Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Branche: Transport & Verkehr

Mobilität sichern —
digital und physisch.

Der Sabotage-Angriff auf das GSM-R-Funknetz der Deutschen Bahn 2022 legte den Bahnverkehr in Norddeutschland lahm. Lockbit-Ransomware blockierte 2023 den Containerhafen Nagoya für drei Tage. Transportinfrastruktur ist ein bevorzugtes Ziel staatlicher Akteure und krimineller Gruppen zugleich.

Kostenlose Erstberatung Regulatorische Pflichten
ISO 27001 zertifiziert BSI-Forschungspartner KRITIS-Erfahrung
Bedrohungslage Transport & Verkehr
Angriffe auf Transportsektor 2024 +38%
Quelle: ENISA Transport Threat Landscape 2024
Verkehrsbetriebe mit OT-Schwachstellen 67%
Quelle: ENISA / Claroty OT Security Report 2024
Ransomware-Anteil an Transportangriffen 41%
Quelle: ENISA Threat Landscape 2024
3,4M USD Ø Breach-Kosten Transport
Ø 14 Tage Betriebsausfall pro Angriff

Vertrauen von Verkehrsbetrieben, Flughäfen und Logistikunternehmen

Sicherheitsanalysen
Jahre Erfahrung
bis zum Festpreis-Angebot
festangestellte Experten

Warum Transport & Verkehr

Cyberangriffe auf Verkehr treffen die gesamte Gesellschaft

Transportinfrastruktur ist das Rückgrat der modernen Wirtschaft. Flughäfen, Bahnnetze, Häfen und Leitstellen sind zugleich hochattraktive Ziele für staatliche Akteure, Ransomware-Gruppen und Hacktivisten.

Vernetzte Leit- und Signaltechnik

SCADA- und PLC-Systeme steuern Bahnsignaltechnik, Weichenstellung und Zugsicherung (ETCS). Viele dieser OT-Systeme wurden ohne Sicherheitsanforderungen konzipiert und sind zunehmend mit IT-Netzen verbunden - ohne ausreichende Segmentierung oder Absicherung.

Kaskadeneffekte auf Millionen Menschen

Der Ausfall einer Flugverkehrskontrolle, eines Hauptbahnhofs oder eines Containerhafens hat weitreichende Konsequenzen: Lieferketten reißen, Versorgung stockt, Millionen Reisende sind betroffen. Die Vernetzung moderner Transportsysteme macht jeden Angriffspunkt zu einer potenziellen Kettenreaktion.

Geopolitische Sabotage-Ziele

Transportinfrastruktur steht im Zentrum hybrider Kriegsführung: Sabotage des Viasat-Satellitennetzwerks kurz vor dem Ukraine-Krieg, Beschädigung von Unterseekabeln (Nord Stream), Drohnen über Flughäfen. Staatlich gesponserte Gruppen zielen auf Transportinfrastruktur als strategisches Ziel.

Cyberangriffe auf den Transportsektor — eine Chronik

Reale Angriffe zeigen: Der Transportsektor ist kein hypothetisches Ziel. Die Kombination aus veralteter OT-Infrastruktur und zunehmendem geopolitischem Druck macht Verkehrsinfrastruktur zur kritischsten Angriffsfläche in Europa.

2024

Südwestfalen-IT / kommunale Verkehrsbetriebe

Der Ransomware-Angriff auf den IT-Dienstleister Südwestfalen-IT (SIT) traf über 70 Kommunen und zahlreiche kommunale Verkehrsbetriebe. Ticketsysteme, Fahrgastinformationen und Verwaltungsprozesse waren wochenlang nicht verfügbar. Der Vorfall verdeutlicht die Risiken gemeinsam genutzter IT-Infrastruktur im ÖPNV.

2023

Hafen Nagoya — Lockbit-Ransomware

LockBit-Ransomware legte das zentrale Containerterminal-System (NUTS) des Hafens Nagoya, Japans größtem Containerhafen, für drei Tage vollständig lahm. Containerumschlag war unmöglich. Toyota und andere Großkunden mussten Produktion drosseln. Der Angriff zeigt exemplarisch die Verwundbarkeit der globalen Lieferkette.

2022

Deutsche Bahn — Sabotage GSM-R Glasfasernetz

Durchtrennte Glasfaserkabel des bahninternen GSM-R-Funknetzes legten den Bahnverkehr in Norddeutschland für mehrere Stunden lahm. Züge konnten nicht sicher kommunizieren. Zehntausende Reisende waren betroffen. Der Angriff demonstriert die Verwundbarkeit physisch-digitaler Kommunikationsinfrastruktur im Bahnbereich.

