- Post- und Kurierdienste sind in Anhang I der NIS2-Richtlinie als Teil des Sektors 'Post- und Kurierdienste' gelistet und gelten als wesentliche Einrichtungen mit den strengsten Auflagen.
- Die KEP-Branche (Kurier, Express, Paket) ist hochgradig digitalisiert: Tracking-Systeme, automatisierte Sortierzentren, Routenoptimierung und Paketautomaten bilden eine durchgängige digitale Prozesskette.
- Ein Ausfall der Logistik-IT hat sofortige Auswirkungen: Pakete können nicht sortiert, geroutet und zugestellt werden. Bei einem großen KEP-Dienstleister betrifft das Hunderttausende Sendungen pro Tag.
- Paketautomaten und Paketstationen sind IoT-Geräte im öffentlichen Raum und stellen besondere Anforderungen an die physische Sicherheit und die Netzwerkanbindung.
- Ein regionaler KEP-Dienstleister mit 110 Mitarbeitern kann die NIS2-Umsetzung in 12 Monaten schaffen, wobei die Absicherung der mobilen Endgeräte und der Tracking-Infrastruktur die größten Herausforderungen darstellen.
Warum Post- und Kurierdienste unter NIS2 fallen
Die Zustellung von Briefen und Paketen ist eine Dienstleistung, die tief in das wirtschaftliche und gesellschaftliche Leben eingreift. Unternehmen sind auf den zuverlässigen Versand von Waren, Dokumenten und Ersatzteilen angewiesen. Privatpersonen erwarten, dass ihre Online-Bestellungen termingerecht ankommen. Behörden versenden amtliche Bescheide, Gerichte verschicken Zustellungen mit Rechtsfristen. Wenn die Post- und Paketlogistik über mehrere Tage ausfällt, geraten Lieferketten ins Stocken und Rechtsfristen werden versäumt.
Der europäische Gesetzgeber hat Post- und Kurierdienste deshalb in Anhang I der NIS2-Richtlinie als Sektor hoher Kritikalität aufgenommen. Das ist eine Hochstufung gegenüber dem Entwurf, der den Sektor zunächst in Anhang II ("sonstige kritische Sektoren") vorgesehen hatte. Die endgültige Zuordnung zu Anhang I bedeutet: Betroffene Unternehmen gelten als wesentliche Einrichtungen und unterliegen der proaktiven BSI-Aufsicht, den höchsten Bußgeldern und den vollen Meldepflichten.
Konkret betroffen sind:
- Postdienstleister: Unternehmen, die Postdienste im Sinne der Postdiensterichtlinie erbringen, einschließlich Briefpost, Paketpost und Expresspost
- Kurier- und Expressdienste: KEP-Dienstleister (Kurier, Express, Paket), die Sendungen gewerblich befördern
- Logistikdienstleister im Paketbereich: Betreiber von Sortierzentren, Umschlagpunkten und Zustellnetzwerken
Die Schwellenwerte sind die bekannten: mindestens 50 Mitarbeiter oder mindestens 10 Millionen Euro Jahresumsatz. In der KEP-Branche liegen sehr viele Unternehmen über diesen Schwellen. Neben den großen Playern (DHL, Hermes, DPD, GLS, UPS, FedEx) gibt es zahlreiche regionale KEP-Dienstleister, Spezialversender und Same-Day-Delivery-Anbieter, die betroffen sind.
Besonderheit: Subunternehmer und Franchise-Modelle
Die KEP-Branche arbeitet intensiv mit Subunternehmern. Die großen Paketdienste betreiben ihre Sortierzentren selbst, lagern aber die Zustellung auf der letzten Meile häufig an Subunternehmer aus. Diese Subunternehmer sind oft kleine Unternehmen mit 10 bis 30 Mitarbeitern, die selbst nicht unter die NIS2-Schwellenwerte fallen.
Das entbindet den Auftraggeber allerdings nicht von seiner Verantwortung. NIS2 fordert die Bewertung der Supply-Chain-Sicherheit, und Subunternehmer, die auf die IT-Systeme des Auftraggebers zugreifen (Tracking-Apps, Scanner, Tourenplanung), sind Teil dieser Lieferkette. Der KEP-Dienstleister muss sicherstellen, dass die Endgeräte und Zugänge seiner Subunternehmer den Sicherheitsanforderungen entsprechen.
