grundlogik des BAV-Schreibens entspricht diesem Ansatz. Beide Regelwerke betonen:

• risikobasierte Sicherheitsentscheidungen
• klare Verantwortlichkeiten
• Dokumentationspflichten
• kontinuierliche Überprüfung von Sicherheitsmassnahmen

Lehren für andere Branchen

Die Bedeutung des BAV-Schreibens beschränkt sich jedoch nicht auf den Eisenbahnsektor. Viele der dort formulierten Prinzipien lassen sich auf andere Branchen übertragen, insbesondere auf Betreiber kritischer Infrastrukturen wie:

• Energieunternehmen
• Verkehrs- und Transportdienstleister
• Krankenhäuser und Gesundheitsnetzwerke
• Finanzinstitute
• Telekommunikationsanbieter

In all diesen Bereichen entstehen ähnliche Herausforderungen: Cloud-Technologien ermöglichen neue digitale Anwendungen, gleichzeitig entstehen jedoch neue Abhängigkeiten und Sicherheitsrisiken.

Cloud-Governance als strategische Managementaufgabe

Die zunehmende Nutzung von Cloud-Technologien verändert nicht nur die technische Architektur von Unternehmen, sondern auch deren organisatorische und regulatorische Steuerung. Entscheidungen über den Einsatz von Cloud-Diensten betreffen heute nicht mehr ausschliesslich die IT-Abteilung. Sie haben unmittelbare Auswirkungen auf Unternehmensstrategie, Risikomanagement und regulatorische Compliance.

Während klassische IT-Infrastrukturen in der Regel vollständig unter der Kontrolle des jeweiligen Unternehmens standen, führt Cloud Computing zu einer neuen Form der geteilten Verantwortung zwischen Unternehmen und Cloud-Anbietern. Unternehmen behalten zwar die Verantwortung für ihre Geschäftsprozesse und Daten, sind jedoch gleichzeitig in erheblichem Umfang von externen Infrastrukturen abhängig. Diese Abhängigkeit kann nicht nur technische Risiken betreffen, sondern auch rechtliche und geopolitische Faktoren – etwa regulatorische Eingriffe, Exportbeschränkungen oder politische Spannungen.

Vor diesem Hintergrund gewinnt eine strukturierte Cloud-Governance zunehmend an Bedeutung. Darunter ist ein organisatorischer Rahmen zu verstehen, der sicherstellt, dass Entscheidungen über Cloud-Technologien systematisch, transparent und unter Einbezug der relevanten Risikoperspektiven getroffen werden. In der Praxis bedeutet dies, dass Cloud-Projekte nicht isoliert innerhalb von IT-Abteilungen initiiert werden sollten. Vielmehr erfordert der Einsatz von Cloud-Technologien eine enge Zusammenarbeit verschiedener Unternehmensfunktionen, insbesondere:

• IT und Informationssicherheit
• Risikomanagement
• Compliance und Legal
• Unternehmensleitung

Gerade in regulierten Branchen wird daher zunehmend erwartet, dass Unternehmen klare Governance-Strukturen für Cloud-Entscheidungen etablieren. Dazu gehören beispielsweise definierte Entscheidungsprozesse für die Einführung neuer Cloud-Anwendungen, klare Verantwortlichkeiten für das Management von Cloud-Risiken sowie regelmässige Überprüfungen bestehender Cloud-Architekturen.

Auch aus Sicht der Unternehmensführung gewinnt das Thema an Bedeutung. Cloud-Technologien können erhebliche strategische Abhängigkeiten von einzelnen Technologieanbietern schaffen. Fragen der Provider-Diversifikation, Exit-Strategien und Datenportabilität werden damit zu zentralen Elementen einer verantwortungsvollen Unternehmenssteuerung.

Vor diesem Hintergrund ist Cloud-Governance zunehmend als Bestandteil des unternehmensweiten Risikomanagements zu verstehen. Unternehmen sollten Cloud-Risiken systematisch identifizieren, bewerten und in ihre bestehenden Governance- und Kontrollsysteme integrieren. Dies betrifft insbesondere Fragen der Betriebskontinuität, der Informationssicherheit sowie der regulatorischen Compliance.

Gerade für CISOs, Legal Counsel und Risk Manager entsteht damit eine neue Schnittstelle zwischen Technologie, Regulierung und Unternehmensstrategie. Cloud-Projekte müssen frühzeitig in Governance-Prozesse eingebunden werden, um sicherzustellen, dass technische Innovation und regulatorische Anforderungen in Einklang stehen. In grösseren Organisationen wird das Thema zunehmend auch auf Ebene der Geschäftsleitung oder des Verwaltungsrats diskutiert. Cloud-Strategien betreffen nicht nur operative IT-Fragen, sondern können langfristige Auswirkungen auf Geschäftsmodelle, regulatorische Risiken und technologische Abhängigkeiten haben. Entsprechend erwarten viele Regulatoren inzwischen, dass Fragen der digitalen Resilienz und der Nutzung externer IT-Infrastrukturen auch auf oberster Führungsebene angemessen adressiert werden.

Handlungsempfehlungen für Unternehmen

Unternehmen, die Cloud-Technologien einsetzen, sollten insbesondere folgende Massnahmen prüfen:

• vollständiges Cloud-Inventar
• strukturierte Cloud-Risikobewertungen
• Integration in Business-Continuity-Management
• klare Governance-Strukturen für Cloud-Entscheidungen
• sorgfältige Vertragsgestaltung mit Cloud-Anbietern

Fazit

Das Branchenschreiben des Bundesamts für Verkehr zum Cloud-Einsatz im Eisenbahnsektor zeigt exemplarisch, wie Regulierung auf die zunehmende Digitalisierung kritischer Infrastrukturen reagiert. Die dort formulierten Grundsätze – systematische Risikoanalyse, klare Governance-Strukturen und robuste Business-Continuity-Konzepte – sind nicht nur für Eisenbahnunternehmen relevant. Vielmehr zeichnen sie ein Modell moderner Cloud-Governance, das auch für zahlreiche andere Branchen von Bedeutung ist. Unternehmen, die Cloud-Technologien einsetzen, sollten diese Entwicklungen daher aufmerksam verfolgen und ihre Sicherheits- und Governance-Strukturen entsprechend weiterentwickeln.

Es ist zudem absehbar, dass Fragen der Cloud-Governance künftig auch in anderen regulierten Branchen stärker in den Fokus der Aufsicht rücken werden. Entwicklungen auf europäischer Ebene – etwa im Bereich der Cyberresilienz und der Regulierung digitaler Infrastrukturen – deuten darauf hin, dass der Einsatz externer Cloud-Dienste zunehmend unter dem Gesichtspunkt der operativen Resilienz bewertet wird. Das Branchenschreiben des BAV könnte damit durchaus auch als früher Hinweis auf eine breitere regulatorische Entwicklung verstanden werden.

Quellen

• BAV Branchenschreiben: Cloud Computing für Eisenbahnanwendungen
• BAV: Bewusster Umgang mit Cloud-Lösungen
• Verordnung über Bau und Betrieb der Eisenbahnen
• Ausführungsbestimmungen zur EBV (AB-EBV)
• Informationssicherheitsgesetz (ISG)