Technology Risk Radar: Third Edition – Corporates - Kritis

KRITIS-Sektorstudie
Logistik
Analyse Kritischer Infrastrukturen in Deutschland
Diese Studie wurde im Auftrag des Bundesamts für Sicherheit in der Informationstechnik von
KPMG AG Wirtschaftsprüfungsgesellschaft erarbeitet.
Öffentliche Fassung, Revisionsstand 18. Dezember 2015
Bundesamt für Sicherheit in der Informationstechnik
Postfach 20 03 63
53133 Bonn
Tel.: +49 22899 9582-5098
E-Mail: [email protected]
Internet: https://www.bsi.bund.de
© Bundesamt für Sicherheit in der Informationstechnik 2016
Danksagung
Danksagung
Die Erstellung der vorliegenden KRITIS-Sektorstudie wäre ohne die enge Zusammenarbeit mit zahlreichen
Vertretern von Betreibern und Verbänden in der Logistikbranche nicht möglich gewesen. Unser besonderer
Dank gilt den Betreibern, die trotz des sensiblen Themas und der vollen Terminkalender Zeit und Motiva tion fanden, uns bei der Durchführung der Studie mit Experteninterviews aktiv zu unterstützen. Sie haben
mit ihrem Fachwissen und Engagement wesentlich zum Gelingen der Studie beigetragen.
Wir sind ebenso den vielen Experten dankbar, die uns in Hintergrundgesprächen hilfreiche Diskussions möglichkeiten und wertvolle Impulse gegeben haben.
In gleicher Weise möchten wir uns bei den Mitarbeitern des BSI aus dem Referat C22 für die konstruktive
und offene Zusammenarbeit bedanken. Unser Dank geht insbesondere an Frau Christine Hofer und Herrn
Dr. Jan Sanders, die eine kontinuierliche Studienbegleitung und letztlich den erfolgreichen Projektabschluss
ermöglicht haben.
Berlin, im Dezember 2015
Wilhelm Dolle, Paul Weissmann, Hanna Lurz
Bundesamt für Sicherheit in der Informationstechnik
3
Inhaltsverzeichnis
Inhaltsverzeichnis
Danksagung.......................................................................................................................................................................................... 3
Einleitung............................................................................................................................................................................................ 10
1
Branchenüberblick.......................................................................................................................................................................... 13
1.1
Einführung in die Logistik.................................................................................................................................................... 13
1.2
Bedeutung für Staat und Gesellschaft............................................................................................................................. 19
1.3
Wahrnehmung der Branche................................................................................................................................................ 20
1.4
Volkswirtschaftlicher Kontext............................................................................................................................................ 21
1.5
Einordnung der Branche Logistik in KRITIS............................................................................................................... 27
1.5.1
Abgrenzung zum Sektor Transport und Verkehr................................................................................................27
1.5.2
Definition der KRITIS-Branche Logistik................................................................................................................. 28
2
Branchenstruktur............................................................................................................................................................................ 30
2.1
Strukturierung und Organisation der Branche.......................................................................................................... 30
2.2
Marktteilnehmer....................................................................................................................................................................... 34
2.2.1
Logistikunternehmen...................................................................................................................................................... 34
2.2.2
Verbände................................................................................................................................................................................. 37
2.3
Beziehungen innerhalb der Branche............................................................................................................................... 38
2.4
Rolle der öffentlichen Hand................................................................................................................................................. 40
2.4.1
Beteiligte Organe und Regulierung........................................................................................................................... 40
2.4.2
Zollabfertigung.................................................................................................................................................................... 41
2.5
Aktuelle Entwicklungen & Trends..................................................................................................................................... 42
2.5.1
Globale Entwicklungen................................................................................................................................................... 42
2.5.2
Technologische Trends..................................................................................................................................................... 44
3
Kritische Dienstleistungen.......................................................................................................................................................... 47
3.1
Transportlogistik (DL1)........................................................................................................................................................... 50
3.1.1
Vorbereitung (PS1)............................................................................................................................................................. 52
3.1.2
Transport (PS2).................................................................................................................................................................... 58
3.1.3
Lieferung (PS3)..................................................................................................................................................................... 64
3.2
Umschlaglogistik (DL2)........................................................................................................................................................... 67
3.2.1
Wareneingang (PS1)........................................................................................................................................................... 71
3.2.2
Umschlag (PS2).................................................................................................................................................................... 76
3.2.3
Warenausgang (PS3).......................................................................................................................................................... 82
3.3
Lagerlogistik (DL3).................................................................................................................................................................... 85
3.3.1
Wareneingang (PS1)........................................................................................................................................................... 88
3.3.2
Lagerung (PS2)..................................................................................................................................................................... 92
3.3.3
Warenausgang (PS3).......................................................................................................................................................... 96
4
4.1
4.2
4.3
4.4
Logistik in anderen KRITIS-Sektoren.................................................................................................................................... 99
Logistik im Sektor Gesundheit........................................................................................................................................... 99
Logistik im Sektor Ernährung.......................................................................................................................................... 104
Logistik im Sektor Energie................................................................................................................................................. 106
Logistik im Sektor Finanzen.............................................................................................................................................. 108
5
5.1
5.2
Vorfallsammlung........................................................................................................................................................................... 110
Nationale Vorfälle................................................................................................................................................................... 113
Internationale Vorfälle......................................................................................................................................................... 114
Bundesamt für Sicherheit in der Informationstechnik
5
Inhaltsverzeichnis
6
Cyber-Sicherheit............................................................................................................................................................................ 122
6.1
Standards und Best Practices............................................................................................................................................ 122
6.2
Gesetzliche Anforderungen............................................................................................................................................... 124
6.3
Umsetzungsgrad der Cyber-Sicherheit........................................................................................................................ 125
6.3.1
Sicherheitsorganisation und -management........................................................................................................ 126
6.3.2
Technische IT-Sicherheit.............................................................................................................................................. 127
6.3.3
Überwachung und Monitoring................................................................................................................................. 127
6.3.4
Externe Abhängigkeiten............................................................................................................................................... 128
6.3.5
Notfallmanagement........................................................................................................................................................ 128
6.3.6
Security Awareness.......................................................................................................................................................... 128
6.4
Herausforderungen und Trends...................................................................................................................................... 128
7
Schlussfolgerungen und Ausblick......................................................................................................................................... 131
Anhänge............................................................................................................................................................................................. 134
Abkürzungsverzeichnis....................................................................................................................................................... 134
Abbildungen.............................................................................................................................................................................. 142
Literaturverzeichnis..................................................................................................................................................................... 143
6
Bundesamt für Sicherheit in der Informationstechnik
Inhaltsverzeichnis
Abbildungsverzeichnis
Abbildung 1: Funktionen der Unternehmenslogistik.................................................................................................................. 14
Abbildung 2: Hybrides Logistiknetzwerk als Überlagerung ein- bis vierstufiger Netzwerke....................................16
Abbildung 3: Funktionen eines Logistikzentrums........................................................................................................................ 17
Abbildung 4: Differenzierung der Logistikbranche nach Gewichtsbereichen, Marktbereichen und
Teilmärkten...................................................................................................................................................................................................... 18
Abbildung 5: Anzahl der Sendungen von KEP-Diensten in Deutschland von 2005 bis 2013....................................21
Abbildung 6: Gesamtwirtschaftliche Bedeutung der Logistikbranche in Deutschland (2013).................................22
Abbildung 7: Umsatz der Logistikbranche in Deutschland von 2005 bis 2014................................................................23
Abbildung 8: Umsatz nach einzelnen Marktbereichen der deutschen Logistikbranche (2013)...............................23
Abbildung 9: Umsatzverteilung nach Logistikfunktionen in Prozent (2013)...................................................................24
Abbildung 10: Gesamtes Güteraufkommen in Deutschland im Zeitraum von 2005 bis 2014..................................26
Abbildung 11: Verteilung des Güteraufkommens auf Verkehrsträger in Prozent (2014).............................................26
Abbildung 12: Unterteilung in Makro- und Mikrologistik........................................................................................................27
Abbildung 13: KRITIS-relevante Bereiche der Logistik............................................................................................................... 29
Abbildung 14: Entwicklungsstufen von Logistikdienstleistern............................................................................................... 30
Abbildung 15: Funktionale Verortung der wichtigsten Logistikregionen in Deutschland........................................34
Abbildung 16: Vertikale Integration von Wertschöpfungsketten...........................................................................................39
Abbildung 17: Idealtypische Zuordnung von Dienstleistertypen zu kritischen Dienstleistungen.........................48
Abbildung 18: Modellierung kritischer Dienstleistungen.......................................................................................................... 48
Abbildung 19: Schematische Darstellung der kritischen Dienstleistung „Transportlogistik“..................................51
Abbildung 20: Prozessschritt „Vorbereitung“ der Dienstleistung „Transportlogistik“..................................................53
Abbildung 21: Prozessschritt „Transport“ der Dienstleistung „Transportlogistik“.........................................................58
Abbildung 22: Prozessschritt „Lieferung“ der Dienstleistung „Transportlogistik“.........................................................64
Abbildung 23: Schematische Darstellung der kritischen Dienstleistung „Umschlaglogistik“..................................68
Abbildung 24: Prozessschritt „Wareneingang“ der Dienstleistung „Umschlaglogistik“...............................................71
Abbildung 25: Prozessschritt „Umschlag“ der Dienstleistung „Umschlaglogistik“........................................................76
Abbildung 26: Prozessschritt „Warenausgang“ der Dienstleistung „Umschlaglogistik“..............................................82
Abbildung 27: Schematische Darstellung der kritischen Dienstleistung „Lagerlogistik“...........................................86
Abbildung 28: Prozessschritt „Wareneingang“ der Dienstleistung „Lagerlogistik“........................................................88
Abbildung 29: Prozessschritt „Lagerung“ der Dienstleistung „Lagerlogistik“...................................................................92
Abbildung 30: Prozessschritt „Warenausgang“ der Dienstleistung „Lagerlogistik“........................................................96
Abbildung 31: Abgrenzung der Healthcare-Logistik.................................................................................................................. 100
Abbildung 32: Informationssysteme in der Logistik.................................................................................................................. 110
Abbildung 33: IKT-Einsatz im Prozessschritt – Darstellung der Methodik.....................................................................111
Abbildung 34: Schematische Darstellung der kritischen Dienstleistung „Transportlogistik“................................113
Abbildung 35: Zusammenspiel zwischen Tourenplanungs- und ERP-Systemen.........................................................122
Abbildung 36: Schematische Darstellung der kritischen Dienstleistung „Umschlaglogistik“................................136
Abbildung 37: Steuerungspyramide der Intralogistik............................................................................................................... 147
Abbildung 38: Schematische Darstellung der kritischen Dienstleistung „Lagerlogistik“.........................................159
Abbildung 39: Standards und Best Practices für die Cyber-Sicherheit in der Logistikbranche in Deutschland
............................................................................................................................................................................................................................. 194
Abbildung 40: Einfach gebrochene, intramodale Logistikkette............................................................................................213
Abbildung 41: Funktionsbezogene Anwendungen in der IT-gestützten Logistik (Technologiestand 2015)...213
Abbildung 42: Mehrfach gebrochene, intermodale Logistikkette.......................................................................................213
Bundesamt für Sicherheit in der Informationstechnik
7
Inhaltsverzeichnis
Tabellenverzeichnis
Tabelle 1: Sektoreinteilung der Kritischen Infrastrukturen in Deutschland.....................................................................10
Tabelle 2: Kennzahlen der Wirtschaftszweige der Logistikbranche nach destatis (2013)............................................25
Tabelle 3: Übersicht der Leistungsmerkmale und Leistungsangebote verschiedener Dienstleistertypen..........32
Tabelle 4: Top 25 der Logistikunternehmen in Deutschland nach Umsatz(2013)...........................................................37
Tabelle 5: Betriebsinterner Prozess „Auftragsmanagement“ (DL1 PS1 BP1)......................................................................54
Tabelle 6: Betriebsinterner Prozess „Disposition“ (DL1 PS1 BP2)............................................................................................ 56
Tabelle 7: Betriebsinterner Prozess „Tourenplanung“ (DL1 PS1 BP3)...................................................................................57
Tabelle 8: Betriebsinterner Prozess „Warenübernahme“ (DL1 PS2 BP1)..............................................................................59
Tabelle 9: Betriebsinterner Prozess „Transport“ (DL1 PS2 BP2)...............................................................................................61
Tabelle 10: Betriebsinterner Prozess „Transportsteuerung“ (DL1 PS2 BP4).......................................................................62
Tabelle 11: Betriebsinterner Prozess „Tracking/Tracing“ (DL1 PS2 BP5).............................................................................63
Tabelle 12: Betriebsinterner Prozess „Warenübergabe“ (DL1 PS3 BP1)................................................................................65
Tabelle 13: Betriebsinterner Prozess „Warenannahme“ (DL2 PS1 BP1)................................................................................72
Tabelle 14: Betriebsinterner Prozess „Auftragsmanagement“ (DL2 PS1 BP2)...................................................................73
Tabelle 15: Betriebsinterner Prozess „Yard Management“ (DL2 PS1 BP3)...........................................................................74
Tabelle 16: Betriebsinterner Prozess „Warenerfassung“ (DL2 PS1 BP4)...............................................................................75
Tabelle 17: Betriebsinterner Prozess „Verbringung“ (DL2 PS2 BP1).......................................................................................77
Tabelle 18: Betriebsinterner Prozess „Zwischenlagerung“ (DL2 PS2 BP2)..........................................................................78
Tabelle 19: Betriebsinterner Prozess „Umschlagmanagement“ (DL2 PS2 BP4)................................................................81
Tabelle 20: Betriebsinterner Prozess „Warenübergabe“ (DL2 PS3 BP1)................................................................................83
Tabelle 21: Betriebsinterner Prozess „Yard Management“ (DL2 PS3 BP2)...........................................................................84
Tabelle 22: Betriebsinterner Prozess „Warenannahme“ (DL3 PS1 BP1)................................................................................89
Tabelle 23: Betriebsinterner Prozess „Auftragsmanagement“ (DL3 PS1 BP2)...................................................................90
Tabelle 24: Betriebsinterner Prozess „Warenerfassung“ (DL3 PS1 BP3)...............................................................................91
Tabelle 25: Betriebsinterner Prozess „Verräumung“ (DL3 PS2 BP1).......................................................................................93
Tabelle 26: Betriebsinterner Prozess „Lagerung“ (DL3 PS2 BP2).............................................................................................94
Tabelle 27: Betriebsinterner Prozess „Lagerverwaltung“ (DL3 PS2 BP3).............................................................................95
Tabelle 28: Betriebsinterner Prozess „Kommissionierung“ (DL3 PS3 BP1).........................................................................97
Tabelle 29: Betriebsinterner Prozess „Warenübergabe“ (DL3 PS3 BP2)................................................................................98
Tabelle 30: Güterarten, logistische Anforderungen und Dienstleistertypen im Gesundheitssektor...................101
Tabelle 31: Logistikbereiche des Gesundheitssektors mit Einsatz externer Logistikdienstleistern.....................102
Tabelle 32: KRITIS-relevante Logistikabhängigkeiten im Sektor Ernährung.................................................................105
Tabelle 33: KRITIS-relevante Logistikabhängigkeiten im Sektor Energie.......................................................................107
Tabelle 34: IKT im betriebsinternen Prozess „Auftragsmanagement“ (DL1 PS1 BP1)................................................115
Tabelle 35: IKT im betriebsinternen Prozess „Disposition“ (DL1 PS1 BP2)......................................................................118
Tabelle 36: IKT im betriebsinternen Prozess „Tourenplanung“ (DL1 PS1 BP3)..............................................................120
Tabelle 37: IKT im betriebsinternen Prozess „Warenübernahme“ (DL1 PS2 BP1)........................................................124
Tabelle 38: IKT im betriebsinternen Prozess „Transport“ (DL1 PS2 BP2)..........................................................................127
Tabelle 39: IKT im betriebsinternen Prozess „Transportsteuerung“ (DL1 PS2 BP3).....................................................129
Tabelle 40: IKT im betriebsinternen Prozess „Tracking/Tracing“ (DL1 PS2 BP4)..........................................................131
Tabelle 41: IKT im betriebsinternen Prozess „Warenübergabe“ (DL1 PS3 BP1).............................................................134
Tabelle 42: IKT im betriebsinternen Prozess „Warenannahme“ (DL2 PS1 BP1).............................................................138
Tabelle 43: IKT im betriebsinternen Prozess „Auftragsmanagement“ (DL2 PS1 BP2)................................................140
Tabelle 44: IKT im betriebsinternen Prozess „Yard Management“ (DL2 PS1 BP3)........................................................141
Tabelle 45: IKT im betriebsinternen Prozess „Warenerfassung“ (DL2 PS1 BP4)............................................................143
Tabelle 46: IKT im betriebsinternen Prozess „Verbringung“ (DL2 PS2 BP1)....................................................................145
Tabelle 47: IKT im betriebsinternen Prozess „Zwischenlagerung“ (DL2 PS2 BP2)........................................................149
Tabelle 48: IKT im betriebsinternen Prozess „Kommissionierung“ (DL2 PS2 BP3)......................................................151
Tabelle 49: IKT im betriebsinternen Prozess „Umschlagmanagement“ (DL2 PS2 BP4).............................................153
Tabelle 50: IKT im betriebsinternen Prozess „Warenübergabe“ (DL2 PS3 BP1).............................................................156
Tabelle 51: IKT im betriebsinternen Prozess „Yard Management“ (DL2 PS3 BP2)........................................................158
8
Bundesamt für Sicherheit in der Informationstechnik
Inhaltsverzeichnis
Tabelle 52: IKT im betriebsinternen Prozess „Warenannahme“ (DL3 PS1 BP1).............................................................161
Tabelle 53: IKT im betriebsinternen Prozess „Auftragsmanagement“ (DL3 PS1 BP2)................................................162
Tabelle 54: IKT im betriebsinternen Prozess „Warenerfassung“ (DL3 PS1 BP3)............................................................163
Tabelle 55: IKT im betriebsinternen Prozess „Verräumung“ (DL3 PS2 BP1)....................................................................165
Tabelle 56: IKT im betriebsinternen Prozess „Lagerung“ (DL3 PS2 BP2)...........................................................................167
Tabelle 57: IKT im betriebsinternen Prozess „Lagerverwaltung“ (DL3 PS2 BP3)...........................................................169
Tabelle 58: IKT im betriebsinternen Prozess „Kommissionierung“ (DL3 PS3 BP1)......................................................172
Tabelle 59: IKT im betriebsinternen Prozess „Warenübergabe“ (DL3 PS3 BP2).............................................................173
Tabelle 60: Mögliche Gruppierung der Güterabteilungen nach NST 2007 im KRITIS-Kontext............................176
Tabelle 61: Anlagen der Logistikbranche inkl. möglichen Verbrauchs- und Kapazitätswerten.............................178
Tabelle 62: Modell zur Kritikalitätsbewertung von Logistikdienstleistern anhand kombinierter Faktoren.. .179
Tabelle 63: Überblick der Eigenschaften der gesammelten Vorfälle...................................................................................182
Bundesamt für Sicherheit in der Informationstechnik
9
Einleitung
Einleitung
Kritische Infrastrukturen (KRITIS) sind „Organisationen und Einrichtungen mit wichtiger Bedeutung für
das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungs engpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten
würden“ [BMI 2009]. Sie erbringen kritische Dienstleistungen, die für Deutschland einen bedeutenden
Beitrag zur Sicherung des Gemeinwohls leisten. Das Dokument „UP KRITIS – Grundlagen und Ziele“ von
2013 definiert kritische Dienstleistungen wie folgt:
„Kritische Dienstleistungen sind für die Bevölkerung wichtige, teils lebenswichtige Güter und
Dienstleistungen. Bei einer Beeinträchtigung dieser kritischen Dienstleistungen würden erhebliche
Versorgungsengpässe, Störungen der Öffentlichen Sicherheit oder vergleichbare dramatische Folgen
eintreten“ [BSI 2014].
Die Auswahl an kritischen Dienstleistungen kann zum einem auf den staatlichen Auftrag zur Daseinsfürsorge zurückgeführt werden, zum anderen auf ihre Bedeutung als technische Basisinfrastrukturen für
andere kritische Dienstleistungen. Die zuverlässige Erbringung der kritischen Dienstleistungen bildet die
Grundlage vieler alltäglicher Prozesse und Abläufe für die Bevölkerung und in der Wirtschaft. Sie ist
Voraussetzung für die ausreichende Versorgung der Bevölkerung mit Lebensmitteln, Wasser, Elektrizität,
Gesundheitsleistungen und vielen anderen wichtigen oder lebensnotwendigen Ressourcen. Vor diesem
Hintergrund ist der Schutz Kritischer Infrastrukturen eine gesamtgesellschaftliche Aufgabe, die im
Zusammenspiel von Staat, Wirtschaft und Öffentlichkeit erfolgt.
Als Grundlage für die Kooperation von Staat und Wirtschaft beim Schutz Kritischer Infrastrukturen dient
die Sektoren- und Brancheneinteilung. Sie bildet einen konzeptionellen Rahmen, der die Analyse und
Behandlung einzelner technischer Basisinfrastrukturen und sozioökonomischer Dienstleistungsinfrastrukturen ermöglicht. Die Betreiber von KRITIS umfassen dabei sowohl staatliche als auch privatwirtschaftliche Organisationen.
Sektoren Kritischer Infrastrukturen
Energie
Transport und Verkehr
Informationstechnik und
Telekommunikation
Finanz- und
Versicherungswesen
Gesundheit
Staat und Verwaltung
Wasser
Medien und Kultur
Ernährung
Tabelle 1: Sektoreinteilung der Kritischen Infrastrukturen in Deutschland
Jeder KRITIS-Sektor (siehe Tabelle 1) ist in verschiedene Branchen aufgeteilt. Sowohl zwischen den
Branchen innerhalb eines Sektors als auch zwischen den verschiedenen Sektoren existieren vielfältige Inter dependenzen. Beispielsweise ist die Stromversorgung eine Grundvoraussetzung für die Erbringung
praktisch aller anderen kritischen Dienstleistungen. Ein weiteres Beispiel sind die Leistungen des Sektors
Transport und Verkehr, die Voraussetzung für die Logistik von Nahrungsmitteln, Materialien für die
Gesundheitswirtschaft und weiteren Gütern sowie für die Beförderung von Personen sind. Der Sektor
Informationstechnik und Telekommunikation nimmt hierbei vor dem Gedanken der starken Durchdringung von Informations- und Telekommunikationstechnologie in allen anderen Sektoren eine Sonderrolle ein. Eine effiziente Leistungserbringung in den Sektoren ist heute ohne die Inanspruchnahme der
Informations- und Telekommunikationsdienstleistungen nicht mehr vorstellbar. Die weiter zunehmende
Verbreitung und Durchdringung von Informations- und Kommunikationstechnologien in allen Sektoren
birgt jedoch gleichzeitig bekannte und neue Risiken.
10
Bundesamt für Sicherheit in der Informationstechnik
Einleitung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine der zentralen Stellen unter den
zuständigen Behörden zum Schutz von Kritischen Infrastrukturen. Mit unterschiedlichen Aktivitäten wie
der Organisation von Branchengesprächen, der Bereitstellung von Standards und Leitfäden zu wichtigen
IT-Sicherheitsthemen und nationalen Projekten sowie der Koordination des UP KRITIS1 verfolgt das BSI die
Umsetzung der Nationalen Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) und der
nationalen Cyber-Sicherheitsstrategie. In seinen Arbeiten ist das BSI auf genaue Kenntnisse zu den
Funktionen kritischer Dienstleistungen und der damit verbundenen Bedeutung wichtiger Anlagen und
Einrichtungen (KRITIS) angewiesen. Dabei ist es wichtig, die wirtschaftlichen, technologischen, politischen
und regulatorischen Rahmenbedingungen und Besonderheiten der Sektoren und deren Branchen genau zu
verstehen. Dies umfasst gleichermaßen die Kenntnis zukünftiger Entwicklungen.
Ein Jahr nach Erstellung der KRITIS-Sektorstudie Transport und Verkehr (Projekt 104) hat das BSI 2015
KPMG mit der Erarbeitung der KRITIS-Studie der Branche Logistik beauftragt (Projekt 105).
Ziel der Studie ist ein aktueller Überblick über den Sektor, dessen Branchen sowie die im Sektor und den
Branchen erbrachten kritischen Dienstleistungen. Dies beinhaltet Analysen zur Kritikalität der branchentypischen Dienstleistungen sowie deren betriebsinternen Prozessen. Weiterhin soll der Grad der Abhängig keiten betriebsinterner Prozesse von IKT ermittelt und die Frage beantwortet werden, welche Rolle Informationen, der Einsatz von IKT und die Nutzung von IKT-Prozessen für die Ausführung der betriebsinternen
Prozesse spielt. Die generelle Frage, inwieweit Logistikbetreiber in Deutschland als Betreiber Kritischer
Infrastrukturen zu bewerten sind, ist nicht Gegenstand dieser Studie.
Neben dem vorhandenen Expertenwissen sowie öffentlich verfügbaren Informationen und Unterlagen
bildet die Betreiberbefragung eine wesentliche Informationsgrundlage der Sektorstudien. Hierfür wurden
wichtige Betreiber, Verbände und ggf. weitere wichtige Akteure der jeweiligen Sektoren im Studienzeitraum
in zahlreichen persönlichen und telefonischen Gesprächen zum Stand der Cyber-Sicherheit befragt. Die
Angaben sind in anonymisierter Form in die Studien eingeflossen, sodass keine Rückschlüsse auf einzelne
Befragte gezogen werden können.
Die Studie ist in die folgenden Kapitel gegliedert:
Kapitel 1 bietet einen Überblick über die behandelte Branche.
Kapitel 2 vertieft den Einblick mit der Branchenstruktur, der Bedeutung der Branche für Staat und
Gesellschaft, dem volkswirtschaftlichen Kontext, den Marktteilnehmern, Beziehungen innerhalb der
Branche, der Rolle der öffentlichen Hand sowie aktuellen Entwicklungen.
Kapitel 3 enthält eine detaillierte Auseinandersetzung mit den kritischen Dienstleistungen. Dies sind im
vorliegenden Fall die Dienstleistungen Transportlogistik (DL1), Umschlaglogistik (DL2) und Lagerlogistik
(DL3). Einer strukturellen Zerlegung der Dienstleistungen folgt die Analyse der kritischen betriebsinternen
Prozesse und die Ermittlung der Risikoelemente. Zudem wird die
Kapitel 4 betrachtet die Ausgestaltung der kritischen Logistikdienstleistungen in den KRITIS-Sektoren
Energie, Gesundheit, Ernährung und Finanzen.
Kapitel 5 enthält eine vertiefte Befassung mit den IKT-Abhängigkeiten der kritischen Dienstleistungen,
untergliedert nach Prozessschritten und betriebsinternen Prozessen.
Kapitel 6 analysiert, welche generellen Faktoren zur Bewertung von Betreibern in der Branche betrachtet
werden müssen und wie diese entsprechend für die Kritikalitätsbewertung genutzt werden können.
Kapitel 7 liefert eine Sammlung bedeutsamer Sicherheitsvorfälle. Diese sind nach internationalen und
nationalen Vorfällen differenziert sowie anhand wichtiger Eigenschaften zur Sensibilisierung und Aufklärung aufbereitet.
Kapitel 8 setzt sich sowohl mit den geltenden Normen und Standards als auch mit den gesetzlichen Anforderungen für IT-Sicherheit in der Branche auseinander. Darüber hinaus wird auf den etablierten Stand
1 Der UP KRITIS ist eine Kooperation zwischen (KRITIS-)Betreibern, Verbänden und staatlichen Stellen, u. a.
dem BSI (siehe www.upkritis.de).
Bundesamt für Sicherheit in der Informationstechnik
11
Einleitung
der Cyber-Sicherheit sowie auf Herausforderungen und Trends in der IT-Sicherheit eingegangen, was
insbesondere aus den Ereignissen der Betreiberbefragung ermittelt wurde.
Kapitel 9 führt die Ergebnisse aus den vorherigen Kapiteln als Fazit zusammen, schafft einen Überblick über
die wesentlichen Erkenntnisse und stellt wichtige Handlungsempfehlungen zur Stärkung der IT-Sicherheit
in der betrachteten Branche heraus.
12
Bundesamt für Sicherheit in der Informationstechnik
Branchenüberblick
1
Branchenüberblick
Die vorliegende Studie beschreibt die Branche Logistik, die im Rahmen der KRITIS-Studien von 2014 und
2015 losgelöst vom übergeordneten Sektor „Transport und Verkehr“ (TuV) behandelt wird. Grund hierfür ist
zum einen der Umfang des TuV-Sektors in Deutschland, der neben der Logistik die Branchen Luftfahrt,
Seeschifffahrt, Binnenschifffahrt, Schienenverkehr und Straßenverkehr umfasst. Zum anderen erbringt die
Logistikbranche Basisdienstleistungen für wirtschaftliche Leistungen anderer Sektoren und Branchen und
nimmt somit eine Querschnittsfunktion ein.
1.1
Einführung in die Logistik
Unter dem Themenfeld Logistik wird primär der physische Materialfluss zur Verfügbarkeit von Waren
innerhalb eines Unternehmens sowie zwischen Organisationen und deren Umwelt verstanden. Hierfür
befasst sich die Logistik im engeren Sinne mit operativen Grundfunktionen. Dies sind Aktivitäten des
Transportierens zur Raumüberbrückung, des Umschlagens zur Mengenanpassung, der Lagerung zur
Zeitüberbrückung und – insbesondere in Umschlag und Lagerung je nach Bedarf beinhaltet – der
Kommissionierung zur Auftragszusammenstellung [Gudehus 2010, S. 3; Werner 2008, S. 16; Kille/Schwemmer 2014, S. 40].