2021

Transnet — Ransomware auf Eisenbahn-Netzwerk

Die südafrikanische Staatsbahn Transnet wurde von Ransomware getroffen und musste den Containerumschlag in mehreren Häfen auf manuellen Betrieb umstellen. Die Wiederherstellung dauerte Wochen. Der Vorfall zeigt, dass auch IT/OT-vernetzte Bahnsysteme nicht vor Ransomware gefeit sind.

Transportsektor: 2. häufigstes Ziel von Ransomware-Angriffen in der EU — ENISA Threat Landscape 2024.
Der Ernstfall ist keine Frage des Ob, sondern des Wann.

Regulatorische Anforderungen

IT-Sicherheit ist Pflicht — nicht Kür

Transportbetreiber unterliegen einem der komplexesten regulatorischen Rahmenwerke in Deutschland und Europa. Wir navigieren Sie sicher durch alle Anforderungen.

§8a BSIG — KRITIS-Pflichten

Transportbetreiber oberhalb der BSI-KritisV-Schwellenwerte (z. B. Schiene ab 12 Mio. Fahrgäste/Jahr, Flughäfen ab 15 Mio. Passagiere/Jahr) müssen sich registrieren, den Stand der Technik umsetzen, Systeme zur Angriffserkennung einsetzen und alle zwei Jahre einen Nachweis erbringen.

KRITIS-Beratung

NIS-2 / NIS2UmsuCG

Der gesamte Transportsektor ist als kritischer Sektor eingestuft. Betreiber ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz fallen unter Pflichten: 24-Stunden-Erstmeldung, 10 Pflichtmaßnahmen (Risikomanagement, Zugangskontrollen, Kryptographie, Incident Response), persönliche Geschäftsführer-Haftung.

NIS-2-Leitfaden

CER-Richtlinie — Physische Resilienz

Die EU-Richtlinie über die Resilienz kritischer Einrichtungen (EU 2022/2557) verpflichtet Transportbetreiber zu physischen Schutzmaßnahmen: Perimeterschutz, Zugangskontrollen, CCTV, Risikoabschätzungen für Sabotage und Terrorismus sowie Resilienzpläne für den Weiterbetrieb.

B3S Transport (Bahn, Luft, See, Straße)

Branchenspezifische Sicherheitsstandards (B3S) für den Transportsektor legen konkrete Maßnahmen je Teilsektor fest - vom B3S Eisenbahn über Luftfahrt bis hin zu Schifffahrt. Als BSI-anerkannte Standards bilden sie die Grundlage für den KRITIS-Nachweis.

KRITIS-DachG — ab Juli 2026

Das neue KRITIS-Dachgesetz setzt die CER-Richtlinie in deutsches Recht um und schafft erstmals einen integrierten Rahmen für physische und IT-Sicherheit kritischer Infrastrukturen. Transportbetreiber müssen ab Juli 2026 umfassende Resilienzpläne und Sicherheitskonzepte vorhalten.

EU-Verordnungen (ERA TSI, EASA)

Im Bahnbereich legt die ERA-Verordnung (EU 2016/796) technische Spezifikationen (TSI) für Interoperabilität und Sicherheit fest. Die EASA-Verordnung (EU 2018/1139) regelt Cybersicherheitsanforderungen in der Luftfahrt. Beide Rahmenwerke stellen branchenspezifische IT-Sicherheitsanforderungen.

Sie sind unsicher, welche Pflichten für Ihren Betrieb gelten?

In einem kostenlosen 30-Minuten-Gespräch klären wir Ihren regulatorischen Status und zeigen konkreten Handlungsbedarf auf.

Compliance-Check vereinbaren

Lassen Sie uns Ihre IT-Sicherheit im Transportbereich auf den Prüfstand stellen

Kostenlose Erstberatung. Konkrete Handlungsempfehlungen in 30 Minuten.

Erstberatung vereinbaren

Kostenlos · 30 Minuten · Unverbindlich

Unsere Leistungen für Transport & Verkehr

Von der OT-Schwachstellenanalyse über den ISMS-Aufbau bis zur Sensibilisierung von Leitstellen-Mitarbeitern - alles aus einer Hand, ISO 27001-zertifiziert.

Penetration Testing

Webportale, Active Directory, externe Infrastruktur und OT-Netzwerke. OWASP, PTES und BSI-Leitfaden konform. Industriesteuerungen und Leitstellen auf Anfrage.

