- Transport ist in Anhang I der NIS2-Richtlinie als Sektor hoher Kritikalität gelistet. Speditionen, Logistikzentren und Hafenbetreiber ab 50 MA oder 10 Mio. € Umsatz sind betroffen.
- Besondere Risiken in der Logistik: Telematik- und GPS-Systeme, Lagerverwaltungssysteme (WMS), elektronische Frachtbriefe und zahlreiche Kundenschnittstellen.
- Die starke Vernetzung mit Kunden, Subunternehmern und Plattformen macht die Supply-Chain-Sicherheit zum zentralen Thema.
- Eine Spedition mit 80 MA kann NIS2-Compliance in 10-12 Monaten erreichen, wenn die branchenspezifischen Risiken von Anfang an adressiert werden.
- Der Transportsektor ist besonders anfällig für Betriebsunterbrechungen, da Lieferketten anderer Unternehmen direkt betroffen sind.
Transport und Logistik: Ein Sektor hoher Kritikalität
Dass der Transportsektor bei NIS2 eine prominente Rolle spielt, überrascht nicht. Wenn Güter nicht mehr bewegt werden können, stehen Produktionslinien still, Supermarktregale bleiben leer und Lieferketten brechen zusammen. Die EU hat den Sektor Transport in Anhang I der NIS2-Richtlinie aufgenommen, also in die Kategorie der Sektoren mit hoher Kritikalität. Das ist dieselbe Kategorie wie Energie, Gesundheit und digitale Infrastruktur.
Das NIS2-Umsetzungsgesetz differenziert den Transportsektor in mehrere Teilbereiche:
- Straßenverkehr: Speditionen, Frachtführer, Busunternehmen, Betreiber intelligenter Verkehrssysteme
- Schienenverkehr: Eisenbahnunternehmen, Infrastrukturbetreiber, Betriebsleitzentralen
- Schifffahrt: Reedereien, Hafenbetreiber, Binnenschifffahrt
- Luftverkehr: Fluggesellschaften, Flughafenbetreiber, Flugsicherung
- Post- und Kurierdienste (über Anhang II als sonstiger kritischer Sektor)
Für den Mittelstand besonders relevant sind Straßengüterverkehr und Logistik. Eine Spedition mit 80 Mitarbeitern und 15 Millionen Euro Umsatz fällt unter NIS2. Ein Logistikzentrum mit 120 Mitarbeitern ebenso. Und ein Hafenterminal-Betreiber mit 60 Mitarbeitern ebenfalls.
Einstufung: Wesentlich oder wichtig?
Da Transport in Anhang I steht, gelten strengere Regeln als bei Sektoren aus Anhang II. Die Einstufung als wesentliche oder wichtige Einrichtung hängt von der Unternehmensgröße ab:
| Kriterium | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Mitarbeiter | Ab 250 | 50-249 |
| Umsatz | Ab 50 Mio. € | 10-50 Mio. € |
| Aufsicht | Proaktiv (BSI kann jederzeit prüfen) | Reaktiv (BSI prüft anlassbezogen) |
| Bußgeld | Bis 10 Mio. € oder 2 % Umsatz | Bis 7 Mio. € oder 1,4 % Umsatz |
Die meisten mittelständischen Speditionen und Logistikunternehmen fallen als wichtige Einrichtungen unter NIS2. Aber auch als wichtige Einrichtung musst du sämtliche Mindestmaßnahmen aus Artikel 21 umsetzen, die inhaltlichen Anforderungen sind identisch.
Warum Logistik besonders verwundbar ist
Die Logistikbranche hat in den letzten Jahren einen massiven Digitalisierungsschub erlebt. Telematik, GPS-Tracking, elektronische Frachtdokumente, automatisierte Lagerverwaltung, Kundenschnittstellen per EDI oder API: All das macht den Betrieb effizienter, aber auch verwundbarer.
