IT-Sicherheit schafft Souveränität

Auch wenn der ein oder andere Logistiker erleichtert aufatmet, weil er nicht zum betroffenen Sektor gehört, lohnt sich ein Blick in das neue Gesetz. „NIS2 trägt das Thema in die Breite, da es viele Wirtschaftsbereiche mit einbezieht. Darüber hinaus enthält es viele praktikable Anhaltspunkte für den Einstieg in eine standardisierte IT-Sicherheit“, erklärt Niels Martens, seit April dieses Jahres Chief Security Officer (CSO) bei DAKOSY. 

Für DAKOSY sind die Inhalte von NIS2 schon seit 2014 gelebte Praxis. Bereits 2014 hat das Unternehmen erstmals sein Informations-Sicherheits-Management-System (ISMS) gemäß dem internationalen Sicherheitsstandard ISO 27001 zertifizieren lassen. Seitdem gibt es im regelmäßigem Turnus Überwachungsaudits und Rezertifizierungen. Aktuell bereitet Martens die alle drei Jahre stattfindende Rezertifizierung vor, die aus seiner Sicht ein wertvolles Instrument ist: „Die Erfüllung der ISO-Norm für das ISMS unterstreicht unseren Anspruch, eine stabile, sichere und verlässliche Informationstechnik bereitzustellen, auf die unsere Kunden bauen können.“

Hinzu kommt, dass DAKOSY ein Unternehmen von zentraler Bedeutung für die logistischen Abläufe ist und zur kritischen Infrastruktur (KRITIS) in Deutschland zählt. Demzufolge ist DAKOSY bereits seit dem 1. Januar 2022 verpflichtet, nachzuweisen, dass alle Anforderungen zur Aufrechterhaltung der Informationssicherheit nach dem Stand der Technik erfüllt werden. Mit dem neuen NIS2-Umsetzungsgesetz werden nun auch „besonders wichtige“ und „wichtige Einrichtungen“, die nicht zur kritischen Infrastruktur zählen, gesetzlich verpflichtet, ein funktionierendes ISMS nachzuweisen. Der Fokus liegt dabei auf Risikomanagement und Resilienz. 

Der NIS2-Anforderungskatalog an das Risikomanagement umfasst ganz konkret zehn Maßnahmenbereiche. Diese Übersicht kann auch anderen Unternehmen als Orientierungshilfe dienen, welche Aspekte für den Aufbau und die Unterhaltung einer belastbaren IT-Sicherheitsstruktur zu berücksichtigen sind. Aus Sicht von Martens ist die Zehn-Punkte-Liste eine brauchbare Gliederung, die individuell auszugestalten ist. Für die Umsetzung empfiehlt er, sich eine akzeptierte und allgemein anerkannte Basis zu suchen, beispielsweise die ISO 27001. „Und dann ist es wichtig, einfach anzufangen. Denn jede kleinste Maßnahme ist eine Verbesserung“, motiviert Martens.

Die rasante Entwicklung bei der Digitalisierung verstärkt den permanenten Druck, mit der eigenen IT-Sicherheit im Unternehmen und der technischen Weiterentwicklung Schritt zu halten. Eine bedeutende Rolle kommt der KI zu, sowohl im positiven als auch im negativen Sinne. Zum einen ist sie inzwischen ein etabliertes Werkzeug, um die Produktivität zu erhöhen. Zum anderen wird sie eingesetzt, um Cyberangriffe zu generieren und zu professionalisieren. Wie sich die Bedrohungslage verschärft, macht Martens an einem Beispiel deutlich: „Cyberangriffe werden bereits in Shop-Modellen mit Hotline-Support im Darknet angeboten.“ 

Um in einem solchen Umfeld gegenzusteuern, bewegt Martens die zentrale Frage: Wie hält man die Angriffsfläche möglichst klein? Zu den wirksamen Abwehrmaßnahmen zählt er prioritär die verschlüsselte Kommunikation und starke Berechtigungssysteme mit konsequenter Einhaltung des Least Privilege Prinzips. Dies besagt, dass jeder Benutzer, jedes System und jede Anwendung immer nur genau die minimalen Zugriffsrechte erhalten, die zur Erledigung der jeweiligen Aufgabe zwingend erforderlich sind. Bei Softwareunternehmen gehören zudem aktuelle und schwachstellenfreie Produkte mit regelmäßigen Patches (Updates), durch die Fehler behoben und neue Sicherheitslücken geschlossen werden, zum Pflichtprogramm.

Das starke Rückgrat für die Softwarearchitektur bildet die IT-Infrastruktur. Das Geschäftsmodell von DAKOSY fußt auf einem Modell mit eigenen leistungsfähigen Servern, die das Softwareunternehmen an zwei Standorten in Deutschland redundant aufgebaut hat. „Für uns gehört die digitale Souveränität zu den Grundpfeilern unseres Konzepts. Dies beinhaltet die Kontrolle über die eigenen und die Kundendaten, Technologien und Infrastrukturen. Zudem bewegen wir uns im deutschen Rechtsraum gemäß der DSGVO und sind unabhängig von Cloud-Dienstleistern, was sich positiv auf das Risikomanagement unserer Kunden auswirkt.“

Doch gute IT-Systeme und eine professionelle Software sind kein alleiniger Schutz vor Cyberkriminalität. Auch die dahinterstehenden Prozesse können Lücken aufweisen. Das ist besonders für die Logistiker wichtig. Die Branche ist anfällig für Sicherheitsvorfälle, da der überbetriebliche Datenaustausch für funktionierende Logistikprozesse zum Standard gehört. Das Geschäft ist geprägt von intensiver Vernetzung mit vielen Schnittstellen nach außen. Dadurch ergeben sich zahlreiche Angriffspunkte für Cyberattacken, Datenverlust und Missbrauch vertraulicher Informationen.

DAKOSY verfügt über die Kompetenz, solche Prozesslücken systematisch zu identifizieren und mit digitalen Verfahren zu schließen. Das hat das Unternehmen erst kürzlich mit dem Projekt German Ports bewiesen. Gemeinsam mit dem Softwarehaus dbh logistics IT ist es gelungen, den Freistellungsprozess für Containerimporte in den deutschen Nordseehäfen durch einen sicheren Prozess abzubilden und den manuellen PIN-Prozess durch ein digitales Recht zur Abholung zu ersetzen. 

Insgesamt machen die wachsenden Anforderungen an Informationssicherheit deutlich, dass IT-Sicherheit längst kein reines Technikthema mehr ist, sondern eine zentrale Voraussetzung für stabile und vertrauenswürdige Logistikprozesse. Mit zertifizierten Sicherheitsstrukturen, eigener leistungsfähiger Infrastruktur und der Kompetenz zur Digitalisierung sicherheitskritischer Prozesse schafft DAKOSY die Grundlage für eine resiliente, souveräne und zukunftsfähige Logistik.