NIS-2 für Post- und Kurierdienste

Wenn Sie bei einem Paketdienst, einer Spedition oder einem Postunternehmen arbeiten, haben Sie vermutlich schon mitbekommen, dass sich etwas tut in Sachen Cybersicherheit. NIS-2 hat den Post- und Kuriersektor in die Liste der kritischen Sektoren aufgenommen – und das aus gutem Grund.

Wer fällt unter NIS-2?

Die Richtlinie definiert Post- und Kurierdienste als Anbieter von Postdiensten im Sinne der Postrichtlinie, einschließlich Kurierdienste. Das klingt trocken, umfasst aber ziemlich viel: die Deutsche Post natürlich, aber auch private Paketdienste wie DPD, Hermes oder GLS. Express-Anbieter wie FedEx und UPS. Same-Day-Delivery-Dienste. Eigentlich alles, was Pakete und Briefe von A nach B bringt.

Die Größenschwellen sind wie immer: Ab 50 Mitarbeitende oder 10 Millionen Euro Umsatz sind Sie eine “wichtige Einrichtung”. Ab 250 Mitarbeitende oder 50 Millionen Euro Umsatz eine “besonders wichtige Einrichtung”. Die großen KEP-Dienstleister überschreiten diese Schwellen natürlich locker. Aber auch mittelgroße regionale Player können betroffen sein.

Warum gerade diese Branche?

Die Frage ist berechtigt. Paketdienste – was soll da schon passieren? Ziemlich viel, wenn man darüber nachdenkt.

Wirtschaftlich ist der KEP-Markt heute das Rückgrat des E-Commerce. Wenn Amazon, Zalando und Co. nicht mehr liefern können, steht ein erheblicher Teil des Einzelhandels still. Aber es geht nicht nur um Online-Shopping. Medikamente werden per Express geliefert. Ersatzteile für Produktionsanlagen. Proben für Labore. Die moderne Just-in-Time-Wirtschaft hängt an funktionierenden Kurierdiensten.

Gesellschaftlich ist Post ein Grundbedürfnis. Die Bevölkerung erwartet, dass Briefe ankommen und Pakete zugestellt werden. Das ist keine Luxusdienstleistung, sondern Grundversorgung.

Und technisch? Moderne Paketdienste sind keine LKWs mit Kartons mehr. Sie sind IT-Unternehmen mit angeschlossenem Transport. Track & Trace, automatische Sortieranlagen, Routenoptimierung, Kunden-Apps – alles digital, alles vernetzt, alles angreifbar.

Die besonderen Herausforderungen

Ein Paketdienst ist kein Bürogebäude mit zentraler IT. Die Infrastruktur ist verteilt: Dutzende Depots, Verteilzentren, Paketshops. Mobile Endgeräte in jedem Lieferfahrzeug. Telematik-Systeme, die Position und Status übertragen. Unterschiedliche Sicherheitsniveaus an jedem Standort.

Dann das Volumen. Millionen Sendungen täglich. Massive Datenmengen in Echtzeit. Das Tracking muss funktionieren – Kunden erwarten das heute. Eine Stunde Ausfall bedeutet Tausende verlorene Updates, genervte Kunden, überflutete Hotlines.

Die Kundenschnittstellen sind ein weiteres Thema. APIs für Geschäftskunden, die ihre Systeme angebunden haben. Verbraucher-Apps. Integrationen mit E-Commerce-Plattformen. Jede Schnittstelle ist ein potenzieller Angriffspunkt.

Und vergessen Sie nicht die saisonalen Spitzen. Weihnachtsgeschäft, Black Friday, Cyber Monday – die Systeme laufen auf Volllast, und genau dann muss die Sicherheit trotzdem funktionieren. Angreifer wissen das übrigens auch.

Was konkret zu tun ist

Beim Risikomanagement sollten Sie sich auf drei Dinge konzentrieren: die Verfügbarkeit Ihrer Sortier- und Trackingsysteme, die Integrität Ihrer Sendungsdaten und den Schutz der Kundendaten.