Ein paar Zahlen verdeutlichen das Ausmaß: Laut einer Studie des Bundesverbands Güterkraftverkehr Logistik und Entsorgung (BGL) setzen über 90 % der Speditionen mit mehr als 50 Fahrzeugen Telematiksysteme ein. Elektronische Frachtbriefe (eCMR) werden zunehmend zum Standard. Und die Schnittstellen zwischen Spediteuren, Verladern, Empfängern und Subunternehmern sind fast vollständig digitalisiert.
Das bedeutet: Ein Cyberangriff auf ein Logistikunternehmen kann innerhalb von Stunden spürbare Auswirkungen auf die Lieferketten anderer Unternehmen haben. Der NotPetya-Angriff von 2017 hat das bei Maersk eindrücklich gezeigt: Die weltweit größte Containerreederei war tagelang lahmgelegt, 76 Häfen konnten keine Container mehr verarbeiten, der Schaden betrug rund 300 Millionen Dollar.
Die besonderen Risiken der Branche
Telematik- und GPS-Systeme: Telematiksysteme erfassen Standortdaten, Fahrzeugzustände, Lenk- und Ruhezeiten, Kraftstoffverbrauch und Temperaturüberwachung bei Kühlketten. Sie kommunizieren über Mobilfunknetze mit der Zentrale und sind oft mit dem CAN-Bus des Fahrzeugs verbunden. Ein kompromittiertes Telematiksystem kann falsche Standortdaten liefern, Kühlkettenüberwachung manipulieren oder im schlimmsten Fall Fahrzeugfunktionen beeinflussen.
Die Sicherheitsrisiken sind vielfältig:
- Viele Telematiksysteme verwenden veraltete Firmwareversionen
- Die Kommunikation zwischen Fahrzeug und Zentrale ist nicht immer verschlüsselt
- Standardpasswörter werden bei der Installation nicht geändert
- Remote-Updates der Telematik-Firmware sind ein Angriffsvektor
Lagerverwaltungssysteme (Warehouse Management Systems, WMS): Ein modernes Logistikzentrum wird durch das WMS gesteuert: Wareneingang, Lagerplatzvergabe, Kommissionierung, Versand. Wenn das WMS ausfällt, steht das Lager faktisch still. Und da WMS-Systeme zunehmend Cloud-basiert oder über Schnittstellen mit Kundensystemen verbunden sind, wächst die Angriffsfläche.
Transport Management Systeme (TMS): Das TMS ist das Herzstück einer Spedition. Es steuert Auftragsannahme, Tourenplanung, Disposition, Frachtberechnung und Abrechnung. Ein Ausfall des TMS bedeutet: keine neuen Aufträge, keine Disposition, keine Abrechnung. Viele mittelständische Speditionen nutzen branchenspezifische TMS-Lösungen von spezialisierten Anbietern, die nicht immer auf dem neuesten Stand der IT-Sicherheit sind.
Kundenschnittstellen und EDI: Logistikunternehmen sind stark vernetzt. EDI-Verbindungen (Electronic Data Interchange) zu Kunden und Partnern, API-Schnittstellen zu Frachtbörsen und Plattformen, automatisierte Avisierungen per E-Mail oder Webportal. Jede dieser Schnittstellen ist ein potenzielles Einfallstor, insbesondere wenn die Authentifizierung schwach ist oder Daten unverschlüsselt übertragen werden.
Subunternehmernetzwerk: Viele Speditionen arbeiten mit einem Netzwerk von Subunternehmern, die einen Teil der Transporte durchführen. Diese Subunternehmer greifen auf Dispositionssysteme zu, erhalten Auftragsdaten und melden Statusupdates zurück. Die IT-Sicherheit dieser oft kleinen Unternehmen liegt außerhalb deiner direkten Kontrolle, aber die Daten fließen trotzdem durch deine Systeme.