Das Logistikverständnis entwickelt sich kontinuierlich weiter. Der Begriff der Logistik wird heutzutage
umfassender verwendet und beinhaltet nicht mehr nur die Steuerung von Material- oder Objektflüssen,
sondern auch die intelligente Planung und Steuerung von Wertschöpfungsketten im Rahmen
institutioneller Fragestellungen. Zusätzlich zu den operativen Prozessen des Transports, Umschlags und der
Lagerung umfasst die moderne Logistik ebenso die Planung, Steuerung, Kontrolle und Optimierung von
Prozessen und Informationen in einem Güterflusssystem. Aufgrund dieser Überschneidung zum Supply
Chain Management (SCM) werden die Begriffe gelegentlich synonym verwendet, da beide die Gestaltung
von Objektflüssen entlang der Wertschöpfungskette unter Steigerung von Effektivität (Kundennutzen) und
Effizienz (Kosten-Nutzen-Verhältnis) anstreben. Im Unterschied zur Logistik beinhaltet SCM aber „neben
den physischen Aktivitäten auch [immer] die begleitenden Auftragsabwicklungs- und Geldflussprozesse“
[Gabler o.J.b] und schließt Unternehmensbereiche wie Marketing, Unternehmensführung, Unternehmensrechnung und Controlling ein. In der Logistik sind diese Bereiche nur teilweise und je nach Dienstleistungstiefe integriert und kein grundsätzlicher Bestandteil.
Branchentypische Dienstleistungen
Zur Definition der logistischen Ziele hat sich die „Sieben-R-Regel“ oder „Seven-Rights-Definition“ nach
Powmann etabliert. Ziel ist hiernach die Sicherung der Verfügbarkeit des richtigen Guts, in der richtigen
Menge, der richtigen Qualität, am richtigen Ort, zur richtigen Zeit, zu den richtigen Kosten und für den
richtigen Kunden [BVL 2015c; Gleißner/Femerling 2008, S. 4–5]. Logistikobjekte können dabei Handelswaren, Lebensmittel, Rohstoffe oder Material, Vorprodukte, Halbfertigfabrikate und Fertigwaren,
Investitionsgüter oder Konsumgüter ebenso wie Produktions- oder Betriebsmittel und Abfallstoffe sein
[Gudehus 2010, S. 3].
Als generelle logistische Prozesse werden Transport, Umschlag, Lagerung, Kommissionierung und
Verpackung sowie begleitende Informations- und Kommunikationsprozesse definiert. Diese Prozesse
dienen der operativen Umsetzung des physischen Warenflusses [Arnold et al. 2008, S. 6–7]. Die Auftragsabwicklung und zusätzliche administrative Prozesse werden ebenfalls der Logistik zugeordnet. Sie bilden die
Kernkompetenz branchentypischer Logistikdienstleister wie Speditionen und Lagerhalter ab und
beschreiben die Tätigkeiten einer Dienstleistungslogistik.
Oftmals übernehmen Industrie- und Handelsunternehmen Tätigkeiten wie Planung, Steuerung und
Kontrolle der Logistikprozesse selbst und nutzen zur Abwicklung operativer Logistikprozesse wie Transport
oder Umschlag interne und externe Logistikdienstleister. Funktionen einer unternehmensinternen Logistik
sind dabei in erster Linie die Beschaffungslogistik, Produktionslogistik, Distributionslogistik sowie
Bundesamt für Sicherheit in der Informationstechnik
13
Branchenüberblick
gegebenenfalls Ersatzteil- und Retourenlogistik (siehe Abbildung 1). Die Beschaffungslogistik schafft Strukturen und Prozesse für eine mengen-, termin- und qualitätsgerechte Materialversorgung eines Unter nehmens.
Die für die Produktion benötigten Güter wie Rohstoffe, Teile und Komponenten werden von Lieferanten aus
dezentralen Produktionsstätten oder Versorgungslagern bereitgestellt. Dabei koordiniert die
Produktionslogistik den Fluss von Roh-, Hilfs-, und Betriebsstoffen sowie allen Zukaufteilen und
Baugruppen. Sie übernimmt Funktionen wie die Strukturierung der Produktion, die Planung, Steuerung
und Kontrolle der Material- und Informationsflüsse vom Wareneingang über alle Produktionsstufen bis hin
zu den Ausgangslagern bzw. dem Versand. Je nach Fertigungsstand der Produkte werden Zwischenlager stufen durchlaufen.
Die Hauptfunktion der Distributionslogistik ist die Güterverteilung über ein Netz von Transportkanälen,
Lager- und Umschlagpunkten zu den Endabnehmern. Dabei werden häufig Absatzhelfer und Logistikdienstleister einbezogen.
Als Schnittstelle zwischen der kundenseitigen Beschaffungslogistik und der lieferantenseitigen Distri butionslogistik fungiert die Ersatzteillogistik. Ihre Aufgabe ist die rechtzeitige Bereitstellung von Ersatzteilen sowie deren Bevorratung. Der Ersatzteilbedarf stellt typischerweise zeitkritische Anforderungen an
den logistischen Versorger. Besonders der erreichte Lieferservice, die Lieferbereitschaft und die Liefer flexibilität sind logistische Größen, die in der Ersatzteillogistik einen Wettbewerbsfaktor darstellen können.
Die Retourenlogistik ergänzt die Distributionslogistik durch die Bearbeitung von Rücksendungen aufgrund
von Reklamationen oder Stornierungen. Dazu gehört die Entgegennahme von Retouren, eine Qualitätsprüfung und etwaige Aufbereitung oder Entsorgung der Waren. Je nach Branche müssen hierbei zeit kritische Anforderungen erfüllt werden, beispielsweise bei der Erstattung von Gutschriften und der
Kontrolle und Aufbereitung von Waren, um diese neu verpacken und dem Lagerbestand wieder zuführen zu
können.
Die Entsorgungslogistik steuert Aufgaben und Prozesse zur Entsorgung von Reststoffen in allen Phasen der
Wertschöpfungskette. Dazu zählen die Rückführung zur Verwertung oder zur Beseitigung sowie die
Reduzierung der Entsorgungsgüter. Hierdurch wird die versorgungsorientierte Logistik zu einer Kreislauf logistik ergänzt. Häufig wird die Entsorgungslogistik durch gesetzliche Vorschriften veranlasst [Heiserich et
al. 2011, S. 11–12].
Abbildung 1: Funktionen der Unternehmenslogistik
Quelle: in Anlehnung an [Heiserich et al. 2011, S. 11–12]
Zusätzlich zu Industrie und Handel existieren weitere gesellschaftlich und sozial relevante Logistiksysteme
wie die Krankenhauslogistik oder die öffentliche Abfallentsorgung [Gleißner/Femerling 2008, S. 12]. Eine
Differenzierung von Logistikdienstleistern zu Unternehmen und Einrichtungen mit logistischen
Eigenanteilen wird dadurch deutlich, dass letztere Logistik nicht als Kernkompetenz handhaben.
14
Bundesamt für Sicherheit in der Informationstechnik
Branchenüberblick
Logistikdienstleister stellen dem Markt branchentypische Leistungen in unterschiedlicher Dienstleistungstiefe zur Verfügung. Dabei reicht das Leistungsportfolio der Dienstleister von rein physischen Transport-,
Umschlag- und Lagerdienstleistungen bis hin zu Beratungsdienstleistungen sowie Kontrakt- und Projekt logistikdienstleistungen (z. B. logistische Planungstätigkeiten für Aufbau und Betrieb eines Verpackungszentrums für die Automobilindustrie, humanitäre Logistik, Eventlogistik etc.).
Aufbau von Logistiknetzwerken und Logistikzentren
Zur Erbringung der logistischen Dienstleistungen, insbesondere der operativen Grundfunktionen, werden
großflächige Logistiksysteme genutzt, die auch als Logistiknetzwerke bezeichnet werden. Diese unter scheiden sich anhand der Stufigkeit der Lieferketten zwischen Lieferanten und Kunden, d. h. „der Anzahl an
Zwischenstationen, die von den logistischen Objekten durchlaufen werden.“ [Gudehus 2010, S. 17]
In einem einstufigen Transportnetz bestehen direkte, ungebrochene Verbindungen zwischen Versender und
Empfänger. Dies ist insbesondere dann sinnvoll, wenn die verfügbaren Transportmittel durch die zu
befördernden Warenmengen wirtschaftlich ausgelastet sind.
Werden wenige Empfänger von vielen, weit verteilten Versendern über große Entfernungen mit Mengen
beliefert, „die in der Direktrelation keine größeren Transporteinheiten füllen, kann ein zweistufiges
Transportnetz mit einem Warenfluss über Umschlagpunkte vorteilhaft sein, die sich als Sammelstationen in
der Nähe der Versandorte befinden.“ [Gudehus 2010, S. 18]
Bei der Belieferung einer großen Anzahl von Empfängern durch viele Versender ist es sinnvoll, die
zweistufige Struktur zu erweitern, indem eine weitere Stufe von Verteilstationen eingefügt wird. Hierdurch
entsteht ein dreistufiges Transportnetz. In Nähe der Versender befinden sich dann Sammelstationen bzw.
Logistikzentren, in Nähe der Empfänger Verteilstationen. Dadurch kann eine erhebliche Senkung der
Transportkosten durch Bündelung der Transporte, durch Einsatz der jeweils rationellsten Transportmittel
und durch optimale Touren erreicht werden [Gudehus 2010, S. 18–19]. Diese Struktur entsteht auch
zwangsläufig beim Übergang zwischen verschiedenen Transportträgern mit großen Unterschieden in der
Zahl der Ladeeinheiten pro Transportvorgang, womit fast jedes Seehafenterminal in diesem theoretischen
Sinne ein Logistikzentrum ist.
Zur weiteren Zentralisierung der Bestände und Funktionen können „ein oder mehrere multifunktionale
Logistikzentren an geeigneten Standorten zwischen die Sammelstationen und die Verteilstationen
geschaltet werden.“ [Gudehus 2010, S. 19] Dadurch ergeben sich vierstufige Transportnetze, die sich
insbesondere durch „multimodalen Transport über große Entfernungen [erstrecken], zum Beispiel in der
Luft- und Seefracht“ [Gudehus 2010, S. 19–20].
Werden Netzwerke unterschiedlicher Stufigkeit überlagert, entstehen strukturgemischte, hybride Logistiknetzwerke. Diese bieten „die Möglichkeit, die stärksten Warenströme direkt, die schwächeren Sammel- oder
Verteilströme zweistufig und die schwächsten Ströme […] drei- oder mehrstufig laufen zu lassen.“
[Gudehus 2010, S. 19] Abbildung 2 zeigt ein solches hybrides Logistiknetzwerk. Typisch ist insbesondere in
drei- und mehrstufigen Strukturen ein multimodaler Transport, während hingegen im Vor- und Nachlauf zu
großen Teilen Lkw eingesetzt werden. Der Vor- und Nachlauf muss jedoch nicht zwingend per Lkw erfolgen;
gerade im Massengutbereich sind auch Binnenschiff (z. B. Baustoffe), Eisenbahn (z. B. Erze) und Seeschiffe
(z. T. Erze, Chemie, Öl) möglich.
Bundesamt für Sicherheit in der Informationstechnik
15
Branchenüberblick
Abbildung 2: Hybrides Logistiknetzwerk als Überlagerung ein- bis vierstufiger Netzwerke
Quelle: in Anlehnung an [Gudehus 2010, S. 17–20]
Umschlagprozesse im gebrochenen Verkehr nehmen eine besondere Bedeutung in der Distributionslogistik
von Industrie und Handelsunternehmen ein. In der Logistik weit verbreitet ist das „Hub and
Spoke“-Konzept (engl. „Nabe und Speiche“). Dabei handelt es sich um ein Verkehrsnetz, das aus einem
zentralen Umschlagort („Hub“) und darauf sternförmig zulaufenden Transportstrecken („Spokes“) besteht.
Die Hubs dienen dem Sammeln, Sortieren nach Zieldestinationen und Umladen von Sendungen. Durch die
Bündelung der einzelnen Sendungen wird eine große Anzahl von Direktverkehren vermieden und die
Verkehrsmittel im Einsatz zwischen verschiedenen Hubs optimal ausgelastet [Klaus 2012, S. 552].
Zentralisierte Logistikzentren, die in vierstufigen Logistiknerzwerken oder bei „Hub and Spoke“-Konzepten
zum Einsatz kommen, dienen der Optimierung der verschiedenen Logistikleistungen und zur Steigerung
des Services. Dabei bieten sie wie in Abbildung 3 dargestellt ein großes Spektrum an Funktionen an.
Logistikzentren werden in offener oder geschlossener Form betrieben. Während ein geschlossenes Logistikzentrum als Betriebsstätte für nur ein Industrie-, Handels-, Dienstleistungs- oder Logistikunternehmen
dient, umfassen offene Logistikzentren die Betriebe „mehrerer Unternehmen, Stauereien, Speditionen und
anderer Logistikdienstleister“. [Gudehus 2010, S. 19]
16
Bundesamt für Sicherheit in der Informationstechnik
Branchenüberblick
Abbildung 3: Funktionen eines Logistikzentrums
Quelle: in Anlehnung an [Gudehus 2010, S. 21]
Differenzierung des Leistungsangebots
In der Logistikbranche existieren verschiedenen Ansätze zur Differenzierung des Leistungsangebots der
Logistikdienstleister. Geschäftsfelder und Spezialisierungen der Branche ergeben sich aus der
Verschiedenheit von Sendungsgrößen und Güterarten, genutzten Verkehrsträgern sowie dem Einsatz von
Verkehrsmitteln und -arten. Bei einer Betrachtung der Sendungsgrößen wird innerhalb der Branche
zwischen Kurier-, Express- und Paketsendungen (KEP), Stück- und Sammelgut sowie Komplettladungen und
Charterverkehren unterschieden. Weiterhin unterscheiden sich die Kompetenzen der Dienstleister
hinsichtlich der Bedienung der Verkehrsträger Straße, Schiene, Binnengewässer, Hochseegewässer,
Luftraum und Pipeline. Die Art der Güter bietet ebenfalls eine Möglichkeit zur Differenzierung des
Leistungsangebots innerhalb der Branche. Als Güter mit besonderen logistischen Anforderungen gelten hier
beispielsweise Kühlwaren, Gefahrgut, Silo- und Tanktransporte.
Die Fraunhofer Arbeitsgruppe für Supply Chain Services SCS nutzt bei ihrem Ansatz verschiedene dieser
Faktoren und differenziert die Logistikbranche anhand von Gewichtsbereichen, Marktbereichen und
Marktsegmenten (siehe Abbildung 4). Seefracht und Luftfracht werden aufgrund der speziellen Anforderungen an die Bedienung dieser Verkehrsträger als gesonderte Marktbereiche dargestellt. Auch die
Kontraktlogistik als „langfristige Übernahme komplexer logistischer Dienstleistungspakete“ [Gabler o.J.a]
unter Kombination „mehrere[r] Basisdienstleistungen wie Transport, Lagerung, Umschlag, (teilweise)
Montage und Konfektioniertätigkeiten sowie einfache[n] Produktions- oder Montagetätigkeiten“
[Gabler o.J.a] bildet einen eigenen Marktbereich.
Bundesamt für Sicherheit in der Informationstechnik
17
Branchenüberblick
Abbildung 4: Differenzierung der Logistikbranche nach Gewichtsbereichen, Marktbereichen und Teilmärkten
Quelle: in Anlehnung an [Kille/Schwemmer 2014, S. 95]
Dieser Ansatz einer vereinfachten Darstellung, die zwischen Verkehrsträgern, Ladungsbeschaffenheit und
Märkten mischt, zeigt jedoch die Problematik einer Differenzierung auf, da die Komplexität von
Logistiknetzwerken nicht vollständig berücksichtigt werden kann. So werden Schwerguttransporte auf
internationaler Ebene fast immer multimodal abgewickelt.
Massengut wird anstelle von landgebundenen Ladungsverkehren auch per Seefracht transportiert
(insbesondere Kohle, Erz, Öl, Gase, Dünger, Steine, Holz etc.). Zudem sind in der Seefracht auch Teilladungen
üblich. Im Gegensatz zur Verschiffung von Komplettcontainern („Full Container Load“, FCL), bei der der
Container vollständig von einem Versender beladen wird, werden Kleinsendungen unterschiedlicher
Versender vor der Verschiffung an Container Fright Stations (Packschuppen) in Sammelcontainer verpackt
und an unterschiedlichen Zielorten für unterschiedliche Empfänger entladen (Less than Container Load,
LCL). Auch stellt die Seefracht über die Containerfracht hinaus Transporte für Spezialgut wie Autos oder
Papier sowie für Schwergut (“Heavy Lift“), beispielsweise Lokomotiven, Panzer oder Industrieanlagen, bereit.
Gefahrguttransporte
Für den Transport, den Umschlag und die Lagerung von Gefahrgut gelten spezielle sicherheitsrelevante
Anforderungen und eine Vielzahl von Regelungen und Vorschriften (siehe auch Abschnitt 2.4 „Rolle der
öffentlichen Hand“). Neben der originären Organisationsaufgabe für den Transport übernimmt der
Logistiker bei Gefahrguttransporten zusätzliche Dokumentations- und Kommunikationsaufgaben,
beispielsweise Meldepflichten an Behörden, Transportbeteiligte und ggf. zusätzliche Sicherungsdienstleister
(Seegüterkontrolleur/Tallyman etc.).
Das oberste Ziel der Gefahrgutlogistik ist die Konzeption und Ausgestaltung von kostenminimierenden
Aktivitäten, die Logistikgüter, den Transporteur und Dritte vor Schäden bewahren. Nach dem „Gesetz über
die Beförderung gefährlicher Güter“ werden als Gefahrgut Stoffe und Gegenstände bezeichnet, von denen
aufgrund ihrer Eigenschaften oder ihres Zustandes im Zusammenhang mit einer Beförderung Gefahren für
Mensch und Umwelt ausgehen können. Je nach Gefährlichkeitsmerkmal werden diese in neun
18
Bundesamt für Sicherheit in der Informationstechnik
Branchenüberblick
Gefahrgutklassen unterteilt. Die Unterteilung reicht von explosiven und entzündbaren Stoffen bis hin zu
ätzenden Stoffen. Unternehmen, die im Bereich der Gefahrgutlogistik agieren, unterliegen einem
Spannungsfeld, da nicht nur Kundenanforderungen und wirtschaftliche Unternehmensziele erreicht
werden sollen, sondern in besonderer Hinsicht die Sorgfaltspflicht und die gesetzlichen Regelungen
eingehalten werden müssen, um das Schutzziel zu erreichen. Für folgende Bereiche existieren rechtliche
Grundlagen für die Beförderung von Gefahrgut: allgemeine Vorschriften, stoffspezifische Vorschriften
(Gefahrgutklassen), Kennzeichnung und Markierung, Beförderungsvorschriften (Verpackung, Verladung,
Umgang bei der Beförderung), Zusammenlade- und Zusammenpackverbote, Begleitpapiere, Vorschriften für
Fahrzeug und Container, Verkehrsvorschriften und Umschlag [Arnold et al. 2008, S. 548.554].
Logistik als Querschnittsfunktion
Die Logistikbranche nimmt in Deutschland eine Querschnittsfunktion ein, da sie Basisdienstleistungen für
wirtschaftliche Leistungen anderer Sektoren und Branchen bietet (siehe auch Abschnitt 1.2 „Bedeutung für
Staat und Gesellschaft“, Abschnitt 1.4 „Volkswirtschaftlicher Kontext“ und Kapitel 4 „Logistik in anderen
KRITIS-Sektoren“). Insbesondere weist sie Schnittstellen zu allen Sektoren auf, in denen ein Transport und
eine Lagerung von Gütern stattfinden. Zudem unterstützt sie branchenübergreifend zahlreiche Funktionen
von Industrie- und Handelsunternehmen innerhalb deren Beschaffung, Produktion und Distribution.
Im Gesundheitssektor bestehen Schnittstellen bei Produktionsprozessen von Medikamenten und
medizinischer Ausrüstung sowie bei der Versorgung von Apotheken, Gesundheitszentren und
Krankenhäusern. Logistikdienstleistungen in einer spezialisierten Form treten zudem beim Transport von
Organen und Blutkonserven auf.
Der Energiesektor nutzt logistische Dienstleistungen für die Produktion und Bereitstellung von Energiegewinnungsanlagen wie Kraftwerken, Solar- und Windanlagen. Auch bei der Distribution von Kraftstoffen
werden logistische Dienstleistungen benötigt, zum Beispiel in Form von Tanktransporten für Flüssigkraftstoffe wie Öl oder Benzin oder in Form von Silotransporten für den Transport fester Kraftstoffe wie Kohle,
Biomasse oder Brennstoffen wie Holz. Der Transport von Gas erfolgt durch die Nutzung von Rohrfernleitungen und Pipelines.
Bidirektionale Abhängigkeiten bestehen insbesondere zum Finanzsektor sowie zum Sektor „Informationstechnik und Telekommunikation“ (IKT). Diese Sektoren bieten Dienstleistungen an, welche die Logistik branche unterstützen. Die Logistikbranche wiederum unterstützt die Sektoren insbesondere durch
spezialisierte Transportdienstleistungen wie Geldtransporte und Transporte von IKT-Komponenten sowie
bei der Produktion und Instandsetzung von Kommunikationsanlagen (Sendemasten, Funktürme,
Telefonleitungen etc.).
1.2
Bedeutung für Staat und Gesellschaft
Die Logistikbranche hat eine große Bedeutung für Staat und Gesellschaft, da sie als Schnittstellendisziplin
grundlegende Dienstleistungen erbringt, die von weiten Teilen der Bevölkerung, der Wirtschaft und der
öffentlichen Hand genutzt werden.
In der Wirtschaft sind zahlreiche Dienstleistungen anderer Sektoren zunehmend von komplexen logistischen Prozessen abhängig [BVL 2015c]. „Moderne Mobilitätsinfrastruktur und ein leistungsfähiges
Logistiksystem sind das Rückgrat einer mobilen Gesellschaft und einer wachstumsorientierten Volks wirtschaft. Mit seinem hohen Grad an Industrialisierung, globaler Verflechtung und seiner zentralen Lage
mitten in Europa ist Deutschland wie kaum ein Land der Welt auf reibungslos funktionierende Lieferketten
angewiesen.“ [BMVI 2015, S. 2] Da Deutschland eine stark exportorientierte Wirtschaft aufweist, sind eine
effiziente Logistik bzw. effiziente Logistikdienstleister insbesondere im internationalen Wettbewerb ein
entscheidender Erfolgsfaktor für deutsche Unternehmen. Eine schwerwiegende Störung oder ein Ausfall der
logistischen Dienstleistungen würde die Bedienung ausländischer Absatzmärkte in einer Großzahl von
Wirtschaftszweigen stark beeinflussen, darunter Handel inklusive Import, Pharmaindustrie, Automobilindustrie, Maschinenbau und Energieversorgung. Auch der Import wäre durch einen Ausfall der logistischen
Bundesamt für Sicherheit in der Informationstechnik
19
Branchenüberblick
Dienstleistungen beeinträchtigt. So werden im Rahmen einer globalen Arbeitsteilung viele Vorprodukte aus
dem Ausland eingeführt und in Deutschland weiter verarbeitet, z. B. im Bereich der Elektronik (integrierte
Schaltungen, Festplatten, Displays etc.) oder der Chemie (Grundstoffe und Fertigungserzeugnisse).
Die Kritikalität der Logistikbranche für Staat und Gesellschaft lässt sich jedoch nicht nur an ihrer un mittelbaren Bedeutung für die Wirtschaft bemessen. Auch bei der Versorgung der Bevölkerung mit
kritischen Waren und Dienstleistungen nimmt die Logistikbranche eine zentrale Rolle eine. Eine schwerwiegende Störung oder ein Ausfall der Logistikdienstleistungen hätte kritische Folgen für andere, abhängige
Sektoren und dadurch auch für die Versorgung der Bevölkerung mit essentiellen Gütern wie Lebensmitteln,
Energie, Medikamenten und Textilien. Ein länger andauernder Ausfall könnte zudem Produktion und
Handel schwächen, was ggf. eine Erhöhung der Arbeitslosigkeit verursachen könnte.
Vor dem Hintergrund der Daseinsfürsorge ist eine funktionierende Logistik daher auch für den deutschen
Staat von besonderem Interesse. Weiterhin können Unfallsituationen in Transport-, Lager- und Umschlagprozessen eine Gefährdung der öffentlichen Sicherheit darstellen. Daher begrenzen verschiedene Verordnungen den Rahmen logistischer Dienstleistungen (siehe Abschnitt 2.4 „Rolle der öffentlichen Hand“).
Hierzu zählt beispielsweise die Verordnung (EG) Nr. 561/2006, welche die Lenk- und Ruhezeiten für
Lkw-Fahrer begrenzt und dadurch das Risiko von Verkehrsunfällen im Straßenverkehr senken soll. Weitere
Vorschriften existieren für die Beladung von Lkw, beispielsweise in Bezug auf Maximallasten, eine
Begrenzung der Fahrzeuglänge sowie die Sicherung der Ladung. Auch im Bereich des Schienen-, Luft- und
Binnenwasserstraßentransports gelten Sicherheitsbestimmungen. Besonders für den Transport von
Gefahrgütern jeglicher Art existieren Sicherheitsanweisungen und eine Ausweisung der Gefahrgutklasse der
Güter (siehe Abschnitt 1.1 „Einführung in die Logistik“) [BMVI 2014a]. Für Lager- und Umschlaggebäude
gelten Brandschutzmaßnahmen.
Die Bedeutung der Logistik für Deutschland wird durch den 2010 veröffentlichen „Aktionsplan Güter verkehr und Logistik“ verdeutlicht, der den Güterverkehr und die Logistik in Deutschland auf zukünftige
Herausforderungen wie eine wachsende Wirtschaft und ein stärkeres Verkehrswachstum ausrichtet
[BMVI 2010]. Dies unterstreicht die von Staat und Gesellschaft an die Logistikbranche gestellten
Erwartungen, den aktuellen Standard zu halten und eine kontinuierliche Verbesserung der Logistikdienstleistungen hinsichtlich der Faktoren Schnelligkeit, Kosten und Qualität (z. B. umweltfreundlichere
Transporte und CO2-Bilanzen) anzustreben.
1.3
Wahrnehmung der Branche
Trotz der wichtigen Rolle, die logistische Leistungen aufgrund ihrer Querschnittsfunktion im Alltag
einnehmen, wird Logistik meist auf die sichtbaren Tätigkeiten des Transports, Umschlags und der Lagerung
reduziert. Weiterführende Prozesse und organisatorische Aktivitäten, die tendenziell eher im Hintergrund
bzw. ausschließlich innerhalb einer Organisation ablaufen, werden kaum wahrgenommen.
„Jeder Mensch kommt täglich mit Logistik in Berührung: z. B. auf direktem Wege, wenn der
Paketdienst klingelt und die Ware abgibt, die man am Tag zuvor bestellt hat, oder indirekt, wenn
man auf der Straße einen Lkw mit dem Zusatz 'Logistics', 'Supply Chain Management' oder
'Kontrakt-Logistik' sieht. Doch Logistik ist weit mehr als Paketdienst und Spedition. Auch in
einem Produkt stecken schon viele logistische Leistungen, wenn es den Verbraucher erreicht.“
[DHL 2008]
Die wahrscheinliche größte Wahrnehmung der Logistikbranche ersteht bei der Nutzung von Kurier-,
Express- oder Paketdiensten. Die Anzahl der Sendungen steigt dabei über die letzten Jahre kontinuierlich.
Insbesondere der Onlinehandel ist Grund für den starken Anstieg. Von Geschäftsadressen an Privatkunden
wurden 2012 „erstmals in Deutschland rund eine Milliarde Pakete“ verschickt [Die Welt 2013b]. 2013 wurden
insgesamt 2,66 Milliarden Sendungen per KEP verschickt, 4 Prozent mehr als im Vorjahr (siehe Abbildung 5).
Mit über 2 Milliarden Sendungen entfällt der größte Anteil der Sendungen auf Paketdienste; nur
17,8 Prozent wurden per Kurier- und Expressdienst versandt [statista 2015f].
20
Bundesamt für Sicherheit in der Informationstechnik
Branchenüberblick
3
2,47
2,5
2,12
2,23
2,23
2007
2008
2,56
2,66
2,33
2,18
21,95
1,5
2005
2006
2009
2010
2011
2012
2013
Anzahl Sendungen in Mrd.
Abbildung 5: Anzahl der Sendungen von KEP-Diensten in Deutschland von 2005 bis 2013
Quelle: [statista 2015d]
Dass diese und weitere logistische Leistungen nicht im Verhältnis zur Wahrnehmung der Logistikbranche in
Deutschland stehen, haben auch Logistikdienstleister erkannt. Verschiedene Initiativen und Verbände setzen
es sich daher zum Ziel, die öffentliche Wahrnehmung und Anerkennung der Logistikbranche in Deutsch land zu fördern. So erklärt beispielsweise die Logistik-Initiative Hamburg:
„Das Ansehen der Logistik aber steht in keiner Relation zu der Bedeutung der Logistik - zudem
drittgrößter Wirtschaftszweig in Deutschland. Die Funktion des Enablers für die gesamte
Volkswirtschaft wird nicht angemessen wertgeschätzt und der Beitrag der Logistik zum
Wohlstand der Metropolregion Hamburg wird kaum erkannt. […] So fehlt die öffentliche
Wahrnehmung, was Logistik ist und kann.“ [Logistik-Initiative HH 2015]
Das Wahrnehmungs- und Imageproblem der Logistikbranche kommt auch bei der Suche nach
qualifiziertem Personal zum Tragen und begünstigt eine Verschärfung des Fachkräftemangels. Die von PwC
durchgeführte Studie „Transportation & Logistics 2030“ zeigt, dass Arbeitsplätze in der Logistikbranche
häufig mit schlechten Arbeitsbedingungen und unattraktiven Vergütungsmodellen assoziiert werden. „Und
selbst gut bezahlte Logistik-Jobs mit einem hohen Potenzial zur Weiterentwicklung erscheinen nicht auf
dem 'Radar' von Talenten.“ [PwC 2012]
1.4
Volkswirtschaftlicher Kontext
Aufgrund der bereits aufgezeigten Querschnittsfunktion hat der deutsche Logistikmarkt eine große gesamt wirtschaftliche Bedeutung. Dies betrifft nicht nur den eigentlichen Logistikmarkt, sondern auch die
Logistik-Zulieferwirtschaft mit ca. 0,6 Mio. Arbeitsplätzen und 90 Mrd. Euro Umsatz sowie
Logistik-induzierte Beschäftigungen in fernen Wirtschaftsbereichen mit ca. 1,8 Mio. Arbeitsplätzen (siehe
Abbildung 6).
