Die IHK-Prüfungsfrage
> „Erläutern Sie den Aufbau eines ISO-27001-Informationssicherheits-Managementsystems (ISMS). Welche DSGVO-Pflichten hat eine Spedition? Welche Cyber-Risiken sind branchen-typisch?"
(Standardvariante in IHK-Aufgabenbanken Lernfeld 11.)
Der typische Irrtum
- „IT ist Sache der IT-Abteilung." Falsch — ISO 27001 fordert Geschäftsprozess-orientierten Ansatz.
- „Datenschutz ist nur DSGVO." Halb richtig — DSGVO + BDSG + bereichsspezifische Gesetze (TKG, etc.).
- „Wir sind zu klein für Cyber-Angriffe." Falsch — Mittelstand ist bevorzugtes Ziel (Ransomware).
- „DSGVO-Pflicht erst ab Datenpannen." Falsch — kontinuierliche Pflichten (Verzeichnis von Verarbeitungstätigkeiten, TOMs, Datenschutz-Folgenabschätzung).
Die rechtliche Wahrheit
ISO 27001:2022 — Kern-Bereiche
| Bereich | Inhalt |
|---|---|
| Kontext | Stakeholder, Anwendungsbereich |
| Führung | IS-Politik, Verantwortlichkeit |
| Planung | Risiko-Bewertung + -Behandlung |
| Unterstützung | Ressourcen, Kompetenzen, Awareness |
| Betrieb | Sicherheits-Maßnahmen (Annex A) |
| Bewertung | Audit, Management-Review |
| Verbesserung | Korrekturmaßnahmen, KVP |
Annex A — 93 Sicherheits-Controls (ISO 27001:2022)
Vier Kategorien:
- Organisationsbezogen (Richtlinien, Verantwortlichkeiten)
- Personenbezogen (Background-Checks, Schulung)
- Technisch (Verschlüsselung, Backup, Monitoring)
- Physisch (Zugangskontrolle, Lagerung)
DSGVO — Pflichten Spedition
| Pflicht | Norm |
|---|---|
| Verzeichnis Verarbeitungstätigkeiten | Art. 30 DSGVO |
| Datenschutz-Folgenabschätzung (DSFA) | Art. 35 DSGVO bei hohem Risiko |
| Technische und organisatorische Maßnahmen (TOMs) | Art. 32 DSGVO |
| Datenschutz-Beauftragter | Art. 37 DSGVO ab 20 MA |
| Auftragsverarbeitung-Verträge (AVV) | Art. 28 DSGVO |
| Datenpanne-Meldung 72 h | Art. 33 DSGVO |
Branchen-Cyber-Risiken Spedition
| Risiko | Beispiel |
|---|---|
| Ransomware | Lager-/TMS-System verschlüsselt, Operations stoppt |
| Phishing | Gefälschte Frachtbrief-E-Mails |
| BEC (Business Email Compromise) | Empfängerbank-Manipulation |
| Tracking-Daten-Hack | Diebstahl von Routen-Daten für Lkw-Diebstahl |
| GPS-Spoofing | Lkw-Lokalisierung manipuliert |
| API-Kompromittierung | TMS-/EDI-Schnittstellen |
IT-Sicherheitsgesetz 2.0 + KRITIS
§ 8b BSIG: Kritische Infrastruktur-Pflichten für Logistik-Großbetriebe:
- Stand der Technik einhalten.
- Sicherheitsvorfälle BSI melden.
- Audit alle 2 Jahre.
Anwendung: Speditionen mit kritisch-relevanten Lieferketten (z. B. Lebensmittel-Just-in-Time).
Schadensfall-Beispiel
Sachverhalt: Mittelständische Spedition (180 MA) wird Opfer von Ransomware. TMS + Lagersystem verschlüsselt. Operativ steht Tour-Planung 4 Tage. Lösegeld-Forderung 380.000 € Bitcoin.
Konsequenzen:
- Umsatz-Ausfall 4 Tage: ca. 280.000 €.
- DSGVO-Daten-Panne-Meldung an LDA (Personendaten Tracking, Adressen).
- Bußgeld DSGVO bis 4 % Jahresumsatz möglich (im konkreten Fall: BAG-Audit, ggf. Verwarnung statt Bußgeld bei guter ISO-27001-Doku).
- Reputations-Schaden bei Industrie-Kunden.
- Cyber-Versicherung reguliert teilweise.
Korrektur:
- Air-Gap-Backup wiederherstellen.
- Forensik durch BSI-akkreditierten Dienstleister.
- ISO 27001-Lücken schließen.
- Cyber-Schulung Personal.
Lehre
- ISO 27001 als Standard für Spedition mit > 50 MA.
- DSGVO-Verzeichnis fortlaufend pflegen.
- AVV mit jedem IT-Dienstleister.
- Cyber-Versicherung mit Ransomware-Klausel.
- Backup-Strategie 3-2-1 (3 Kopien, 2 Medien, 1 offline).
- Awareness-Training Personal regelmäßig.
Cross-Links
Primärquellen
- ISO 27001:2022 — ISO
- DSGVO — VO (EU) 2016/679
- BDSG — Bundesdatenschutzgesetz (gesetze-im-internet.de)
- IT-Sicherheitsgesetz 2.0 — BSIG (gesetze-im-internet.de)
- BSI — Bundesamt für Sicherheit in der Informationstechnik
- IHK-Rahmenlehrplan Lernfeld 11 — KMK