Elektronische Frachtdokumente: Der elektronische Frachtbrief (eCMR) und andere digitale Transportdokumente ersetzen zunehmend Papier. Die Integrität dieser Dokumente ist geschäftskritisch: Wenn ein elektronischer Frachtbrief manipuliert wird, kann das Haftungsfragen, Versicherungsansprüche und Zollprobleme auslösen.
NIS2-Maßnahmen für die Logistikbranche
Die zehn Mindestmaßnahmen aus Artikel 21 gelten auch für Logistikunternehmen. Einige davon haben in der Branche eine besondere Ausprägung.
Risikoanalyse: Die mobile Infrastruktur einbeziehen
Anders als bei einem stationären Bürobetrieb erstreckt sich die IT-Infrastruktur eines Logistikunternehmens über Hunderte oder Tausende Quadratkilometer. Fahrzeuge, die auf Europas Straßen unterwegs sind, tragen Telematiksysteme, mobile Endgeräte, Scanner und manchmal sogar mobile Drucker. Diese mobile Infrastruktur muss in der Risikoanalyse vollständig erfasst werden.
Typische Asset-Kategorien in der Logistik:
| Kategorie | Beispiele | Besondere Risiken |
|---|---|---|
| Zentrale IT | TMS, WMS, ERP, E-Mail, Fileserver | Klassische IT-Risiken (Ransomware, Phishing) |
| Telematik | Fahrzeugortung, Temperaturüberwachung, Lenk-/Ruhezeiten | Veraltete Firmware, unverschlüsselte Kommunikation |
| Mobile Geräte | Fahrer-Smartphones, Handscanner, mobile Drucker | Verlust, Diebstahl, unsichere WLAN-Nutzung |
| Kundenschnittstellen | EDI, API, Webportale, E-Mail-Automatisierung | Schwache Authentifizierung, Datenmanipulation |
| Lagerautomation | Fördertechnik, Sortieranlagen, automatische Regalbedienung | OT-Risiken analog zur Produktion |
| Kommunikation | Mobilfunk, Satellitenkommunikation, Betriebsfunk | Abhörgefahr, Ausfälle in Tunneln/Grenzregionen |
Incident Response: Zeitkritisch in der Logistik
Die Logistikbranche arbeitet in engen Zeitfenstern. Eine verspätete Lieferung kann Konventionalstrafen auslösen, eine Produktionslinie beim Kunden stilllegen oder verderbliche Ware vernichten. Daher ist der Incident-Response-Plan besonders zeitkritisch.
Spezifische Szenarien, die der Plan abdecken muss:
Szenario 1: TMS-Ausfall durch Ransomware
- Sofortige Eindämmung (betroffene Systeme isolieren)
- Manuelle Disposition aktivieren (Telefon, Fax, vorbereitete Offline-Formulare)
- Kunden proaktiv informieren (verzögerte Dispositionen möglich)
- BSI-Meldung innerhalb von 24 Stunden
- Parallele Wiederherstellung des TMS aus Backup
Szenario 2: Kompromittierung des Telematiksystems
- Telematik-Zentrale isolieren, bis das Ausmaß geklärt ist
- Fahrer über alternative Kanäle (Telefon) koordinieren
- Kühlkettenüberwachung manuell sicherstellen (Temperaturdatenlogger als Backup)
- Telematikhersteller einbinden
- Betroffene Fahrzeuge identifizieren und Firmware prüfen
Szenario 3: Datenleck über Kundenschnittstelle
- Betroffene Schnittstelle deaktivieren
- Umfang des Datenlecks analysieren (welche Kunden, welche Daten?)
- Betroffene Kunden informieren
- DSGVO-Meldung an die Datenschutzbehörde prüfen (zusätzlich zur BSI-Meldung)
- Schnittstelle absichern, bevor sie wieder aktiviert wird
Supply-Chain-Sicherheit: Ein Netz aus Abhängigkeiten
Die Supply-Chain-Anforderung von NIS2 trifft Logistikunternehmen besonders, weil die Branche von Natur aus ein Netzwerk ist. Du arbeitest mit Verladern, Empfängern, Subunternehmern, Frachtbörsen, Hafenbetreibern, Zollbehörden und einer Vielzahl von Technologiepartnern zusammen.