Die digitale Prozesskette der KEP-Branche
Die KEP-Branche gehört zu den am stärksten digitalisierten Sektoren überhaupt. Vom Moment der Paketaufgabe bis zur Zustellung wird jede Sendung durch eine Kette von IT-Systemen verfolgt und gesteuert.
Tracking: Das Nervensystem der Paketlogistik
Das Tracking-System ist das zentrale IT-System eines KEP-Dienstleisters. Es erfasst den Status jeder Sendung an jedem Punkt der Logistikkette:
- Aufgabe: Paket wird eingeliefert, Barcode oder QR-Code gescannt, Sendungsdaten im System angelegt
- Sortierung: Im Sortierzentrum wird jede Sendung gescannt und automatisch auf die richtige Route/Tour sortiert
- Transport: Beim Verladen und Entladen werden Scans erfasst
- Zustellung: Der Zusteller scannt das Paket bei der Zustellung, erfasst Unterschrift oder Foto als Zustellnachweis
- Kundeninformation: Empfänger und Versender können den Status in Echtzeit über Web und App verfolgen
Das Tracking-System verarbeitet bei einem mittelgroßen KEP-Dienstleister Hunderttausende Scan-Events pro Tag. Ein Ausfall bedeutet: Pakete können nicht sortiert werden (die automatische Sortierung basiert auf dem Barcode-Scan), Zusteller wissen nicht, welche Pakete auf ihrer Tour sind, und Kunden sehen keine Statusinformationen. Die gesamte Logistikkette steht still.
Sortierzentren: Hochautomatisierte OT-Umgebungen
Moderne Sortierzentren sind hochautomatisierte Anlagen, in denen Pakete mit Geschwindigkeiten von bis zu 2 Metern pro Sekunde über Förderbänder laufen, automatisch gescannt, gewogen, vermessen und auf die richtige Ausgangsrutsche sortiert werden.
Die Steuerung dieser Anlagen ist eine OT-Umgebung:
- Fördertechnik-Steuerung: SPS-Steuerungen für Förderbänder, Weichen, Rutschen
- Scanner-Infrastruktur: Barcode- und OCR-Scanner an jedem Sortierpunkt
- Waagen und Volumenmessung: Automatische Gewichts- und Maßerfassung für die Frachtabrechnung
- Sortierlogik: Software, die auf Basis der Sendungsdaten entscheidet, auf welche Ausgangsrutsche ein Paket sortiert wird
- Leitstandsystem: Überwachung und Steuerung der gesamten Anlage durch Bedienpersonal
Ein Cyberangriff auf die Sortieranlage kann die gesamte Paketverteilung lahmlegen. Wenn die Sortierlogik manipuliert wird, landen Pakete in den falschen Touren. Wenn die Fördertechnik ausfällt, müssen Pakete manuell sortiert werden, was bei Volumina von 50.000 bis 200.000 Paketen pro Tag nicht realistisch ist.
Routenoptimierung und Tourenplanung
Die Tourenplanung optimiert die Zustellrouten unter Berücksichtigung von Adressen, Zeitfenstern (Wunschtermine), Fahrzeugkapazitäten, Verkehrslage und Zustellprioritäten (Express vor Standard). Moderne Systeme nutzen maschinelles Lernen, um aus historischen Daten die effizientesten Routen zu berechnen.
Für die Zustellung auf der letzten Meile ist die Tourenplanung geschäftskritisch: Ein Zusteller, der 150 bis 200 Pakete pro Tag ausliefert, braucht eine optimierte Route, um das Pensum zu schaffen. Ohne Tourenplanung fahren Zusteller ineffiziente Routen, die Zustellquote sinkt und die Personalkosten steigen.
Paketautomaten und Paketstationen
Paketautomaten (Packstationen, Paketshops mit Selbstbedienungsterminals) sind ein wachsender Kanal in der KEP-Branche. DHL betreibt allein in Deutschland über 12.000 Packstationen. Hermes, DPD und andere Anbieter ziehen nach.