Bundesamt für Sicherheit in der Informationstechnik
21
Branchenüberblick
Abbildung 6: Gesamtwirtschaftliche Bedeutung der Logistikbranche in Deutschland (2013)
Quelle: in Anlehnung an [Kille/Schwemmer 2014, S. 32]
In Deutschland erbringt der Wirtschaftsbereich Logistik den drittgrößten Umsatz nach der
Automobilindustrie und dem Handel und rangiert damit vor der Elektronikbranche und dem
Maschinenbau [BVL 2015d]. 2014 betrug der Umsatz branchenübergreifend rund 235 Milliarden Euro und
hat sich damit gegenüber 2011 um 12 Milliarden gesteigert (siehe Abbildung 7). Trotz Finanz- und
Wirtschaftskrise zählt die Logistikbranche damit immer noch zu einem der am stärksten wachsenden
Wirtschaftszweige in Deutschland.
Auf dedizierte Logistikdienstleister entfällt nur knapp die Hälfte des Gesamtumsatzes; der größere Teil der
logistischen Prozesse wird unternehmensintern erwirtschaftet [Die Welt 2013a]. 2013 belief sich die
Outsourcingrate logistischer Dienstleistungen in Deutschland auf 48 Prozent. Die höchste
Outsourcingquote liegt dabei im Transportgeschäft; 71 Prozent des Umsatzes mit Transportleistungen
wurden durch Logistikdienstleister erwirtschaftet. In Lagerwirtschaft und Umschlag wurden knapp
55 Prozent durch externe Leistungen erbracht, bei der Auftragsabwicklung und Planung waren es
62,5 Prozent. Die Bestandsverwaltung wird fast vollständig mit internen Ressourcen betrieben; in diesem
Bereich liegt die Outsourcingrate bei lediglich 0,8 Prozent [Kille/Schwemmer 2014, S. 67].
22
Bundesamt für Sicherheit in der Informationstechnik
Branchenüberblick
300
250
200
189
174
218
206
210
200
223
228
230
235
2011
2012
2013
2014
150
100
50
0
2005
2006
2007
2008
2009
2010
Umsatz in Mrd. Euro
Abbildung 7: Umsatz der Logistikbranche in Deutschland von 2005 bis 2014
Quelle: [statista 2015a]. Angabe für 2014 gemäß [BVL 2015d].
Bei der Betrachtung der Umsatzverteilung auf einzelne Marktbereiche 2 wird deutlich, dass Kontraktlogistik
und (landgebundene) Ladungsverkehre die größten Anteile am Gesamtumsatz erwirtschaften (siehe
Abbildung 8). Anteilig betrachtet erbringt die Kontraktlogistik 50 Prozent des Gesamtumsatzes; der Umsatz
mit Ladungsverkehren liegt bei 18,5 Prozent.
14,7
M assengut
42,6
Ladungsverkehre
17,9
Stückgut/Teilladungen
115
Kontraktlogistik / Value Added Services
16,6
KEP
14
Seefracht
9,4
Luftfracht
0
20
40
60
80
100
120
140
Umsatz in Mrd. Euro
Abbildung 8: Umsatz nach einzelnen Marktbereichen der deutschen Logistikbranche (2013)
Quelle: Angaben berechnet aus [Kille/Schwemmer 2014, S. 58]
Die Verteilung des Gesamtumsatzes auf einzelne funktionale Logistikbereiche zeigt, dass nur knapp die
Hälfte der logistischen Leistungen, die in Deutschland erbracht werden, für jedermann sichtbar und
wahrnehmbar sind; nämlich in der Bewegung von Gütern. Die andere Hälfte entfällt auf interne Vorgänge
wie Bestandsverwaltung, Lagerwirtschaft und Umschlag sowie Auftragsabwicklung und Logistikplanung
[BVL 2015d]. Abbildung 9 zeigt die prozentuale Aufteilung des Marktvolumens auf einzelne Logistikbereiche
im Jahr 2013.
2 Zur Differenzierung der Logistikbranche in Marktbereiche und -segmente vgl. Abbildung 4.
Bundesamt für Sicherheit in der Informationstechnik
23
Branchenüberblick
3% 4%
Transport
24%
44%
Bestände
Lager & Umschlag
Auftragsabwicklung
Logistikplanung
25%
Abbildung 9: Umsatzverteilung nach Logistikfunktionen in Prozent (2013)
Quelle: in Anlehnung an [Kille/Schwemmer 2014, S. 58]
In der Logistikbranche sind schätzungsweise 2,9 Millionen Personen beschäftigt. Diese verteilen sich auf ca.
60.000 Unternehmen, die überwiegend mittelständisch geprägt sind [BVL 2015d]. 2013 waren 53 Prozent der
Beschäftigten in Lagerung und Umschlag tätig. Auf Transport und Verkehr entfielen 26 Prozent, 13 Prozent
auf
indirekte
Logistiktätigkeiten3
und
acht
Prozent
auf
administrative
Funktionen
[Kille/Schwemmer 2014, S. 61].
Einordnung in die Wirtschaftszweige des Statistischen Bundesamts
Die zuvor genannten Kennzahlen weichen nach der Strukturerhebung im Dienstleistungsbereich, die das
Statistische Bundesamt jährlich herausgibt, geringfügig ab. So gibt die Erhebung beispielsweise einen
Gesamtumsatz für Verkehr und Lagerei (Abschnitt H) von 280,3 Mrd. Euro im Jahr 2013 an. Dieser beinhaltet
jedoch zusätzlich zu den Logistikanteilen ebenfalls Umsätze der TuV-Branchen Schienenverkehr, Straßenverkehr, Schifffahrt und Luftfahrt, was zusätzlich zum Güterverkehr auch Umsätze im Personenverkehr
einschließt.
Tabelle 2 gibt die Beschäftigten- und Umsatzzahlen für jene Wirtschaftszweige an, die der konkreten
Logistikbranche in Deutschland zugerechnet werden können. Dabei liegt der Anteil der ausgewählten
Wirtschaftszweige in Bezug auf Unternehmensanzahl, Beschäftigtenanzahl und Umsatzerbringung bei
jeweils knapp 70 Prozent in Relation zu den Gesamtzahlen für den Wirtschaftsabschnitt H (nach destatis).
3 Fraunhofer vertritt bei der Erhebung der indirekten Logistik-Erwerbstätigkeiten den Ansatz, dass jede direkte
Logistiktätigkeit (z. B. Lagertätigkeit) einen gewissen Anteil an indirekten Tätigkeiten (z. B. Büroarbeit) bedingt.
„Die Höhe des Anteils bestimmt sich aus der Beschäftigungsstatistik und wird bei der Hochrechnung auf die
Anzahl der direkten Logistik-Erwerbstätigen aufgeschlagen.“ [Kille/Schwemmer 2014, S. 59]
24
Bundesamt für Sicherheit in der Informationstechnik
Branchenüberblick
Bereich
Abschnitt H: Verkehr und Lagerei
Unternehmen 2012
(Anteil in Prozent4)
Beschäftigte 2012
(Anteil in Prozent4)
Umsatz 2012
in Tsd. Euro
(Anteil in Prozent4)
90.871
2.062.370
280.275.687
135 (0,15)
28.163 (1,40)
6.862.705 (2,49)
34.325 (29,09)
393.053 (19,53)
39.130.886 (14,20)
WZ 49:42: Umzugstransporte
1.527 (1,74)
16.869 (0,84)
903.216 (0,33)
WZ 50.2: Güterbeförderung in der Seeund Küstenschifffahrt
2.110 (2,40)
18.709 (0,93)
27.394.526 (9,94)
WZ 50.4: Güterbeförderung in der
Binnenschifffahrt
662 (0,75)
4.162 (0,21)
1.846.634 (0,67)
WZ 51.21: Güterbeförderung in der
Luftfahrt
55 (0,06)
5.964 (0,30)
4.606.355 (1,67)
1.230 (1,40)
62.906 (3,13)
9.478.678 (3,44)
210 (0,24)
19.308 (0,96)
3.776.088 (1,37)
WZ 52.29.1: Spedition
10.403 (11,85)
336.240 (16,71)
68.455.420 (24,84)
WZ 53: Post-, Kurier- und
Expressdienste
10.403 (11,85)
502.904 (24,99)
29.007.106 (10,53)
Summe der WZ
(ohne Gesamtzahlen für Abschnitt H)
61.060 (69,53)
1.388.278 (68,99)
191.461.614 (69,48)
WZ 49.2: Güterbeförderung im
Eisenbahnverkehr
WZ 49.41: Güterbeförderung im
Straßenverkehr
WZ 52.1: Lagerei
WZ 52.24: Frachtumschlag
Tabelle 2: Kennzahlen der Wirtschaftszweige der Logistikbranche nach destatis (2013)
Quelle: [destatis 2015]
In der Auswahl der Wirtschaftszweige, die konkret der Logistik zuzurechnen sind, ist der Wirtschaftszweig
52.2 „Erbringung sonstiger Dienstleistungen für den Verkehr“ bis auf WZ 52.24 „Frachtumschlag“ und WZ
52.29.1 „Spedition“ nicht beinhaltet, sondern wird dem übergeordneten Sektor TuV zugerechnet. Der
Wirtschaftszweig 49.5 „Transport in Rohrfernleitungen“, der den Transport von Rohöl, Mineralöl, Gasen,
Schlämmen und anderen Gütern in Rohrfernleitungen sowie den Betrieb von Pumpstationen beschreibt,
wird in diesem Rahmen dem KRITIS-Sektor Energie zugerechnet; entsprechende kritische Dienstleistungen
wurden dort beschrieben.
Transportierte Gütermenge als Indikator
Obwohl Logistik mehr als nur den reinen Transport von Waren und Gütern beschreibt, kann die
transportierte Gütermenge als Indikator für die volkswirtschaftliche Bedeutung der Logistik herangezogen
werden. Als Teilmenge der Gesamtdisziplin Logistik hat der Transport als logistische Dienstleistung die
höchste Sichtbarkeit für die Bevölkerung. Von der transportierten Gütermenge als Teilbereich der logistisch
erbrachten Leistungen können daher Rückschlüsse auf den Umfang und die Bedeutung der gesamten
Logistikleistungen gezogen werden.
Das transportierte Güteraufkommen in Deutschland steigt seit der Finanzkrise wieder konstant und hat
2014 einen Wert von rund 4.486 Millionen Tonnen erreicht (siehe Abbildung 10). Dabei erbringt der Sektor
4 Anteil in Relation zu den Gesamtzahlen für Abschnitt H „Verkehr und Lagerei“ gemäß Definition des
Statistischen Bundesamts [destatis 2015].
Bundesamt für Sicherheit in der Informationstechnik
25
Branchenüberblick
TuV die notwendigen Infrastrukturen für den Gütertransport; Organisation und Steuerung des Transports
werden als logistische Leistungen erbracht.
5000
4500
4000
3944,2
4088
4149,7
3714,7
4091
3721,5
3804,1
2009
2010
4283,3
4359,1
2012
2013
4485,6
3500
3000
2500
2005
2006
2007
2008
2011
2014
Güteraufkommen in Mio. Tonnen
Abbildung 10: Gesamtes Güteraufkommen in Deutschland im Zeitraum von 2005 bis 2014
Quelle: [statista 2015b]. Bei den Angaben für das Jahr 2014 handelt es sich um vorläufige Ergebnisse.
Der Güterverkehr verteilt sich in unterschiedlichem Maße auf die verschiedenen Verkehrsträger (siehe
Abbildung 11).5 Obwohl die Nutzung von Luftfracht in den vergangenen Jahren gestiegen ist [BGL 2014],
macht der Transport per Flugzeug mit 0,11 Prozent immer noch den deutlich geringsten Anteil der
Verkehrsträger im Logistikbereich aus. Hauptgründe hierfür sind die hohe Kostenintensivität und die
geringere Flexibilität im Vergleich zum Bodentransport und der Seefracht.
Der Großteil der Güter wird nach wie vor auf der Straße transportiert. Im Jahr 2014 betrug der Anteil am
Güteraufkommen 83,62 Prozent, was einer Gütermenge von knapp 3.500 Tonnen entspricht.
2,09%
5,46%
8,72%
0,11%
Straßengüterverkehr
Luftfracht
Eisenbahnen
Binnenschifffahrt
Pipeline/Rohrfernleitungen
83,62%
Abbildung 11: Verteilung des Güteraufkommens auf Verkehrsträger in Prozent (2014)
Quelle: [statista 2015c]
5 Für die Luft- und Seefrachtanteile wurden nur Outbound-Transporte erfasst.
26
Bundesamt für Sicherheit in der Informationstechnik
Branchenüberblick
1.5
Einordnung der Branche Logistik in KRITIS
1.5.1
Abgrenzung zum Sektor Transport und Verkehr
Im Kontext von KRITIS haben sich die Bundesressorts für die Bundesebene auf eine einheitliche Sektorenund Brancheneinteilung der Kritischen Infrastrukturen verständigt. Danach unterteilt sich der als kritisch
definierte Sektor „Transport und Verkehr“ in die sechs Branchen Luftfahrt, Seeschifffahrt, Binnenschifffahrt,
Schienenverkehr, Straßenverkehr und Logistik [BMVI 2015, S. 4]. Als Teil des TuV-Sektors weist die
Logistikbranche enge Abhängigkeiten von den weiteren TuV-Branchen auf. Typische Dienstleistungen dieser
bereits beschriebenen Branchen6 sind die Bereitstellung von Verkehrsinfrastruktur, der Betrieb der
Transportmittel (Züge, Flugzeuge etc.) sowie unterstützende Service- und Steuerungsdiensten wie
Wetterdienste oder Verkehrsdienste.
Durch die Infrastrukturen in den genannten Branchen stellt der TuV-Sektor eine essentielle Grundlage für
die Logistikbranche dar. Qualität, Kapazität und Auslastung der TuV-Strukturen beeinflussen die Qualität
und das Angebotsportfolio der Logistikdienstleister. In besonderen Fällen können auch Logistikdienstleister
eine Betreiberfunktion für Transport- und Verkehrsinfrastrukturen besitzen (z. B. die Deutsche Bahn für den
Betrieb der Eisenbahninfrastruktur).
Für eine Abgrenzung zwischen Logistikbranche und dem übergeordneten Sektor Transport und Verkehr ist
ein institutionaler Ansatz hilfreich, bei dem zwischen Makrologistik und Mikrologistik differenziert wird
(siehe Abbildung 12).
Abbildung 12: Unterteilung in Makro- und Mikrologistik
Quelle: eigene Darstellung
6 Vgl. hierzu [BSI 2014d].
Bundesamt für Sicherheit in der Informationstechnik
27
Branchenüberblick
In der Makrologistik werden logistische Aufgabenstellungen im Sinne einer gesamtwirtschaftlichen
Betrachtung wahrgenommen. Sie hat das Ziel, rationelle Informations-, Verkehrs-, Güter- und Personenströme zu ermöglichen, was durch die Entwicklung geeigneter Infrastrukturen angestrebt wird
[Gudehus 2010, S. 6]. Hierfür stellen das Verkehrswesen bzw. die Verkehrswirtschaft ein wichtiges Feld dar, in
dem die Verkehrslogistik Strukturen und Zusammenhänge untersucht, plant und gestaltet. Weitere
Themengebiete der Makrologistik sind die Abfallbeseitigung sowie die Energieversorgung, die im Rahmen
der KRITIS-Sektorstudie Energie behandelt wurde.
Unter Mikrologistik werden Logistiksysteme gefasst, die nur einzelnen öffentlichen oder
privatwirtschaftlichen Betrieben dienen. Diese mikrologistischen Systeme sind einzelwirtschaftliche
Systeme, in denen z. B. Materialflüsse oder Kommunikationsprozesse gestaltet werden; sie sind sowohl
inner- als auch zwischenbetrieblicher Art. Durch die Fokussierung auf Einzelwirtschaften ergeben sich
weitere Unterdisziplinen wie beispielsweise die Militärlogistik oder die Krankenhauslogistik sowie der weite
Bereich der Unternehmenslogistik. Letztere lässt sich wiederum nach Branchen wie Industrielogistik,
Handelslogistik, Dienstleistungslogistik etc. differenzieren [Heiserich et al. 2011, S. 6–7].
1.5.2
Definition der KRITIS-Branche Logistik
Zur Definition der KRITIS-Branche Logistik sowie zur inhaltlichen und methodischen Abgrenzung der
beiden KRITIS-Studien „Transport und Verkehr“ und „Logistik“ dient zunächst die Einschränkung der
logistischen Leistungen auf den Güterverkehr. Logistik wird ausschließlich verstanden als Transport und
Umschlag physischer Güter und Waren sowie als Organisation und Steuerung dazugehöriger Leistungen wie
Abfallentsorgung, Informationsmanagement etc. Der Personenverkehr ist im Gegensatz zu den anderen
TuV-Branchen kein Teil der Logistikbranche. Daher werden keine Abläufe oder Dienstleistungen betrachtet,
die eine Art des Personenverkehrs darstellen.
Ebenfalls ist Makrologistik, also u. a. der Betrieb der nötigen Verkehrsinfrastruktur, nicht Teil der
KRITIS-Branche Logistik. In einigen Fällen fungieren Logistikdienstleister zwar als Betreiber von
Verkehrsinfrastrukturen; der Großteil der Verkehrsinfrastruktur dient jedoch nicht primär der Logistik,
sondern dem Verkehr im Allgemeinem. Betrieb und Organisation von Straßen, Schienen und Brücken,
Lufträumen sowie Seegebieten sind zwar Grundlage für eine effektive Logistik, jedoch in dieser Studie nicht
Bestandteil der eigentlichen Branche, sondern Teil des übergeordneten KRITIS-Sektors TuV.
Die Mikrologistik, die sich wie in Abbildung 13 dargestellt in Unternehmenslogistik und dedizierte Logistikdienstleister unterteilt, stellt die eigentliche KRITIS-Branche Logistik dar. Hierbei wird der Fokus auf
Unternehmen gelegt, die im Kerngeschäft als Logistikdienstleister fungieren. Logistikanteile in
Unternehmen anderer Sektoren und Branchen werden nicht betrachtet, da sie sich jeweils nur auf einzelne
Unternehmen erstrecken. Zwar gelten diese Unternehmen ggf. als kritisch im Sinne der KRITIS-Definition,
dies ergibt sich jedoch aus ihrem wirtschaftlichen Kontext und nicht notwendigerweise aufgrund ihrer
internen Logistikanteile. Bei der Beschreibung unternehmensinterner Logistikdienstleistungen kann zudem
auf die generellen Abläufe und Prozesse von Logistikdienstleistern verwiesen werden, die
unternehmensintern in kleinerem Rahmen widergespiegelt werden.
Neben der Mikrologistik wird auch die Metalogistik in der KRITIS-Branche Logistik betrachtet. Sie
beinhaltet Allianzen und Kooperationen zwischen Logistikdienstleistern sowie mit Unternehmen anderer
Sektoren, um Bündelungs- und Skaleneffekte zu erreichen oder die Tiefe der angebotenen Dienstleistungen
zu erhöhen (vgl. auch Abschnitt 2.3 „Beziehungen innerhalb der Branche“).
28
Bundesamt für Sicherheit in der Informationstechnik
Branchenüberblick
Abbildung 13: KRITIS-relevante Bereiche der Logistik
Quelle: eigene Darstellung
Bei der Beschreibung der KRITIS-Branche Logistik werden im Folgenden der Betrieb der nötigen Transport flotten mit Güterzügen, Transportschiffen und -flugzeugen sowie der eigentliche Transport unter
Durchführung von Flügen, Schifffahrten und Zugfahrten ausgenommen. 7 Grundsätzlich bestehen in diesem
Punkt keine Unterschiede zum allgemeinen Betrieb von Transportflotten und zur Transportdurchführung
im Sektor TuV. Die dazugehörigen Prozessschritte und IKT-Risikoelemente wurden bereits in der
KRITIS-Sektorstudie TuV vollständig behandelt und benötigen daher keine erneute Betrachtung. 8 Der
Betrieb von Lkw-Flotten sowie die Transportdurchführung im Straßenverkehr werden in Kapitel 3
„Kritische Dienstleistungen“ dieser Studie aufgeführt, da sie in der TuV-Studie nicht oder nur eingeschränkt
betrachtet wurden.
7 Dies betrifft die Wirtschaftszweige WZ 49.2 „Güterbeförderung im Eisenbahnverkehr“, WZ 50.2 „Güterbeförderung in der See- und Küstenschifffahrt“, WZ 50.4 „Güterbeförderung in der Binnenschifffahrt“ und WZ
51.21 „Güterbeförderung in der Luftfahrt“.
8 Vgl. hierzu [BSI 2014d, S. 81-88, 137-144].
Bundesamt für Sicherheit in der Informationstechnik
29
Branchenstruktur
2
Branchenstruktur
2.1
Strukturierung und Organisation der Branche
Im Folgenden wird die Strukturierung und Organisation der Logistikbranche in Deutschland dargestellt.
Dabei werden verschiedene Dienstleistertypen anhand ihrer Leistungstiefe differenziert sowie Merkmale
dieser dargestellt. Weiterhin wird die geographische Verteilung der Logistikbranche aufgezeigt.
Differenzierung von Logistikdienstleistern
Logistikdienstleister können generell anhand ihrer Dienstleistungstiefe unterschieden werden. Diese
beschreibt, in welchem Umfang die logistischen Dienstleistungen die Wertschöpfungskette eines
Unternehmens unterstützen bzw. in diese integriert sind. Eine Unterstützung bzw. Integration kann auf
operativer, koordinierender oder strategischer Ebene erfolgen. Abbildung 14 zeigt die möglichen
Entwicklungsstufen von Logistikdienstleistern. Dabei gilt, dass mit zunehmender Dienstleistungstiefe die
Anzahl operativer Assets wie Transportmittel oder Umschlag- und Lagerflächen abnimmt, die IT-Intensität
der angebotenen Dienstleistungen hingegen zunimmt. Die verschiedenen Entwicklungsstufen bzw.
Dienstleistertypen werden im Folgenden genauer beschrieben.
Abbildung 14: Entwicklungsstufen von Logistikdienstleistern
Quelle: eigene Darstellung
„Bis etwa Ende der 70er Jahre wurden logistische Leistungen zum großen Teil durch die produzierenden
Unternehmen selbst durchgeführt“ [Siebrandt 2010, S. 23]. Dies betrifft die operative Ausführung der
grundlegenden Logistikfunktionen Transport, Umschlag und Lagerung (TUL). Hersteller, die „für die selbst
hergestellten Güter im Selbsteintritt“ [Siebrandt 2010, S. 23] die Logistikdurchführung übernehmen, werden
als First Party Logistics Provider (1PL) bezeichnet. Der Transport ist hierbei meist auf einen oder wenige
Verkehrsträger beschränkt. Die TUL-Tätigkeiten werden mit eigenen Assets wie Transportmitteln, Lagerund Umschlagflächen bedient. Dienstleistungen können dabei auf regionaler, nationaler oder
internationaler Ebene erbracht werden. Heutzutage sind 1PL typischerweise Carrier oder reine
Transporteure, die als Einzeldienstleister auftreten. Sie werden häufig als Subkontraktoren von Verbund- und
Systemdienstleistern (s. u.) beschäftigt. Die Auftragsbindung ist eher kurzfristig und Aufträge werden meist
singulär erteilt.
Ein Sondertyp der Einzeldienstleister sind Spezialdienstleister. Diese verfügen über technische und
organisatorische Kenntnisse in Bezug auf bestimmte Waren, Frachtarten oder Branchen (z. B. im Transport
30
Bundesamt für Sicherheit in der Informationstechnik
Branchenstruktur
von Gefahrengut oder der Chemikalieneinlagerung). Aufgrund des hohen Spezialisierungsgrades ist der
Kundenkreis begrenzter als der anderer Dienstleistertypen. Allerdings sind die Kundenbeziehungen in der
Regel auch stabiler und langfristiger. Aufgrund der Kundenbindung und des Spezialisierungsgrads ist das
Leistungsangebot von Spezialdienstleistern stärker auf regionaler und nationaler Ebene ausgerichtet.
Mit Beginn der 80er Jahre erfolgte die Erbringung logistischer Leistungen verstärkt durch dedizierte
Logistikdienstleister, sogenannte Second Party Logistics Provider (2PL) [Siebrandt 2010, S. 23]. Diese
übernehmen als konkrete Logistikdienstleister die Organisation und Koordination der TUL-Prozesse; sie
werden auch als Spediteure bezeichnet. Hauptaufgabe ist die Organisation einer Transportkette,
insbesondere die Vermittlung der Leistungen zwischen Verlader und Transporteur. Die Hauptaufgabe
besteht nach § 453 HGB Abs. 1 darin, „die Versendung des Guts zu besorgen“. Verfügt der Spediteur über
eigene Transportmittel, ist er gemäß § 458 HGB „befugt, die Beförderung des Gutes durch Selbsteintritt
auszuführen.“ Meist nutzt er jedoch lediglich eigene Lager und Umschlagflächen und beauftragt den
eigentlichen Transport weiter. Die vertragliche Bindung zwischen Auftraggeber und 2PL ist stärker
ausgeprägt als bei 1PL, dennoch eher gering.
Im Gegensatz zu Einzeldienstleistern treten 2PL als Verbunddienstleister auf, da sie einen Verbund von
mehreren logistischen Einzeldienstleistungen anbieten, welche individuell auf bestimmte Kundenanforderungen ausgerichtet werden können. Dies kann auch Value Added Services wie z. B. Veredelung und
Diversifizierung von Produkten umfassen oder Gestellungsmitteilungen an Zollbehörden, die typischerweise durch Seehafen- oder Luftfrachtspediteure auf 2PL-Ebene erbracht werden. Die Beziehungen
zwischen Verbunddienstleister und Kunden sind anonymer und kurzfristiger als bei Einzeldienstleistern.
Allerdings ist der Kundenkreis insgesamt größer. Verbunddienstleister verfügen über eigene Ressourcen,
greifen jedoch ebenfalls auf fremde Dienstleister wie Speditionen oder Logistikzentren zurück und
integrieren externe Leistungen in ihr Logistiknetzwerk. Daher können Frachtketten häufig auf das ganze
Spektrum der Verkehrsträger zurückgreifen.
„In den 90er Jahren entwickelten sich viele der 2PL zu 3PL.“ [Siebrandt 2010, S. 23] Auf koordinativer Ebene
bieten Third Party Logistics Provider (3PL) vollständige Logistiksysteme an und verwalten diese
hinsichtlich Kosteneffizienz und Qualität. Sie werden auch als Systemdienstleister oder Full Service Provider
bezeichnet. Ihr Dienstleistungsspektrum umfasst logistikunterstützende Leistungen wie Bestellwesen,
Auftragsabwicklung, Zahlungsverkehr und sonstige Value Added Services (VAS) sowie Zollformalitäten und
Frachtweiterleitung. Kunden können so komplette Logistikbereiche an einen externen Systemdienstleister
auslagern, weshalb in erster Linie größere Unternehme diesen Service nutzen. Der Kundenkreis von
Systemdienstleistern ist meist beschränkt auf wenige Großkunden; die Auftragsbindung ist sehr eng und
erfolgt in Form von Kontrakten (Kontraktlogistik) zur „langfristige[n] Übernahme komplexer logistischer
Dienstleistungspakete“ [Gabler o.J.a]. Da Systemdienstleister in erster Linie koordinierende Aufgaben
wahrnehmen, verfügen sie meist weder über einen eigenen Fuhrpark noch über eigene Lager- und
Umschlagflächen [Das Wirtschaftslexikon 2013].
Als Erweiterung der 3PL übernehmen Fourth Party Logistics Provider (4PL) die Rolle eines
Logistik-Managers innerhalb eines Unternehmens. Dabei bieten sie keine eigenen logistischen Ressourcen
mehr, sondern verstehen sich als Systemintegratoren, welche zwischen Kunde und anderen
Logistikdienstleistern angesiedelt sind. Sie übernehmen die „übergreifende Steuerung der im logistischen
Netzwerk verteilten technologischen und personellen Ressourcen“ [Gabler o.J.c] und agieren gleichsam als
Provider, indem sie „die unterschiedlichen Teilfunktionen einer logistisch integrierten Lösung“ einkaufen
oder als Kooperation anbieten [BVT 2009]. Dies ermöglicht die Koordination von Kapazitäten und
Technologien, um ganzheitliche Lösungen zu präsentieren.
Als Dienstleister mit der größten Dienstleistungstiefe agieren Fifth Party Logistics Provider (5PL). Sie
werden auch als Lead Logistics Provider (LLP) bezeichnet und nehmen „die Rolle eines 'Führungslogistikers'
in einem Geflecht aus unterschiedlichsten Logistikdienstleistern“ ein [Kille/Schwemmer 2014, S. 123]. LLPs
können Asset-basierte Dienstleistungen anbieten, indem sie eigene operative Ressourcen für Transport- und
Lagertätigkeiten mit strategischen Aufgaben des Logistikmanagements bündeln. Ebenso können
Dienstleistungen ohne eigene Assets erbracht werden, indem LLPs Subdienstleister einsetzen, ihre Lösungen
Bundesamt für Sicherheit in der Informationstechnik
31
Branchenstruktur
koordinieren, kontrollieren und die Bezahlung für die Auftragnehmer abwickeln [Kille/Schwemmer 2014, S.