Die Lieferantenbewertung muss mindestens diese Kategorien umfassen:
IT-Dienstleister und Softwareanbieter:
- TMS-Anbieter (oft ein spezialisierter Branchenanbieter)
- WMS-Anbieter
- Telematikhersteller
- Cloud-Provider (wenn TMS oder WMS als SaaS laufen)
- Managed-Service-Provider (wenn die IT extern betreut wird)
Logistikpartner mit Systemzugang:
- Subunternehmer, die auf dein Dispositionssystem zugreifen
- Kunden, die per EDI oder API Aufträge einspielen
- Frachtbörsen und Plattformen (Timocom, Trans.eu, Cargonexx)
- Zoll- und Behördenschnittstellen (ATLAS, NCTS)
Für jeden dieser Partner musst du bewerten: Welchen Zugang hat er zu deinen Systemen? Welche Daten fließen? Was passiert, wenn dieser Partner kompromittiert wird? Welche vertraglichen Sicherheitsanforderungen bestehen?
Verschlüsselung: Daten in Bewegung schützen
In der Logistik sind Daten buchstäblich in Bewegung. Telematikdaten werden über Mobilfunk übertragen, Disposition erfolgt per App auf dem Fahrer-Smartphone, Auftragsdaten fließen über EDI-Verbindungen. Die Verschlüsselung all dieser Kommunikationswege ist eine Grundvoraussetzung.
Konkrete Anforderungen:
- TLS für alle Webschnittstellen und APIs (mindestens TLS 1.2, besser TLS 1.3)
- Verschlüsselte Kommunikation zwischen Telematiksystem und Zentrale
- VPN für den Zugriff auf interne Systeme von extern
- Verschlüsselte E-Mail für den Austausch sensibler Transportdokumente
- Festplattenverschlüsselung auf allen mobilen Geräten (Laptops, Tablets, Smartphones)
- Verschlüsselte Backups
Schulungen: Fahrer und Lagermitarbeiter nicht vergessen
Das Schulungsprogramm muss über die klassischen Büromitarbeiter hinausgehen. Fahrer und Lagermitarbeiter sind oft die am wenigsten geschulte Gruppe in Sachen IT-Sicherheit, aber sie nutzen täglich digitale Geräte und Systeme.
Schulungsinhalte für Fahrer:
- Sichere Nutzung des Diensthandys (keine privaten Apps installieren, sichere WLANs nutzen)
- Erkennung von Phishing-Nachrichten (auch per SMS oder Messenger)
- Was tun bei Verlust oder Diebstahl des Diensthandys
- Meldewege bei verdächtigen Vorfällen
Schulungsinhalte für Lagermitarbeiter:
- Sichere Nutzung von Handscannern und WMS-Terminals
- Keine privaten USB-Sticks an Arbeitssysteme
- Erkennung ungewöhnlicher Systemverhaltensweisen
- Zugangsregeln für Lagerbereiche mit IT-Infrastruktur (Serverraum, Netzwerkverteilungen)
Praxisbeispiel: Spedition mit 80 Mitarbeitern
Schauen wir uns an, wie eine mittelständische Spedition die NIS2-Umsetzung konkret angehen kann.
Ausgangslage:
LogiTrans GmbH (fiktives Beispiel) ist eine Spedition mit Sitz in Norddeutschland. 80 Mitarbeiter, 18 Millionen Euro Jahresumsatz. Das Unternehmen betreibt eine Fahrzeugflotte von 45 eigenen Lkw und arbeitet zusätzlich mit 25 Subunternehmern. Am Hauptstandort gibt es ein Logistikzentrum mit 8.000 m² Lagerfläche.