Paketautomaten sind IoT-Geräte im öffentlichen Raum und stellen besondere Sicherheitsanforderungen:
- Physische Exposition: Die Geräte stehen an öffentlich zugänglichen Orten (Supermärkte, Bahnhöfe, Straßen) und sind damit physischen Angriffen ausgesetzt
- Netzwerkanbindung: Jeder Paketautomat ist über Mobilfunk oder Festnetz mit der zentralen IT verbunden
- Authentifizierung: Kunden authentifizieren sich per App, TAN oder Karte. Schwachstellen in der Authentifizierung können dazu führen, dass Unbefugte Pakete entnehmen
- Firmware-Updates: Tausende Geräte müssen zentral mit Updates versorgt werden, ohne dass ein Techniker vor Ort sein muss
- Bezahlfunktionen: Einige Paketautomaten bieten Frankierung und Bezahlung an, was PCI-DSS-relevante Daten verarbeitet
Mobile Endgeräte: Tausende Scanner im Feld
Zusteller und Kurierfahrer sind mit mobilen Endgeräten (Handscanner, Smartphones mit Scanner-App) ausgestattet, die für die Paketverfolgung, Navigation, Zustellbestätigung und Kundenkommunikation genutzt werden.
Die Herausforderung: Ein KEP-Dienstleister mit 500 Zustellern hat 500 mobile Endgeräte im Feld, die täglich Tausende von Transaktionen durchführen. Diese Geräte sind der häufigste Kontaktpunkt zwischen der IT des Unternehmens und der Außenwelt. Sie werden in Fahrzeugen transportiert, bei Wind und Wetter eingesetzt und gehen regelmäßig verloren oder werden beschädigt.
Branchenspezifische Risiken
Zeitkritischer Betrieb
Die KEP-Branche arbeitet mit extrem engen Zeitfenstern. Pakete, die bis 18 Uhr im Sortierzentrum eintreffen, müssen am nächsten Morgen auf den Zustellfahrzeugen sein. Expresssendungen haben noch engere Fristen. Ein IT-Ausfall von sechs Stunden im Sortierzentrum bedeutet, dass ein ganzer Tag an Sendungen verzögert wird.
Recovery Time Objectives müssen in der KEP-Branche extrem kurz sein: Für das Tracking-System und die Sortieranlage sind RTOs von unter vier Stunden typisch, für die Tourenplanung unter zwei Stunden (vor Tourbeginn am Morgen).
Saisonale Spitzenlasten
Die KEP-Branche hat extreme saisonale Schwankungen. In der Vorweihnachtszeit (November/Dezember) verdoppeln oder verdreifachen sich die Volumina. Black Friday und Cyber Monday erzeugen Lastspitzen, die Sortierzentren an ihre Kapazitätsgrenzen bringen. Ein Cyberangriff während dieser Spitzenzeit hätte verheerende Auswirkungen, und es ist kein Zufall, dass Angreifer bevorzugt Zeiten wählen, in denen das Opfer am verwundbarsten ist.
Datenschutz: Millionen von Empfängerdaten
KEP-Dienstleister verarbeiten Millionen personenbezogener Datensätze gemäß der DSGVO: Namen, Adressen, Telefonnummern und teilweise auch den Inhalt der Sendung (Warenbezeichnung im Zollverfahren). Ein Datenleck hat DSGVO-Implikationen und kann zu erheblichem Reputationsschaden führen.
Abhängigkeit von Subunternehmern
Wie bereits erwähnt, arbeitet die KEP-Branche intensiv mit Subunternehmern. Diese Subunternehmer nutzen die IT-Systeme des Auftraggebers (Scanner, Apps, Tourenplanung), haben aber oft keine eigene IT-Sicherheitskultur. Ein kompromittiertes Subunternehmer-Gerät kann zum Einfallstor in das Gesamtsystem werden.