123]. Dies ermöglicht es, komplexe Systemnetzwerke zu schaffen und die Geschäftsprozesse der Kunden
entlang deren Wertschöpfungskette anhand dieser Netzwerke auszurichten.
Tabelle 3 zeigt eine Übersicht der zusammengefassten Leistungsmerkmale und -angebote nach Dienstleistertyp.
Typ
Leistungsmerkmale
Leistungsangebote
Einzeldienstl - logistische Einzeldienstleistungen
eister
- operative Ausführung der TUL-Prozesse
- großer, oft anonymer Kundenkreis
- sehr unterschiedliche Dauer der
Geschäftsbeziehungen
- Transport, Umschlag und Lagerung
- Verzollung
- meist auf einen oder wenige Verkehrsträger
beschränkt
Spezialdienstl - auf das Transportgut spezialisierte
eister
Einzeldienstleistungen
- begrenzter Kundenkreis
- relativ stabile Geschäftsbeziehungen
- Transport und Lagerung von Wertgut,
Gefahrgut, Kühlgut, Schwergut,
Flüssigkeiten, Gasen oder Chemikalien
Verbunddien - Kombination (Verbund) mehrerer
stleister
logistischer Einzeldienstleistungen
- Organisation und Koordination der
TUL-Prozesse
- großer, meist anonymer Kundenkreis
- kurzfristige und häufig wechselnde
Geschäftsbeziehungen
- stark schwankende Mengenanforderungen
- Kurier-, Express- und Paketdienste
- kombinierte Straßen-, Bahn-, Schiffs-und
Lufttransporte einschließlich Umschlag
- Ver- und Entsorgungsdienstleistungen für
Paletten, Container, Behälter,
Transportmittel und Verpackungen
- Retourenabwicklung und Ersatzteillogistik
- Abfallentsorgung und Recycling
Systemdienst - Aufbau und Betrieb vollständiger
leister
Logistiksysteme
- ausgerichtet auf den Bedarf weniger
Großkunden
- langfristig kalkulierbare Geschäftsbeziehungen (Kontraktlogistik)
- Versorgungs-, Bereitstellungs- und
Distributionssysteme
- Logistikzentren
- Erbringung nach extern vergebener
Unternehmenslogistikfunktionen
Systemintegr - übergreifende Steuerung technologischer
ator
und personeller Ressourcen
- Koordination von Kapazitäten und
Technologien zur Präsentation ganzheitlicher Lösungen
- Übernahme des Logistikmanagements
innerhalb eines Unternehmens
Tabelle 3: Übersicht der Leistungsmerkmale und Leistungsangebote verschiedener Dienstleistertypen
Quelle: in Anlehnung an [BVT 2009, S. 10]
Organisatorische Merkmale der Dienstleistertypen
Transportunternehmen, Speditionen, Systemdienstleister und Systemintegratoren weisen i. d. R. jeweils
gleiche Merkmale in Bezug auf Unternehmensform, -organisation und -größe auf. Jedoch gilt es zu
beachten, dass die Übergänge zwischen den Dienstleistertypen fließend sind und die beschriebenen
Merkmale nicht immer als Indiz gelten. Daher werden im Folgenden die Merkmale für die Gruppen
„Transportunternehmen und Speditionen“, „Speditionen und Systemdienstleister“ und „Systemdienstleister
und Systemintegratoren“ beschrieben.
Transportunternehmen und Speditionen (1PL bis 2PL) sind meist Inhaber-geführt, „häufig in Familienbesitz
gewachsen und in regional verankerten Strukturen ansässig.“ [BVT 2009] Meist handelt es sich bei
Transportunternehmen um Kleinbetriebe mit bis zu 20 Beschäftigten, die primär im Transportbetrieb
32
Bundesamt für Sicherheit in der Informationstechnik
Branchenstruktur
eingesetzt sind. „Die Anzahl der Betriebe, die mehr als fünf Kräfte als Disponenten, im EDV-Bereich oder in
der sonstigen Verwaltung einsetzen, ist gering.“ [BVT 2009]
Speditionen und Logistikdienstleister (2PL bis 3PL) sind meist „unabhängige, traditionsreiche Unternehmen
mit einer festen regionalen Verankerung“. [BVT 2009] Die Beschäftigtenzahl beträgt zwischen 50 und 250
Personen. Dabei ist die Beschäftigtenzahl im Lagerbereich deutlich höher, aber „vor allem die Anzahl der
Disponierenden, der kaufmännischen Angestellten und sonstigen Verwaltungsangestellten ist entsprechend
der umfangreichen Tätigkeitsfunktionen stärker ausgeprägt.“ [BVT 2009]
Systemdienstleister und Systemintegratoren (ab 3PL) sind in der Regel „im Leistungsangebot gewachsene
Unternehmen mit einer langen Speditionstradition oder Logistikunternehmen bzw. -abteilungen größerer
Konzerne. Typisch für diese Unternehmenstypen ist die Angehörigkeit zu einem Unternehmensverbund,
einer Unternehmensgruppe oder einem Konzern.“ [BVT 2009] In der Regel verteilen sich die Unternehmen
auf mehrere Niederlassungen, teils europa- und weltweit, und beschäftigen über 250 Personen. Hiervon ist
der Großteil in klassischen Verwaltungsbereichen sowie Abteilungen für unterschiedliche Logistikprojekte
und Kunden tätig.
Geographische Verteilung des Logistikmarktes
Der Logistikmarkt in Deutschland verteilt sich geographisch über das gesamte Bundesgebiet. Dabei ist eine
Konzentration von Logistikdienstleistern an Standorten zu beobachten, die Transport- und Umschlagtätigkeiten begünstigen, wie z. B. an See- und Binnenhäfen, Flughäfen und großen Autobahnknoten. Anhand
der Logistikattraktivität und -intensivität lassen sich 20 Logistikstandorte und -regionen erkennen, die
jeweils unterschiedliche logistische Aufgaben übernehmen (siehe Abbildung 15).
Bundesamt für Sicherheit in der Informationstechnik
33
Branchenstruktur
Abbildung 15: Funktionale Verortung der wichtigsten Logistikregionen in Deutschland
Quelle: mit freundlicher Genehmigung der Fraunhofer SCS [Fraunhofer SCS 2013]
2.2
Marktteilnehmer
2.2.1
Logistikunternehmen
Bei der Erhebung der wichtigsten Logistikunternehmen des deutschen Logistikmarktes sind verschiedene
notwendige Einschränkungen zu berücksichtigen. Dies betrifft zunächst die sachliche/inhaltliche
Abgrenzung des Begriffes der „Logistik-Dienstleistung“, was darauf zurückzuführen ist, dass es „bis heute
keine ausreichende Übereinstimmung darüber gibt, welche wirtschaftlichen Aktivitäten der Logistik
zuzurechnen und wie Logistikmärkte einzugrenzen sind“ [Kille/Schwemmer 2014, S. 39]. Ein weiterer Punkt
ist „eine geographische Abgrenzung innerdeutscher Dienstleistungen von Dienstleistungen außerhalb
34
Bundesamt für Sicherheit in der Informationstechnik
Branchenstruktur
Deutschlands“ [Kille/Schwemmer 2014, S. 39]. Die Ermittlung nationaler Logistikmarktgrößen und die
Erstellung landesbezogener Umsatzranglisten wird jedoch durch den wachsenden Anteil an
grenzüberschreitend
erbrachten
Logistikleistungen
des
Transports
erschwert.
Viele
Dienstleistungsunternehmen nehmen keine Trennung zwischen z. B. innereuropäischen und
außereuropäischen Leistungsanteilen vor; auch sind Umsatzwerte von Logistik-Dienstleistungen im
Ausland ansässiger Unternehmen, die in einem bestimmten anderen Land erbracht werden, statistisch nicht
zu erfassen [Kille/Schwemmer 2014, S. 41]. Zuletzt ist die „Frage der institutionellen Zuordnung“
[Kille/Schwemmer 2014, S.
39]
von
Unternehmen
zu
Logistikdienstleistungswirtschaften
[Kille/Schwemmer 2014, S. 42] zu betrachten.
Unter Rückbezug auf die Fraunhofer Arbeitsgruppe für Supply Chain Services SCS werden diese Punkte wie
folgt gehandhabt:
– Als Betrachtungsgegenstand für die Markterhebung dienen die „TUL-Logistikdienstleistungen des
Transports, der Umordnung, der Lagerung und damit verbundenen administrativen Aktivitäten in
der Wirtschaft. Das Volumen dieses Marktes umfasst ausdrücklich sowohl die einschlägigen
Leistungen, die mit verladereigenen Mitteln (Werksverkehr, Eigenläger) erbracht werden, wie auch
die fremdvergebenen Leistungen, die von den Logistikdienstleistern erbracht werden.“
[Kille/Schwemmer 2014, S. 41]
– „Um einen eindeutigen Bezug zwischen veröffentlichten Unternehmensumsätzen zum jeweiligen
Bruttoinlandsprodukt […] herzustellen, wird […] das 'Heimatland-Prinzip' angewandt“
[Kille/Schwemmer 2014, S. 42]. Dabei werden alle „inbound“-Leistungsanteile, also die „im
'Heimatland' eines Unternehmens fakturierten und umsatzsteuerlich erfassten Umsätze […] diesem
Land zugerechnet – ohne Rücksicht darauf, inwieweit darin auf ausländischen Streckenanteilen
erbrachte 'outbound'-Leistungsanteile enthalten sind, die insofern zur Überschätzung der Umsätze
des betrachteten Landes führen.“ [Kille/Schwemmer 2014, S. 42]
– „Als 'Logistikdienstleistungsunternehmen' werden solche Unternehmen einbezogen, wo deren
Leistung bzw. Zulieferung für die Erstellung von TUL-Aktivitäten sehr eng verzahnt und exklusiv ist
(wie im Fall eines Hafenbetriebs oder die Leistung eines Güterzugbetreibers). Andere Unternehmen,
deren Infrastruktur- und Vorleistungen nicht integraler Bestandteil der TUL-Leistungsprozesse sind
und […] [diesen nicht primär dienen], werden nicht explizit in die Ranglisten der Logistikdienstleister
einbezogen.“ [Kille/Schwemmer 2014, S. 42]
Datenquellen und Datenlücken
Trotz der beständig intensivierten Datenrecherchen, die der „Top 100“-Studie der Fraunhofer SCS über die
letzten Jahre hinweg zugrunde liegen, können viele „notwendige Informationen nicht direkt aus externen
Datenquellen gewonnen werden. Dies gilt insbesondere für die zentrale Frage nach der Größe der
Logistikaufwendungen in den europäischen Ländern sowie der Marktsegmente und der Aufteilung des
Logistik-Leistungsvolumens in die Funktionsbereiche des Transports, der Lagerung, der Administration etc.“
[Kille/Schwemmer 2014, S. 46] Trotz Hochrechnungen und Einschätzung von Experten ist „ein Risiko von
Unschärfen und Fehleinschätzungen nicht zu eliminieren.“ [Kille/Schwemmer 2014, S. 47] Daher wird die
unterschiedliche Datenqualität durch folgende Markierung gekennzeichnet:
*** = „vollständige eigene und plausibilisierte Angaben der befragten Unternehmen
(Fragebogenangaben, Geschäftsberichte und Firmendrucksachen, Webpages und in persönlichen
Interviews gesammelte Daten mit hoher Wahrscheinlichkeit der 'Richtigkeit')“
[Kille/Schwemmer 2014, S. 47]
** = „durch Schätzungen ergänzte eigene Angaben der Unternehmen und Angaben aus dritten
Quellen (wie DVZ-Archiv und andere Fachzeitschriftenartikel, externe Experteneinschätzung,
Unternehmensdatenbanken), auch Hochrechnungen mit gering eingeschätztem Fehlerrisiko“
[Kille/Schwemmer 2014, S. 47]
Bundesamt für Sicherheit in der Informationstechnik
35
Branchenstruktur
* = „freie eigene Schätzungen aufgrund persönlicher Marktkenntnis der Autoren und
informeller Brancheninformationen mit erhöhtem Fehlerrisiko“ [Kille/Schwemmer 2014, S. 47]
Entsprechend dieser Abgrenzungen und Kennzeichnung der Datenqualität führt Tabelle 4 die 25 größten
Logistikunternehmen in Deutschland im Jahr 2013 nach Umsatz auf.
Rang
Unternehmen
Haupt- Daten-q
sitz
ualität
Umsatz
2013
in Mio. Euro
Entwicklungsstufe9
(1PL bis 5PL)
aktuell
Tendenz
1
Deutsche Post DHL (Group)
DE
**
8.900
5PL
-
2
DB Mobility Logistics AG (Konzern)
DE
***
7.100
5PL
-
3
Kühne + Nagel (AG & Co.) KG
DE
**
3.400
3PL
5PL
4
Dachser GmbH & Co. KG
DE
***
2.790
3PL
5PL
5
Rhenus SE & Co. KG
DE
***
2.200
3PL
5PL
6
Volkswagen Logistics GmbH & Co. OHG
DE
*
1.750
4PL
-
7
United Parcel Service Deutschland Inc.
& Co. KG
DE
**
1.600
3PL
5PL
8
Hermes Europe GmbH
DE
**
1.550
3PL
5PL
9
DPD Dynamic Parcel Distribution
GmbH & Co. KG
DE
**
1.535
3PL
-
10
Panalpina Welttransport (Deutschland)
GmbH
DE
**
1.500
3PL
-
Zwischensumme Top 10
32.325
11
Hellmann Worldwide Logistics GmbH &
Co. KG
DE
***
1.335
3PL
5PL
12
Imperial Logistics International B.V. &
Co. KG
DE
***
1.268
3PL
-
13
Arvato
DE
*
1.250
3PL
4PL
14
BLG Logistics Group AG & Co. KG
DE
***
1.125
3PL
-
15
Kraftverkehr Nagel GmbH & Co. KG
DE
***
1.100
3PL
-
16
Fiege Logistik Holding Stiftung & Co.
KG
DE
*
1.000
3PL
4PL
17
Hamburger Hafen und Logistik AG
DE
**
920
3PL
-
18
General Logistics Systems Germany
GmbH & Co. OHG
DE
*
920
3PL
-
19
DSV Deutschland
DE
***
900
3PL
5PL
20
Deutsche Lufthansa Aktiengesellschaft
DE
**
843
3PL
-
9 Die Spalte gibt lediglich eine grobe Einschätzung, inwieweit das jeweilige Unternehmen anhand seiner
Dienstleistungstiefe in eine der Kategorien 1PL bis 5PL eingeordnet werden kann. Die Einschätzung erfolgte
durch die Autoren der vorliegenden Sektorstudie auf Basis der Eigendarstellung der Unternehmen und des
angebotenen Dienstleistungsspektrums. Sie steht in keinerlei Bezug zur angegebenen „Top 100“-Studie der
Fraunhofer SCS.
36
Bundesamt für Sicherheit in der Informationstechnik
Branchenstruktur
Rang
Unternehmen
Haupt- Daten-q
sitz
ualität
Umsatz
2013
in Mio. Euro
Entwicklungsstufe
(1PL bis 5PL)
aktuell
Tendenz
21
TNT Express GmbH
DE
***
750
3PL
-
22
Logwin AG
LU
***
630
3PL
5PL
23
Hans Geis GmbH + Co.
DE
***
625
3PL
5PL
24
METRO Logistics Germany GmbH
DE
*
600
4PL
-
25
Hapag-Lloyd Aktiengesellschaft
DE
**
550
3PL
-
Zwischensumme Top 25
46.141
Tabelle 4: Top 25 der Logistikunternehmen in Deutschland nach Umsatz(2013)
Quelle: Angaben zu Rangfolge, Hauptsitz, Datenqualität und Umsatz gemäß [Kille/Schwemmer 2014, S. 213].
Angaben zur Entwicklungsstufe bzw. Dienstleistungstiefe beruhen auf eigenen Einschätzungen.
2.2.2
Verbände
Neben den Betreibern haben innerhalb der Branche sowohl Verbände als auch Regulierungsbehörden eine
wichtige Rolle inne. Sie haben zwar keinen unmittelbaren Einfluss auf die eigentliche Leistungserbringung
oder Dienstbereitstellung, treten aber als mittelbare Interessenvertreter sowie in steuernder Funktion auf.
Verbände können als gebündelte Vertreter mehrerer Unternehmen in der Branche politische oder
regulatorische Forderungen mit größerem Nachdruck aussprechen. Durch den Einfluss des Staates in Form
von Gesetzen und Regulierungsbehörden spielen diese Verbände eine wichtige Rolle bei der Entwicklung
der Logistikbranche, da sie die wirtschaftlichen Interessen der Verbandsmitglieder nach außen hin vertreten.
Im Folgenden werden die wichtigsten Verbände für die deutsche Logistikbranche genannt und kurz
beschrieben.10
Der Bundesverband der Kurier-Express-Post-Dienste e.V. (BdKEP) vertritt seit 1990 die Interessen der
mittelständischen Kurier-, Express-, Paket- und Briefdienste. Neben der Reaktion auf Veränderungen im
Markt sowie auf Herausforderungen durch Politik und Verwaltung verfolgt er das Ziel der professionellen
und fachspezifischen Fortbildung zur vertieften Wissensvermittlung seiner Mitglieder und der Branche
[BdKEP 2014].
Der Bundesverband Güterkraftverkehr Logistik und Entsorgung e.V. (BGL) ging nach diversen Fusionen
1999 in seiner heutigen Form hervor. Er ist der „Spitzenverband für Güterkraftverkehr, Logistik und
Entsorgung in Deutschland“ [BGL o.J.a] und betreut über seine Landesverbände die Unternehmen des
deutschen Transportlogistikgewerbes. Der gemeinsame Umsatz der Mitglieder wird mit 31,8 Mrd. Euro in
2012 beziffert [BGL o.J.a; BGL o.J.b].
Der Bundesverband Paket und Expresslogistik e. V. (BIEK) fördert insbesondere die Liberalisierung im
Kommunikations- und Transportbereich. Er „setzt sich für mehr Wettbewerb und faire Wettbewerbsbedingungen auf den Post- und Transportmärkten ein“ und „hilft den Mitgliedsunternehmen dabei, im
globalen Wettbewerb Schritt zu halten“ [BIEK o.J.]. Zudem bearbeitet er in Fachausschüssen „Themen aus
den Bereichen Arbeit & Soziales, Gefahrgut, Image der Branche, Luftverkehr, Post & Regulierung, Recht,
Sicherheit, Verkehr und Zoll.“ [BIEK o.J.]
Der Bundesverband Materialwirtschaft, Einkauf und Logistik e.V. (BME) wurde 1954 gegründet. Er ist
Dienstleister für 9.000 Einzel- und Firmenmitglieder und fördert als Netzwerkgestalter den Erfahrungsaustausch für Unternehmen und Wissenschaft, für die Beschaffungs- und für die Anbieterseite. Der Verband
10 Weitere Verbände, insbesondere auf Ebene des Betriebs von Verkehrsmitteln und -infrastrukturen, finden sich
in [BSI 2014d].
Bundesamt für Sicherheit in der Informationstechnik
37
Branchenstruktur
ist offen für alle Branchen (Industrie, Handel, öffentliche Auftraggeber, Banken/Versicherungen) und
Unternehmensformen [BME 2008].
Die Bundesvereinigung Logistik e.V. (BVL) ist ein offenes Netzwerk von mehr als 10.000 Fach- und
Führungskräften aus Industrie, Handel, Dienstleistung und Wissenschaft, „die aktiv für ein effizientes
Miteinander in der globalisierten Wirtschaft eintreten. Ihr Kernziel ist es, die Bedeutung von Supply Chain
Management und Logistik zu vermitteln – sowie deren Anwendung und Entwicklung voranzubringen.“
[BVL 2015a]
Der Bundesverband der Transportunternehmen e.V. (BVT) setzt sich insbesondere für die Belange und
Rechte kleinerer Transportunternehmen ein. Er bietet Erfahrungsaustausch, Beratung und Informationen
und strebt die Anerkennung kleinerer Transportunternehmen in Öffentlichkeit und Politik an sowie eine
Verringerung von „Bürokratie, Unfairneß und Benachteiligung“ [BVT o.J.].
Der Bundesverband Wirtschaft, Verkehr und Logistik e.V. (BWVL) wurde 1955 gegründet. Er nimmt es sich
zur Aufgabe, als Unternehmensfachverband für Transport und Logistik „die gemeinsamen Interessen der
Mitgliedsunternehmen gegenüber der Politik und in der Wirtschaft engagiert und wirksam zu vertreten. […]
Er setzt sich für nachhaltige Liberalisierung und Harmonisierung der Transportmärkte,
Rahmenbedingungen für reibungslos funktionierende logistische Prozesse und eine optimale Gestaltung
der Informations- und Verkehrsinfrastruktur als Voraussetzung für effizientes wirtschaftliches Handeln ein.“
[BWVL o.J.]
Der Deutsche Speditions- und Logistikverband e.V. (DSLV) beteiligt sich „an der verkehrspolitischen
Diskussion und nimmt im Sinne seiner Mitgliedsunternehmen Stellung zu Gesetzesvorhaben,
Verordnungen und Richtlinien. Darüber hinaus vertritt er die Interessen des Gewerbes gegenüber der
verladenden Wirtschaft und den Verkehrsträgern“ [DSLV 2015b]. Im Rahmen praxisorientierter
Fachausschüsse, Kommissionen und Arbeitskreise analysiert er logistische, rechtliche, organisatorische und
betriebswirtschaftliche Fragen. Er vertritt ca. 3.000 Betriebe, die einen jährlichen Gesamtumsatz von 80 Mrd.
Euro erwirtschaften. Dabei verfolgt er eine enge Zusammenarbeit mit dem Arbeitgeberverband Spedition
und Logistik Deutschland (ASL), dem Verein Automobillogistik im DSLV (AML), der Schutz- und
Aktionsgemeinschaft zur Erhöhung der Sicherheit in der Spedition (s.a.f.e.) sowie dem Bundesverband
Möbelspedition und Logistik (AMÖ) [DSLV 2015b].
Der Zentralverband der deutschen Seehafenbetriebe e.V. (ZDS) „ist der Bundesverband der am
Seegüterumschlag in den deutschen Seehäfen beteiligten Betriebe. Er ist ein Zusammenschluss von
Hafenunternehmen, die unmittelbar und mittelbar am Güterumschlag in den deutschen Seehäfen beteiligt
sind oder der Seeschifffahrt dienen.“ [ZDS o.J.] Der ZDS hat zum Ziel, die Wahrnehmung der gemeinsam
wirtschafts-, gewerbe-, sozial- und tarifpolitischen Interessen der deutschen Seehafenunternehmen zu
stärken, die im Rahmen hybrider Logistiknetzwerke (siehe Abbildung 2) in theoretischem Sinne auch als
Logistikzentren fungieren.
Die International Port Community Systems Association (IPCSA) ist ein Zusammenschluss von 21
Mitgliedern (Stand 07/2014), die gemeinschaftlich Kommunikationssystemen für Häfen betreiben. Die
bereitgestellten elektronischen Kommunikationsplattformen sollen reibungslose Transport- und
Logistikabläufe an hunderten von Seehäfen, Binnenhäfen und Flughäfen gewährleisten [IPCSA 2014]. Ziel ist
es, die Einführung von E-Logistics als Schlüsselelement in der Entwicklung internationaler See-, Transportund Logistiksektoren voranzutreiben.
2.3
Beziehungen innerhalb der Branche
In der Logistik können vertikale und horizontale Beziehungen unterschieden werden. Vertikale
Beziehungen können zwischen verschiedenen Unternehmen und Dienstleistern bestehen. Integrieren
Unternehmen vor- und nachgelagerte Produktionsprozesse (Handels- und Dienstleistungsprozesse) über
mehrere Stufen in der Wertschöpfungskette, kann von einer vertikalen Integration gesprochen werden.
Logistikdienstleister dienen dabei als Kooperationspartner und übernehmen eine verbindende Funktion
zwischen den einzelnen Wertschöpfungsstufen. Abbildung 16 zeigt die vertikale Integration von Wert38
Bundesamt für Sicherheit in der Informationstechnik
Branchenstruktur
schöpfungsketten durch Logistikdienstleister. Dabei werden in der Praxis oft einzelne oder mehrere Stufen
ausgelassen bzw. übersprungen. Aufgrund der globalen Vernetzung von Logistiknetzwerken laufen
Wertschöpfungsketten in der Regal (weit) grenzüberschreitend ab.
Abbildung 16: Vertikale Integration von Wertschöpfungsketten
Quelle: in Anlehnung an [Dangelmeier et al. 2004, S. 5]
Ein Beispiel einer vertikalen Kooperation ist das kollaborative Belieferungskonzept „Vendor Managed
Inventory“. Dabei besteht eine Kollaboration zwischen einem Zulieferer und dem sich auf der nächsthöheren Stufe der Wertschöpfungskette befindenden Partner (z. B. Endprodukthersteller). Die Waren bleiben
solange in Besitz des Lieferanten (die Lagerung und Verwaltung wird extern und in Kundennähe durch
Logistikdienstleister ausgeführt), bis das produzierende Unternehmen die Ware abruft und mittels
Kaufvertrag deren Besitz übernimmt [Arnold et al. 2008, S. 468]. Ein weiteres Beispiel stellen die Kontraktund Projektlogistik dar, in welchen Kooperationen zwischen Logistikdienstleistern und Industrie- oder
Handelsunternehmen geschlossen werden. Auch innerhalb der Logistikbranche existieren vertikale
Kooperationen. Systemdienstleister schließen beispielsweise Kooperationsverträge mit Einzel- oder
Spezialdienstleistern, um einen bestimmten Grad einer Dienstleistungstiefe erreichen zu können (z. B.
Kooperationsverträge zwischen einem Systemdienstleister, der keinen eigenen Fuhrpark besitzt, und einem
Einzeldienstleister, der über eigene Transportmittel verfügt).
Horizontale Kooperationen existieren zwischen einzelnen oder mehreren Unternehmen auf gleicher
Produktionsstufe bzw. Dienstleistungsstufe. Dazu zählen beispielsweise Fusionen zwischen Logistikdienstleistern. Diese können eine Erweiterung des Produktportfolios, der Zielmärkte oder der Geschäftsprozesse bewirken. So kann ein Logistikdienstleister, der sein europäisches Logistiknetz ausweiten möchte,
beispielsweise mit einem nationalen Dienstleister aus Spanien eine Fusion eingehen. Weiterhin existieren in
der Logistikbranche Einkaufskooperationen zwischen Dienstleistern zur Erreichung von Skaleneffekten.
Frachtbörsen bieten Plattformen für das Angebot und den Erwerb von Transportkapazitäten oder
Transportsendungen. Probleme wie Kapazitätsknappheit und der Anteil an Leerfahrten können durch die
Nutzung entsprechender Angeboten auf Frachtbörsen reduziert werden. Dies wird auch durch Logistikdienstleister ohne eigene Transportmittel (3PL oder höher) genutzt, um Transporte „in Gegenrichtung“
günstig einzukaufen, bei denen das entsprechende Fuhrunternehmen andernfalls Leerfahrten nicht
umgehen könnte. Container-Reedereien wie Hapag Lloyd nutzen diese Entwicklung zur Disposition von
Leercontainern, wodurch Unternehmen Leercontainer flexibel ordern und zurückgeben können.
Bundesamt für Sicherheit in der Informationstechnik
39
Branchenstruktur
2.4
Rolle der öffentlichen Hand
Nachfolgend wird die Rolle der öffentlichen Hand sowie die rechtlichen Rahmenbedingungen beschrieben.
Dabei wird primär die Logistikbranche in Deutschland beleuchtet. Eine Beschreibung für die TuV-Branchen
Luftfahrt, Schifffahrt, Schienenverkehr und Straßenverkehr findet sich in [BSI 2014d, S. 24-26, 37-38, 48-49,
63-65].
2.4.1
Beteiligte Organe und Regulierung
Die Logistikbranche in Deutschland fällt unter den Zuständigkeitsbereich des Bundesministeriums für
Verkehr und digitale Infrastruktur (BMVI). Um der Bedeutung von Güterverkehr und Logistik als
entscheidenden Faktoren für die Wettbewerbsfähigkeit Deutschlands Rechnung zu tragen, „muss das
Bundesverkehrsministerium nicht nur die nötige Infrastruktur schaffen, es muss auch umwelt- und
klimapolitische Aspekte berücksichtigen.“ [BMVI 2014b] Hierfür ist die Zusammenarbeit von Wirtschaft,
Wissenschaft, Politik und Verbänden zur nachhaltigen Stärkung der „Logistikdrehscheibe Deutschland“
[BMVI 2014b] zwingend notwendig.
Der Aktionsplan Güterverkehr und Logistik – Logistikinitiative für Deutschland, der im November 2010
durch das BMVI herausgegeben wurde, verdeutlicht die Bedeutung des Logistikmarktes für Deutschland
und soll „die Weichen für ein zukunfts- und leistungsfähiges Logistik und Güterverkehrssystem in
Deutschland“ stellen [BMVI 2010, S. 2]. Er wird durch die im Januar 2015 herausgegebene
Sicherheitsstrategie für die Güterverkehrs- und Logistikwirtschaft erweitert, die darlegt, wie das BMVI
zusammen mit seinem Geschäftsbereich die Aufgabe des Schutzes Kritischer Infrastrukturen und der
verkehrsträgerübergreifenden Gefahrenabwehr versteht und wahrnimmt [BMVI 2015, S. 3].