Die IT-Landschaft:
- TMS: CarLo von Soloplan (On-Premise, lokaler Server)
- WMS: Eigenentwicklung auf Basis einer Microsoft-Access-Datenbank (historisch gewachsen, wird schrittweise durch eine moderne Lösung ersetzt)
- Telematik: idem telematics, 45 Fahrzeuge mit GPS-Tracking und Temperaturüberwachung
- ERP: DATEV für Buchhaltung, ansonsten stark TMS-zentriert
- Kommunikation: Microsoft 365 (Exchange Online, Teams)
- EDI: Verbindungen zu 12 Großkunden und 3 Frachtbörsen
- Mobile Geräte: 50 Diensthandys (Samsung, Android), davon 45 für Fahrer
Die IT wird von einem IT-Leiter und einem Systemadministrator betreut. Ein externer IT-Dienstleister übernimmt Firewall-Management, Server-Wartung und Backup. Ein ISMS existiert nicht, die Sicherheitsmaßnahmen beschränken sich auf Firewall, Antivirus und regelmäßige Backups der Server.
Phase 1: Bestandsaufnahme und Grundlagen (Monat 1-2)
Betroffenheitsanalyse: LogiTrans fällt mit 80 Mitarbeitern und 18 Millionen Euro Umsatz unter NIS2. Transport (Straßenverkehr) steht in Anhang I. Einstufung: wichtige Einrichtung.
ISB benennen: Der IT-Leiter übernimmt die ISB-Rolle mit 40 % Zeitanteil. Da er keine ISMS-Erfahrung hat, wird ein externer Berater als Sparringspartner engagiert, der das erste Jahr begleitet.
Asset-Inventar erstellen:
LogiTrans identifiziert 67 IT-Assets in folgenden Kategorien:
| Kategorie | Anzahl | Kritische Assets |
|---|---|---|
| Server und VMs | 6 | TMS-Server, WMS-Server, Fileserver |
| Cloud-Dienste | 4 | Microsoft 365, DATEV Online, Telematikhersteller-Portal, EDI-Gateway |
| Netzwerkinfrastruktur | 8 | Firewall, Switches, WLAN-Controller, VPN-Gateway |
| Arbeitsplätze | 25 | Dispositionsplätze, Kundenservice, Verwaltung |
| Mobile Geräte | 50 | Fahrer-Smartphones (45), Handscanner Lager (5) |
| Telematik | 45 | GPS-Tracker und Bordcomputer in den Fahrzeugen |
| EDI-Verbindungen | 15 | 12 Kundenverbindungen, 3 Frachtbörsen |
Besonders kritisches Asset identifiziert: Die WMS-Eigenentwicklung auf Access-Basis ist ein Hochrisiko-System. Keine Zugriffsrechte-Steuerung, keine Verschlüsselung, keine Versionierung, kein Backup-Konzept jenseits der täglichen Dateisicherung. Dieses System wird als sofortiger Handlungsbedarf markiert.
Phase 2: Risikoanalyse und Maßnahmenplanung (Monat 3-4)
Die Risikoanalyse ergibt folgendes Bild:
| Risiko | Bewertung | Priorität |
|---|---|---|
| Ransomware legt TMS und Disposition lahm | Kritisch | Sofort |
| WMS-Eigenentwicklung: Datenverlust oder Manipulation | Kritisch | Sofort |
| Kompromittierung eines Fahrer-Smartphones | Hoch | Kurzfristig |
| Manipulation von Telematikdaten (Kühlkette) | Hoch | Kurzfristig |
| Datenabfluss über kompromittierte EDI-Verbindung | Hoch | Kurzfristig |
| Subunternehmer als Einfallstor | Mittel | Mittelfristig |
| Ausfall des TMS-Servers (Hardware) | Mittel | Mittelfristig |
Kernrichtlinien erstellt:
- Informationssicherheitsleitlinie
- Incident-Response-Plan mit logistikspezifischen Szenarien
- Mobile-Device-Richtlinie (besonders wichtig wegen der 50 Diensthandys)
- Passwort-Richtlinie
- Backup-Richtlinie
- Richtlinie für Subunternehmer und EDI-Partner
Phase 3: Technische Maßnahmen (Monat 5-8)
WMS-Migration (Monat 5-7): Die Access-basierte WMS-Eigenentwicklung wird durch eine branchenübliche Lösung ersetzt. Das ist die teuerste Einzelmaßnahme, aber auch die mit dem größten Sicherheitsgewinn. Die neue Lösung bietet Zugriffssteuerung, Verschlüsselung, Audit-Trail und reguläre Updates.
