Transport‑Wiki.de

Transport-WikiHaftungsregime / Haftungsnavigator

✔ Letzte Überprüfung: 2026-04-19

Cyber-Hardening der Dispositions-Software – Angriffsoberfläche gegen Phantomfrachtführer reduzieren

✔ Verifiziert · Quelle: BSI-Grundschutz – Bundesamt für Sicherheit in der Informationstechnik · geprüft von Ter2 (R6, source-accepted) · Stand 2026-04-19

Der Fall

Eine mittelständische Spedition bekommt eine plausibel formatierte E-Mail mit Auftragsbestätigung und Rechnung von „einem Kunden". Ein Disponent klickt den Anhang, ein Office-Makro lädt Infostealer-Malware. Zwei Wochen später sind Zugangsdaten zur TMS-Plattform abgeflossen. Angreifer loggen sich in den Folgewochen regelmäßig ein, ziehen Frachtaufträge aus Echt-Kunden ab, bieten diese über eine Briefkasten-Firma Subunternehmern an und lassen die Ware verschwinden. Gesamter Diebstahls-Schaden in drei Monaten: 2,1 Mio. € in neun Einzelaufträgen. Der Versicherer greift auf die Cyber-Exclusion-Klausel in der Verkehrshaftungspolice zurück. Die Spedition trägt den Schaden selbst und muss den Betrieb schließen.

Kundenfrage

„Wir haben doch einen Virenscanner und ein Passwort – was soll denn noch?"

Rechtliche Einordnung

Drei parallele Regulatorik-Schichten greifen:

BSI-IT-Grundschutz. Die Bausteine INF.11 (Transportfahrzeuge) und ORP.3 (Personalmanagement) sowie die Anwendungs-Bausteine SYS.2 (Client-Systeme) und APP.3 (Webanwendungen) definieren Mindest-Maßnahmen für dispositive Geschäftsprozesse.

NIS2. Seit 2024/2025 sind Speditionen ab 50 MA und 10 Mio. € Umsatz „wichtige Einrichtungen" nach der EU-NIS2-Richtlinie und dem deutschen NIS2UmsuCG. Sie müssen Risikomanagement-Maßnahmen nach Art. 21 NIS2 implementieren, Vorfälle an BSI und Partner melden (24-/72-Stunden-Fristen), und sind bußgeldbewehrt.

Cyber-Exclusion in AVB. Viele Verkehrshaftungs- und Warentransportpolicen schließen seit 2023 ausdrücklich Schäden aus „gezielten Cyber-Angriffen" aus, oder kappen sie auf enge Sublimits. Die Exclusion ist oft an den Nachweis eines Mindest-Grundschutz-Niveaus gekoppelt.

Die technische Seite der Prävention folgt drei Ebenen:

Identity und Access. Mehrfaktor-Authentifizierung (MFA) für alle TMS-, E-Mail- und VPN-Zugriffe. Single-Sign-On mit FIDO2-Keys für privilegierte Konten. Rollentrennung: Disposition darf nicht administrieren, Administration darf nicht disponieren.

Endpoint. Aktuelle Endpoint Detection and Response (EDR) statt klassischem Signatur-Scanner, Patch-Management mit max. 14-Tage-Fenster für Kritisch-Patches, Application Whitelisting auf Arbeitsplätzen mit Rechnungs- und Frachtauftrags-Bearbeitung.

Kommunikation und Daten. E-Mail mit SPF, DKIM, DMARC (reject-Policy), Domain-Spoofing-Warnungen im Client, verschlüsselte API-Kommunikation zu Kunden- und Subunternehmer-Systemen, regelmäßige Backup-Strategie mit Offline-Kopie (3-2-1-Regel).

Gefährdete Schwachstellen

  • Passwortverwendung über mehrere Systeme. Einmal kompromittiert, überall kompromittiert. Passwort-Manager sind Pflicht, nicht Kür.
  • E-Mail als Hauptkommunikationskanal für Rechnungen und Frachtbriefe. Ohne DMARC-reject werden Spoofing-Angriffe zur Selbstverständlichkeit.
  • Kein Awareness-Training. Disponenten und Buchhaltung sind die Haupt-Targets; Training alle 6 Monate mit simulierten Phishing-Kampagnen ist Mindeststandard.
  • Kein Incident-Response-Plan. Wenn der Angriff läuft, entscheiden die ersten vier Stunden über den Schaden. Ohne Plan verpasst der Betrieb die NIS2-Meldefrist und weitet den Schaden aus.