Mit der Initiative Logistics Alliance Germany (LAG) zielt die Bundesregierung auf die Vermarktung des
Logistikstandorts Deutschland im globalen Wettbewerb. Die LAG ist „ein öffentlich-privates
Partnerschaftsprojekt des Bundesministeriums für Verkehr und digitale Infrastruktur (BMVI) und der
deutschen Logistikwirtschaft, das sich zum Ziel gesetzt hat, den Logistikstandort Deutschland unter dem
Motto 'Logistics made in Germany' im außereuropäischen Ausland zu vermarkten.“ [LAG 2015]
Das Bundesministerium für Wirtschaft und Energie (BMWi) unterstützt finanziell Verbundprojekte, die im
Rahmen der Förderbekanntmachung „Zukunftsfähige Logistiknetzwerke“ neuartige Lösungsansätze für die
Synchronisation von Produktion und Logistik, die Reduktion der Transportkosten durch
Verkehrsvermeidung und -verlagerung, die Anwendung innovativer IuK-Technologie oder die Einführung
neuer Organisationsformen für logistische, intermodale Transportketten aufzeigen.
Der grenzüberschreitende Warenverkehr wird durch die Zollverwaltung überwacht, die dem
Bundesfinanzministerium (BMF) unterstellt ist. Sie umfasst das Zollkriminalamt und örtliche Dienststellen
wie Hauptzollämter, Zollämter und Zollfahndungsämter. Die Zollverwaltung überwacht auch Verbote und
Beschränkungen bei der Einfuhr, Ausfuhr und Durchfuhr von Waren, insbesondere was explosionsgefährliche Stoffe, Waffen, Lebensmittel und geschützte Tiere und Pflanzen nach dem Artenschutz
anbelangt.
Im Postbereich, u. a. für Kurier-, Express- und Paketdienste, ist die Bundesnetzagentur für Elektrizität, Gas,
Telekommunikation, Post und Eisenbahnen (BNetzA) für die „Marktregulierung und Wettbewerbsaufsicht
marktbeherrschender Anbieter zuständig. […] Die ihr zugewiesenen Aufgaben sind im Einzelnen im
Postgesetz und den zugehörigen Verordnungen geregelt.“ [BNetzA 2015]. Zusätzlich regelt die Richtlinie
97/67/EG in der aktuellen Form 2008/06/EG den europäischen Binnenmarkt für Postdienste, um „durch
einen geeigneten Regulierungsrahmen dafür zu sorgen, dass unionsweit allen Bürgern effiziente,
zuverlässige Qualitätspostdienste zu erschwinglichen Preisen zur Verfügung stehen.“ Dies begründet sich
durch die Bedeutung der Postdienste für den wirtschaftlichen Wohlstand und das soziale Gefüge und den
Zusammenhalt in der EU [Europäische Kommission 2015].
40
Bundesamt für Sicherheit in der Informationstechnik
Branchenstruktur
Staatliche Einflüsse, die auch die deutsche Logistikbranche berühren, sind beispielsweise Lenk- und
Ruhezeitenregelungen, die Einführung eines flächendeckenden Mindestlohns, das erweiterte Mautkonzept
und die Privatisierung staatlicher Unternehmen (z. B. Deutsche Post DHL und Deutsche Bahn / DB Schenker
Rail) [Kille/Schwemmer 2014, S. 21–23]. Ferner existieren gesetzliche Regelungen insbesondere für
verschiedene Güterarten. So wird die Beförderung radioaktiver Stoffe und Gefahrgüter im Gesetz über die
Beförderung gefährlicher Güter (GGBefG) und in der Verordnung über die Kontrollen von
Gefahrguttransporten auf der Straße und in den Unternehmen (GGKontrollV) geregelt. Dies beinhaltet
auch Übernahme, Be- und Entladung, Ablieferung und zeitweilige Lagerung entsprechender Güter. Für
Explosivstoffe ist seit 2008 gemäß der Richtlinien 2008/43/EG und 2012/4/EU der Europäischen
Kommission ein Verfahren zur Kennzeichnung und Rückverfolgung gefordert. Seit 2005 besteht weiterhin
die Pflicht der Rückverfolgbarkeit von Lebensmitteln, die durch die EU-Verordnung (EG) Nr. 178/2002
gesetzlich verankert ist und u. a. auch für die Logistikbranche eine Herausforderung im verkehrsträgerübergreifenden Transport darstellt.
Der International Shipment and Port Facility Security Code (ISPS-Code) zur Erhöhung der
Gefahrenabwehr auf Schiffen und in Hafenanlagen wurde auf EU-Ebene durch die EU-Verordnung (EG) Nr.
725/2004 umgesetzt. Ferner regelt die Richtlinie 2010/65/EU Meldeformalitäten für Schiffe beim Einlaufen
in und/oder aus Häfen der EU-Mitgliedsstaaten. Sie hebt die Richtlinie 2002/6/EG auf. Zu den Meldeformalitäten zählen u. a. eine Besatzungs- und Fahrgastliste, ein Gefahrgutmanifest, eine sogenannte WASTE
Declaration, die Informationen über an Bord angefallenen Abfälle und Rückstände verzeichnet,
sicherheitsrelevante Angaben, Erklärung über Schiffsvorräte und persönliche Habe, eine Seegesundheitserklärung sowie eine Ankunftsmeldung. Diese Informationen wurden bislang über unterschiedlichste
Meldewege übermittelt. Mit der neuen Richtlinie ist den Anmeldern eine eindeutige Referenz zur Wiedererkennung zugeordnet und die Kommunikation wird über eine Webanwendung als zentrale Meldestelle
abgewickelt [DAKOSY 2014].
Für die Entwicklung der Logistikbranche ist ebenfalls das IT-Sicherheitsgesetz relevant. Die Bundesregierung will mit diesem Gesetz insbesondere Kritische Infrastrukturen schützen. Wichtige Elemente des
Gesetzes sind die Meldepflicht von IT-Sicherheitsvorfällen an das BSI und die Einhaltung von Mindeststandards an IT-Sicherheit, was insbesondere Betreiber Kritischer Infrastrukturen betreffen wird. [BMI 2014].
2.4.2
Zollabfertigung
Neben der zuvor beschriebenen Regulierung bestehen erhebliche Inderdependenzen mit dem öffentlichen
Sektor im Rahmen der Zollabfertigung. Werden Waren über die Grenzen der Europäischen Union hinaus
verbracht, unterliegen diese der zollamtlichen Überwachung. Dabei wird nach Einfuhr aus
Nicht-EU-Staaten, Ausfuhr in Nicht-EU-Staaten, Warenverkehr innerhalb der EU, Durchfuhr durch
Deutschland sowie Postsendungen und Internetbestellungen unterschieden [BMF o.J.a]. Bei der Einfuhr von
Waren aus Nicht-EU-Staaten ist eine zollamtliche Abfertigung Pflicht. Hierbei müssen in der Regel eine
Einfuhrumsatzsteuer sowie in bestimmten Fällen zusätzliche Verbrauchssteuern entrichtet werden. Als
Voraussetzung für die Zollabwicklung benötigen Unternehmen für die Registrierung und Identifizierung als
Wirtschaftsbeteiligter eine EORI-Nummer (Economic Operators Registration and Identification number).
Bei der Einfuhr von Waren besteht eine verbindliche Zolltarifauskunftspflicht. Dabei müssen die
entsprechenden Zolltarifnummern der abzufertigenden Waren angegeben werden. Vor Verbringung der
Waren in das Zollgebiet ist eine summarische Eingangsanmeldung bei der zuständigen Zollstelle
einzureichen. Die Anmeldung umfasst dabei alle maßgebenden Umstände und Merkmale für die
Zollbehandlung, sowie alle notwendigen Dokumente wie Handlungsrechnungen und Beförderungspapiere
[BMF o.J.b]. Nach der Anmeldung erfolgt die Verbringung der Waren in das Zollgebiet (Grenzüberschreitung)
und die Gestellung.11 Die Eingangsanmeldung wird über das IT-Verfahren „Import Control System“ (ICS)
vorgenommen, die Gestellung erfolgt über das IT-System ATLAS (Automatisiertes Tarif- und lokales
Zollabwicklungssystem), welches durch das BMF zur Verfügung gestellt wird.
11 Die Gestellung ist eine Mitteilung an das Zollamt, dass sich die angemeldeten Waren an der Zollstelle befinden.
Bundesamt für Sicherheit in der Informationstechnik
41
Branchenstruktur
Nach erfolgter Gestellung erfolgt die Abwicklung der Zollanmeldung, die sich in vier Phasen untergliedert:
Entgegennahme der Zollanmeldung, Vorprüfung der Zollanmeldung, Überprüfung der Zollanmeldung und
Überlassung der Ware. Im Rahmen der Vorprüfung und Überprüfung führt die zuständige Zollstelle zu
Sicherheitszwecken ebenfalls eine Risikoanalyse für die zu verzollenden Waren durch, um potentielle
risikobehaftete Lieferungen angemessen zu behandeln.
Nach Freigabe der Waren und der Bescheidung über Einfuhrabgaben werden die Waren in den freien
Wirtschaftsverkehr eingeführt. Einfuhrabgaben sind grundsätzlich zum Zeitpunkt des Grenzübertritts zu
entrichten. Da die Zieldestination der Waren in den meisten Fällen im Binnenland liegt, wurde das
Versandverfahren eingerichtet. Es bietet die Möglichkeit, die Verzollung am Bestimmungsort der Ware
vorzunehmen. Das Versandverfahren wird seit 2005 mit dem New Computerised Transit System (NCTS)
durchgeführt und überwacht den unversteuerten Warenversand. Voraussetzung dafür ist der Zugang zum
IT-System ATLAS.
ATLAS wird ebenso für die zollrechtliche Abwicklung von Warenausfuhren verwendet. In der Regel wird ein
zweistufiges Ausfuhrverfahren angewendet. Dabei erfolgt die Eröffnung des Ausfuhrverfahrens bei der
Ausfuhrzollstelle als nächste Zollstelle zum Geschäftssitz. Die elektronische Ausfuhranmeldung des
Anmelders wird von der Zollstelle überprüft, woraufhin der Anmelder ein Ausfuhrbegleitdokument erhält.
In einer zweite Stufe wird die Ware bei der Ausgangszollstelle gestellt und das Ausfuhrbegleitdokument
vorgelegt. Nachdem der Zoll die Prüfung der Waren auf Übereinstimmung mit dem Ausfuhrbegleitdokument vorgenommen hat, werden diese zur Ausfuhr freigegeben.
Für die Überwachung und Dokumentation des Transports verbrauchssteuerpflichtiger Waren unter
Steueraussetzung zwischen verschiedenen Mitgliedsstaaten wird seit 2011 das EDV-gestützte Beförderungsund Kontrollsystem Exercise Movement and Control System (EMCS) verwendet. Mit Hilfe des elek tronischen Verwaltungsdokuments „e-VD“ wird der Transport durch den Zoll elektronisch überwacht.
Zolllager bieten die Möglichkeit, Transitware zeitlich unbegrenzt unverzollt im Zollgebiet der Gemeinschaft
zu lagern. Weiterhin ist für Waren in einem Zolllager, die zum Absatz in diesem Zollgebiet bestimmt sind,
der anfallende Zoll erst nach Beendigung der Vorratshaltung zu entrichten. Die Anmeldung für das
Zolllagerverfahren kann ebenfalls über ATLAS erfolgen [BMF o.J.a].
2.5
Aktuelle Entwicklungen & Trends
In diesem Kapitel werden aktuelle globale Entwicklungen auf politischer und gesellschaftlicher Ebene mit
Auswirkungen auf die Logistikbranche erläutert. Zudem werden technologische Trends aufgezeigt, die
wahrscheinlich zu organisatorischen und operationellen Veränderungen in der Logistik führen. Dabei
handelt es sich jedoch lediglich um Prognosen; jährlich werden zahlreiche unterschiedliche Publikationen
über Trends und Entwicklungen in der Logistik herausgegeben, was aufzeigt, wie schwierig verlässliche
Voraussagen in diesem Wirtschaftsbereich sind.
Die hier dargestellten Trends greifen daher nur die zentralen, übergeordneten Entwicklungen auf. Bei den
technologischen Trends wurde zudem darauf verzichtet, hochspekulative Prognosen darzustellen, sondern
es werden nur solche Trends aufgezeigt, in denen bereits Anstrengungen in der Umsetzung unternommen
werden oder in naher Zukunft zu erwarten sind.
2.5.1
Globale Entwicklungen
Globalisierung
Die Bedingungen für den weltweiten Handel und Wirtschaftsverkehr haben sich in den letzten zwanzig
Jahren stark verbessert. Durch die Schaffung gemeinsamer Märkte (z. B. EU, MERCOSUR, NAF`TA, ASEAN),
den Abbau von Zollschranken und den Abschluss von Handelsabkommen (z. B. GATT) wurden Handelsbarrieren abgebaut. Die Verbreitung moderner Informationstechnologie hat im Vergleich zu früheren
Verfahren eine bedeutend schnellere und kostengünstigere Kommunikation ermöglicht. Auch die
42
Bundesamt für Sicherheit in der Informationstechnik
Branchenstruktur
fortschreitende Standardisierung durch internationalen Organisationen wie die International Organization
for Standardization (ISO) hat zu einer Senkung der Transaktionskosten für Unternehmen geführt [Deutsche
Post 2008, S. 1].
Die voranschreitende Globalisierung führt als Folge dessen zu einer stärkeren weltwirtschaftlichen Arbeitsteilung. Unternehmen lassen Waren in Ländern mit günstigeren Bedingungen produzieren und verkaufen
diese wiederum in Ländern mit profitablen Absatzmärkten. Als Konsequenz wachsen die Transportdistanzen
zwischen dem Produktionsstandort einer Ware und dem Ort ihrer Distribution an den Endkunden. Dies
führt zu zergliederten Wertschöpfungsketten und komplexeren Ansprüchen an Liefer ketten. Gütermenge,
Transporthäufigkeit und Umschlaggeschwindigkeit nehmen zu. Auch die unterstützenden Prozesse, wie der
Einsatz von Informations- und Kommunikationsmitteln, müssen daran angepasst werden. Durch diese
Entwicklungen steigt global gesehen der Bedarf an Logistikleistungen sowie zugehörigen
Informationssystemen stark an [Kille/Schwemmer 2014, S. 8].
Veränderungen in dieser Arbeitsteilung sind in Zukunft primär durch wirtschaftliche Transformations prozesse in China zu erwarten. Durch die Anstrengungen Chinas, sich vom Billigexporteur zum
Konsumland mit einer stärkeren Binnenwirtschaft zu wandeln, könnten europäische exportorientierte
Firmen profitieren und davon wiederum die Logistikbranche.
Klimawandel und Nachhaltigkeit
Nicht nur wirtschaftliche Entwicklungen wirken auf die Logistikbranche, auch politische und
gesellschaftliche Themen beeinflussen die strategische Ausrichtung von Unternehmen. Der Klimawandel
wird im öffentlichen Bewusstsein zunehmend als eine der drängendsten Herausforderungen unserer Zeit
gesehen. Auch die internationale Politik hat Übereinkommen auf diesem Gebiet gefunden, beispielsweise
das Kyoto-Protokoll, auch wenn die Umsetzung auf nationaler Ebene bisher noch langsam vorangeht.
Zukünftig wird dieses Problem jedoch zwangsläufig stärkerer Bestandteil der politischen Agenda werden,
was sich in neuen Regelungen und Vorschriften äußern wird.
Logistikdienstleister werden sich auf diese Entwicklungen zunehmend einstellen und Nachhaltigkeit sowie
ökologisch verantwortliches Handeln direkt in ihre Konzernstrategien integrieren müssen. Für die
Reduzierung von CO2-Emissionen ist die globale Logistikindustrie von besonderer Bedeutung, da diese 2014
für ca. 14 Prozent der weltweiten Treibhausgase verantwortlich war [statista 2014].12 2010 betrug in
Deutschland der Anteil des Verkehrs (inklusive Personenverkehr) an den gesamten CO 2-Emissionen etwa
20,6 Prozent [destatis 2012, S. 506].
Ökologische Gründe und eine zunehmend restriktivere nationale und internationale Umweltschutzgesetzgebung sind jedoch nicht die einzigen Treiber einer nachhaltigen Logistik. Für Unternehmen bieten
sich angesichts steigender Energiepreise auch ökonomische Vorteile durch eine nachhaltige Unternehmensstrategie. Preisschwankungen erschweren Kostenkalkulationen für Logistikdienstleister. Obwohl seit 2012
die Preise für Dieselkraftstoffe wieder gesunken sind, waren diese zuvor im Zeitraum zwischen 1999 und
2012 von 63,9 Cent auf 148,9 Cent je Liter gestiegen [statista 2015e]. Dies entspricht einer Steigerung um
133 Prozent im genannten Zeitraum. Um eine größere Planungssicherheit zu realisieren, versuchen
Logistikdienstleister daher kontinuierlich, ihre Energieeffizienz zu verbessern [BVL 2015b]. Abzuwarten
bleibt auch, wie sich die sogenannte „grüne Nachfrage“ in Zukunft entwickelt. Privatkunden messen heute
Aspekten der Nachhaltigkeit bei der Wahl ihrer Dienstleister und Produkte bereits deutlich mehr Bedeutung
zu als noch vor 20 Jahren. Auch Investoren setzen verstärkt auf Unternehmen mit nachhaltigen
Geschäftsmodellen, da sich bei diesen die Risiken hinsichtlich umweltpolitischer und sozialer
Regulierungen schwächer darstellen [Deutsche Post 2010, S. 16]. Im Vergleich zu Transporten via Lkw sind
größere Seeschiffe sparsamer pro Ladungseinheit, erhöhen aber Lastspitzen und Anforderungen an die
küstennahen Verkehrswege und senken darüber hinaus die Flexibilität und Substituierbarkeit des
Transports.
Logistiklösungen mit einem geringeren Ausstoß von CO 2-Emissionen sind bisher nicht in großem Umfang
verfügbar, allerdings könnten verschiedene technologische Neuerungen in den nächsten Jahren Fortschritte
12 Dies beinhaltet auch Leistungen des Personentransports.
Bundesamt für Sicherheit in der Informationstechnik
43
Branchenstruktur
ermöglichen. Die in Abschnitt 2.5.2 „Technologische Trends“ aufgeführten Entwicklungen zeigen dabei
einige Möglichkeiten für zukünftige CO 2-arme Logistiklösungen auf.
Shared Economy und andere kooperative Ansätze
Mit dem Thema der Nachhaltigkeit eng verknüpft sind kooperative Ansätze, die helfen sollen, bestehende
Assets zwischen Wettbewerben bzw. „Coopetitors“ ökologisch und ökonomisch sinnvoller zu nutzen. Dabei
handelt es sich vor allem um Ressourcen, die nicht dauerhaft benötigt und daher durch Teilen effektiver
genutzt werden können. Die Nutzung des Internets hat es ermöglicht, schnell und bequem mit anderen in
Kontakt zu treten und kurzfristig verschiedene Waren oder Dienstleistungen zu teilen. Die gemeinsame
Nutzung, aber auch die gemeinsame Produktion, Distribution und der Handel von Waren werden oft unter
dem Begriff „Shared Economy“ zusammengefasst.
„Collaborative Business“ umfasst Konzepte, bei denen Unternehmen Investitionen, logistische Infra strukturen (Lagerhäuser, Transportflotten etc.) und Dienstleistungen mit anderen Coopetitors gemeinsam
nutzen. Die entstehenden Vorteile für Unternehmen sind ähnlich wie bei Privatpersonen: die Kapazitäts auslastung von Vermögenswerten kann erhöht und Kosten gespart werden. Beispiele für Collaborative
Business sind „Shared Logistics Centers“ (SLCs) [DB Schenker 2013], auf deren Kapazitäten
Logistikdienstleister je nach Bedarf zurückgreifen können, oder „Shared Supply Chains“, bei denen Firmen
dieselben Verteilungszentren oder Transportflotten nutzen [Supply Chain Quarterly 2011].
Logistikdienstleister gewinnen durch Collaborative Business ein erhöhtes Maß an Flexibilität. Die
gemeinsame Nutzung bzw. das Teilen von Assets erlaubt es ihnen, sich besser auf wechselnde
Anforderungen wie z. B. saisonale Mengenschwankungen einzustellen. Neben der Senkung von operativen
Kosten können kooperative Ansätze auch zu einer Reduzierung der CO 2-Emissionen eines Unternehmens
führen und dienen daher auch einer nachhaltigen Unternehmensstrategie [DHL 2014, S. 27].
2.5.2
Technologische Trends
Robotik & Automatisierung
Die zunehmende Nutzung von E-Commerce bedeutet eine zunehmende Anzahl von individuellen
Bestellungen. Die Summe der Bestellungen muss entlang aller Logistikdienstleistungen wie dem Transport,
Umschlag und der Lagerung abgewickelt werden und stellt die Dienstleister vor neue Herausforderungen.
Logistikdienstleister experimentieren daher zunehmend mit automatisierten Lösungen und Robotern, die
eine erhöhte Produktionssteigerung versprechen.
Das Hauptanwendungsgebiet für diese Lösungen werden vermutlich Lagerhäuser und Logistikzentren sein.
Hier werden bereits teilweise automatisierte Sortiersysteme eingesetzt, die Pakete in Hochgeschwindigkeit
in die entsprechenden Ablagen sortieren. Auch Versuche mit autonomen Transportshuttles werden bereits
unternommen. Die „Zellulare Intralogistik“ soll die bisherigen innerbetrieblichen Transportprozesse wie
Fördertechnik und Regalbedienung unterstützen oder vollständig ersetzen. Autonome Fahrzeuge sollen sich
frei bewegen können und Regale, Kommissioniergassen und Warenein- und ausgänge selbstständig
ansteuern. In Zukunft sollen sie durch gemeinsame Kommunikation in der Lage sein, sich untereinander zu
koordinieren (Schwarm-Intelligenz) [Fraunhofer IML 2015]. Auf dem Container Terminal Altenwerder (CTA)
der HHLA werden seit 2011 Automated Guided Vehicles, fahrerlose Transportfahrzeuge, eingesetzt, die mit
Batterien betrieben werden, sich autark bewegen und ihre Akkus vollautomatisiert und selbstständig
wechseln [Die Welt 2011].
Andere potentielle Anwendungsgebiete für Robotik und Automatisierung sind KEP-Dienste. Die Sortierung
und Beladung von Transportfahrzeugen, vor allem mit verschiedenen Kleinstwaren und Paketen, ist sehr
zeitintensiv. Paketroboter sollen diese Aufgabe in Zukunft schneller übernehmen und damit einen
reibungsloseren Übergang zwischen Umschlag und Distribution der Waren ermöglichen.
Durch den stetigen Fortschritt in der Leistungsfähigkeit von Robotern ist es wahrscheinlich, dass diese in
den nächsten Jahren einen verstärkten Einsatz in der Logistik finden werden. Durch ihren Einsatz und eine
44
Bundesamt für Sicherheit in der Informationstechnik
Branchenstruktur
verstärkte Prozess-Automatisierung kann die Fehlerquote bei der Güter- und Warenproduktion drastisch
gesenkt und die Produktivität gesteigert werden. Zudem bietet diese Art der Logistikinfrastruktur eine
größere Flexibilität und ermöglicht es dem Dienstleister, besser auf Marktfluktuationen reagieren zu können
[DHL 2014, S. 34].
IT-Lösungen mit Augmented Reality (AR) stellen einen weiteren Trend in der Logistik dar. Als Einsatzgebiet
eignen sich insbesondere komplexe Lagerprozesse mit hohen Anforderungen an Prozesssicherheit und
-transparenz. Da AR-Technologie die Möglichkeit einer optischen Kontrolle von Abläufen bietet, ist der
Einsatz überall dort sinnvoll, wo Qualität eine wichtige Rolle spielt. Dabei entstehen auch Steigerungen der
Prozessqualität und der „Effizienz jedes einzelnen Mitarbeiters, die zukünftig beide Hände für ihre
Kerntätigkeit frei haben. Mit kontextbezogenen Informationen im Blickfeld der Mitarbeiter steigern
Unternehmen ihre Prozesssicherheit und reduzieren damit die Fehlerquote.“ [IT-Zoom 2014] Aktuell
ermöglicht der Stand der Hardware erste Pilotprojekte; jedoch ist noch nicht abzusehen, „wann die
Technologie zum Standard in den logistischen Abläufen der Unternehmen wird.“ [IT-Zoom 2014]
Vorausschauende Logistik
Die zunehmende Nutzung elektronischer Kommunikation und digitaler Medien generiert große Datenvolumen. Die Analyse von Informationen über Kunden und deren Kaufverhalten mittels Algorithmen bildet
die Grundlage der vorausschauenden Logistik.
Nach Angaben des World Economic Forum werden 50 bis 60 Prozent der heutigen Transportkapazitäten
verschwendet [DHL 2014, S. 18]. Mit der Auswertung verschiedener Datenquellen wird versucht, realistische
Prognosen hinsichtlich der zu erwartenden Nachfrage zu erstellen, die dabei helfen sollen, diese (bisher
verschwendeten) Kapazitäten nutzbar zu machen. Auch wird angestrebt, die Prognosen für Liefer- und
Ankunftszeiten im Netzwerk eines Dienstleisters zu verbessern. Bei der Analyse werden interne Daten wie
bisherige Lieferzeiten und externe Daten wie Wetterbedingungen, Feiertage sowie Kaufverhalten
einbezogen. Mittels Big-Data-Analysen ist zudem geplant, ein „vorausschauendes Versenden“ von Waren zu
ermöglichen. Dabei werten Online-Händler die Suchanfragen, früheren Einkäufe sowie Wunschlisten ihrer
Kunden aus, wodurch vorhergesagt werden soll, ob Kunden ein Produkt kaufen werden. Bei hoher
Wahrscheinlichkeit wird die Ware bereits in Richtung des Kunden versandt, bevor dieser die eigentliche
Bestellung aufgegeben hat. Bestellt der Kunde das Produkt wider Erwarten nicht, kann dieses noch im
Transit an eine andere Adresse weitergeleitet werden [Golem.de 2014b].
Durch den Einsatz vorausschauender Logistik versprechen sich Dienstleister, Kapazitäten und Ressourcen in
ihrem Logistiknetzwerk effizienter ausnutzen zu können und schnellere Lieferzeiten sowie dynamischere
Versandoptionen zu realisieren. Zudem könnten die Risiken von Lieferketten durch genauere Bewertungen
gesenkt werden, da durch die Auswertung verschiedener Daten potentielle Risiken präziser antizipiert und
bewertet werden können [DHL 2014, S. 18].
Autonome Logistik
Autonome Logistik umfasst neue Transportmöglichkeiten wie selbststeuernde Fahrzeuge und unbemannte
Luftfahrzeuge (Drohnen) sowie die dazugehörigen Lösungen im Bereich der Produktlagerung. Für autonome Systeme gibt es verschiedene Anwendungsgebiete entlang von Logistikketten. Autonome Fahrzeuge
haben heutzutage bereits einen erheblichen Reifegrad erreicht, auch wenn die Komplexität des Straßenverkehrs weiterhin Herausforderungen bereithält [ZEIT ONLINE 2014]. Mit dem Einsatz von Systemen wie
GPS, Laser-Radar und Entfernungsmessern sind autonome Fahrzeuge heutzutage in der Lage, sich
selbstständig zu steuern. Durch den Abgleich mit aktuellen Verkehrsdaten und die Kommunikation mit
anderen Fahrzeugen kann in Zukunft auch eine dynamischere Routenfindung ermöglicht werden. Unter
anderem arbeitet Mercedes an der Entwicklung von autonomen Lkw und hat auf der Internationalen
Automobil-Ausstellung (IAA) 2014 einen ersten Prototyp vorgestellt. Im vorangegangenen Sommer hatte
dieser Testfahrten mit Geschwindigkeiten von bis zu 80km/h in realistischen Verkehrssituationen auf einem
Teilstück der Autobahn A14 in Magdeburg durchgeführt [Mercedes-Benz 2014]. Ob sich der logistische
Gesamtprozess durch den Einsatz autonomer Transportsysteme nachhaltig ändern wird, bleibt abzuwarten.
Bundesamt für Sicherheit in der Informationstechnik
45
Branchenstruktur
Im März 2015 hat die US-Luftfahrtbehörde ihr Verbot von kommerziellen Drohnen aufgeweicht und
erstmals Tests mit Drohnen für einen kommerziellen Einsatzzweck gestattet [FAA 2015]. Versandhändler wie
Amazon oder DHL experimentieren bereits mit dem Einsatz von Lieferdrohnen. Diese sollen vor allem
eingesetzt werden, um zeitkritische Lieferungen in abgelegene oder schwer zu erreichende Gegenden zu
realisieren. Der Einsatz von Drohnen kann zudem in Regionen sinnvoll sein, in denen nur eine
unzureichende Infrastruktur und Verkehrsträger zur Verfügung stehen.
Experten vermuten zudem, dass Lagerhallen in Zukunft in direkter Verbindung mit dem Kunden stehen
werden. Statt die Lieferung des Produkts an den Kunden über verschiedene Stationen hinweg zu realisieren,
soll der Kunde über das Internet in direkter Kommunikation mit zentralen Warenhäusern stehen.
Kontrollsysteme sollen dann in der Lage sein, in Echtzeit Anfragen aus dem Internet zu verarbeiten und die
entsprechenden Prozesse innerhalb des Warenhauses zu steuern.
Die unmittelbaren Vorteile autonomer Logistiksysteme sind Kostenersparnisse und die Erhöhung der
Reichweite von Logistiknetzwerken. Darüber hinaus ergeben sich Begleiteffekte wie ein verbesserter
Verkehrsfluss und geringere Unfallquoten. Kunden könnten von geringeren Lieferzeiten und Kosten
profitieren [DHL 2014, S. 32].
46
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
3
Kritische Dienstleistungen
Im folgenden Kapitel „Kritische Dienstleistungen“ werden diejenigen logistischen Dienstleistungen
identifiziert und beschrieben, die für eine Industrienation wie Deutschland eine bedeutende (kritische) Rolle
zur Sicherung des Gemeinwohls leisten. Kritische Dienstleistungen sind Dienstleistungen, deren Ausfall oder
Beeinträchtigung zu nachhaltig wirkenden Versorgungsengpässen, erheblichen Störungen der öffentlichen
Sicherheit oder anderen dramatischen Folgen führen kann [BMI 2009].