Mobile Device Management (Monat 5-6): Für die 50 Diensthandys wird eine MDM-Lösung (Mobile Device Management) eingeführt. Die ermöglicht:
- Zentrale Konfiguration und Härtung der Geräte
- App-Whitelisting (nur freigegebene Apps können installiert werden)
- Remote-Wipe bei Verlust oder Diebstahl
- Erzwungene Bildschirmsperre und Verschlüsselung
- Trennung von dienstlichen und privaten Daten (Work Profile)
MFA einführen (Monat 6): Multi-Faktor-Authentifizierung für alle Mitarbeiter mit Systemzugang: Microsoft 365, VPN, TMS, WMS, Telematik-Portal. Für Fahrer wird die MFA über die Microsoft Authenticator App auf dem Diensthandy umgesetzt.
Backup-Konzept überarbeiten (Monat 6-7): Das bestehende Backup wird um Offline-Backups erweitert. TMS-Daten und WMS-Daten werden täglich auf ein separates, vom Netzwerk getrenntes System gesichert. Monatlich wird ein Restore-Test durchgeführt. Recovery Time Objectives werden definiert: TMS maximal 4 Stunden, WMS maximal 8 Stunden.
EDI-Sicherheit verbessern (Monat 7-8): Alle EDI-Verbindungen werden auf verschlüsselte Übertragungsprotokolle umgestellt (AS2 mit TLS, SFTP statt FTP). Für jeden EDI-Partner werden separate Zugangsdaten vergeben. Die Zugriffe werden protokolliert und regelmäßig überprüft.
Netzwerksegmentierung (Monat 7-8): Das Netzwerk wird in Zonen aufgeteilt: Büro-Netz, Server-Zone, Lager-Netz (Handscanner, WMS-Terminals), Gäste-WLAN. Zwischen den Zonen gelten restriktive Firewall-Regeln. In ISMS Lite lässt sich das gesamte Asset-Inventar inklusive Telematik und mobiler Geräte erfassen und die branchenspezifischen Risiken systematisch bewerten.
Phase 4: Organisatorische Maßnahmen (Monat 8-10)
Schulungsprogramm durchführen:
- Alle Mitarbeiter: Online-Schulung Cyberhygiene (90 Minuten)
- Fahrer: Präsenzschulung sichere Smartphone-Nutzung (60 Minuten, integriert in reguläres Fahrerbriefing)
- Lagermitarbeiter: Schulung zum neuen WMS und zur sicheren Systemnutzung
- Disposition und Kundenservice: Vertiefung Phishing-Erkennung, Umgang mit verdächtigen Kundenanfragen
- Geschäftsführung: NIS2-Pflichten und Haftung (halbtägiger Workshop)
Lieferantenbewertung: LogiTrans bewertet 18 kritische Lieferanten und Partner:
| Partner | Maßnahme |
|---|---|
| TMS-Anbieter (Soloplan) | Sicherheitsfragebogen, SLA um Incident-Meldepflicht ergänzen |
| Neuer WMS-Anbieter | Sicherheitszertifizierung als Auswahlkriterium berücksichtigt |
| Telematikhersteller | Firmware-Update-Policy und Verschlüsselungsstandards prüfen |
| Externer IT-Dienstleister | Sicherheitsfragebogen, Vertragsergänzung mit NIS2-Klauseln |
| Microsoft (M365) | Compliance-Dokumentation prüfen (SOC 2, ISO 27001 vorhanden) |
| EDI-Partner (12 Kunden) | Verschlüsselungsstandards vereinbaren, Zugangsdaten erneuern |
| Subunternehmer (25) | Mindest-Sicherheitsanforderungen in Rahmenverträge aufnehmen |
Die Subunternehmer-Bewertung ist besonders herausfordernd. Viele der 25 Subunternehmer sind Kleinstunternehmen mit weniger als 10 Mitarbeitern, die selbst nicht unter NIS2 fallen und kaum Sicherheitsmaßnahmen haben. LogiTrans definiert daher Mindestanforderungen (Virenscanner, aktuelle Betriebssysteme, sichere E-Mail-Nutzung) und nimmt diese in die Rahmenverträge auf. Für den Zugriff auf das Dispositionssystem wird MFA verpflichtend.