Praktische Lehren für Kunden

  • MFA überall, keine Ausnahme. Ab sofort für TMS-Login, E-Mail, VPN, Cloud-Plattformen. Die Einführung kostet zwei bis drei Werktage pro Mitarbeiter im ersten Monat; danach ist die Routine etabliert.
  • E-Mail-Härtung. SPF-Record mit hard-fail, DKIM-Signierung für alle ausgehenden Mails, DMARC mit p=reject nach 60-Tage-Einschwingphase. Dienstleister oder interne IT setzen das in wenigen Tagen um.
  • Endpoint-Monitoring statt Virenscanner. EDR mit 24/7-Monitoring (SOC-as-a-Service ist für KMU-Flotten bezahlbar ab etwa 4.000 € pro Jahr je 100 Endpoints).
  • Incident-Response-Plan und Tabletop-Übung. Wer wen informiert, welche Systeme isoliert werden, wer den Versicherer und das BSI kontaktiert. Einmal pro Jahr im Team durchgespielt.
  • NIS2-Compliance-Audit. Extern beauftragt, dokumentiert den Grundschutz-Stand. Das Audit-Zertifikat wirkt bei Versicherungsverhandlungen als harte Verhandlungsbasis.
  • Cyber-Versicherung prüfen. Eine eigenständige Cyber-Police deckt ergänzend zur Verkehrshaftungspolice – und übernimmt Krisenstab, Kommunikation, rechtliche Erstberatung, oft innerhalb von Stunden.

Wer die Cyber-Hardening-Schichten als IT-Kosten liest, übersieht, dass sie inzwischen Versicherungsvoraussetzung sind. Der Rückzug auf „haben wir noch nie gebraucht" ist in dieser Logik kein Risikomanagement, sondern das Gegenteil.

Implementierungspfad für KMU-Speditionen

Für eine typische Spedition mit 20 bis 80 Mitarbeitern lässt sich der Cyber-Hardening-Pfad in vier Sprints à sechs bis acht Wochen umsetzen. Sprint 1: MFA-Rollout und Passwort-Manager. Sprint 2: E-Mail-Härtung (SPF/DKIM/DMARC in beobachtender Phase, danach reject). Sprint 3: EDR-Einführung und Patch-Management. Sprint 4: Incident-Response-Plan, Tabletop-Übung, NIS2-Compliance-Check.

Nach etwa sechs Monaten ist der Grundschutz-Status so weit konsolidiert, dass der Versicherer-Dialog auf belastbarer Basis geführt werden kann: Cyber-Ausschluss verhandelbar, Sublimits erweiterbar, im günstigen Fall Prämienreduktion. Die Gesamtkosten bewegen sich im fünfstelligen Bereich pro Jahr (EDR-Lizenzen, SOC-Service, Audit, interne Manntage); der Gegenwert liegt – gemessen an einem realistischen Mittelwert-Phantomfrachtführer-Schaden im sechs- bis siebenstelligen Bereich plus NIS2-Bußgeld-Risiko – mehrfach darüber.

Die organisatorische Verankerung ist mindestens so wichtig wie die Technik. Ein Chief Information Security Officer (CISO) oder ein benannter IT-Sicherheitsbeauftragter ist ab NIS2-Schwellen Pflicht und in der Praxis auch darunter sinnvoll – die Rolle ist gegenüber der Geschäftsführung rechenschaftspflichtig und dokumentiert, dass Cyber-Risiken nicht als technische Randfrage, sondern als Unternehmensrisiko behandelt werden.

Verweise

  • Draft nugget-cyber-exclusion-verkehrshaftung.md
  • Draft r6-org-nis2-transport-it-schnittstelle.md
  • Draft nugget-digitalisierung-phantomfracht.md

Quellen

  • BSI IT-Grundschutz-Kompendium
  • NIS2-Richtlinie EU 2022/2555 und NIS2UmsuCG (deutsche Umsetzung)
  • ENISA Threat Landscape Transportation (jährlicher Bericht)
  • GDV-Leitfaden „Cyber-Risiken Verkehrswirtschaft"
  • FIDO Alliance – Spezifikationen für FIDO2/WebAuthn
  • DIN ISO/IEC 27001:2022 (Informationssicherheits-Managementsystem)

Stand: 2026-04-19. Inhalt dient der Information, nicht der Rechtsberatung.

Verwandte Artikel
Versicherungsseitige Einordnung dieses Themas?
Prämie berechnen  ·  Beratung anfordern  bei FSA24 — neutraler Transportversicherungs-Makler