Ihr Experte für Fragen
Aleksei Resetko
CISA, CISSP, Partner Cyber Security & Privacy bei PwC Deutschland
E-Mail
Der Transport- und Verkehrssektor spielt in Deutschland sowohl wirtschaftlich als auch im privaten Bereich eine wichtige Rolle. Dieser Sektor ist eine wichtige Säule der Versorgungssicherheit in Deutschland und bildet darüber hinaus die Grundlage für eine funktionierende Wirtschaft. Um diesen Zweck zu erfüllen, hat sich ein komplexes System an Transport- und Verkehrsdienstleistungen inklusive gegenseitiger Abhängigkeiten entwickelt.
Die wichtigsten Elemente sind hierbei der Personen- sowie der Gütertransport. Dies erfolgt über verschiedene Verkehrsmittel wie Luftfahrt, See- und Binnenschifffahrt sowie Schienen- oder Straßenverkehr. Selbst im Pandemie-Jahr 2021 wurden 53 Milliarden Personen befördert und 4,7 Milliarden Tonnen Güter transportiert. Diese Zahlen unterstreichen neben der hohen wirtschaftlichen Relevanz dieses Sektors auch deren Kritikalität im Hinblick auf die Grundversorgung der Bevölkerung in Deutschland.
Mit den Chancen, die sich durch das stetige Wachstum in der Branche ergeben, gehen auch Cyberrisiken einher: Aufgrund der gravierenden Reichweite bei einem Ausfall und einer sehr hohen Öffentlichkeitswirkung sind große Transport- und Verkehrsunternehmen wertvolle Ziele für Cyberkriminelle. Damit stellen Cyberangriffe eine ernstzunehmende Bedrohung dar.
Der Gesetzgeber hat hier gehandelt und verpflichtet einige Betreiber dazu, bestimmte Standards zu erfüllen.
Immer mehr Unternehmen digitalisieren ihre Arbeitsprozesse, und auch im Transport- und Verkehrssektor wurde dieser Fortschritt vor allem während der COVID-Pandemie beschleunigt. Durch die Digitalisierung eröffnen sich einem Unternehmen neue Möglichkeiten, jedoch sollten auch neuartige Risiken berücksichtigt werden.
Aufgrund der Kritikalität des Transport- und Verkehrssektors ist es wichtig, eine grundlegende Stabilität zu etablieren. Denn bei einem Cyber-Vorfall können ganze Lieferketten und Personentransporte ausfallen und somit innerhalb kürzester Zeit ein hoher wirtschaftlicher Schaden entstehen. Dies könnte beispielsweise Materialknappheit oder Personalausfall zur Folge haben. Der Sektor hat deshalb auch Einfluss auf sämtliche andere Wirtschaftssektoren sowie auf die Grundversorgung – und somit auch auf die Sicherheit des Landes bzw. der Bevölkerung.
Um einen reibungslosen Ablauf von Transport und Verkehr zu gewährleisten, ist ein hohes Maß an Sicherheit und Resilienz entlang der ganzen Wertschöpfungskette notwendig. Dazu zählt zum einen die physische Sicherheit, weshalb beispielsweise das korrekte Material für Eisenbahnschienen verwendet werden muss, damit diese zu keinem erhöhten Wartungsaufwand führen.
Zum anderen spielt auch die Informationssicherheit eine zunehmend wichtige Rolle für die Sicherheit im Transport- und Verkehrsbereich. Um diese Bemühungen zu unterstützen, entwickelt das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe Schutzkonzepte und methodische Grundlagen, um den Schutz Kritischer Infrastrukturen sowie ihre Resilienz gegenüber Störungen und Krisen zu stärken. Darüber hinaus können Standards in Form von branchenspezifischen Sicherheitsstandards (B3S) von KRITIS-Betreibern oder Verbänden ausgearbeitet werden. Der Nutzen von B3S ist, dass Branchen ihre eigenen Vorgaben zum Stand der Technik formulieren können. Auch im Bereich Transport und Verkehr gibt es einen B3S, hier nachzulesen.
Ziel ist hierbei, zum bestmöglichen Schutz Kritischer Infrastrukturen beizutragen und somit die Versorgung der Bevölkerung sicherzustellen. Um die maximale Sicherheit zu garantieren, müssen KRITIS-Betreiber die Sicherheit ihrer Systeme dem BSI nachweisen. Dieser Nachweis findet alle zwei Jahre statt und beinhaltet eine ausführliche Prüfung der IT-Sicherheit. Gefundene Fehler müssen direkt an das BSI gemeldet werden und anschließend vom Betreiber behoben werden.
Der Gesetzgeber hat 2021 mit dem neuen IT-Sicherheitsgesetz 2.0 die Kriterien für KRITIS-Betreiber weiter konkretisiert und dem Betreiberkreis deutlich mehr Aufgaben und Anforderungen an Cyber Security gestellt. Laut der daraus resultierenden neuen KRITIS-Verordnung betrifft dies auch den Transport- und Verkehrsbereich. Durch die Senkung der Schwellenwerte von KRITIS-Anlagen fallen nun 72 neue Betreiber aus dem Transportsektor unter den Geltungsbereich. Zudem kommen sechs neue Anlagen und ein neuer Schwellenwert hinzu.
Zusätzlich werden allen KRITIS-Betreibern mit dem IT-Sicherheitsgesetz 2.0 neue Pflichten auferlegt:
Aus diesen neuen Regularien ergeben sich neue Aufgaben, die bewältigt werden müssen und bei denen wir Sie unterstützen können.
Dieses Gesetz sieht vor, dass Mindestanforderungen nach IT-Sicherheitsgesetz für kritische Infrastrukturen umgesetzt werden, um vor Cyber-Attacken und anderen externen Angriffen zu schützen.
Die KRITIS-Verordnung spezifiziert das IT-Sicherheitsgesetz und legt klare Angaben für die Schwellenwerte und Anlagen fest.
PwC unterstützt dabei, Informationssicherheit umfassend, wirksam und nachhaltig in Unternehmen zu etablieren. Unsere Cyber-Security-Spezialist:innen beraten sowohl im technischen als auch im organisatorischen Umfeld.
„Die Cybersicherheit im Transport- und Verkehrssektor ist unerlässlich, um die Sicherheit von Passagieren und Fracht, die betriebliche Effizienz, den Datenschutz sowie den Schutz vor Sabotage zu gewährleisten.“