Besondere NIS2-Anforderungen für die KEP-Branche
Risikoanalyse: Logistikkette als Bewertungsobjekt
Die Risikoanalyse muss die gesamte Logistikkette vom Paketeingang bis zur Zustellung abdecken, wobei ein ISMS-Tool wie ISMS Lite die Abhängigkeiten zwischen Tracking, Sortierung und Tourenplanung als verknüpfte Assets abbilden kann. Dabei ist es wichtig, nicht nur einzelne IT-Systeme zu betrachten, sondern die Abhängigkeiten zwischen den Systemen zu verstehen. Das Tracking-System, die Sortieranlage und die Tourenplanung sind keine isolierten Anwendungen, sondern bilden eine Prozesskette, in der der Ausfall eines Glieds die gesamte Kette unterbricht.
Absicherung der Sortierzentren
Sortierzentren sind OT-Umgebungen und müssen entsprechend behandelt werden:
- Netzwerksegmentierung: Die Anlagensteuerung (SPS, Fördertechnik) muss vom Office-Netz und vom Internet getrennt sein
- Zugriffskontrolle: Nur autorisiertes Personal darf auf die Sortierlogik zugreifen. Änderungen an der Sortierkonfiguration unterliegen einem Change-Management-Prozess
- Monitoring: Anomalieerkennung für die Kommunikation zwischen Scanner-Infrastruktur, Sortierlogik und Fördertechnik
- Redundanz: Kritische Komponenten (Leitrechner, Scanner-Server) müssen redundant ausgelegt sein
Mobile-Device-Security im großen Maßstab
Die Absicherung Hunderter oder Tausender mobiler Endgeräte erfordert ein umfassendes Mobile-Device-Management:
- Zentrale Verwaltung: Alle Geräte werden über ein MDM-System verwaltet, konfiguriert und überwacht
- App-Whitelisting: Nur freigegebene Apps dürfen installiert werden. Die Scanner-App und die Navigations-App werden zentral bereitgestellt.
- Geräteverschlüsselung und PIN-Pflicht: Selbstverständlich, aber in der Praxis bei vielen KEP-Dienstleistern nicht konsequent umgesetzt
- Remote Wipe: Verlorene oder gestohlene Geräte werden sofort aus der Ferne gesperrt und gelöscht
- Subunternehmer-Geräte: Wenn Subunternehmer eigene Geräte nutzen (BYOD), müssen diese den gleichen Sicherheitsstandards entsprechen. Eine Containerisierung der Unternehmens-Apps ist hier der übliche Ansatz.
Paketautomaten-Sicherheit
Die Absicherung von Paketautomaten erfordert einen IoT-Security-Ansatz:
- Gehärtete Firmware: Die Firmware muss gegen physische Manipulation geschützt sein (Secure Boot, signierte Firmware)
- Verschlüsselte Kommunikation: Die Verbindung zwischen Paketautomat und Zentrale muss verschlüsselt sein (VPN oder TLS)
- Zentrales Patch-Management: Firmware-Updates müssen zentral ausgerollt werden können, ohne physischen Zugang zu jedem Gerät
- Physische Härtung: Schutz gegen physische Manipulation (Tamper-Detection, sichere Gehäuse für Steuerungselektronik)
- Monitoring: Jeder Paketautomat meldet seinen Zustand regelmäßig an die Zentrale. Ausbleibende Meldungen oder ungewöhnliche Kommunikationsmuster werden alarmiert.
Praxisbeispiel: Regionaler KEP-Dienstleister mit 110 Mitarbeitern
Ausgangslage:
Die ParcelExpress GmbH (fiktives Beispiel) ist ein regionaler KEP-Dienstleister mit Sitz in Nordrhein-Westfalen. 110 Mitarbeiter, 28 Millionen Euro Jahresumsatz. Das Unternehmen betreibt ein Sortierzentrum, drei Zustelldepots und einen Fuhrpark von 65 Zustellfahrzeugen. Die Kunden sind Online-Händler, Industrieunternehmen und Privatpersonen in einem Einzugsgebiet von rund 2 Millionen Einwohnern. Zusätzlich betreibt ParcelExpress 45 Paketautomaten an Supermärkten und Bahnhöfen.
