Cyberbedrohung: Das sind die großen Herausforderungen für die Logistik 2024

Bernhard Weber, Security-Experte bei msg, zeigt Schwachstellen in Transport und Logistik auf, die Cybercrime Tür und Tor öffnen und skizziert einen möglichen Weg zu mehr Sicherheit.

Für die Logistik ist Cybersicherheit gefragt. (Foto: AdobeStock/adam121)
Für die Logistik ist Cybersicherheit gefragt. (Foto: AdobeStock/adam121)
Johannes Reichel
(erschienen bei LOGISTIK HEUTE von Matthias Pieringer)

In der Welt der klassischen Logistik denkt man oft an Lieferketten, bei Lieferketten wiederum an fragile Abhängigkeiten, die teilweise zu Totalausfällen führen. Ein bezeichnendes Beispiel sind die Lieferprobleme von FFP2-Masken aus China. „Hierbei handelt es sich jedoch eher um Probleme, die im politischen oder wirtschaftlichen Umfeld zu suchen sind“, sagt Bernhard Weber, Security-Experte beim IT-Dienstleister msg. Eine andere Sachlage liegt bei Cybercrime vor: Hier versuchen Angreifer illegal Zugang zu Systemen und Daten zu erlangen, um dann Schaden zu verursachen.

Die seit Jahren stetig steigenden Angriffszahlen machen dem msg-Experten zufolge auch vor deutschen und internationalen Lieferketten nicht halt und dürften 2024 eine große Herausforderung werden. Diese Schwachstellen öffnen demnach Tür und Tor für Cybercrime in der Transport- und Logistikbranche:

  • Der Einsatz von veralteter Software und Betriebssystemen in Logistiksystemen.
  • Firmware, Softwareupdates und -patches finden meist seltener statt als in der klassischen IT.
  • IT/OT-Steuerkomponenten sind vereinzelt „Black Boxes“ und haben gar keine Patch- oder Updatemöglichkeiten.
  • Zu selten besteht eine starke Abschottung (Zonierung) der Logistiksysteme zu den Office-Systemen.
  • IT-Verbindungen und Prozesse zwischen den beteiligten Unternehmen der Lieferketten, die oftmals nicht dem gebotenen Sicherheitsniveau entsprechen.

Angreifer aus dem Internet können laut Weber oft bereits durch passive Scans ermitteln, welche Schwachstellen vorliegen, um diese gezielt auszunutzen. Aber auch Angreifer vor Ort hätten häufig leichtes Spiel: Viele Fallbeispiele zeigen dem Experten zufolge, dass in Logistikzentren der gebotene Zutritts- und Zugriffsschutz zu IT und OT meist deutlich schlechter ausgeprägt ist als in klassischen IT-Umgebungen. „Ein großes Problem ist immer noch, dass viele Mitarbeitende nicht ausreichend für mögliche Angriffe sensibilisiert sind. Ein unbedachter Klick auf einen Link in einer E-Mail oder ein gefundener USB-Stick sind oft die Anfänge einer Odyssee für das Unternehmen“, erklärt Weber. Die Auswirkungen können massiv sein. Von Datendiebstahl, Datenvollverschlüsselungen bis hin zur Forcierung von Blackouts der Lieferkette ist demnach alles denkbar. „Ein Warenwirtschaftssystem lässt sich massiv manipulieren. Ein Angreifer kann Stückzahlen, Termine und Adressen verfälschen und dem Unternehmen so erheblichen Schaden zufügen. Im schlimmsten Fall kann ein Logistikzentrum sogar für mehrere Wochen komplett ausfallen“, fährt Weber fort.

Logistik und „Kritische Infrastrukturen“

Der Sektor „Transport und Verkehr“ wurde 2021 in die KRITIS-Verordnung („Kritische Infrastrukturen“) des Bundesamts für Sicherheit in der Informationstechnik aufgenommen. Zu bedenken ist hierbei laut dem Experten jedoch, dass nicht alle Unternehmen, die in der Logistikbranche tätig sind, auch automatisch eine explizite KRITIS-Relevanz aufweisen. Denn dafür seien bestimmte Kriterien und Schwellwerte aus der Verordnung zu erfüllen.

