Heute ist der 5. Mai 2026 und die Berliner Datenschutzbeauftragte Meike Kamp hat ein ernstes Wort mit der BVG gesprochen. Nach einem Hackerangriff im Mai 2025, bei dem die Daten von 180.000 Kunden auf einen Schlag kompromittiert wurden, hat die BVG nun eine Verwarnung erhalten. Es ist schon ein bisschen schockierend, dass bei einem derartigen Vorfall die Verantwortlichen nicht sofort reagieren. Die Daten, um die es hier geht, sind keine Kleinigkeiten: Namen, Adressen, Vertragsnummern und in einigen Fällen sogar E-Mail-Adressen. Ein echtes Datenchaos, könnte man sagen.
Der Angriff selbst geschah, nachdem die BVG einem externen Dienstleister die Kundendaten zur Verfügung stellte, um Info-Briefe und -Mails zu versenden. Die Datenschutzbeauftragte Kamp kritisierte, dass dieser Dienstleister die Daten nicht ordnungsgemäß gelöscht hatte. Aber das ist nicht alles: Die BVG hat es auch versäumt, die Datenschutzbeauftragte unverzüglich über den Vorfall zu informieren. Stattdessen vergingen fast zwei Wochen, bevor die Meldung eintraf. Das klingt irgendwie nach einer ganz schlechten Idee, oder?
Was nun?
BVG-Justitiar Alexander Steinbrecher erklärte, man habe aus dem Vorfall gelernt und bereits Maßnahmen ergriffen. Das klingt ja nach einer Art Cyber-Training, aber die Frage bleibt: Ist es genug? Zudem hat die BVG die Zusammenarbeit mit dem externen Dienstleister eingestellt. Die Unklarheit über mögliche Schadenersatzforderungen schwebt wie ein Damoklesschwert über der BVG. Die Verjährungsfrist für solche Ansprüche beträgt drei Jahre – die betroffenen Kunden haben also noch knapp zwei Jahre Zeit, um zu handeln.
In einem weiteren Kontext betrachtet, zeigt der Vorfall, wie ernst die aktuelle Cyber-Sicherheitslage ist. Laut dem Monatsbericht „IT-Sicherheitslage“ für März 2026 vom BSI gab es einen signifikanten Anstieg bei DDoS-Angriffen. Diese Angriffe, die die Bandbreite von Netzwerken überlasten, haben in Deutschland eine bedrohliche Lage erreicht. Im März 2026 lag die durchschnittliche Bandbreite aller DDoS-Angriffe bei etwa 1019 Mbit/s, was einem leichten Rückgang von 7% gegenüber dem Vormonat entspricht. Doch der DDoS-Angriff-Index ist um 40% gestiegen – das ist schon eine beunruhigende Entwicklung.
Die Bedrohung durch Cyberangriffe ist dabei nicht nur auf große Institutionen beschränkt. Ransomware und Spam-Mail-Attacken zielen auch auf den Normalbürger. Im Februar 2026 wurden beispielsweise etwa 11,8 Millionen E-Mails in den Netzen des Bundes registriert, wobei 85% davon Spam waren. Ein besorgniserregender Trend. Das BSI hat zwar Maßnahmen zur Abwehr dieser Bedrohungen ergriffen, aber es bleibt abzuwarten, wie effektiv diese sind.
In Berlin, wo die BVG eine zentrale Rolle im öffentlichen Verkehr spielt, ist es besonders wichtig, dass solche Vorfälle ernst genommen werden. Die Menschen müssen sich darauf verlassen können, dass ihre persönlichen Daten sicher sind. Und das wird nicht nur durch interne Maßnahmen erreicht; auch die Zusammenarbeit mit vertrauenswürdigen Dienstleistern ist entscheidend. Der Vorfall ist ein Weckruf für viele, dass Cyber-Sicherheit in der heutigen Zeit oberste Priorität hat.