Die IT-Infrastruktur:
- Tracking-System: Branchenlösung (Logistik-SaaS), verarbeitet durchschnittlich 35.000 Sendungen pro Tag
- Sortieranlage: Halbautomatisierte Anlage mit Fördertechnik, 12 Scanner-Stationen, SPS-gesteuerten Weichen und Rutschen
- Tourenplanung: Modul der Tracking-Lösung, plant täglich 65 Zustelltouren
- Mobile Endgeräte: 80 Handscanner (Zebra TC-Serie) für Zusteller und Lagerpersonal
- Paketautomaten: 45 Automaten mit Mobilfunkanbindung, eigene Firmware des Herstellers
- ERP-System: Navision/Business Central (Cloud), Abrechnung, Personalwesen, Finanzen
- Server-Infrastruktur: 3 physische Server vor Ort (Sortieranlage-Steuerung, Fileserver/AD, lokaler Backup-Server), Tracking und ERP in der Cloud
- Arbeitsplätze: 25 PCs (Sortierzentrum, Depots, Verwaltung)
- Subunternehmer: 15 Subunternehmer mit insgesamt 40 Zustellern, die eigene Smartphones mit ParcelExpress-App nutzen
Die IT wird von einem IT-Leiter und einem Systemadministrator betreut. Das Cloud-basierte Tracking-System wird vom SaaS-Anbieter gewartet. Die Sortieranlage wird von einem Anlagenbauer betreut (Wartungsvertrag mit Fernwartung). Ein ISMS existiert nicht.
Phase 1: Bestandsaufnahme und regulatorische Einordnung (Monat 1-2)
Betroffenheitsanalyse: ParcelExpress fällt mit 110 Mitarbeitern und 28 Millionen Euro Umsatz unter NIS2. Post- und Kurierdienste sind in Anhang I gelistet. Einstufung: wesentliche Einrichtung. Das bedeutet proaktive BSI-Aufsicht und die höchste Bußgeldstufe.
Regulatorische Bestandsaufnahme: ParcelExpress unterliegt neben NIS2 folgenden Regelwerken: Postgesetz (PostG, sofern lizenzpflichtige Postdienstleistungen erbracht werden), DSGVO (Empfänger- und Versenderdaten), Gefahrgutverordnung Straße (ADR, bei Transport von Gefahrgut), Arbeitszeitgesetz (Fahrpersonalgesetz).
ISB benennen: Der IT-Leiter übernimmt die ISB-Rolle mit 40 Prozent Zeitanteil. Angesichts der Einstufung als wesentliche Einrichtung wird zusätzlich ein externer Berater für die initiale ISMS-Einführung engagiert.
Asset-Inventar erstellen:
| Kategorie | Anzahl | Kritischstes Asset |
|---|---|---|
| Tracking-System (SaaS) | 1 | Sendungsverfolgung und Sortiersteuerung |
| Sortieranlage (OT) | 1 Anlage, 12 Scanner, 8 SPS | Sortierleitrechner |
| Mobile Endgeräte (Handscanner) | 80 | Scanner der Zusteller (Zustellnachweis) |
| Paketautomaten | 45 | Automaten an hochfrequenten Standorten |
| Subunternehmer-Geräte | 40 | Smartphones mit ParcelExpress-App |
| Server vor Ort | 3 | Sortieranlage-Server |
| Cloud-Dienste | 2 | Tracking (SaaS), ERP (Business Central) |
Besondere Feststellung: Die 40 Smartphones der Subunternehmer-Zusteller unterliegen keiner zentralen Verwaltung. Die ParcelExpress-App läuft auf privaten Geräten ohne Verschlüsselung, PIN-Pflicht oder MDM-Kontrolle. Das ist ein kritisches Risiko, weil über diese App Zugang zu Sendungsdaten (Namen, Adressen) und zur Zustellbestätigung besteht.