Im Rahmen dieser Studie werden in der Logistikbranche die folgenden drei kritischen Dienstleistungen
beschrieben und untersucht:
– die Transportlogistik (DL1);
– die Umschlaglogistik (DL2);
– die Lagerlogistik (DL3).
Die Auswahl an kritischen Dienstleistungen kann zum einen auf den staatlichen Auftrag zur Daseinsfürsorge zurückgeführt werden, zum anderen auch auf ihre Bedeutung als Basisdienstleistungen für andere
Sektoren und deren kritische Dienstleistungen [BMI 2011]. Die ausgewählten Dienstleistungen Transport(DL1), Umschlag- (DL2) und Lagerlogistik (DL3) entsprechen den operativen Grundfunktionen in der
Logistik. Dabei hat die Trennung der einzelnen Leistungsbereiche eher idealtypischen Charakter; in der
Praxis treten gerade in multimodalen Verkehren Kombinationen der Dienstleistungen auf, durch die sich
beliebig komplexe Logistikketten mit z. B. zyklischen Lager- und Umschlagprozessen abbilden lassen. 13 In
den nachfolgenden Unterkapiteln werden für jede Dienstleistung sowohl die notwendigen physischen
Tätigkeiten entlang des Materialflusses als auch koordinierende bzw. strategische Tätigkeiten entlang des
Informationsflusses dargestellt.
Der Zusammenhang zwischen den verschiedenen Dienstleistertypen (siehe Abschnitt 2.1 „Strukturierung
und Organisation der Branche“) und den erbrachten kritischen Dienstleistungen lässt sich aufgrund der
komplexen Marktstrukturen lediglich idealtypisch betrachten. Abbildung 17 zeigt dies exemplarisch.
1PL/2PL erbringen oftmals Tätigkeiten im Rahmen einzelner Prozessschritte einer Dienstleistung,
beispielsweise in der Transportlogistik. 3PL übernehmen darüber hinaus die Koordination und Steuerung
ganzer Dienstleistungen oder mehrerer Dienstleistungen inklusive der Schnittstellen zwischen diesen.
4PL/5PL, die umfangreiche Logistikleistungen für externe Unternehmen übernehmen, koordinieren alle
Tätigkeiten der drei betrachteten Dienstleistungen zur Leistungserbringung für das beauftragende
Unternehmen; dies erfolgt aufgrund fehlender operativer Assets unter Rückbezug auf 1PL/2PL oder 3PL,
welche die eigentlichen Tätigkeiten des Transports, Umschlags oder der Lagerung erbringen.
13 Beispielhafte Darstellungen für einfach gebrochene, intramodale sowie mehrfach gebrochene, intermodale
Logistikketten finden sich in Abbildung 33 und Abbildung 35 im Anhang.
Bundesamt für Sicherheit in der Informationstechnik
47
Kritische Dienstleistungen
Abbildung 17: Idealtypische Zuordnung von Dienstleistertypen zu kritischen Dienstleistungen
Quelle: eigene Darstellung
Methodik
Im jeweiligen Abschnitt der einzelnen Dienstleistungen (DL) werden diese als ein Gesamtprozess betrachtet
und in ihrer Funktion beschrieben. Hierzu werden die kritischen Dienstleistungen in Prozessschritte (PS)
untergliedert. Dies ermöglicht eine übersichtliche Betrachtung der zur Erbringung der Dienstleistung
nötigen Schritte oder Komponenten (siehe Abbildung 18). Jedem Prozessschritt sind betriebsinterne
Prozesse (BP) zugeordnet, welche die detaillierteste Betrachtungsebene im Rahmen dieser grundlegenden
Sektorstudie darstellen. Diese Prozesse bilden einen allgemeinen und von der Realität teils abstrahierten
Blick auf den Gesamtprozess. Es werden keine betreiberspezifischen Eigenheiten betrachtet.
Abbildung 18: Modellierung kritischer Dienstleistungen
Quelle: eigene Darstellung
In der Studie werden nur jene betriebsinternen Prozesse genauer betrachtet, deren Ausfall oder Störung zu
einem Ausfall oder einer Beeinträchtigung der gesamten Dienstleistung führen können. In diesem Sinne
stellen sie die kritischen betriebsinternen Prozesse der Dienstleistung dar. Auf diese Prozesse wird inhaltlich
näher eingegangen, um den Bezug zu betroffenen Anlagen und Betriebsstätten (feste Geschäfts48
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
einrichtungen, die der Tätigkeit des Unternehmens dienen) sowie Abhängigkeiten und Zusammenhänge von
und zu anderen kritischen betriebsinternen Prozessen herauszustellen. Nicht KRITIS-relevante betriebsinterne Prozesse werden lediglich in den Übersichtsgrafiken der jeweiligen kritischen Dienst leistung
aufgeführt, jedoch nicht näher erläutert.
Für jede Dienstleistung werden durch beispielhafte Szenarien die dramatischen Folgen eines Ausfalls
verdeutlicht. Diese Szenarien orientieren sich an realen Vorfällen oder basieren auf skizzierten Ursachen und
Folgen, die nach Expertenmeinungen als realistisch angesehenen werden.
Zur Überleitung in die Analyse der Abhängigkeiten der kritischen Dienstleistungen von Informations- und
Kommunikationstechnologie (IKT) und zur Bestimmung des aktuellen Stands der Cybersicherheit werden
in der Beschreibung der betriebsinternen Prozesse verschiedene IKT-Risikoelemente identifiziert. Diese
stellen Systeme der Informationstechnik (IT) und Kommunikationstechnik (KT) dar, welche die betriebsinternen Prozesse stützen bzw. verarbeitete Informationen bereitstellen und verwalten.
Bundesamt für Sicherheit in der Informationstechnik
49
Kritische Dienstleistungen
3.1
Transportlogistik (DL1)
Die kritische Dienstleistung „Transportlogistik“ verbringt Güter zwischen verschiedenen Stationen in einem
Logistiknetzwerk. Hierfür nutzt sie die durch den TuV-Sektor bereitgestellte Infrastrukturen. Sie erbringt
zum einen die operativen Beförderungsleistungen für Produkte und Güter, zum anderen alle für den
Transportvorgang notwendigen Verwaltungs- und Informationsabläufe. Dabei wirken administrative
Größen (z. B. Personalverwaltung, Transport, Fahrzeugverwaltung), dispositive Größen (z. B. Transportstrategien, Transportsteuerung) und operative Größen (z. B. Transporttechnik, Datenübertragungstechnik)
zusammen [Heinrich 2011, S. 97].
Bei Aufträgen, die nicht direkt oder ungebrochen abgewickelt werden, entstehen durch die Verknüpfung
von Transport- und Umschlaglogistik indirekte oder gebrochene Logistikketten. Diese können intra- oder
intermodal ausgestaltet sein.
Neben den eigentlichen Transportmitteln werden verschiedene technische Systeme genutzt, welche die
Vorbereitung des Transports, die Durchführung sowie die Lieferung unterstützen. Die übergeordnete
Aufgabe der Transportlogistik ist dabei, Güter zu möglichst geringen Kosten zu verteilen und bereitzustellen.
Die Transportkosten sinken, „wenn der Wert pro Gewichts- bzw. der Wert pro Volumeneinheit ansteigt, weil
dadurch die Transportkapazitäten besser ausgelastet sind. Die Transportlogistik ist [daher] darauf
ausgerichtet, die Transporte bezüglich Beladung, Entladung, Auslastung, Übergabe sowie Identifizierung zu
optimieren.“ [Heinrich 2011, S. 97]
Die Erbringung der Transportleistung besteht aus technisch und logisch komplexen Vorgängen, die diese
Studie zur Analyse kritischer Zusammenhänge und Abhängigkeiten in logische Teilbereiche, sogenannte
Prozessschritte, unterteilt (siehe Abbildung 19). Jeder Prozessschritt leistet einen wesentlichen Beitrag zur
Erbringung der Dienstleistung und beeinträchtigt bei Störung oder Ausfall die gesamte Dienstleistung.
Für die Dienstleistung „Transportlogistik“ werden im weiteren Verlauf der Studie die folgenden Prozessschritte betrachtet:
• Vorbereitung (PS1): Vorbereitung und Planung des Transports erfolgen in erster Linie im Rahmen des
Auftragsmanagements, der Disposition und der Tourenplanung. Die entsprechenden Tätigkeiten laufen
auf strategischer Ebene ab, daher beinhaltet der Prozessschritt keine Abläufe entlang des Materialflusses.
• Transport (PS2): Zu transportierende Güter werden entsprechend der zuvor erfolgten Transportplanung
übernommen, verladen und zum Bestimmungsort transportiert. Begleitende Tätigkeiten wie die
Überwachung und Steuerung des Transports sowie das Tracking und Tracing von Sendungen oder Fahrzeugen ergänzen den physischen Materialfluss.
• Lieferung (PS3): Die Güter werden entladen und an den Empfänger übergeben. Nach Bestätigung des
abgeschlossenen Transports erfolgt die Fakturierung.
50
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
Abbildung 19: Schematische Darstellung der kritischen Dienstleistung „Transportlogistik“
Quelle: eigene Darstellung
Ausfall der Transportlogistik
Ein Ausfall der Transportlogistik kann vielfältige Ursachen haben:
• Technisches Versagen: Ausfälle der Transportlogistik, verursacht durch Ausfall oder technisches Fehlverhalten von Infrastrukturkomponenten (z. B. Transportmittel) bzw. der eingesetzten Informations- und
Kommunikationstechnologie.
• Menschliches Versagen: Ausfälle der Transportlogistik, verursacht durch menschliches Fehlverhalten,
etwa bei großflächigen Konfigurationsänderungen der Informations- und Kommunikationstechnologie
oder anderer kritischer Systeme.
• Kriminelle oder terroristische Handlungen: Ausfälle der Transportlogistik, verursacht durch absichtliche Manipulationen oder Cyber-Angriffe auf die eingesetzte Informations- und Kommunikationstechnologie oder andere Infrastrukturkomponenten.
Unter dem Begriff „Ausfall“ werden im Folgenden ein vollständiger Ausfall der Dienstleistung, eine
gravierende Störung der Dienstleistung mit konkreten Folgen oder die Zerstörung von Infrastrukturen
(meist verbunden mit Ausfällen) verstanden.
Exemplarisch seien an dieser Stelle einige Ausfallszenarien aufgeführt:
• Menschliches Fehlverhalten bei der Beladung von Transportmitteln, das nicht durch sachgemäße
Kontrollen aufgedeckt wird, kann zu Unfällen und Behinderungen im Verkehr führen. In Folge können
die jeweiligen Verkehrsträger partiell oder vollständig ausfallen. Dies zeigt der Fall der Havarie des
Tankmotorschiffs „Waldhof“ vom Januar 2011 auf dem Mittelrhein. Das Schiff hatte die Fahrt angetreten,
obwohl eine „ausreichende und vorschriftenkonforme Stabilität (Schwimmstabilität) des Fahrzeugs
aufgrund unzulässiger Beladung“ [WSD Südwest 2013] nicht vorgelegen hatte. „Der Rhein war [in Folge]
bis zum Abschluss der Bergungsmaßnahmen über einen Zeitraum von 32 Tagen für den Schiffsverkehr
Bundesamt für Sicherheit in der Informationstechnik
51
Kritische Dienstleistungen
partiell oder vollständig gesperrt, so dass insbesondere oberhalb der Unfallstelle bis zu 450 Schiffe an
einer weiteren Talfahrt gehindert waren.“ [WSD Südwest 2013]
• Externe Cyber-Angriffe können zu einer Störung der Transportlogistik führen, beispielsweise im
Schienenverkehr. Im Jahr 2011 verschafften sich Hacker Zugriff auf Signalsteuerungsanlagen der
Northwest Rail Company (USA) und setzten die Signale auf einem Streckenabschnitt für zwei Tage außer
Betrieb. Da die Strecke „nahezu lahmgelegt“ war, „entstand ein riesiges Chaos“, was zu hohen Kosten für
die betroffenen Transportunternehmen führte [KPMG 2015; Nextgov 2012].
• Terroristische Handlungen unter Nutzung logistischer Infrastrukturen können sowohl direkten Einfluss
auf die angebotenen Dienstleistungen nehmen als auch Auswirkungen auf die öffentliche Sicherheit
nach sich ziehen. Logistische Netzwerke fungieren als Rückgrat der globalen Supply Chains, weshalb
Störungen dieser die nationale Wirtschaft ins Stocken bringen könnten. Angriffe auf besonders stark
frequentierte Knotenpunkte könnten sogar Volkswirtschaften angrenzender Länder destabilisieren. Dies
macht Logistiknetzwerke zu einem präferierten Ziel für terroristische Angriffe. [PwC 2011, S. 32]
Insbesondere das Transportgewerbe gehört zu den bevorzugten Zielen von Internetkriminellen
[eurotransport 2013]. „Die versuchten Bombenanschläge mit manipulierten Luftfrachtsendungen im
Oktober 2010 haben die verlagerte Bedrohung auch im Frachtbereich vor Augen geführt.“ [BMVI 2015, S.
6] Terroristen hatten den Sprengstoff PETN in zwei Druckerpatronen versteckt, die aus dem Jemen per
Luftfracht verschickt wurden. Beide Pakete waren unter anderem von UPS und FedEx transportiert
worden. Obwohl diese nicht das eigentliche Ziel der Bombenpakete waren, hätte eine Detonation an
Bord eines Flugzeuges oder am Boden verheerende Folgen nach sich gezogen [Spiegel Online 2010].
Folgen eines Ausfalls der Transportlogistik
Aufgrund der Komplexität und des vermaschten Aufbaus von Logistiknetzen können Ausfälle von
Verkehrsmitteln und -trägern in den meisten Fällen substituiert werden. Hierbei sind jedoch die
„unterschiedliche Betroffenheit der Verkehrsträger zu berücksichtigen und, ob Ausfälle im Netz durch
Ausweichstrecken anderer Verkehrsträger kompensiert werden können.“ [BMVI 2015, S. 9] Ausfälle zentraler
Knotenpunkte ziehen oftmals großflächige Folgen nach sich, doch auch „punktuelle Ausfälle einiger
wichtiger Verkehrsknoten können genügen, um abhängige Produktions- und Versorgungsbereiche
signifikant einzuschränken oder gar temporär zusammenbrechen zu lassen.“ [BMVI 2015, S. 5]
Die Folgen eines Ausfalls der Transportlogistik unterscheiden sich in den einzelnen Teilen der Gesellschaft:
• Die Bevölkerung ist durch einen Ausfall der Transportleistungen insofern beeinflusst, als dass Güter
nicht oder verspätet bereitgestellt werden können. Ist eine Substitution des Transports nicht möglich,
können nachhaltig wirkende Versorgungsengpässe mit wichtigen Gütern entstehen. Dies betrifft
beispielsweise Lebensmittel oder Medikamente.
• Für die Wirtschaft ist bei Störung oder Ausfall der Transportlogistik von großen finanziellen Auswirkungen auszugehen. Bei einem Großteil der deutschen Wirtschaft bestehen hohe Logistik abhängigkeiten in Prozessen und Wertschöpfung. Insbesondere Just-in-Time-Produktionen, die auf
einem logistikorientierten, dezentralen Organisations- und Steuerungskonzept beruhen, sind schnell
betroffen.
• Auch der Staat ist von einem Ausfall der Transportlogistik betroffen. So wird die Staatsfunktion zur
Versorgung der Bevölkerung eingeschränkt, wodurch in Notsituationen Hilfsgüter nicht verteilt werden
können.
3.1.1
Vorbereitung (PS1)
Im Prozessschritt „Vorbereitung“ werden organisatorische Abläufe erbracht, die zur Durchführung und
Steuerung des Transports notwendig sind. Der Prozessschritt beginnt mit Eingang eines Transportauftrags
und endet mit der konkreten Tourenplanung. Die beinhalteten betriebsinternen Prozesse laufen
ausschließlich auf Ebene des Informationsflusses ab; es finden keine Tätigkeiten statt, die den Materialfluss
52
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
begleiten. Als Dienstleister sind in diesem Prozessschritt vor allem Logistikunternehmen involviert, die als
2PL oder höher agieren.
Die unterschiedlichen Tätigkeiten werden nachfolgend getrennt als sogenannte betriebsinterne Prozesse
betrachtet, um insbesondere die jeweiligen prozessualen und technischen Gegebenheiten bei der Transport vorbereitung zu berücksichtigen (siehe Abbildung 20).
Für den Prozessschritt „Vorbereitung“ werden im weiteren Verlauf die folgenden betriebsinternen Prozesse
betrachtet:
• Auftragsmanagement (BP1): Verwaltung von Kunden- und Auftragsinformationen zur fehlerfreien und
termingerechten Ausführung.
• Disposition (BP2): Logistische Verwaltung und Koordination von Transportaufträgen unter Berücksichtigung vereinbarter Leistungsanforderungen nach vorgegebenen Dispositionsstrategien.
• Tourenplanung (BP3): Organisation von Abhol- und Zustellfahrten dergestalt, dass Anzahl und Einsatzzeit der Transportmittel minimal sind.
Abbildung 20: Prozessschritt „Vorbereitung“ der Dienstleistung „Transportlogistik“
Quelle: eigene Darstellung
Bundesamt für Sicherheit in der Informationstechnik
53
Kritische Dienstleistungen
3.1.1.1
Auftragsmanagement (BP1)
DL
PS
BP
1
1
1
Zusammenfassung
Auftragsmanagement
Der betriebsinterne Prozess „Auftragsmanagement“ beinhaltet die Verwaltung von
Kunden- und Auftragsinformationen zur fehlerfreien und termingerechten
Ausführung.
IKT-Risikoelemente • Customer Relationship Management (CRM)
• Transportmanagementsystem (TMS)
• Kommunikationsverbindungen zur Datenfernübertragung
• Schnittstellen zu Zollsystemen
Tabelle 5: Betriebsinterner Prozess „Auftragsmanagement“ (DL1 PS1 BP1)
Prozessbeschreibung
Das Auftragsmanagement umfasst primär vertriebliche Tätigkeiten. Es beinhaltet sowohl die Verwaltung von
Kundendaten und -informationen als auch das Management eingehender Aufträge zur Vorbereitung des
Transports, des Umschlags oder der Lagerung. „Aufträge sind entweder verbindliche Kundenaufträge,
Vorgaben einer vorausgegangenen Planung oder aus einer kurzfristigen Bedarfsprognose abgeleitet.“
[Gudehus 2010, S. 43] Jeder Auftrag enthält Lieferanforderungen, Operationsanweisungen und
Logistikanforderungen. Lieferanforderungen spezifizieren, welche Frachtarten und Mengen zu
transportieren, umzuschlagen und zu lagern sind. Operationsanweisungen spezifizieren, wie die Leistung zu
erfolgen hat und ob bestimmte Rahmenbedingungen beachtet werden müssen (z. B. bei Spezialtransporten
für Gefahrgut). Logistikanforderungen geben vor, „wann und wo die Liefermengen in welcher Form
abzuholen, abzuliefern oder bereitzustellen sind“ [Gudehus 2010, S. 44].
Aufgaben der kaufmännischen Auftragsbearbeitung sind die Überprüfung der Kundenaufträge hinsichtlich
Preiskonditionen, Liefermodalitäten und Bonität des Kunden, die Auftragsannahme sowie die Einplanung in
die weiteren Logistiktätigkeiten. Eine IT-basierte Unterstützung des Auftragsmanagements über alle
Prozessphasen hinweg erlaubt die Datenübernahme aus Systemen zum Enterprise Resource Planning (ERP),
Customer Relationship Management (CRM) oder aus Warehouse Management Systemen 14 (WMS). Die Integration des Auftragsmanagements in andere Bereiche der Leistungserbringung ermöglicht einen optimalen
Informationsfluss sowie eine lückenlose und bereichsübergreifende Steuerung von Gesamtaufträgen.
Aus externen Aufträgen leiten sich interne Aufträge ab, die regeln, „wann und wie in welchen Leistungsbereichen und von welchen Leistungsstellen welcher Aufgabenumfang der externen Aufträge
durchzuführen ist.“ [Gudehus 2010, S. 45] Die Dokumentation der Aufträge erfolgt im Transportmanagementsystem (TMS). Die Auftragsdaten werden in der Regel per Datenfernübertragung empfangen
und in das System über eine passende Schnittstelle integriert oder manuell erfasst. Das
Transportmanagementsystem wird für die Erstellung der Transportdokumente, für das Avisieren der
Lieferung beim Empfänger, die Fakturierung gegenüber dem Kunden und für Datenübertragung an die Zoll ämter genutzt (siehe Abschnitt 2.4.2 „Zollabfertigung“). Logistikdienstleister, die für ihre Kunden die
Zollanmeldung übernehmen, integrieren in der Regel eine Verknüpfung zwischen dem Zollsystem ATLAS
und ihrem Transportmanagementsystem.
14 Für Systeme der Lagerlogistik werden verschiedene Begriffe wie Lagerverwaltungssystem, Lagerführungssystem oder Warehouse Management System genutzt. Aus Gründen der Vereinfachung und Einheitlichkeit
wird im Folgenden der Begriff „Warehouse Management System“ genutzt, um diese Systeme zu beschreiben.
54
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
Das Auftragsmanagement bildet über den gesamten Logistikprozess hinweg die direkte Schnittstelle
zwischen Logistikdienstleister und Kunden. Ergänzende Informationen zum Auftrag werden im Rahmen
der Auftragsüberwachung (siehe z. B. Abschnitt 3.1.2.3 „Transportsteuerung (BP4)“) geliefert und im
jeweiligen Auftrag dokumentiert.
Bundesamt für Sicherheit in der Informationstechnik
55
Kritische Dienstleistungen
3.1.1.2
Disposition (BP2)
DL
PS
BP
1
1
2
Zusammenfassung
Disposition
Der betriebsinterne Prozess „Disposition“ beinhaltet die logistische Verwaltung von
Transportaufträgen sowie die Bearbeitung aktueller Aufträge und Leistungsanforderungen nach vorgegebenen Dispositionsstrategien.
IKT-Risikoelemente • Transportmanagementsystem (TMS)
• Dispositionssystem
Tabelle 6: Betriebsinterner Prozess „Disposition“ (DL1 PS1 BP2)
Prozessbeschreibung
Die Disposition „findet unverzüglich nach Auftragseingang oder regelmäßig in kurzen Zeitabständen von
wenigen Stunden bis zu mehreren Tagen statt.“ [Gudehus 2010, S. 43]. Ziel der Disposition ist „die
Ausführung der vorliegenden Aufträge innerhalb der zugesagten Lieferzeiten oder zu den geforderten
Lieferterminen mit einer bestimmten Lieferfähigkeit“ [Gudehus 2010, S. 47].
Die Disposition hat die Aufgabe, „die kaufmännisch akzeptierten externen Aufträge zu erfassen, nach
Prioritäten zu ordnen, nach geeigneten Dispositionsstrategien in interne Aufträge aufzulösen und diese an
die betreffenden […] [Leistungsstellen] zur Ausführung weiterzuleiten.“ [Gudehus 2010, S. 46] Sie erbringt „die
mengenmäßige Einteilung der Aufträge mit aktuellen Leistungsanforderungen und die terminierte
Zuweisung der resultierenden internen Aufträge zu den verfügbaren Ressourcen.“ [Gudehus 2010, S. 43]
Disponenten teilen die Touren für Subunternehmer oder die eigene Fahrzeugflotte ein und überwachen die
Erledigung der Aufträge. Gleichzeitig werden Informationen zur Abrechnung und Qualitätssicherung
erfasst.
Die Disposition richtet sich an den Vorgaben der administrativen Ebene (Unternehmensplanung, Strategieentwicklung etc.) aus und verfolgt hierzu verschiedene Dispositionsstrategien. Dies sind im Rahmen der
Transportlogistik in erster Linie verschiedene Transportstrategien. Sie ermöglichen es, die Transporteinheiten optimal zu den entsprechenden Zielorten zu leiten. Hauptsächlich werden hierfür vier Strategien
genutzt: Stationsstrategien, Fahrwegstrategien, Leerfahrtstrategien und Verkehrsstrategien [Gudehus 2010, S.
787–790].
• Stationsstrategien regeln „die Abfertigung der Beförderungsaufträge an den Stationen und das Beladen
der Transporteinheiten mit den zur Beförderung anstehenden Ladungen.“ [Gudehus 2010, S. 787]
• Fahrwegstrategien „regeln die Reihenfolge, in der die Bestimmungsorte der Ladung einer Transporteinheit angefahren werden, und bestimmen den Fahrweg“ [Gudehus 2010, S. 788], unter Einsatz von
Strategien minimaler Fahrwege, maximaler Kapazitätsauslastung oder Fahrplanstrategien.
• Leerfahrtstrategien regeln den Einsatz der leeren und teilgefüllten Transporteinheiten, „die im
Transportnetz eines Fahrzeugsystems umlaufen“ [Gudehus 2010, S. 789].
• Verkehrsstrategien regeln und lenken „die Ströme der Lade- oder Transporteinheiten durch das
Transportnetz so, dass bei Einhaltung der zugesicherten Transportzeiten ein maximaler Durchsatz erreicht wird“ [Gudehus 2010, S. 790], unter Einsatz von Kombinations- und Gesamtnetzstrategien.
Bei der dynamischen Transportdisposition werden eingehende Transportaufträge automatisch mit den „über
Satellitenfunk oder Datenfernübertragung permanent verfügbaren Standorte[n] und Ladungsdaten von
Transportmitteln“ [Gudehus 2010, S. 56] abgeglichen und zugeordnet.
56
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
3.1.1.3
Tourenplanung (BP3)
DL
PS
BP
1
1
3
Zusammenfassung
Tourenplanung
Der betriebsinterne Prozess „Tourenplanung“ beinhaltet die Organisation von Abholund Zustellfahrten dergestalt, dass Anzahl und Einsatzzeit der Transportmittel
minimal sind.
IKT-Risikoelemente • Transportmanagementsystem (TMS)
• Tourenplanungsprogramm
• Flottenmanagementsystem
Tabelle 7: Betriebsinterner Prozess „Tourenplanung“ (DL1 PS1 BP3)
Prozessbeschreibung
Während die Disposition die Einteilung von Aufträgen zu Touren vornimmt, werden bei der Tourenplanung
Abhol- und Zustellfahrten dergestalt organisiert, „dass Anzahl und Einsatzzeit der Transportmittel minimal
sind“ [Gudehus 2010, S. 828].15 Besondere Bedeutung kommt der Toureplanung im Straßenverkehr zu, da
sich Quelle und Senke oft kurzfristig ändern; in den Bereichen Binnen- und Seeschifffahrt, Luft- und
Schienenverkehr spielt die Toureplanung eine untergeordnete Rolle, da Quellen und Senken durch die
existierende Infrastruktur relativ fix sind.
Restriktionen, die bei der Tourenplanung beachtet werden müssen, sind die Transportkapazität der
eingesetzten Transportmittel, die Empfindlichkeit und Beschaffenheit des Frachtguts, die Fahrzeiten gemäß
der zulässigen Arbeitszeit des Fahrers, Abhol- und Anliefertermine sowie die zeitliche Transportdauer unter
Berücksichtigung verkehrsbedingter Geschwindigkeitsbegrenzungen und Staueffekte [Gudehus 2010, S. 828].
Auch weitere externe Faktoren wie akute Gefahrenbereiche (z. B. aufgrund von Naturkatastrophen oder
kriminellen Vorfällen) müssen berücksichtigt werden.
Softwarebasierte Tourenplanungsprogramme nutzen meist heuristische Lösungsverfahren, um Tourenplanungsprobleme ohne Zeitrestriktionen rasch zu lösen. „Bei mehrfachen Zeitrestriktionen und Ein schränkungen der Beladefolge“ [Gudehus 2010, S. 828] ist jedoch nach wie vor eine manuelle Planung der
Touren erforderlich. Ganzladungstransporte, die direkt bedient werden können, werden dabei meist ausgesondert und separat geplant. Teilladungstransporte bedingen die Konstruktion einer brauchbaren
Ausgangssituation, „die den Beförderungsbedarf unter Einhaltung der Restriktionen erfüllt. Die Ausgangslösung kann dann mit Hilfe von heuristischen Verfahren weiter verbessert werden.“ [Gudehus 2010, S. 829]
Zur Erzeugung der Ausgangslösung werden meist Clusterstrategien oder das Drehstrahlverfahren angewendet.
Die Optimierung der Fahrwege kann anhand der kürzesten Fahrweglängen, der kürzesten Fahrzeiten oder
der geringsten Fahrtkosten erfolgen [Gudehus 2010, S. 831].
Die Tourenplanung wird durch das Flottenmanagement ergänzt, welches die Planung, Steuerung und
Kontrolle des Fuhrparks beinhaltet. Die Fuhrparkverwaltung erfolgt heutzutage in der Regel über
Telematiksysteme zur automatischen Positionierung und Koordination der Fahrzeuge. Zum Flottenmanagement zählt auch die Wartung und Instandsetzung der Fahrzeuge. Digitale Systeme zum Flottenmanagement bieten meist Möglichkeiten zur Ermittlung von Einsparpotentialen, zur Optimierung der
Flottenstrukturen sowie zur Erstellung individueller Flottenmanagementkonzepte.
15 Die Abgrenzung von Disposition und Tourenplanung ist nicht immer trennscharf; je nach Kontext bzw.
Organisation werden die Begriffe unterschiedlich verwendet, teilweise auch synonym.
Bundesamt für Sicherheit in der Informationstechnik
57
Kritische Dienstleistungen
3.1.2
Transport (PS2)
Im Prozessschritt „Transport“ werden operative Abläufe erbracht, die zur Durchführung des Transports
notwendig sind. Der Prozessschritt beginnt mit Übernahme der zu verladenden Waren und endet mit dem
eigentlichen Transport. Zu transportierende Güter werden entsprechend der zuvor erfolgten Transportplanung übernommen und verladen sowie zum Bestimmungsort transportiert. Steuernde Tätigkeiten wie
die Überwachung des Transportstatus und das Tracking von Sendungen oder Fahrzeugen ergänzen den
physischen Materialfluss.