Details

ISMS & KRITIS-Beratung

ISMS-Aufbau nach ISO 27001 / BSI IT-Grundschutz. B3S-Transport-Umsetzung. Gap-Analyse, Risikobewertung, Dokumentation und KRITIS-Nachweis-Vorbereitung.

Details

NIS-2-Umsetzung

Vollständige NIS-2-Gap-Analyse und Umsetzung aller 10 Pflichtmaßnahmen für Transport- und Verkehrsunternehmen. Meldeprozesse, Risikomanagement, Lieferkettensicherheit.

Details

Schwachstellenscan

Automatisierte und manuelle Prüfung externer und interner IT- sowie OT-Infrastruktur. Kontinuierliches Monitoring als Retainer-Modell. Industrieprotokoll-Scanner für SCADA-Umgebungen.

Details

Security Awareness

Praxisnahe Phishing-Simulationen und Schulungen für Leitstellen-Personal, IT-Administratoren und Führungskräfte. Live-Hacking-Demonstrationen speziell für den Transportbereich.

Details

Individuelles Paket?

OT-Security nach IEC 62443, Incident-Response-Retainer, Netzwerksegmentierung IT/OT - zugeschnitten auf Ihre Infrastruktur.

Bedarf besprechen

Leitstellen, Signaltechnik und Betriebskommunikation absichern

OT-Systeme im Transportbereich erfordern einen spezialisierten Sicherheitsansatz: Verfügbarkeit hat oberste Priorität, Betriebsunterbrechungen durch Tests müssen ausgeschlossen sein, und klassische IT-Security-Methoden greifen häufig nicht.

SCADA / ICS

Industrielle Steuerungen prüfen

GSM-R / TETRA

Betriebsfunk absichern

ETCS / Signaltechnik

Zugsicherung und Weichensteuerung

IEC 62443

OT-Sicherheitsstandard

Unsere OT-Sicherheitsanalysen berücksichtigen die Verfügbarkeitsanforderungen des Transportbetriebs: Tests werden außerhalb kritischer Betriebszeiten durchgeführt, und passive Analyseverfahren schließen Betriebsunterbrechungen aus. Wir arbeiten nach IEC 62443 und orientieren uns an der BSI-Orientierungshilfe für Angriffserkennung in KRITIS-OT-Umgebungen.

Warum AWARE7 für Transportbetreiber

Was uns von anderen Anbietern unterscheidet

Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.

Forschung und Lehre als Fundament

Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.

Digitale Souveränität - keine Kompromisse

Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.

Festpreis in 24h - planbare Projektzeiträume

Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.

Ihr fester Ansprechpartner - jederzeit erreichbar

Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.

Für wen sind wir der richtige Partner?

Mittelstand mit 50–2.000 MA

Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.

IT-Verantwortliche & CISOs

Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.

Regulierte Branchen

KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.

Mitwirkung an Industriestandards

LLM

OWASP · 2023

OWASP Top 10 for Large Language Models

Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.

BSI

BSI · Allianz für Cyber-Sicherheit

Management von Cyber-Risiken

Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).

Zertifiziert. Forschungsbasiert. Vertrauenswürdig.

Unternehmenszertifizierungen

  • ISO 27001 - Informationssicherheit
  • ISO 9001 - Qualitätsmanagement
  • AZAV - Zugelassener Bildungsträger
  • BSI-Forschungspartner (BMBF/EU-Projekte)

Persönliche Zertifizierungen

Kostenlose Checkliste

Checkliste: NIS-2 für Transportbetreiber

Prüfen Sie in 15 Minuten, welche NIS-2-Anforderungen für Ihren Betrieb gelten und wo konkreter Handlungsbedarf besteht.

01 Betroffenheitsanalyse: wesentlich oder wichtig?
02 10 Pflichtmaßnahmen für den Transportsektor
03 Meldepflichten & 24h-Fristen
04 Lieferkettensicherheit & Geschäftsführer-Haftung

Checkliste anfordern

Erfahren Sie, ob und wie NIS-2 Ihren Betrieb betrifft. Die Checkliste ist speziell für Verkehrsbetreiber, Flughäfen, Häfen und Logistikunternehmen konzipiert.

Mit dem Absenden stimmen Sie unserer Datenschutzerklärung zu. Kein Spam - nur die angeforderte Checkliste.

In drei Schritten zur sicheren Transportinfrastruktur

1

Erstberatung & Status-Check

In einem 30-minütigen Gespräch erfassen wir Ihre Ausgangslage: KRITIS-Status, OT-Architektur, bestehende Maßnahmen, regulatorische Pflichten und konkreten Handlungsbedarf nach NIS-2 und BSI-KritisV.