Phase 2: Risikoanalyse (Monat 3-4)
| Risiko | Auswirkung auf Betrieb | Auswirkung auf Kunden | Bewertung |
|---|---|---|---|
| Ausfall Tracking-System (SaaS) | Keine Sortierung, keine Zustellung, keine Statusinfo | 35.000 Sendungen pro Tag verzögert | Kritisch |
| Ransomware auf lokalem Server (Sortieranlage) | Sortierzentrum steht still | Sendungen stauen sich | Kritisch |
| Kompromittierung der Subunternehmer-Geräte | Zugang zu Sendungsdaten, gefälschte Zustellnachweise | Datenschutzverletzung, Paketverlust | Hoch |
| Manipulation der Tourenplanung | Falsche Routen, Pakete werden nicht zugestellt | Zustellausfälle in ganzen Bezirken | Hoch |
| Cyberangriff auf Paketautomaten | Automaten nicht nutzbar, unbefugte Paketentnahme | Kunden können Pakete nicht abholen | Hoch |
| Datenleck Empfängerdaten | DSGVO-Meldepflicht, Reputationsschaden | Datenschutzverletzung für Millionen Empfänger | Hoch |
| Ausfall der Sortieranlage (OT) | Manuelle Sortierung nicht bei diesem Volumen möglich | Mehrtägige Verzögerungen | Kritisch |
Besonders kritisch identifiziert: Die Abhängigkeit vom Cloud-basierten Tracking-System. Wenn der SaaS-Anbieter ausfällt oder kompromittiert wird, hat ParcelExpress keine lokale Ausweichmöglichkeit. Dieser Lieferant muss priorisiert bewertet werden.
Phase 3: Technische Maßnahmen (Monat 5-8)
Subunternehmer-Geräte unter Kontrolle bringen (Monat 5, höchste Priorität):
Für die Smartphones der Subunternehmer-Zusteller wird eine Containerisierungs-Lösung implementiert (Microsoft Intune App Protection Policies oder vergleichbar). Die ParcelExpress-App läuft in einem geschützten Container, der vom privaten Teil des Geräts isoliert ist. Der Container ist verschlüsselt, erfordert einen PIN und kann bei Vertragskündigung oder Geräteverlust aus der Ferne gelöscht werden.
Zusätzlich wird in die Subunternehmer-Verträge eine IT-Sicherheitsklausel aufgenommen: Geräte müssen ein aktuelles Betriebssystem haben, die PIN-Sperre muss aktiviert sein und die Installation der Containerisierungslösung ist Voraussetzung für den Zugang zur ParcelExpress-App.
MDM für eigene Geräte (Monat 5-6):
Alle 80 Zebra-Handscanner werden in ein MDM-System eingebunden. Zentrale Konfiguration, App-Whitelisting, Firmware-Updates, Remote Wipe. Die Scanner werden so konfiguriert, dass sie bei Nichtnutzung automatisch gesperrt werden und nur mit PIN entsperrt werden können.
Sortieranlage segmentieren (Monat 6-7):
- Die Sortieranlage (SPS-Steuerungen, Sortierleitrechner, Scanner-Server) wird in ein eigenes Netzwerksegment gestellt
- Der Fernwartungszugang des Anlagenbauers wird auf einen Jump-Host in der DMZ umgestellt (nur bei Bedarf aktiviert, mit Session-Recording)
- Die Verbindung zwischen Sortierleitrechner und Tracking-System (Cloud) läuft über eine dedizierte, verschlüsselte Verbindung
Paketautomaten-Sicherheit (Monat 7):
- Zusammenarbeit mit dem Automatenhersteller: Aktualisierung der Firmware auf die neueste Version, Aktivierung von Secure Boot
- VPN-Tunnel zwischen jedem Paketautomaten und der Zentrale
- Monitoring: Jeder Automat meldet seinen Status alle 5 Minuten. Ausbleibende Meldungen lösen einen Alarm aus
- Physische Sicherheit: Überprüfung der Gehäuse auf Manipulationsspuren, Tamper-Switches wo technisch möglich
Cloud-Abhängigkeit reduzieren (Monat 7-8):
Für den Fall eines Tracking-System-Ausfalls wird ein Notfallprozess implementiert:
- Die Tourendaten des nächsten Tages werden abends lokal als Export gespeichert. Bei Cloud-Ausfall können die Zusteller mit diesen Daten ausfahren.