Business-Continuity-Plan: Für jeden kritischen Geschäftsprozess wird ein Notfallplan erstellt:
| Prozess | RTO | Manuelle Alternative |
|---|---|---|
| Disposition und Auftragsannahme | 4 Stunden | Disposition per Telefon und vorbereiteten Offline-Formularen |
| Fahrzeugortung und Telematik | 8 Stunden | Fahrer melden Status telefonisch, Kühlkette per Datenlogger |
| Lagerverwaltung | 8 Stunden | Manuelle Kommissionierung mit Papierlisten |
| Abrechnung und Faktura | 5 Tage | Manuelle Erfassung, nachträgliche Systemerfassung |
| Kundenkommunikation | 1 Stunde | Mobiltelefone, persönliche E-Mail-Adressen als Backup |
Phase 5: Prüfung und Verbesserung (Monat 10-12)
Internes Audit: Prüfung aller zehn Mindestmaßnahmen mit Fokus auf die logistikspezifischen Risiken. Das Audit ergibt drei wesentliche Feststellungen:
- Die Telematik-Firmware ist bei 12 von 45 Fahrzeugen noch nicht auf dem aktuellen Stand (Korrekturmaßnahme: Update im nächsten Werkstattaufenthalt)
- Drei Subunternehmer haben den Sicherheitsfragebogen nicht beantwortet (Korrekturmaßnahme: Nachfassen mit Frist, bei Nichterfüllung Zugang zum Dispositionssystem einschränken)
- Der Restore-Test für das TMS hat 6 Stunden statt der geplanten 4 Stunden gedauert (Korrekturmaßnahme: Backup-Prozess optimieren, schnellere Hardware beschaffen)
Management-Review: Die Geschäftsführung bewertet den Fortschritt und genehmigt das Budget für das Folgejahr.
Tabletop-Übung: Simulation eines Ransomware-Angriffs an einem Montagmorgen. Ergebnis: Die manuelle Disposition funktioniert grundsätzlich, aber die telefonische Erreichbarkeit der Fahrer über private Nummern ist nicht bei allen gewährleistet. Korrekturmaßnahme: Notfall-Kontaktliste aktualisieren und alternative Kommunikationskanäle (Messenger-Gruppe) einrichten.
Budget und Zeitplan
| Phase | Zeitraum | Geschätzter Aufwand (extern) |
|---|---|---|
| 1 - Bestandsaufnahme | Monat 1-2 | 5.000-8.000 € |
| 2 - Risikoanalyse | Monat 3-4 | 8.000-12.000 € |
| 3 - Technische Umsetzung | Monat 5-8 | 25.000-40.000 € (inkl. WMS-Migration anteilig) |
| 4 - Organisation | Monat 8-10 | 8.000-12.000 € |
| 5 - Audit & Review | Monat 10-12 | 5.000-8.000 € |
| Gesamt | 12 Monate | 51.000-80.000 € |
Der größte Einzelposten ist die WMS-Migration, die aber auch ohne NIS2 überfällig gewesen wäre. Ohne die WMS-Migration liegt der NIS2-spezifische Aufwand bei rund 35.000 bis 50.000 Euro für externe Beratung, plus interne Personalkosten und Investitionen in MDM, verbesserte Backups und Netzwerksegmentierung. Zum Vergleich: ISMS Lite kostet 500 Euro im Jahr und deckt Risikomanagement, Maßnahmentracking, Richtlinien und Audit-Dokumentation in einem Tool ab.