Die unterschiedlichen Tätigkeiten werden nachfolgend getrennt als sogenannte betriebsinterne Prozesse
betrachtet, um insbesondere die jeweiligen prozessualen und technischen Gegebenheiten bei der Transport durchführung zu berücksichtigen (siehe Abbildung 21).
Für den Prozessschritt „Transport“ werden im weiteren Verlauf die folgenden betriebsinternen Prozesse
betrachtet:
• Warenübernahme (BP1): Übernahme der zu transportierenden Waren vom Versender und (elektronische) Dokumentation der Warenübernahme sowie Verladung der Waren in das Transportmittel und
Sicherung der Ladung.
• Transport (BP2): Transport der Waren unter Nutzung verschiedener Verkehrsträger und Verkehrsmittel.
• Transportsteuerung (BP3): Realisierung der geplanten Transportstrategien und Steuerung der Transporte unter Berücksichtigung der Gesamtbelastung im Transportnetz.
• Tracking/Tracing (BP4): Tracking des aktuellen Transportstatus und Verfolgung des Sendungsverlaufs.
Abbildung 21: Prozessschritt „Transport“ der Dienstleistung „Transportlogistik“
Quelle: eigene Darstellung
58
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
3.1.2.1
Warenübernahme (BP1)
DL
PS
BP
1
2
1
Zusammenfassung
Warenübernahme
Der betriebsinterne Prozess „Warenannahme“ beinhaltet die Übernahme der zu
transportierenden Waren vom Versender sowie die (elektronische) Dokumentation
der Warenübernahme. Im Anschluss daran erfolgt die Verladung der Waren in das
Transportmittel und die Sicherung der Ladung.
IKT-Risikoelemente • Transportmanagementsystem (TMS)
• Barcode-/RFID-Systeme
Tabelle 8: Betriebsinterner Prozess „Warenübernahme“ (DL1 PS2 BP1)
Prozessbeschreibung
Die Warenübernahme umfasst alle Tätigkeiten, die bei der Übernahme der zu transportierenden Waren vom
Versender erfolgen.16 Dabei werden zunächst die zu übernehmenden Waren mit den (internen)
Transportpapieren verglichen, die im Rahmen des Auftragsmanagements erstellt wurden und Liefer anforderungen, Operationsanweisungen und Logistikanforderungen spezifizieren. Zusätzlich werden die
Waren auf Mängel und Schäden kontrolliert und die Liefermengen überprüft.
Das Kennzeichnen der Waren und Sendungen durch Etiketten oder Beschriftung sowie die Erstellung der
Begleitdokumente wie der Frachtbriefe erfolgt meist durch den Versender. Ggf. übernimmt der Transportdienstleister die Erstellung der Begleitdokumente; dies kann durch das Auftragsmanagement verwaltet
werden.
Die Warenübernahme wird meist in elektronischer Form dokumentiert. Dazu werden die Barcode-Etiketten
der Packstücke bzw. der Gesamtlieferung eingescannt und der Status im Sendungsverlauf ergänzt (siehe
Abschnitt 3.1.2.4 „Tracking/Tracing (BP5)“). Alternativ zu Barcodes kann die Erfassung von Packstücken über
RFID erfolgen.
Bei großen Sendungen (z. B. Containertransporte oder Schüttguttransporte per Bahn oder Schiff) erfolgt
zusätzlich die Verknüpfung mit dem Transportmittel. Container werden i. d. R. leer beim Versender gestellt,
von diesem beladen und nach Wartezeit oder am darauffolgenden Tag abgeholt. Versandmengen, die
weniger als eine Containerladung umfassen (LCL), werden in sogenannten Konsoli dierungspunkten zu einer
Komplettladung zusammen gefasst. In der Seefracht sind diese Punkte typischerweise Packschuppen, bei
Luftfracht erfolgen ähnliche Vorgänge der Mengentransformation durch Handling-Agenten. Bei der
Erstellung der Sendungsdokumente werden die Kennzeichen der Transportmittel (z. B. Containernummer)
vermerkt.
Verladeanlagen wie Hafenkräne werden meist von bestimmten Eigentümern und Betreibern geführt,
welche von Reedern oder Agenten beauftragt werden.
Begleitend oder im Anschluss an die organisatorische Warenübernahme erfolgt die physische Verladung der
Waren in das Transportmittel zur Verlastung. Dabei erfolgt gleichzeitig eine Verknüpfung der erfassten
Waren mit dem Transportmittel bzw. Container, in welchen die Waren verladen werden.
Für die Verladung werden je nach Verkehrsträger bzw. Verkehrsmittel Verladeanlagen wie Kräne, Flurförderzeuge u. a. eingesetzt. Die Verladung der Waren in das Transportmittel muss mit entsprechender Sorgfalt
16 Die Waren werden dabei typischerweise vom Versender vorab kommissioniert und als Gesamtaufträge
bereitgestellt, sodass der Transporteur keine Auswahl der zu übernehmenden Waren treffen muss. Zur
Beschreibung dieser versenderseitigen Vorgänge siehe Abschnitt 3.2.2.3 „Kommissionierung (BP3)“ und
Abschnitt 3.2.3.1 „Warenübergabe (BP1)“.
Bundesamt für Sicherheit in der Informationstechnik
59
Kritische Dienstleistungen
erfolgen, da die Verteilung des Ladegewichts das Fahr- bzw. Flugverhalten beeinflusst. Zur
Transportsicherheit wird die Ladung gegen die beim Transport auftretenden physikalischen Bewegungs kräfte (bei Beschleunigung, Bremsen, Durchfahren von Kurven oder auf unebenen Straßen) gesichert. Im
Straßentransport wird dies durch § 22 StVO begründet, der verlangt, die Ladung „so zu verstauen und zu
sichern, dass sie selbst bei Vollbremsung oder plötzlicher Ausweichbewegung nicht verrutschen, umfallen,
hin- und herrollen, herabfallen oder vermeidbaren Lärm erzeugen“ kann. Die Ladungssicherung kann
entweder durch eine kraftschlüssige oder eine formschlüssige Sicherung erfolgen. Während bei der kraft schlüssigen Sicherung die Ladung mittels Zurrgurten (bzw. Zurrketten im Schwerlastbereich) auf die Lade fläche gepresst und dadurch die Reibungskraft erhöht wird, wird bei der formschlüssigen Sicherung die
Ladung durch bündiges, lückenloses Verladen oder mittels Schräg- und Diagonalzurren gesichert. Als
anerkanntes Grundlagenwerk der Ladungssicherung gilt die VDI-Richtlinienreihe VDI 2700 „Ladungssicherung auf Straßenfahrzeugen“, die beschreibt, welche Kräfte auf eine Ladung im Fahrbetrieb einwirken
und wie Ladungen grundsätzlich gesichert werden können. Auch die Bundesanstalt für Materialforschung
und -prüfung (BAM) sowie der Gesamtverband der deutschen Versicherungswirtschaft (GDV) geben
Auskunft über sachgerechte Ladungssicherung. Zuständig für die Kontrolle der Einhaltung der gültigen
Rechtsvorschriften ist das Bundesamt für Güterverkehr (BAG).
60
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
3.1.2.2
Transport (BP2)
DL
PS
BP
1
2
2
Zusammenfassung
Transport
Der betriebsinterne Prozess „Transport“ beinhaltet den Transport der Waren unter
Nutzung verschiedener Verkehrsträger und Verkehrsmittel.
IKT-Risikoelemente • Navigationssysteme
Tabelle 9: Betriebsinterner Prozess „Transport“ (DL1 PS2 BP2)
Prozessbeschreibung17
Die Durchführung von Transporten im Straßenverkehr erfolgt mit Lastkraftwagen, die im Rahmen des
Flottenmanagements (siehe Abschnitt 3.1.1.3 „Tourenplanung (BP3)“) durch die Logistikdienstleister (meist
Speditionen und Transporteure/Einzeldienstleister) unterhalten werden.
• Steuerung der Fahrzeugantriebe
Lkw werden primär über einen verbrennungsmotorischen Antrieb angetrieben [Heinrich 2011, S. 101]. In
Europa sind dies für Lkw ab 3,5 Tonnen in der Regel wassergekühlte Viertakt-Dieselmotoren. Die
Steuerung erfolgt über den Lkw-Fahrer aus der Fahrzeugkabine.
• Navigation
Die Navigation im Straßenverkehr erfolgt meist GPS-basiert durch entsprechende Navigationssoftware
zur Routenbestimmung und Routenoptimierung. Sie kann auch zentral aus Logistikzentren heraus im
Rahmen der Transportsteuerung erfolgen (siehe Abschnitt 3.1.2.3 „Transportsteuerung (BP4)“).
• Kommunikation
Im Rahmen der Transportsteuerung erfolgt während des Transports eine Kommunikation zwischen
Fahrer und Leitstelle (siehe hierzu Abschnitt 3.1.2.3 „Transportsteuerung (BP4)“).
17 Der Transport erfolgt für die Schifffahrt, Luftfahrt und im Schienenverkehr unter Durchführung von Flügen,
Schifffahrten und Zugfahrten. Diese Vorgänge sind als betriebsinterne Prozesse in der KRITIS-Sektorstudie
Transport und Verkehr bereits beschrieben worden (vgl. [BSI 2014d, S. 81–88]).
Bundesamt für Sicherheit in der Informationstechnik
61
Kritische Dienstleistungen
3.1.2.3
Transportsteuerung (BP4)
DL
PS
BP
1
2
4
Zusammenfassung
Transportsteuerung
Der betriebsinterne Prozess „Transportsteuerung“ beinhaltet die Realisierung der
geplanten Transportstrategien und die Steuerung der Transporte unter
Berücksichtigung der Gesamtbelastung im Transportnetz.
IKT-Risikoelemente • Transportmanagementsystem (TMS)
• Flottenmanagementsystem
Tabelle 10: Betriebsinterner Prozess „Transportsteuerung“ (DL1 PS2 BP4)
Prozessbeschreibung18
Die operative Durchführung der geplanten Transportstrategien (siehe Abschnitt 3.1.1.2 „Disposition (BP2)“)
ist Aufgabe der Transportsteuerung, die meist zentralisiert erfolgt. Sie löst die Bewegung der Lade- oder
Transporteinheiten durch das Transportnetz aus, kontrolliert und koordiniert diese und steuert und regelt
sie entsprechend der Gesamtbelastung [Gudehus 2010, S. 784]. Eine dynamische Transportsteuerung
ermöglicht auch kurz- und mittelfristige Anpassungen der Tourengebiete und -grenzen an Veränderungen
und Schwankungen des Sendungsaufkommens.
Die Transportsteuerung ist für die Steuerung sämtlicher Transportoperationen zuständig. Sie realisiert die
geplante Transportstrategie und gibt den optimalen Weg für den Transport vor. Dabei berücksichtigt sie
Verkehrsbeschränkungen, -dichte und -störungen, den Belegungszustand von Strecken (z. B. Straßen) und
Punkten (z. B. Anlieferungsrampen) und den Betriebszustand der Transportmittel. Dies ist insbesondere für
die Just-in-Time-Logistik relevant. Verzögern sich Lieferungen durch Probleme im Transportnetz, beispiels weise durch Staus oder Unfälle, kann dies die gesamte Produktion beeinträchtigen, da die Unternehmen
keine Bestände vorhalten, um Lieferzeiten zu überbrücken.
Die Transportsteuerung umfasst auch die Kommunikation mit dem nächsten Empfänger zur Ankündigung
der Lieferung. Insbesondere im Bereich von Teil- und Komplettlieferungen erfordert dies die Übermittlung
von Statusinformationen wie „Lkw in Anfahrt“ oder „Lkw abgefertigt“.
Die Komplexität in Planung und Ausführung von Transporten nimmt insbesondere in Stadtgebieten stetig
zu. Von 2008 bis 2009 entwickelte die Deutsche Post DHL in Zusammenarbeit mit dem Deutschen Zentrum
für Luft- und Raumfahrt (DLR) sowie dem Institut für Wirtschaftsinformatik am Deutschen Forschungsinstitut für künstliche Intelligenz (DFKI) das Konzept „SmartTruck“ zur effizienten Fahrzeugauslastung und
Tourenplanung. Hierfür wurden verschiedene Technologien in das Transportmittel integriert, u. a. eine
Transportplanungs- und -steuerungssoftware für die Transport- und Netzwerkplanung, GPS zur Positionsbestimmung und Integration von Verkehrsinformationen, Software zur Routenplanung und Routenoptimierung und mobile Endgeräte zur Kommunikation zwischen Fahrer und Leitstelle. Das Konzept wurde
2009 von DHL in Berlin und anschließend in weiteren deutschen Städten getestet [DHL 2015].
18 Die Transportsteuerung bei der Durchführung von Flügen, Schifffahrten und Zugfahrten sind in den
entsprechenden betriebsinternen Prozessen in der KRITIS-Sektorstudie Transport und Verkehr beinhaltet (vgl.
[BSI 2014d, S. 81–88]).
62
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
3.1.2.4
Tracking/Tracing (BP5)
DL
PS
BP
1
2
5
Zusammenfassung
Tracking/Tracing
Der betriebsinterne Prozess „Tracking/Tracing“ beinhaltet das Tracking des aktuellen
Transportstatus sowie die Verfolgung des Sendungsverlaufs.
IKT-Risikoelemente • Transportmanagementsystem (TMS)
• Flottenmanagementsystem
• Barcode-/RFID-Systeme
• Portal zur Sendungsverfolgung
Tabelle 11: Betriebsinterner Prozess „Tracking/Tracing“ (DL1 PS2 BP5)
Prozessbeschreibung
Tracking und Tracing (kurz „Track and Trace“) sind in erster Linie begleitende Services zum eigentlichen
Transport, die jedoch zunehmend als Standardanwendung insbesondere für KEP-Dienste angesehen
werden. Tracking bezeichnet die Sendungsverfolgung vom Versender zum Empfänger und ermöglicht es,
jederzeit einzusehen, wo sich ein Packstück gerade befindet und wer am Transport beteiligt ist. Tracing die
Rückverfolgung der Sendungsherkunft vom Endabnehmer bis zum Punkt der ursprünglichen Erzeugung
[Gudehus 2010, S. 57]. Damit soll eine umfangreiche Transparenz innerhalb der verschiedenen Stufen der
Logistikkette gewährleistet werden. Auf Basis dessen können Prozesse optimiert und ungenutzte
Kapazitäten reduziert werden, beispielsweise durch die exakte Planung von Wareneingängen beim
Empfänger.
Für Tracking und Tracing werden IT-Systeme eingesetzt, die primär aus einem Transponder und einem
Lesegerät samt zugehöriger Software bestehen. Dafür werden die zu transportierenden Waren mit
maschinell lesbaren Etiketten versehen, die im Rahmen der Warenübernahme (siehe Abschnitt 3.1.2.1
„Warenübernahme (BP1)“) erfasst werden. Eine Erfassung erfolgt auch an wesentlichen Zwischenstationen
im Transport, beispielsweise an Umschlaghubs oder Zentrallagern. Die im Etikett enthaltenen Daten werden
übertragen, zentral gespeichert und meist im Rahmen des Auftragsmanagements für Versender und
Empfänger zur Information bereitgestellt (siehe Abschnitt 3.1.1.1 „Auftragsmanagement (BP1)“).
„Die entsprechenden Daten werden über GSM an den Logistik-Dienstleister oder Paketdienst
übermittelt. Je nach vereinbartem Servicelevel bekommen die Beteiligten, etwa der
Empfangsspediteur oder der Empfänger, bestimmte Nachrichten und Statusmeldungen in
Echtzeit zugestellt. Kunden und Logistik-Dienstleister können so jederzeit nachvollziehen, wo
sich ein Paket befindet.“ [TecChannel 2007]
Bundesamt für Sicherheit in der Informationstechnik
63
Kritische Dienstleistungen
3.1.3
Lieferung (PS3)
Im Prozessschritt „Lieferung“ werden operative Abläufe erbracht, die den erfolgten Transport abschließen.
Der Prozessschritt beginnt mit Entladung und Übergabe der transportierten Waren und endet mit der
Fakturierung der Leistungen.
Die unterschiedlichen Tätigkeiten werden nachfolgend getrennt als sogenannte betriebsinterne Prozesse
betrachtet, um insbesondere die jeweiligen prozessualen und technischen Gegebenheiten bei der Lieferung
zu berücksichtigen (siehe Abbildung 22).
Für den Prozessschritt „Lieferung“ werden im weiteren Verlauf die folgenden betriebsinternen Prozesse
betrachtet:
• Warenübergabe (BP1): Lösen der Ladungssicherung und Entladung der Waren aus dem Transportmittel
sowie Übergabe der transportierten Waren an den Empfänger und (elektronische) Dokumentation des
mit der Warenübergabe abgeschlossenen Transports.
• Fakturierung (BP3): Abrechnung der erfolgten Dienstleistung gegenüber dem Auftraggeber (nicht
KRITIS-relevant).
Abbildung 22: Prozessschritt „Lieferung“ der Dienstleistung „Transportlogistik“
Quelle: eigene Darstellung
64
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
3.1.3.1
Warenübergabe (BP1)
DL
PS
BP
1
3
1
Zusammenfassung
Warenübergabe
Der betriebsinterne Prozess „Entladung“ beinhaltet das Lösen der Ladungssicherung
und die Entladung der transportierten Waren aus dem Transportmittel. Im Anschluss
daran erfolgt die Übergabe der transportierten Waren an den Empfänger und die
(elektronische) Dokumentation des mit der Warenübergabe abgeschlossenen
Transports.
IKT-Risikoelemente • Transportmanagementsystem (TMS)
• Barcode-/RFID-Systeme
• Schnittstellen zu Zollsystemen
Tabelle 12: Betriebsinterner Prozess „Warenübergabe“ (DL1 PS3 BP1)
Prozessbeschreibung
Die Warenübergabe umfasst alle Tätigkeiten, die bei der organisatorischen Übergabe der entladenen Waren
an den Empfänger erfolgen. Dabei erfolgt am Zielort bzw. an zwischengeschalteten Umschlagpunkten
zunächst die physische Entladung der Waren aus dem Transportmittel. Meist geht der Entladung eine
empfängerseitige Identitätsprüfung voraus (siehe Abschnitt 3.3.1.1 „Warenannahme (BP1)“).
Je nach Kontext kann die Warenübergabe zollrelevant sein. Bei zollrechtlich zu behandelnden Sendungen
sind die relevanten Angaben an die verantwortlichen Zollstellen zu veranlassen (siehe Abschnitt 3.1.1.1
„Auftragsmanagement (BP1)“).
Für die Entladung ist bei Frachtflugzeugen ein sogenannter Lademeister verantwortlich; bei Lkw üblicher weise der Fahrer. Beim Entladen kommen i. d. R. Hilfsgeräte wie Stapler, Kräne, Pumpen, Fördertechniken
oder größere Ver- und Entladeanlagen zum Einsatz. Die Entladung erfolgt je nach Transportmittel auf
unterschiedlichen Bereitstellflächen. Dabei ist generell darauf zu achten, Schäden am Fahrzeug durch eine
nicht sachgerechte Entladung zu vermeiden.
Lkw werden typischerweise vom Frachtführer an eine Laderampe gebracht. Dort kann die Entladung durch
den Frachtführer selbst oder durch den Empfänger erfolgen. Das Löschen von Transportschiffen erfolgt in
der Regel mit Hilfe von Kränen oder Pumpen. Bei Containern kommen sogenannte Containerbrücken zum
Einsatz. Transportflugzeuge werden meist über seitliche Frachtraumklappen im Unterdeck entladen; sehr
große Spezialtransportflugzeuge werden vom Bug her be- und entladen, wozu eine Frontklappe geöffnet
wird. Bei Transportflugzeugen werden Hebebühnen und Fließbänder zu Verladung eingesetzt. Die Verladung
von Zügen erfolgt an Güterbahnhöfen. Diese sind mit Abstell- und Ladegleisen ausgestattet. An den
Ladestellen kommen entweder fest montierte Verladehilfen zum Einsatz (z. B. Kräne, Fließbänder u. ä.) oder
mobile Geräte wie Gabelstapler und Radlader.
Bei der Warenübergabe von Bahn auf Schiff und umgekehrt erfolgt die Übergabe im Hafen mit Geräten des
Hafenbetreibers. Bei der Verladung von Massengut z. B. per Bahn (Pkw, Erze, Mineralölprodukte) erfolgt die
Warenübergabe in einem Industriebetrieb mit Gerät des Unternehmens.
Im Anschluss an die Entladung werden die gelieferten Waren mit den (internen) Transportpapieren und den
Begleitdokumenten des Versenders verglichen (siehe Abschnitt 3.1.1.1 „Auftragsmanagement (BP1)“).
Zusätzlich werden die Waren auf Mängel und Schäden kontrolliert und die Liefermengen überprüft.
„Die Lieferung einer Sendung wird mit dem Quittieren der Vollständigkeit und Richtigkeit der zugestellten
Warenmenge durch den Empfänger abgeschlossen. Die Empfangsbestätigung muss möglichst schnell dem
Bundesamt für Sicherheit in der Informationstechnik
65
Kritische Dienstleistungen
Lieferanten oder Versender zugeleitet werden, damit dieser den Auftrag abschließen und gegebenenfalls die
Rechnung fakturieren kann.“ [Gudehus 2010, S. 928] Die Warenübergabe wird daher meist in elektronischer
Form dokumentiert. Dazu werden die Barcode-Etiketten der Packstücke bzw. der Gesamtlieferung
eingescannt und der Status im Sendungsverlauf ergänzt (siehe Abschnitt 3.1.2.4 „Tracking/Tracing (BP5)“).
Alternativ zu Barcodes kann die Erfassung über RFID erfolgen.
66
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
3.2
Umschlaglogistik (DL2)
Die Umschlaglogistik als kritische Dienstleistung wird laut DIN-Vorschrift 30781 als „Gesamtheit der Förderund Lagervorgänge beim Übergang der Güter auf ein Transportmittel, beim Abgang der Güter von einem
Transportmittel und wenn Güter das Transportmittel wechseln“ definiert [Heiserich et al. 2011, S. 180].
Der Prozess der Umschlaglogistik wird dabei in drei Abschnitte untergliedert: die Aufnahme des Guts,
dessen Veränderung in den Dimensionen Raum und Zeit sowie die Abgabe des Guts. Dabei unterscheidet
sich der Input nach Durchführung von Umschlagprozessen in der Regel vom Output durch art- und
mengenmäßig veränderte Strukturen, wie beispielsweise bei der Zusammenstellung von Sendungen
[Klaus 2012, S. 552]. Umschlagprozesse dienen innerhalb der Transportkette vornehmlich Effizienzzielen.
Zum einen erhöht die Umschlagdienstleitung für Unternehmen aus Handel und Industrie die
Verwertbarkeit der Güter hinsichtlich der nachgelagerten Transportprozesse. Weiterhin erzeugen
Umschlagprozesse die vom Kunden gewünschte Struktur der Art und Menge der Ware an den spezifischen
Verbrauchorten. Zusätzlich können durch eine effizient geplante Auslastung der Transportmittel die
Gesamtkosten für Transportdienstleistungen gesenkt werden [Klaus 2012, S. 553]. Umschlagprozesse finden
innerhalb eines Logistiknetzwerks an Knotenpunkten statt, die verschiedene Transportabschnitte
miteinander verbinden. Als Umschlagpunkte lassen sich Orte definieren, an denen ein Wechsel eines
Verkehrsträgers oder eines Transportmittels stattfindet. Beispiele für Umschlagpunkte sind Häfen,
Flughäfen, Rangierbahnhöfe, Logistikzentren und Güterverkehrszentren.
Die Umschlaglogistik kann verschiedenartig ausgeprägt sein. Im kombinierten Verkehr wird das gesamte
Transportmittel umgesetzt. Ein Beispiel dafür stellt die „rollende Landstraße“ dar; dabei wird ein kompletter
Lkw auf einen Zug verladen und transportiert. Eine weitere Variante stellt das Umsetzen der Güter mit Hilfe
eines Ladehilfsmittel oder eines Transportgefäßes dar, z. B. der Containerumschlag von einem Schiff auf
einen Lkw. Eine dritte Umschlagvariante ist das direkte Umsetzen der Güter ohne Transportgefäß im
sogenannten gebrochenen Verkehr [Klaus 2012, S. 553].
Die Dienstleistung „Umschlaglogistik“ gilt als kritisch und von besonderer Bedeutung, da verschiedene
Transportabschnitte und Verkehrsträger durch die ablaufenden Prozesse verbunden werden. Ohne diese
Verbindung kann im Fall eines nötigen Verkehrsträgerwechsels die angestrebte Destination nicht erreicht
werden. Weiterhin werden durch Umschlag- und Bündelungsdienstleitungen die Verkehrsträger optimal
ausgelastet, was zusätzliche Verkehre vermeidet und somit positiv auf die Kapazitätsauslastung der Infrastrukturen wirkt.
Die Umschlaglogistik wird in der Regel von Logistikdienstleistern durchgeführt, die über Infrastrukturen,
Immobilien und Betriebsmittel für das Umschlagen von Gütern verfügen. Dazu zählen hauptsächlich 1PL
bis 3PL. Ein 1PL ist beispielsweise ein Unternehmen, das einen Packschuppen an einem Hafen betreibt. Ein
3PL, der Transportdienstleistungen durchführt, kann ebenfalls Betreiber eigener Umschlagzentren sein, um
komplexe Logistikdienstleistungen aus einer Hand anbieten zu können. Logistikdienstleister der Stufe 4PL
und 5PL verfügen in der Regel nicht über eigene Anlagen zur Abwicklung von Umschlagdienstleistungen,
sondern beauftragen andere Logistikdienstleister, welche die Umschlaglogistik abwickeln.
Die Erbringung der Umschlagleistung besteht aus technisch und logisch komplexen Vorgängen, die diese
Studie zur Analyse kritischer Zusammenhänge und Abhängigkeiten in logische Teilbereiche, sogenannte
Prozessschritte, unterteilt (siehe Abbildung 23). Jeder Prozessschritt leistet einen wesentlichen Beitrag zur
Erbringung der Dienstleistung und beeinträchtigt bei Störung oder Ausfall die gesamte Dienstleistung.
Für die Dienstleistung „Umschlaglogistik“ werden im weiteren Verlauf der Studie die folgenden Prozessschritte betrachtet:
• Wareneingang (PS1): Umzuschlagende Waren werden angenommen und entladen. Die kaufmännische
Verwaltung der Aufträge erfolgt im Rahmen des Auftragsmanagements, die Koordination der
Anlieferplätze und -zeiten durch das Yard Management.
Bundesamt für Sicherheit in der Informationstechnik
67
Kritische Dienstleistungen
• Umschlag (PS2): Die Güter werden von der Entladestelle zur nächsten Beladestelle verbracht. Je nach
avisiertem Liefertermin bzw. Auslastung des Umschlagpunktes finden kurze Zwischenlagerungsprozesse
statt. Auch wird ggf. die Zusammensetzung der Ladeeinheiten verändert (Kommissionierung im Rahmen
von Transshipment). Die Verwaltung der Abläufe und Prozesse findet organisatorisch durch das
Umschlagmanagement statt.
• Warenausgang (PS3): Der abschließende Prozessschritt des Warenausgangs beinhaltet die Übergabe der
Waren an den Transporteur sowie die Fakturierung der erbrachten Leistungen.
Abbildung 23: Schematische Darstellung der kritischen Dienstleistung „Umschlaglogistik“
Quelle: eigene Darstellung
Ausfall der Umschlaglogistik
Ein Ausfall der Umschlaglogistik kann verschiedene Ursachen haben:
• Technisches Versagen: Ausfälle der Umschlaglogistik, verursacht durch Ausfall oder technisches Fehlverhalten von Infrastrukturkomponenten (z. B. Förderanlagen und Umschlaggeräte) bzw. der
eingesetzten Informations- und Kommunikationstechnologie.
• Menschliches Versagen: Ausfälle der Umschlaglogistik, verursacht durch menschliches Fehlverhalten,
etwa bei großflächigen Konfigurationsänderungen der Informations- und Kommunikationstechnologie
oder anderer kritischer Systeme.
• Kriminelle oder terroristische Handlungen: Ausfälle der Umschlaglogistik, verursacht durch
absichtliche Manipulationen oder Cyber-Angriffe auf die eingesetzte Informations- und Kommunikationstechnologie oder anderer Infrastruktur.
68
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
Unter dem Begriff „Ausfall“ werden im Folgenden ein vollständiger Ausfall der Dienstleistung, eine
gravierende Störung der Dienstleistung mit konkreten Folgen oder die Zerstörung von Infrastrukturen
(meist verbunden mit Ausfällen) verstanden.
Exemplarisch seien an dieser Stelle einige Ausfallszenarien aufgeführt:
• Ein Cyberangriff auf Anlagen und Systeme eines Dienstleisters könnte zu einem Ausfall der Umschlaglogistik führen. Sind Systeme zur administrativen Abwicklung des Umschlagprozesses betroffen,
bestehen Risiken bei der Datenerfassung, der Zusammenstellung der Sendung sowie bei den Prozessen
der Fakturierung. Ist die Datenerfassung per Datenfernübertragung gestört, kann dies durch andere
Datenübertragungswege substituiert werden. Die Übermittlung der Daten kann dann beispielsweise über
Kommunikationskanäle wie E-Mail oder Telefon erfolgen. Bei Ware, die sich schon im Zulauf befindet,
kann die Übergabe der Sendungsdokumente als Übermittlung der Sendungsdaten angesehen werden. Im
Anschluss würde eine manuelle Sendungserstellung und Fakturierung erfolgen. Alternative Formen für
die Abwicklung der Prozesse sind mit einem vergleichbar höherem Zeitaufwand verbunden und würden
zu Verzögerungen im Umschlagprozess führen.