Die typischen Risiken kennen Sie vermutlich: Ransomware, die zentrale Systeme lahmlegt. IT-Störungen, die Sortieranlagen stoppen. Manipulation von Tracking-Daten. Datendiebstahl – Kundenadressen sind wertvolle Beute.

Technisch brauchen Sie Redundanz für kritische Funktionen. Wenn das Hauptsystem ausfällt, muss ein Backup übernehmen können. Netzwerksegmentierung ist wichtig – trennen Sie Sortieranlagen von der Office-IT von den Kunden-APIs. Backups für alles Kritische, regelmäßig getestet.

Mobile Geräte sind ein eigenes Thema. All die Scanner und Tablets in den Lieferfahrzeugen brauchen Mobile Device Management. Sichere Apps. VPN für die Datenübertragung. Das ist aufwändig, aber notwendig.

Die Sortieranlagen selbst sind OT – Operational Technology. Die verhalten sich anders als klassische IT, brauchen aber genauso Schutz. IT/OT-Segmentierung, abgesicherte Steuerungssysteme, Monitoring für ungewöhnliche Aktivitäten.

Für Incident Response bereiten Sie sich auf konkrete Szenarien vor: Ausfall des Tracking-Systems. Kompromittierung von Kundendaten. Stillstand der Sortieranlagen. Die Meldepflichten ans BSI gelten auch hier – 24 Stunden für die Frühwarnung, 72 Stunden für die ausführliche Meldung. Bei Datenschutzvorfällen müssen Sie möglicherweise auch Kunden informieren.

Business Continuity stellt die unbequemen Fragen: Wie lange können Sie ohne IT sortieren? Gibt es manuelle Fallback-Prozesse? Wie informieren Sie Kunden bei Störungen? Haben Sie alternative Sortierkapazitäten? Ein Backup-Rechenzentrum? Notfallkommunikation?

Bei der Lieferkettensicherheit denken Sie an Ihre IT-Dienstleister für Tracking und Sortierung, Cloud-Anbieter, Telematik-Provider, aber auch Subunternehmer und Franchisenehmer. Die können alle Schwachstellen einführen.

Schulungen brauchen verschiedene Zielgruppen: Die Geschäftsleitung muss persönlich teilnehmen – das ist Pflicht. IT-Personal braucht technische Tiefe. Depotmitarbeiter brauchen Awareness. Zusteller müssen mobile Sicherheit verstehen.

Der praktische Fahrplan

Phase 1 ist Bestandsaufnahme. Welche Systeme sind kritisch? Sortieranlagen-Steuerung, Track & Trace, Kundenschnittstellen, Abrechnungssysteme. Welche IT gibt es an welchem Standort? Wie sind die Standorte vernetzt? Welches Sicherheitsniveau haben sie?

Phase 2 ist Risikobewertung. Was könnte den Betrieb stoppen? Welche Daten sind besonders schützenswert? Wo sind die größten Schwachstellen? Dann priorisieren: Welche Systeme sind am kritischsten, wo ist das Risiko am höchsten?

Phase 3 ist Umsetzung. Quick Wins zuerst: MFA für Fernzugriffe und Admin-Accounts, Backup-System überprüfen, Netzwerksegmentierung beginnen. Mittelfristig: Incident-Response-Prozess etablieren, mobile Geräte absichern, Lieferanten bewerten. Langfristig: OT-Security für Sortieranlagen, Redundanz aufbauen, kontinuierliches Monitoring.

Der Punkt

Post- und Kurierdienste sind heute so kritisch wie Stromversorger – nur merkt man es erst, wenn sie ausfallen. Ein Cyberangriff, der die Paketzustellung lahmlegt, hat Auswirkungen weit über das betroffene Unternehmen hinaus. NIS-2 trägt dem Rechnung.

Die Herausforderung liegt in der verteilten Infrastruktur, den hohen Volumina und den vielen Schnittstellen. Aber das ist beherrschbar. Konzentrieren Sie sich zunächst auf die kritischsten Systeme – Sortierung und Tracking. Sichern Sie die Verbindungen zwischen Standorten ab. Und vergessen Sie die mobilen Geräte nicht, die jeden Tag draußen unterwegs sind. Die NIS-2-Compliance ist gleichzeitig Schutz vor echten Bedrohungen.