- Die Sortieranlage erhält eine lokale Fallback-Konfiguration, die bei Verlust der Cloud-Verbindung eine vereinfachte Sortierung nach Postleitzahl ermöglicht
- Scan-Daten werden auf den Handscannern lokal zwischengespeichert und bei Verbindungswiederherstellung synchronisiert
MFA (Monat 8):
Multi-Faktor-Authentifizierung für alle Zugänge: VPN, Cloud-Dienste (Tracking, ERP), Administratorzugänge, Sortieranlagen-Leitstand.
Phase 4: Organisatorische Maßnahmen (Monat 8-10)
Schulungsprogramm:
- Alle Mitarbeiter: 30-Minuten-Online-Modul zu Cyberhygiene
- Zusteller: Kurzschulung (15 Minuten, im Rahmen der Fahrerbesprechung) zum sicheren Umgang mit Handscanner, Meldung bei Verlust, Erkennen verdächtiger Situationen an Paketautomaten
- Subunternehmer-Zusteller: Verpflichtende Einweisung bei Vertragsbeginn, jährliche Auffrischung
- Sortierzentrum-Personal: Vertiefung zum Erkennen ungewöhnlicher Anlagenzustände
- Geschäftsführung: NIS2-Pflichten, persönliche Haftung, proaktive BSI-Aufsicht
Lieferantenbewertung (besonders kritisch):
| Lieferant | Besondere Anforderungen |
|---|---|
| Tracking-System (SaaS-Anbieter) | Verfügbarkeit (SLA 99,9 %), Datensicherung, Incident-Notification, Mandantentrennung, Exit-Strategie |
| Paketautomaten-Hersteller | Firmware-Sicherheit, Patch-Zyklen, Secure Boot, Tamper-Detection |
| Sortieranlage-Hersteller | Fernwartungssicherheit, SPS-Firmware-Updates, Lebenszyklusplanung |
| Microsoft (Business Central, Intune) | SOC 2 / ISO 27001 Nachweis vorhanden |
| Subunternehmer (15) | IT-Sicherheitsklausel im Vertrag, Gerätestandards, Containerisierung |
Business-Continuity-Plan:
| System | RTO | Notfallverfahren |
|---|---|---|
| Tracking-System (SaaS) | Provider-abhängig; Fallback lokal: 2 Stunden | Tourdaten-Export vom Vorabend, lokale Sortierung nach PLZ |
| Sortieranlage | 4 Stunden | Manuelle Sortierung (nur bei reduziertem Volumen < 5.000 Sendungen) |
| Tourenplanung | 2 Stunden | Touren des Vortags fahren, manuelle Anpassungen per Telefon |
| Handscanner | Sofort (lokaler Cache) | Scan-Daten lokal speichern, Sync bei Verbindungswiederherstellung |
| Paketautomaten | 8 Stunden | Betroffene Standorte sperren, Kunden per SMS an Depot verweisen |
Tabletop-Übung: Szenario: Am Black Friday um 14 Uhr fällt das Tracking-System aus (SaaS-Provider hat einen Ransomware-Angriff). Im Sortierzentrum stauen sich 25.000 Pakete. 65 Zusteller sind unterwegs, ihre Scanner zeigen keine neuen Daten. 45 Paketautomaten arbeiten noch mit dem letzten bekannten Datenstand. Ergebnis: Die Zusteller können ihre aktuellen Touren mit dem lokalen Cache abschließen. Die Abendsortierung für den nächsten Tag wechselt auf die lokale Fallback-Konfiguration (PLZ-basiert). Die Zustellquote sinkt auf 70 Prozent, aber der Betrieb bleibt aufrechterhalten. Verbesserungspotenzial: Die lokale Fallback-Sortierung muss regelmäßig (quartalsweise) getestet werden, um sicherzustellen, dass die PLZ-Zuordnungen aktuell sind.
Phase 5: Audit und kontinuierliche Verbesserung (Monat 10-12)
Internes Audit:
Feststellungen:
- 8 von 45 Paketautomaten laufen noch auf einer älteren Firmware-Version, weil der Hersteller das Update für dieses Modell verzögert hat. Kompensatorische Maßnahme: Diese 8 Automaten werden engmaschiger überwacht. Eskalation an den Hersteller mit Fristsetzung.