2

Analyse & Maßnahmenplan

Wir führen die vereinbarten Prüfungen durch - Pentest, OT-Schwachstellenanalyse, Gap-Analyse - und liefern einen priorisierten Maßnahmenplan mit konkreten Handlungsempfehlungen, abgestimmt auf Ihre Betriebszeiten.

3

Umsetzung & Nachtest

Auf Wunsch begleiten wir die Umsetzung der Maßnahmen, bauen Ihr ISMS auf und verifizieren die Wirksamkeit im Nachtest. Festpreisgarantie auf alle Leistungen. KRITIS-Nachweis-Begleitung inklusive.

Häufige Fragen zur IT-Sicherheit im Transport & Verkehr

Als KRITIS-Betreiber im Sektor Transport und Verkehr gelten Unternehmen, die kritische Infrastrukturen in den Bereichen Schienennetz, Luftverkehr, Binnenschifffahrt, Seeschifffahrt, Straßenverkehr und ÖPNV betreiben und dabei bestimmte Schwellenwerte überschreiten. Die Rechtsgrundlage bildet §2 BSIG in Verbindung mit der BSI-Kritisverordnung (BSI-KritisV, Anhang 7 Transport und Verkehr). KRITIS-Betreiber sind verpflichtet, sich beim BSI zu registrieren, technische und organisatorische Maßnahmen nach dem Stand der Technik umzusetzen, Systeme zur Angriffserkennung einzusetzen und erhebliche Sicherheitsvorfälle innerhalb von 72 Stunden zu melden.
Die BSI-KritisV definiert für den Sektor Transport und Verkehr folgende Schwellenwerte (Stand 2024): Schienenpersonenverkehr 12 Mio. Fahrgäste/Jahr, Güterverkehr auf Schiene 5 Mio. Tonnen transportierte Güter/Jahr, Flughäfen 15 Mio. Passagiere/Jahr oder 100.000 Tonnen Fracht/Jahr, Häfen 5 Mio. TEU (Containereinheiten) oder 50 Mio. Tonnen Umschlag/Jahr, Binnenschifffahrt 10 Mio. Tonnen Güter/Jahr, ÖPNV-Infrastruktur 300 Mio. Fahrgäste/Jahr. Durch die NIS-2-Richtlinie erweitert sich der Adressatenkreis erheblich: Auch Unternehmen unterhalb dieser Schwellen können als "wichtige Einrichtungen" erfasst sein, sofern sie ab 50 Mitarbeiter beschäftigen oder 10 Mio. EUR Jahresumsatz überschreiten.
Die NIS-2-Richtlinie (umgesetzt durch das NIS2UmsuCG) stuft den gesamten Transportsektor als kritischen Sektor ein. Das bedeutet: Nahezu alle mittelgroßen und großen Betreiber von Infrastruktur für Luft-, Schienen-, Straßen- und Wasserverkehr sowie zugehörige Dienstleister (Flughafenmanagement, Häfen, Verkehrsmanagementzentren, Logistikdienstleister ab gewissen Schwellen) fallen unter die Pflichten. Kernpflichten: Risikomanagementmaßnahmen (Art. 21 NIS-2), 24-Stunden-Erstmeldung bei erheblichen Sicherheitsvorfällen, persönliche Haftung der Geschäftsleitung, Bußgelder bis 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes für wesentliche Einrichtungen. Die Umsetzungsfrist für Deutschland lief bis Oktober 2024.
Die EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie, EU 2022/2557) ergänzt NIS-2 um die physische Dimension der Sicherheit. Sie richtet sich an Betreiber kritischer Infrastrukturen im Transportsektor und verpflichtet diese zu: Risikoabschätzungen physischer Bedrohungen (Sabotage, Terrorismus, Naturkatastrophen, Insider-Bedrohungen), physischen Sicherheitsmaßnahmen (Perimeterschutz, Zugangskontrolle, CCTV), Resilienzplänen für den Weiterbetrieb und die Wiederherstellung sowie zur Meldung physischer Vorfälle an zuständige Behörden. Deutschland setzt die CER-Richtlinie im KRITIS-Dachgesetz um, das voraussichtlich ab Juli 2026 Anwendung findet und erstmals einen integrierten Rahmen für IT- und physische Sicherheit schafft.