Branchenspezifische Herausforderungen und Lösungsansätze
Fahrer als Sicherheitsrisiko und Sicherheitsfaktor
Fahrer sind den ganzen Tag unterwegs, nutzen mobile Geräte, verbinden sich mit unterschiedlichen Netzwerken und haben oft wenig Bezug zu IT-Sicherheitsthemen. Gleichzeitig sind sie das Bindeglied zwischen digitaler und physischer Welt: Sie bestätigen Lieferungen digital, scannen Frachtdokumente und übermitteln Statusmeldungen.
Der Schlüssel liegt in einfachen, verständlichen Regeln und einer MDM-Lösung, die das Gerät technisch absichert. Der Fahrer muss nicht verstehen, was TLS-Verschlüsselung ist, aber er muss wissen, dass er keine unbekannten Apps installieren und verdächtige Nachrichten melden soll.
Kühlkettenüberwachung als NIS2-relevantes System
Wenn du Lebensmittel, Pharmazeutika oder andere temperaturempfindliche Güter transportierst, ist die Kühlkettenüberwachung ein geschäftskritisches System. Eine Manipulation der Temperaturdaten kann dazu führen, dass verdorbene Ware ausgeliefert wird, mit potenziell gravierenden Folgen für die Gesundheit der Verbraucher. Die NIS2-Risikoanalyse muss die Integrität der Temperaturüberwachung explizit adressieren.
24/7-Betrieb und Wartungsfenster
Logistikunternehmen arbeiten rund um die Uhr, oft auch an Wochenenden und Feiertagen. Klassische Wartungsfenster für Systemupdates oder Sicherheitsmaßnahmen gibt es kaum. Plane Updates und Patches so, dass sie die Disposition nicht beeinträchtigen, idealerweise nachts zwischen 2 und 5 Uhr, wenn das Auftragsvolumen am geringsten ist.
Was du jetzt tun solltest
Als Geschäftsführer oder IT-Verantwortlicher eines Logistikunternehmens solltest du mit diesen Schritten starten:
- Betroffenheit klären und beim BSI registrieren. Transport ist Anhang I, die Einordnung ist für die meisten Unternehmen eindeutig.
- Alle digitalen Systeme erfassen. Nicht nur Server und Arbeitsplätze, sondern auch Telematik, mobile Geräte, Lagertechnik und EDI-Verbindungen. Vieles davon existiert nicht in der klassischen IT-Dokumentation.
- Die kritischsten Lücken sofort schließen. Wenn du Systeme ohne Zugriffsschutz, ohne Backup oder mit veralteter Software hast, ist das dein erster Handlungsbedarf, noch vor dem formalen ISMS-Aufbau.
Die Logistikbranche ist ein Sektor, in dem ein Cyberangriff besonders schnell besonders weitreichende Folgen hat. Deine Kunden verlassen sich darauf, dass du lieferst, im doppelten Sinne. NIS2 gibt dir einen strukturierten Rahmen, um genau das sicherzustellen.
Weiterführende Artikel
- NIS2 für den Mittelstand: Was du wissen musst und was jetzt zu tun ist
- NIS2-Erstmeldung ans BSI: Inhalt, Fristen und Vorlage
- Sichere Remote-Arbeit und Homeoffice: Richtlinien und Maßnahmen
- IT-Asset-Management im ISMS: Überblick behalten über alle Systeme
- AVV prüfen und Dienstleister bewerten: So erfüllst du deine Sorgfaltspflicht