- Die Containerisierung auf den Subunternehmer-Geräten wurde von 12 der 15 Subunternehmer implementiert. Drei Subunternehmer sträuben sich. Korrekturmaßnahme: Frist setzen, bei Nichterfüllung Zugang zur App sperren.
- Der Notfall-Tourdaten-Export wird automatisch jeden Abend erstellt, aber der Restore wurde noch nicht getestet. Korrekturmaßnahme: Vierteljährlichen Restore-Test einplanen.
BSI-Registrierung: ParcelExpress registriert sich beim BSI als wesentliche Einrichtung im Sektor Post- und Kurierdienste.
Management-Review: Die Geschäftsführung genehmigt den Restrisiko-Katalog, das Budget für das Folgejahr (Schwerpunkt: Paketautomaten-Erneuerung älterer Modelle, Ausbau des lokalen Fallback-Systems) und den Schulungsplan.
Budget-Übersicht
| Position | Einmalig (Jahr 1) | Jährlich (ab Jahr 2) |
|---|---|---|
| Externe Beratung (ISMS-Aufbau) | 30.000-40.000 € | 10.000-15.000 € |
| MDM und Containerisierung | 8.000-12.000 € | 4.000-6.000 € |
| Netzwerksegmentierung Sortieranlage | 10.000-15.000 € | 2.000-3.000 € |
| Paketautomaten-Härtung | 12.000-18.000 € | 3.000-5.000 € |
| Cloud-Fallback-System | 8.000-12.000 € | 2.000-3.000 € |
| MFA und Zugriffskontrolle | 3.000-5.000 € | 2.000-3.000 € |
| Schulungen | 5.000-8.000 € | 3.000-5.000 € |
| ISB-Zeitanteil (intern, 40 %) | 25.000-30.000 € | 25.000-30.000 € |
| Gesamt | 101.000-140.000 € | 51.000-70.000 € |
Wer die Tool-Kosten im Rahmen halten will: ISMS Lite bietet den kompletten Funktionsumfang ab 500 Euro pro Jahr oder als Einmalkauf für 2.500 Euro, ohne Seat-Lizenzen oder versteckte Kosten.
Was du jetzt tun solltest
Wenn du einen Post- oder Kurierdienst betreibst und NIS2 umsetzen musst, sind folgende erste Schritte entscheidend:
-
Cloud-Abhängigkeiten bewerten. Wenn dein Tracking-System als SaaS-Lösung läuft, bist du von der Verfügbarkeit und Sicherheit dieses Anbieters abhängig. Prüfe die SLAs, fordere Sicherheitsnachweise an und plane ein lokales Fallback.
-
Mobile Endgeräte und Subunternehmer-Geräte unter Kontrolle bringen. Jeder Scanner und jedes Smartphone, das auf deine Systeme zugreift, ist ein potenzielles Einfallstor. MDM und Containerisierung sind keine optionalen Extras, sondern Grundvoraussetzungen.
-
Sortierzentrum als OT-Umgebung behandeln. Die Sortieranlage ist keine einfache Maschine, sondern ein vernetztes OT-System. Netzwerksegmentierung und kontrollierte Fernwartung sind die wichtigsten Schutzmaßnahmen.
-
Betroffenheit ernst nehmen. Als wesentliche Einrichtung unterliegst du der proaktiven BSI-Aufsicht. Das BSI kann jederzeit Nachweise anfordern. Ein ISMS auf dem Papier reicht nicht, es muss gelebt werden.
Die KEP-Branche bewegt täglich Millionen von Paketen und Briefen, und hinter jeder Sendung steht ein Empfänger, der auf die Zustellung wartet. Die Digitalisierung hat diese Logistikleistung erst möglich gemacht, aber sie hat auch eine Abhängigkeit von IT-Systemen geschaffen, die die gesamte Branche verwundbar macht. NIS2 ist der regulatorische Rahmen, der diese Verwundbarkeit adressiert. Wer die Anforderungen ernst nimmt und in die Sicherheit seiner Logistik-IT investiert, schützt nicht nur sich selbst, sondern die Zuverlässigkeit einer Dienstleistung, auf die Wirtschaft und Gesellschaft angewiesen sind.