Leit- und Steuerungssysteme im Transportsektor (SCADA, ICS, PLCs) sind besonders exponiert: Sie kontrollieren sicherheitskritische Prozesse wie Weichenstellung, Zugsicherung (ETCS/ECTS), Flughafenleitsysteme, Ampel- und Verkehrssteuerung sowie Hafenumschlaganlagen. Viele dieser OT-Systeme wurden vor Jahrzehnten ohne Sicherheitsgedanken entworfen, laufen auf veralteten Betriebssystemen, sind schlecht segmentiert und zunehmend mit IT-Netzen und dem Internet verbunden. Laut ENISA sind 67% der untersuchten OT-Systeme im Transportsektor mit bekannten Schwachstellen behaftet. Ein erfolgreicher Angriff kann nicht nur Betriebsunterbrechungen verursachen, sondern gefährdet unmittelbar Menschenleben.
Ein ganzheitlicher Schutz erfordert mehrere aufeinander abgestimmte Maßnahmen: (1) Asset-Inventarisierung aller IT- und OT-Komponenten inkl. industrieller Steuerungssysteme; (2) Netzwerksegmentierung zwischen IT-Büroumgebung, OT-Steuerungsumgebung und Sicherheitsnetz; (3) Penetration Testing der OT-Systeme unter Berücksichtigung der Verfügbarkeitsanforderungen; (4) Patch-Management-Konzept für nicht-unterbrechungsfähige Systeme; (5) Security-Monitoring mit OT-tauglichen Erkennungssystemen (IDS/IPS für Industrieprotokolle wie Modbus, DNP3, PROFINET); (6) Notfall- und Wiederanlaufpläne speziell für OT-Umgebungen; (7) regelmäßige Schulungen für Betriebspersonal und Leitstellen-Mitarbeiter. AWARE7 verfügt über OT-erfahrene Sicherheitsexperten und arbeitet nach IEC 62443 und der Orientierungshilfe des BSI für Betreiber.
Die durchschnittlichen Kosten eines Datenlecks in der Transport- und Logistikbranche liegen laut IBM Cost of a Data Breach Report 2024 bei 3,4 Mio. USD. Hinzu kommen branchenspezifische Folgeschäden: Betriebsunterbrechungen kosten bei einem mittelgroßen Flughafen mehrere Hunderttausend Euro pro Stunde; der Lockbit-Angriff auf den Hafen Nagoya (2023) legte den Betrieb für drei Tage lahm und verursachte Schäden in Millionenhöhe; der GSM-R-Sabotage-Angriff auf die Deutsche Bahn 2022 betraf zehntausende Reisende. Neben direkten Kosten (Forensik, Wiederherstellung, Kommunikation) drohen regulatorische Bußgelder bis zu 10 Mio. EUR nach NIS-2 sowie Reputationsschäden und Vertragsstrafen gegenüber Kunden.
AWARE7 begleitet Transportbetreiber auf dem gesamten Weg zur IT-Sicherheit: Wir führen Penetration Tests durch - von Webportalen über Active-Directory-Infrastrukturen bis hin zu OT-Netzwerken und industriellen Steuerungssystemen. Wir bauen ISMS nach ISO 27001 auf und bereiten KRITIS-Nachweise vor. Wir unterstützen bei der NIS-2-Gap-Analyse und der Umsetzung aller 10 Pflichtmaßnahmen. Wir schulen Leitstellen-Mitarbeiter, IT-Administratoren und Führungskräfte mit praxisnahen Security-Awareness-Programmen. Alle Leistungen kommen von festangestellten, zertifizierten Experten - keine Freelancer, keine Subunternehmer. Wir sind ISO 27001- und ISO 9001-zertifiziert und Forschungspartner des BSI.

Regulierung & Wissen

Regulatorischer Rahmen für Transport & Verkehr

Bahn, Flughäfen, Häfen und Logistikunternehmen unterliegen strengen Sicherheitsanforderungen — AWARE7 unterstützt bei der Umsetzung.

Regulierung

NIS-2 Richtlinie

Verkehr als wesentlicher Sektor nach Annex I
Regulierung

KRITIS

Transportinfrastruktur ab 12 Mio. Fahrgästen/Jahr
Regulierung

KRITIS-Dachgesetz

Physische Resilienz für Verkehrsinfrastruktur
Regulierung

ISO 27001

Systematische Informationssicherheit im Transportsektor

Schützen Sie Ihre Transportinfrastruktur — bevor andere es tun

Kostenloses Erstgespräch mit einem KRITIS- und OT-Sicherheitsexperten. Konkrete Empfehlungen in 30 Minuten.

Erstberatung vereinbaren

Kostenlos · 30 Minuten · Unverbindlich

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung