Am 31.8.2023 fand die diesjährige Hauptversammlung des ÖPNV-Anbieters für Hannover, der Üstra AG statt. Wir haben erneut Fragen und Antworten eines teilnehmenden Aktionärs dokumentiert und möchten mit diesem Beitrag auf einige uns wichtig oder erwähnenswerte erscheinende Informationen stichpunktartig hinweisen. Inhaltlich geht es um Videoüberachung des öffentlichen Raums im ÖPNV und drumherum, um die Zusammenarbeit mit der Polizei, die IT-Sicherheit (nach einem erfolg- und folgenreichen Angriff auf die Üstra-IT), um Umgereimtheiten bei einer „Bargeldlos“-Aktion im Zuge von Fahrkartenautomaten-Sprengungen, Schlagstöcke beim Üstra-Sicherheitsunternehmen Protec, Umgang mit sog. Schwarzfahrern und vieles mehr.
Stichpunktartig und ohne besondere Sortierung:
Videoüberwachung
Die Üstra betreibt aktuell 3.099 Überwachungskameras.
Der Betrieb und die Instandhaltung der Kameras kostet der Üstra jährlich 196.000 Euro.
Erneut und noch immer liegen der Üstra keinerlei Informationen oder Belege vor, ob oder in welchem Umfang ihre Videoüberwachung bei der Strafverfolgung hilfreich gewesen ist oder nicht. (War auch in den letzten Jahren, bspw. 2020 und 2022 schon so!) Und das, obwohl die Polizei in 2022 in fast 300 Fällen die Videoüberwachungsfestplatten bei der Üstra angefordert und abgeholt hat.
In ungefähr jedem 14. Fall, in dem die Üstra auf die Aufzeichnungen ihrer Kameras in Bussen und Bahnen zugreifen wollte war entweder Kamera oder Aufzeichnungstechnik defekt.
Rein technisch betrachtet kann die Polizei auf alle stationären Üstrakameras zugreifen. Das sei angeblich aber noch nie vorgekommen. So der Vorstand.
Die Polizeidirektion Hannover nutzt das Glasfaser-Leitungsnetz der Üstra zur Steuerung und Bildübertragung der polizeieigenen stationären Überwachungskameras. Dafür zahlt sie der Üstra jährlich Gebühren zwischen 10.000 und 20.000 Euro. Die Üstra und die Polizeidirektion Hannover sind enge Freunde.
Schwarzfahren
Die Üstra hat keine Informationen darüber, wie häufig die von ihr angetretenen Strafverfahren gegen Schwarzfahrer*innen zu deren Verurteilung und Inhaftierung geführt haben.
IT-Hack(s)
In allen vorherigen Geschäftsberichten wurde das Risiko durch IT-Angriffe als „niedrig“ bewertet. Das wurde auch jedes Jahr auf der Hauptversammlung kritisiert. Doch erst jetzt, nach dem erfolgreichen und schwerwiegenden Angriff wurde das auf „mittel bis hoch“ heraufgestuft. Eine späte, bittere Erkenntnis …
Dieser schwerwiegende IT-Hack begann mit einer am 9.3.2023 von einem/einer MitarbeiterÜin geöffneten Phishing-Mail samt Anhang.
Der sich daraufhin im System einnistende Trojaner erwarb sich peu à peu Admin-Rechte und setzte in der Nacht vom 30. zum 31.3.2023 die IT-Infrastruktur der Üstra außer Betrieb und verschlüsselte deren Daten.
Der Angriff betraf alle Anwendungen im Office-LAN, ca. 1.000 Mitarbeiter*innen mit PC-Arbeitsplätzen waren betroffen.
30-40 Mitarbeiter*innen arbeiten seither an der Rekonstruktion verloren gegangener Daten.
Derzeit kann noch nicht beurteilt werden, ob personenbezogene Daten abgeflossen sind. Seit Ende Juni 2023 tauchen im Darknet Daten von den Üstra-Servern auf.
Bis jetzt kostete der Angriff der Üstra grob 1,4 Millionen Euro.
Die Üstra setzt hauptsächlich auf Microsoft, sowohl in der IT-Infrastruktur als auch bei der Bewältigung von IT-Angriffs-Schäden.
Auf den Vorschlag, zukünftig freie und offene Systeme und Software zu setzen gab es keinerlei Reaktion seitens des Vorstands.
Wasserstoff-Technologie
Anders als beim vorherigen Vorstand scheint das Thema Wasserstoff-getriebener Busse und Bahnen derzeit keine besonders hohe Priorität zu genießen. Es gibt eine seit 2020 aus 6 Personen bestehende Projektgruppe, die allerdings bislang erfolglos versucht hat, Förderungen zur Anschaffung von drei Wasserstoffbussen an Land zu ziehen.
Festgestellt werden konnte immerhin, dass sich keiner der derzeit in Nutzung befindlichen Bus- und Stadtbahn-Betriebsstätten für die Nutzung als Wasserstoff-Tankstelle eigne …
Protec-„Sicherheitsdienst“
Wie oft der im letzten Jahr beim Üstra-eigenen „Sicherheitsunternehmen“ Protec eingeführte Teleskop-Metall-Schlagstock eingesetzt wurde und wie oft dadurch Menschen verletzt worden sind, darüber führt die Üstra keine Statistik und macht auch keine Anstalten, das zu ändern.
Diese potentiell knochenbrechende Waffe war von der Üstra zur Einführung in einem Blogbeitrag verniedlichend als „kleiner Stock für Deeskalation und Sicherheit“ bezeichnet worden.
Fahrkarten-Automaten – Sprengungen und Chancen auf (Nicht-)Beibehaltung der Möglichkeit Fahrscheine mit Bargeld zu erwerben. Verlust des Rechts anonymen Unterwegsseins im öffentlichen Raum
Am 24.3.2023 teilte die Üstra mit, „dass ab sofort an allen oberirdischen Üstra-Haltestellen keine Fahrkarten mehr mittels Bargeld erworben werden können. Grund dafür ist die hohe Anzahl von Automaten-Sprengungen in den vergangenen Wochen. Allein seit Anfang Dezember wurden 20 Fahrkartenautomaten komplett zerstört.“ Die Üstra führt weiter die Sicherheit der Kunden als Grund für die Maßnahme an.
Für viele Menschen brachte das erhebliche Probleme mit sich – Fahrkarten konnten und können nun nicht mehr (gegen Bargeld) am Automaten „gestöpselt“ werden. Es steht die Sorge im Raum, dass die Üstra unter dem neuen Vorstand die „Bargeldbefreiung“ der Fahrkartenautomaten unter Ausnutzung eines günstigen Vorwands zur Regel werden lassen möchte und die derzeitige Situation als Eingewöhnungsphase einsetzt.
Dafür spricht auch, dass der Schritt aus unserer Sicht heraus nicht schlüssig ist: Wir haben zum Sachverhalt viel bei der Üstra nachgefragt und herausgefunden, dass es zwar eine besorgniserregende Serie von Sprenganschlägen gab, diese dauerte jedoch – von wenigen Einzelfällen abgesehen – „nur“ vom Dezember 2022 bis zum Februar 2023. Warum also einen Monat nach dem Ende dieser Serie das Bargeld aus den Automaten entfernen?
Die Üstra verweist darauf, dass ab Frühjahr 2024 neue Automaten installiert werden sollen. Diese seien mit Farbkassetten ausgerüstet, die die im Automaten enthaltenen Geldscheine im Falle einer Sprengung zur weiteren Verwendung unbrauchbar werden lassen. Doch auch das scheint nur vorgeschoben zu sein, denn die Mehrzahl der bislang gesprengten Automaten – so wurde uns auf mehrfache Nachfrage hin bekundet – besaßen ebenfalls diese Schutztechnik. Und die Diebe hätten es dann auf das ungeschützte Hargeld, auf die Geldmünzen abgesehen.
Auf diese Ungereimtheiten in der von der Üstra nach außen hin kommunizierten Logik hingewiesen und nachgefragt, warum denn die neuen Automaten sicherer als die alten sein sollen antwortete der Vorstand sinngemäß: „Sollten sich die Sprenganschläge wiederholen, stellen wir wieder auf ausschließliche Bezahlung der Tickets ohne Bargeld um. Wir gehen aber davon aus, dass die Sprengungen bei den neuen Automaten schwieriger durchzuführen sind als bei den jetzigen Automaten.“
Diese Aussage nährt die zuvor genannten Befürchtungen, dass hier ein Zwang zur bargeldlosen Bezahlung manifestiert werden soll. Damit einhergehend eine weitere bedeutende Beschneidung des Persönlichkeitsrechts der ÖPNV-Nutzer und des Rechts, sich anonym im öffentlichen Raum bewegen zu können.
Dazu passt im weiteren die Ankündigung der Üstra, die für das Jahr 2026 angekündigten neuen Stadtbahnen des Typs TW4000 „mit Beacons im Eingangsbereich für das E-Ticketing“ auszurüsten. Damit sollen Fahrgäste identifziert und deren Bewegungen in der Bahn erfasst werden.
„Deutschlandticket“ (49-Euro-Ticket)
Die Üstra will ab Frühjahr 2024 das 49-Euro-Ticket auch als Chipkarte anbieten. Die gute Nachricht dazu: Um diese zu erwerben muss mensch keinen Kundenaccount bei der Üstra einrichten – so die Aussage und Behauptung des Vorstands zumindest.
Ob das 49-Euro-Ticket tatsächlich das „Erfolgsmodell“ ist, als das es Üstra und Bundesverkehrsminister gerne feiern bleibt unklar. Es hat immerhin nicht dazu gereicht, wenigstens das Vor-Corona-Nutzungsniveau im ÖPNV wieder zu erreichen. Und „dank“ des IT-Hacks bei der Üstra kann diese auch gar keine Zahlen dazu vorlegen, wie viele der bis Ende August 2023 von ihr verkauften 60.785 49-Euro-Tickets schon vorher ein Üstra-Monatsticket-Abo hatten und wie viele neue Abo-Kunden überhaupt hinzugekommen sind.
Übrigens führt die Üstra derzeit mangels technischer Ausstattung auch gar keinen Abgleich etwaig kontrollierter „Deutschlandstickets“ mit den VDV-ETS-Sperrlisten durch, kann also gar nicht erkennen, ob es sich dabei um ein noch im Abo gültiges Ticket handelt oder nicht.