Soweit eine KRITIS-Relevanz für ein Unternehmen besteht, muss es laut der Verordnung sicherstellen, dass es gut gegen Angriffe geschützt ist. Diese Anforderungen werden Weber zufolge üblicherweise durch Vertragsbeziehungen zwischen den KRITIS-relevanten Unternehmen und den Vertragspartnern der Lieferkette in Form von geforderten Sicherheitsmaßnahmen, Notfallplänen und Meldepflichten „durchgereicht“. Das heißt: Auch, wenn ein Unternehmen selbst keine direkte KRITIS-Relevanz aufweist, muss es sich indirekt – als Teil einer Lieferkette – dennoch den Anforderungen stellen. Um die besten Sicherheitsentscheidungen treffen zu können, ist es aus Sicht des Experten wichtig, eine realistische Einschätzung darüber zu haben, wie gut das eigene Unternehmen gegen Angriffe geschützt ist.

Kampf dem Unsichtbaren

Zunächst empfiehlt es sich Weber zufolge herauszufinden, welche Bedrohungen das eigene Unternehmen betreffen. Das helfe, zu erkennen, welche Bereiche besonders beachtet werden sollten. Um jedoch dem Ziel einer angemessenen und nachhaltigen Sicherheit näher zu kommen, darf aus Sicht des Experten etwas weiter ausgeholt werden – zum Beispiel durch Sicherheitskonzeptionen, Business-Impact-Analysen oder Risikoanalysen. Typischerweise resultieren daraus nach seinen Angaben konkrete Handlungsempfehlungen, wie:

  • Stärkere Zonenpolitik; strikte Abschottung; Trennung von Office-IT und OT/SCADA-Systemen,
  • Rückbau von Legacy-Systemen; gegebenenfalls zusätzliche Isolation von zwingend benötigten Legacy-Systemen,
  • Erkennung beziehungsweise Abwehr von gängigen Cyberangriffen,
  • Stärkung des Business-Continuity-Management (BCM); Ausfallszenarien und -tests,
  • Stärkung des Sicherheitsbewusstseins (Awareness).

Wichtig ist laut dem msg-Fachmann dabei zu beachten, dass erst durch regelmäßige Tests die Wirksamkeit der durchgeführten Maßnahmen bestätigt werden kann. Darüber hinaus gebe es auch noch weitere mitigierende Wege – etwa den Abschluss einer Cyberversicherung. Die Kosten für eine Cyberversicherung richten sich meist auch nach Risiken und Exponiertheit, so dass es Weber zufolge empfehlenswert ist, zuerst eigenständig ein adäquates Sicherheitsniveau herzustellen.

Sicherheit und Abhängigkeiten

Für 2024 wird für Logistikunternehmen demnach entscheidend, sich selbst gegenüber ehrlich zu sein. „Unternehmen sollten sowohl die Sicherheit als auch die Abhängigkeiten zu anderen Organisationen in der Lieferkette identifizieren“, rät Weber. „Wegzusehen oder das Prinzip Hoffnung zu bemühen, ist mit Blick auf unternehmenskritische Schäden bei einem schwerwiegenden Cybervorfall sicherlich keine Option.“

Ein möglicher Weg zu mehr Sicherheit könnte, so der Experte, mit einer Business-Impact-Analyse beginnen, bei der man herausfindet, welche Teile des Unternehmens besonders wichtig sind. Auf dieser Grundlage lasse sich dann ein Sicherheitsplan entwickeln mit sowohl präventiven als auch reaktiven Maßnahmen. So könnten bestehende Risiken eingeschätzt und das Unternehmen auf ein angemessenes und wirksames Sicherheitsniveau gebracht werden.