Ein Cyberangriff auf Systeme der Umschlaganlagen würde bei stark automatisierten Anlagen wie
automatischen Hochregallagern, Sortieranlagen und fahrerlosen Transportsystemen ebenfalls Ausfälle
der Umschlaglogistik hervorrufen. Die Dauer des Ausfalls wäre dabei primär von der Wiederherstellungszeit der betroffenen Systeme bestimmt. Ein Ausfall könnte durch Nutzung alternativer
Umschlaganlagen wie beispielsweise Gabelstapler oder durch eine manuelle Sendungszusammenstellung kompensiert werden. Hierbei würde ein höherer Bedarf bezüglich Räumlichkeiten und
Mitarbeitern entstehen.
• Eine Störung der Umschlaglogistik kann beispielsweise durch einen Streik der Belegschaft hervorgerufen
werden. Die Wahrscheinlichkeit eines Streiks erscheint aufgrund eines niedrigeren Lohnniveaus bei
operativ tätigen Mitarbeitern höher als bei Mitarbeitern, die administrative Tätigkeiten ausführen. Somit
ist das Risiko für einen weniger automatisierten Umschlagbetrieb höher einzustufen als bei hoch
automatisierten Umschlagprozessen. 2002 verursachte ein Streik der Hafenarbeiter an der Westküste der
Vereinigten Staaten massive Schäden. 10.500 Hafenarbeiter bestreikten 29 Häfen; pro Tag entstand dabei
ein Schaden von einer Milliarde US-Dollar, wobei die Auswirkungen sechs Monate anhielten. Zu dieser
Zeit wurden 60 Prozent des amerikanischen Güterverkehrsvolumen über die Häfen der Westküste
abgewickelt. Der Anteil des globalen maritimen Handels der Vereinigten Staaten beträgt ca. 20 Prozent,
somit nahmen die Auswirkungen des Streiks weltweiten Einfluss [PwC 2011, S. 16].
Je nach Ausbildung der Umschlaginfrastrukturen können Störungen jedoch durch Redundanzen flexibel
kompensiert werden. Dies zeigt die Bestreikung der deutschen Umschlagzentren von Amazon im
November 2014. Amazon steuerte den Versand und die Umschlagprozesse über alternative Standorte im
Nachbarland Polen, um die angebotenen Dienstleistungen aufrechtzuerhalten. In diesem Fall entstanden
kaum spürbare Veränderungen in der Versorgung für den Kunden [Die Welt 2014].
• Das Risiko einer Zerstörung von Umschlaginfrastrukturen besteht beispielsweise bei Eintreten von
Naturkatastrophen, Terroranschlägen oder Unfällen in Umschlagpunkten. Ein besonderes Beispiel stellt
das Erbeben in Nepal dar, bei welchem die Logistikinfrastrukturen stark beschädigt wurde
[ZEIT ONLINE 2015]. Durch die weitflächige Zerstörung von Infrastrukturen war ein Ausweichen auf
alternative Umschlagpunkte und Verkehrsträger für den Transport nur selten möglich. Blockierte
Straßen und Dörfer ohne Straßenanbindung stellten Hilfskräfte vor eine immense logistische Aufgabe.
Die humanitäre Logistik musste mit Notfalllogistikkonzepten und provisorischen alternativen Anlagen
die Transport- und Umschlagvorgänge vornehmen. Dadurch entstanden erhöhte Aufwände für Personal
und Anlagen sowie besondere Herausforderungen in Bezug auf das Fachwissen, das an die Helfer
weitergegeben werden musste.
Bundesamt für Sicherheit in der Informationstechnik
69
Kritische Dienstleistungen
Folgen eines Ausfalls der Umschlaglogistik
Ein Ausfall der Umschlaglogistik kann zu Einschränkungen und Verzögerungen in der Versorgung der
Bevölkerung mit Gütern und Produkten führen. Ein Ausfall innerhalb von Logistikzentren und
Güterverkehrszentren erscheint weniger kritisch als ein Ausfall der Dienstleistung an infrastrukturellen
Verkehrsknotenpunkten wie Häfen, Bahnhöfen oder Flughäfen. Bei einem Ausfall einzelner privat wirtschaftlicher Umschlagpunkte kann, bei ausreichendem Alternativangebot, durch Nutzung eines
anderen Logistikzentrums ein Ausfall substituiert werden. Hinsichtlich infrastruktureller Umschlagpunkte
ist festzustellen, dass das Angebot alternativer Umschlagpunkte begrenzt ist, da beispielsweise die Nutzung
von Häfen nur in Abhängigkeit von der entsprechenden Schiffsgrößen erfolgen kann. Zusätzlich können
Kapazitätsprobleme zu Überlastungen der Infrastrukturen führen und somit eine Störung der
Dienstleistung bewirken.
Die Folgen eines Ausfalls der Umschlaglogistik unterscheiden sich in den einzelnen Teilen der Gesellschaft:
• Die Bevölkerung ist insofern betroffen, als dass Güter nicht, verspätet oder in nicht gewünschten
Mengen bereitgestellt werden können. Ist eine Substitution des Umschlags nicht möglich, können
nachhaltig wirkende Versorgungsengpässe mit wichtigen Gütern entstehen. Besonders die Versorgung
der Bevölkerung mit Lebensmitteln, die eine Mindesthaltbarkeit aufweisen, ist bei einem Ausfall oder
Störung der Umschlaglogistik nicht garantiert. Ebenso verhält sich eine zeitgerechte Belieferung von
Apotheken und Krankenhäusern mit Medikamenten und anderen zeitkritischen medizinischen
Produkten. Ein Ausfall der Versorgung mit zeitkritischen Medien wie Tageszeitungen kann mittlerweile
durch die Entwicklung neuer alternativer Medienkanäle (Onlineangebote) substituiert werden.
• Für die Wirtschaft sind bei Störung oder Ausfall der Umschlaglogistik bedeutende finanzielle
Auswirkungen zu erwarten. Durch die Zunahme von globalen Beschaffungsstrategien und einem
erhöhten Anteil von Auslagerungen von Unternehmensaufgaben auf andere Unternehmen gewinnt die
Logistik an Bedeutung. Die Versorgung der Unternehmen mit Rohstoffen, Halb- und Fertigwaren,
Ersatzteilen sowie Informationen und Finanzmitteln wirkt sich essentiell auf die Erfüllung der Aufgaben
des Unternehmens aus. Bei einem Ausfall der Umschlaglogistik wird die Ware nicht, verspätet oder in
einer nicht gewünschten Menge bereitgestellt. Für produzierende Unternehmen entstehen Versorgungsengpässe und zeitliche Defizite, die beispielsweise zu einem Stillstand der Produktion führen können.
Wird die Ware nicht oder in nicht gewünschten Mengen geliefert, entstehen für das Unternehmen
Absatzausfälle bzw. zusätzliche Kapazitätsaufwände sowie Aufwände für die Verteilung der Ware.
• Auch der Staat ist von einem Ausfall der Umschlaglogistik betroffen. Analog zu Auswirkungen auf die
Wirtschaft verhält sich auch die staatliche Beschaffung von Gütern jeglicher Art sowie deren Distribution. Es können Unterversorgungen sowie Zeitverzögerungen in der Versorgung auftreten. In
Notsituationen, wie bei Folgen von Naturkatastrophen oder Unfällen, kann bei einer Störung oder einem
Ausfall der Umschlaglogistik die Versorgung mit Hilfsgütern nur bedingt sichergestellt werden. Bei
Ausfall oder Störung privatwirtschaftlicher Umschlagpunkte kann der Staat durch die Nutzung eigener
Ressourcen wie Militärhäfen und -flughäfen Alternativen für die Notversorgung nutzen.
70
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
3.2.1
Wareneingang (PS1)
Im Prozessschritt „Warenannahme“ werden die Waren vom Umschlagdienstleister in Empfang genommen
und entladen. Sendungsinformationen werden in der Regel zeitlich vorgelagert an den Dienstleister
übermittelt, sodass bei Ankunft der Sendung ein Abgleich nach Art, Menge und Qualität erfolgen kann. Auf
Ebene des Informationsflusses erfolgt zunächst das Auftragsmanagement, im Rahmen dessen eingehenden
Aufträge geprüft, Informationen übermittelt und über die Annahme des Auftrages in Abstimmung mit
vorhandenen Kapazitäten und Ressourcen entschieden wird. Das Yard Management ordnet die
eintreffenden Transportmittel den entsprechenden Entladestellen zu und verwaltet die Entladekapazitäten.
Im Rahmen der Warenerfassung werden die Wareninformationen IT-basiert erfasst und in Verwaltungs systeme wie ERP, TMS oder LVS gespeichert.
Die unterschiedlichen Tätigkeiten werden nachfolgend getrennt als sogenannte betriebsinterne Prozesse
betrachtet, um insbesondere die jeweiligen prozessualen und technischen Gegebenheiten beim Wareneingang zu berücksichtigen (siehe Abbildung 24).
Für den Prozessschritt „Wareneingang“ werden im weiteren Verlauf die folgenden betriebsinternen Prozesse
betrachtet:
• Warenannahme (BP1): Identitätsprüfung, Entladung, Eingangskontrolle sowie ggf. Entpacken und
Sortieren der gelieferten Waren.
• Auftragsmanagement (BP2): Verwaltung von Kunden- und Auftragsinformationen zur fehlerfreien und
termingerechten Ausführung.
• Yard Management (BP3): Verwaltung der bereitstehenden Transportmittel und deren Zuordnung zu Beund Entladestellen.
• Warenerfassung (BP4): Erfassung der bei der Warenannahme erhobenen Daten. Die Daten werden dann
in das Verwaltungssystem übertragen, wo sie Grundlage für die Aufgaben des Umschlagprozesses bzw.
der Lagerhaltung sind.
Abbildung 24: Prozessschritt „Wareneingang“ der Dienstleistung „Umschlaglogistik“
Quelle: eigene Darstellung
Bundesamt für Sicherheit in der Informationstechnik
71
Kritische Dienstleistungen
3.2.1.1
Warenannahme (BP1)
DL
PS
BP
2
1
1
Zusammenfassung
Warenannahme
Der betriebsinterne Prozess „Warenannahme“ beinhaltet die Tätigkeiten bei
Anlieferung neuer Güter an einem Umschlag- bzw. Lagerpunkt. Dies umfasst die
Identitätsprüfung, die Entladung, die Eingangskontrolle, das Entpacken und
Sortieren der gelieferten Waren.
IKT-Risikoelemente • Warehouse Management System (WMS)
Tabelle 13: Betriebsinterner Prozess „Warenannahme“ (DL2 PS1 BP1)
Prozessbeschreibung
Ziel der Warenannahme ist es, die Durchlaufzeiten so gering wie möglich zu halten und die Waren möglichst
zeitnah in den Umschlagprozess bzw. die Lagerung oder direkt wieder in den Warenausgang zu überführen
[Logistik Know-how 2013c].
Bei Ankunft der Waren und Güter werden diese zunächst auf die richtige Identität geprüft. Hierdurch kann
unnötiger Arbeitsaufwand vermieden werden, falls die Lieferung in falschem Umfang oder an die falsche
Adresse geliefert wurde. Hierfür werden vom Lieferanten i. d. R. Vorabinformationen über die Ware im
sogenannten Lieferavis an den Empfänger übermittelt. Das Lieferavis informiert den Empfänger unter
anderem über den rechtzeitigen oder gegebenenfalls verspäteten Eingang der Ware, die enthaltenen Artikel
(Artikelbezeichnung und Menge) sowie ggf. Gewicht oder Volumen der Sendung. Die im Lieferavis
enthaltenen Informationen werden mit den eingegangenen Waren abgeglichen und so die Korrektheit der
Lieferung überprüft.
Fällt die Prüfung positiv aus, wird das Lieferfahrzeug entladen. Je nach Fahrzeug kann dies auf unterschiedlichen Bereitstellflächen erfolgen. Dabei ist generell darauf zu achten, Schäden am Fahrzeug durch
eine nicht sachgerechte Entladung zu vermeiden (siehe Abschnitt 3.1.3.1 „Warenübergabe (BP1)“).
Je nach Dienstleistungstiefe des Logistikers kann im Anschluss an die Entladung eine Packstückkontrolle im
Hinblick auf Qualität und Quantität der Lieferung erfolgen.
72
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
3.2.1.2
Auftragsmanagement (BP2)
DL
PS
BP
2
1
2
Zusammenfassung
Auftragsmanagement
Der betriebsinterne Prozess „Auftragsmanagement“ beinhaltet die Verwaltung von
Kunden- und Auftragsinformationen zur fehlerfreien und termingerechten
Ausführung.
IKT-Risikoelemente • Customer Relationship Management (CRM)
• Warehouse Management System (WMS)
• Kommunikationswege für Datenfernübertragung
• Schnittstellen zu Zollsystemen
Tabelle 14: Betriebsinterner Prozess „Auftragsmanagement“ (DL2 PS1 BP2)
Prozessbeschreibung
Das Auftragsmanagement bildet die Schnittstelle zwischen Logistikdienstleister und Kunden. Für eine
ausführliche Beschreibung siehe Abschnitt 3.1.1.1 „Auftragsmanagement (BP1)“.
Bundesamt für Sicherheit in der Informationstechnik
73
Kritische Dienstleistungen
3.2.1.3
Yard Management (BP3)
DL
PS
BP
2
1
3
Zusammenfassung
Yard Management
Der betriebsinterne Prozess „Yard Management“ beinhaltet die Verwaltung der
bereitstehenden Transportmittel und deren Zuordnung zu Be- und Entladestellen.
IKT-Risikoelemente • Warehouse Management System (WMS)
• Yard Management System (YMS)
• Slot Management System
Tabelle 15: Betriebsinterner Prozess „Yard Management“ (DL2 PS1 BP3)
Prozessbeschreibung
Das Yard Management ist zeitlich dem betriebsinternen Prozess der Warenannahme vorgelagert. Es
übernimmt die Funktion der Zuordnung der Transportmittel und -güter zu den entsprechenden Be- und
Entladestellen. Ziel ist es, die zeitlichen und räumlichen Ressourcen für die Be- und Entladung optimiert
einzusetzen, um Wartezeiten an den Rampen zu vermeiden und Kapazitäten optimal zu nutzen. Besonders
für große Umschlagpunkte und Betriebsgelände mit starkem Lieferverkehr und vielen Verladestellen ist ein
dediziertes Yard Management geeignet. Nach der Anmeldung des Transportfahrzeuges bei der Verwaltung
des Umschlaggeländes wird der optimale Be- bzw. Entladeplatz softwarebasiert zugewiesen
[VerkehrsRundschau 2015]. Dabei erfasst und verwaltet das Yard Management System (YMS) zur Be- und
Entladung bereitstehende Lkw und weist sie bestimmten Ladetoren zu. Sind Ressourcen noch nicht frei oder
der Lkw nicht bereit, wird er auf eine Parkposition verwiesen. Die entsprechenden Informationen können
den Fahrern per SMS oder auf digitalen Anzeigen bereitgestellt werden. Bei entsprechenden technischen
Voraussetzungen kann das Yard Management System Echtzeitinformationen zur Verfügung stellen. Hierzu
empfiehlt sich die Nutzung von RFID-Technologie. Das Yard Management System ist meist mit dem
Transportmanagementsystem oder dem Warehouse Management System des Logistikdienstleisters
verknüpft [Inbound Logistics 2012].
74
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
3.2.1.4
Warenerfassung (BP4)
DL
PS
BP
2
1
4
Zusammenfassung
Warenerfassung
Der betriebsinterne Prozess „Warenerfassung“ beinhaltet die elektronische Erfassung
der bei der Warenannahme erhobenen Daten. Diese werden in das Warehouse
Management System bzw. das Transportmanagementsystem übertragen und bilden
die Grundlage für nachfolgende Prozesse.
IKT-Risikoelemente • Warehouse Management System (WMS)
• Barcode-/RFID-Systeme
• Schnittstellen zu Zollsystemen
Tabelle 16: Betriebsinterner Prozess „Warenerfassung“ (DL2 PS1 BP4)
Prozessbeschreibung
Die bei der Warenannahme mit dem Lieferavis abgeglichenen Sendungsinformationen werden elektronisch
im Verwaltungssystem erfasst. Dies betrifft Daten über die Art, die Menge, das Volumen und das Gewicht der
einzulagernden Ware. Auch in diesem Prozessschritt kann Ware noch abgewiesen werden, z. B. wenn sich
beim Abgleich mit dem Verwaltungssystem herausstellt, dass die Ware falsch verpackt oder nicht konform
mit den Umschlagvorgaben ist [Logistik Know-how 2014a].
Die Erfassung der Daten kann manuell oder IT-gestützt erfolgen. Bei einer IT-basierten Erfassung wird in
vielen Fällen ein Scanner mit Sensor (mechanisch, magnetisch, optisch oder elektronisch) eingesetzt, der die
Informationen decodiert und über eine Schnittstelle an das Verwaltungssystem (LVS, TMS oder ERP)
weitergibt. Zur Übertragung werden verschiedene Techniken wie Induktions-, Funk- oder Infrarottechnik
genutzt. Als zukunftsweisende Technologie in diesem Bereich ist unter anderem radio-frequency
identification (RFID) zu nennen. RFID-Systeme übermitteln per Funkübertragung automatisch
Informationen über die Ware an das Verwaltungssystem [Gudehus 2010, S. 270, 271].
Je nach Kontext kann bei der Warenerfassung ein Datenaustausch mit Dritten notwendig sein, beispiels weise im Rahmen gefahrgutrechtlicher Meldevorschriften oder bei Zollmeldungen wegen eventueller
Verladestopps oder Beschauanordnungen. Bei geplanter Verladung der Waren auf Seeschiffe kann eine
Kontrolle der Masse sowie eine eventuelle Aktualisierung des Wiegeergebnisses und Weitergabe notwendig
sein.
Bundesamt für Sicherheit in der Informationstechnik
75
Kritische Dienstleistungen
3.2.2
Umschlag (PS2)
Im Prozessschritt „Umschlag“ werden Sendungen nach verschiedenen Konzepten umgeschlagen. Hierfür
werden die entladenen Sendungen physisch zu diversen Zielen innerhalb des Umschlagpunktes verbracht.
Dies können Zwischenlagerplätze oder der Beladeort sein, aber auch Sortieranlagen, Kommissionier anlagen
und -flächen, Verpackungsorte und weitere Orte, an denen die Sendung in sonstiger Form bearbeitet wird.
Der Warenfluss innerhalb des Umschlagpunktes wird durch das Umschlagmanagement gelenkt.
Der Umschlag von Waren erfolgt meist nach den Konzepten „Cross Docking“ oder „Transshipment“. Diese
übernehmen die Funktion, lieferantenbezogene Sendungen in Menge, Art und Raum so zu verändern, dass
verkaufsstätten- bzw. kundenorientierte Sendungen entstehen [Heiserich et al. 2011, S. 109]. Beim Cross
Docking werden Sendungen umgeschlagen, die durch den Versender bereits für den Empfänger vor kommissioniert wurden. Es werden somit filialreine Ganz- oder Mischpaletten umgeschlagen, ohne dass am
Umschlagpunkt weitere Kommissioniertätigkeiten notwendig sind. Beim Transshipment hingegen werden
artikelreine Ganzpaletten während des Umschlagprozesses filial- bzw. kundenbezogen sortiert und in
filialreine Mischpaletten zusammengefasst [Gudehus 2010, S. 893].
Die unterschiedlichen Tätigkeiten werden nachfolgend getrennt als sogenannte betriebsinterne Prozesse
betrachtet, um insbesondere die jeweiligen prozessualen und technischen Gegebenheiten beim Umschlag zu
berücksichtigen (siehe Abbildung 25).
Für den Prozessschritt „Umschlag“ werden im weiteren Verlauf die folgenden betriebsinternen Prozesse
betrachtet:
• Verbringung (BP1): Transport der Güter innerhalb des Umschlagpunktes.
• Zwischenlagerung (BP2): Überbrückung der Zeitdifferenz zwischen Warenannahme und -übergabe.
• Kommissionierung (BP3): Zusammenstellung von Sendungen aus verschiedenen Einzelwaren je nach
Auftrag sowie Verpackung und Sendungserstellung.
• Umschlagmanagement (BP4): Informationstechnisch basierte Planung des Materialflusses innerhalb
eines Umschlagpunktes.
Abbildung 25: Prozessschritt „Umschlag“ der Dienstleistung „Umschlaglogistik“
Quelle: eigene Darstellung
76
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
3.2.2.1
Verbringung (BP1)
DL
PS
BP
2
2
1
Zusammenfassung
Verbringung
Der betriebsinterne Prozess „Verbringung“ beinhaltet die Beförderung der Sendung
von der Entladestelle zum Zwischenlagerplatz oder zur Beladestelle oder zu
Sortieranlagen, Kommissionieranlagen und -flächen, Verpackungsorte und weiteren
Orten, an denen die Sendung in sonstiger Form bearbeitet wird.
IKT-Risikoelemente • Warehouse Management System (WMS)
• Steuerungstechnik für Förder-/Sortieranlagen
• Staplerleitsysteme und Steuerungstechnik für autonome Transportmittel
• Barcode-/RFID-Systeme
Tabelle 17: Betriebsinterner Prozess „Verbringung“ (DL2 PS2 BP1)
Prozessbeschreibung
Die Verbringung beschreibt Transport- und Fördervorgänge zwischen einzelnen Prozessorten innerhalb des
Umschlagprozesses. Dazu zählen die Beförderung zwischen Entladestelle und Lagerplatz, Kommissionieranlage, Verpackungsplatz und der Beladestelle. Für die Verbringung werden unterschiedliche Transportmittel und Anlagen benutzt. Dies ist abhängig von der Art des Umschlagprozesses und des Form der
Transportmittel bzw. -güter. In Häfen erfolgt der Umschlag von Containerware über Krananlagen und
„Reachstacker“, einer speziellen Form von Greif- und Staplergeräten für das Containerhandling. Pumpen
und Förderbänder werden ebenfalls für eine Transportmittelwechsel im Umschlagprozess genutzt.
Besonders für die Verbringung von Containern in Häfen werden fahrerlose Transportsysteme genutzt.
Innerhalb eines Umschlagprozesses in Verbindung mit Kommissionierprozessen kommen Stapler leitsysteme (SLS) und Förderanlagen zum Einsatz. Diese werden durch das Umschlagmanagement verwaltet.
Bundesamt für Sicherheit in der Informationstechnik
77
Kritische Dienstleistungen
3.2.2.2
Zwischenlagerung (BP2)
DL
PS
BP
2
2
2
Zusammenfassung
Zwischenlagerung
Der betriebsinterne Prozess „Zwischenlagerung“ kann von unterschiedlicher Dauer
bestimmt sein. Die Waren werden an einem Ort gelagert, bis sie für anschließende
Vorgänge benötigt werden.
IKT-Risikoelemente • Warehouse Management System (WMS)
• Steuerungstechnik für automatische Hochregallager und Regalbediengeräte
Tabelle 18: Betriebsinterner Prozess „Zwischenlagerung“ (DL2 PS2 BP2)
Prozessbeschreibung
Der betriebsinterne Prozess „Zwischenlagerung“ beschreibt die Zeitüberbrückung zwischen verschiedenen
Abläufen innerhalb des Umschlagprozesses (siehe auch Abschnitt 3.3.2 „Lagerung (PS2)“). Die Zwischenlagerung kann von unterschiedlicher Dauer sein, abhängig davon, wann die Waren für weitere Abläufe
benötigt werden. Meist erfolgt eine Zwischenlagerung im Anschluss an Warenannahme und Verbringung zu
einem Lagerort. Weiterhin können Waren nach Prozessen der Kommissionierung, Verpackung und
sonstigen Serviceprozessen zwischengelagert werden. Nach der Verbringung der Sendung zum Beladeort
kann in einigen Fällen ebenfalls eine kurze Zwischenlagerung erfolgen, bevor die Waren verladen werden.
Generell ist die Dauer der Lagerung während des Umschlagprozesses eher kurz. Die Zwischenlagerung kann
durch Systeme des Umschlagmanagements geplant und koordiniert werden.
78
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
3.2.2.3
Kommissionierung (BP3)
DL
PS
BP
2
2
3
Zusammenfassung
Kommissionierung
Der betriebsinterne Prozess „Kommissionierung“ beinhaltet die Zusammenstellung
von Sendungen aus verschiedenen Einzelwaren je nach Auftrag sowie die
Verpackung und Sendungserstellung.
IKT-Risikoelemente • Warehouse Management System (WMS)
• Kommissioniersysteme
• Pick-by-Light- oder Pick-by-Voice-Systeme
• Barcode-/RFID-Systeme
Tabelle 18: Betriebsinterner Prozess „Kommissionierung“ (DL2 PS2 BP3)
Prozessbeschreibung19
Bei der Kommissionierung wird zunächst der Gesamtauftrag von der Lagerplatzverwaltung bzw. dem
Transportmanagement ausgegeben und von der Kommissionierung aufgenommen. Anschließend werden
die Standorte der Einzelwaren identifiziert und diese aus den Lagerorten entnommen. Danach werden die
Einzelwaren je nach Auftrag zu Sendungen, sogenannten Kommissionen, zusammengefasst.
Es werden grundsätzlich zwei Arten der Kommissionierung unterschieden. Bei der
Mann-zur-Ware-Kommissionierung werden die Waren statisch bereitgestellt. Der Kommissionierer
entnimmt dabei die notwendige Ware zu Fuß oder per Gabelstapler direkt am Lagerplatz. Vorteile sind ein
geringer Investitionsaufwand und eine niedrige Abhängigkeit von Maschinen. Nachteile sind jedoch eine
insgesamt geringere Kommissionierleistung, da lange Wegzeiten nötig sind. Die Standortidentifizierung
kann über Papierlisten, Terminals oder mobile Datenerfassungssysteme wie Pick-by-Light und
Pick-by-Voice erfolgen. Pick-by-Light ist ein Kommissioniersystem, bei dem eine Anzeige die zu
entnehmenden Teile im Regal anzeigt. Bei Pick-by-Voice erfolgen die Anweisungen zum Entnehmen der
Waren über Headsets an den Kommissionierer [Logistik Know-how 2013g].
Bei der Ware-zum-Mann-Kommissionierung werden verschiedene Lagertechniken wie Umlauf- oder
Durchlaufregale eingesetzt. Bei Umlaufregalen wird die Ware auf Gestellen gelagert, die durch Ein- und
Auslagerung zyklisch an die Bedienungsstation zum Kommissionierer transportiert werden. Bei
Durchlaufregalen wird Ware von hinten eingelagert und schiebt bereits eingelagerte Ware nach vorne, wo
diese wieder entnommen wird. Vorteile solcher dynamischen Systeme sind eine höhere Kommissionier leistung, da keine oder geringere Wegzeiten für den Kommissionierer anfallen. Nachteil sind die hohen
Investitionskosten bei Anschaffung dieser Systeme und die Abhängigkeit der Lager- und Kommissioniervorgänge von den entsprechenden Systemen und Maschinen [Logistik Know-how 2013f].
Bei der Kommissioniermethode wird grundsätzlich unterschieden zwischen der einstufigen- und der
mehrstufigen Kommissionierung. Bei der einstufigen Kommissionierung wird jeder Auftrag einzeln
bearbeitet. Bei der mehrstufigen Kommissionierung wird z. B. in der ersten Stufe die gesamte Menge einer
Ware für mehrere Aufträge aus dem Warenlager geholt. Dadurch sinkt insgesamt der Wege-Aufwand und
die Geschwindigkeit der Kommissionierung wird erhöht [Logistik Know-how 2013b]. Erst in der zweiten
19 Eine Kommissionierung von Waren kann sowohl in der Umschlag- als auch in der Lagerlogistik erfolgen.
Typischerweise nimmt die Kommissionierung in der Lagerlogistik eine wesentlichere Rolle ein, beispielsweise
für Groß- und Versandhandel. Eine Beschreibung der Tätigkeiten erfolgt an dieser Stelle in der
Umschlaglogistik, um den Lesefluss zu unterstützen.
Bundesamt für Sicherheit in der Informationstechnik
79
Kritische Dienstleistungen
Stufe werden die Artikel auf die einzelnen Kundenaufträge verteilt. Die zweite Stufe kann entweder durch
manuelle Sortierung oder durch einen automatischen Sortierer erfolgen.
Wurde die Ware gemäß des Kundenauftrages kommissioniert, erfolgt abschließend die Verpackung, die auch
als Konfektionierung bezeichnet wird. Dabei werden die Warenspezifikationen und Kundenanforderungen
berücksichtigt. Auch hier kommen verschiedene Strategien zum Einsatz mit dem Ziel, das Packvolumen
optimal auszunutzen und eine maximale Befüllung unter Berücksichtigung von Packrestriktionen zu
erreichen.
80
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
3.2.2.4
Umschlagmanagement (BP4)
DL
PS
BP
2
2
4
Zusammenfassung
Umschlagmanagement
Der betriebsinterne Prozess „Umschlagmanagement“ beinhaltet die Verwaltung und
Bereitstellung von Informationen und Status zu Sendungen, deren Be- und
Entladeorten sowie internen Verbringungszielen.
IKT-Risikoelemente • Warehouse Management System (WMS)
Tabelle 19: Betriebsinterner Prozess „Umschlagmanagement“ (DL2 PS2 BP4)
Prozessbeschreibung
Mit Fokus auf die konkreten Umschlagtätigkeiten ergänzt das Umschlagmanagement das Yard Management
(siehe Abschnitt 3.2.1.3 „Yard Management (BP3)“). Es beinhaltet alle Vorgänge, die auf informatorischer
Ebene notwendig sind, um den physischen Umschlagprozess zu ermöglichen. Das betrifft die Verwaltung
von Informationen zu Sendungen und Umschlagplätzen (wie Lagerplätze, Kommissionierplätze, Be- und
Entladeplätze). So wird beispielsweise der veränderte Status einer Sendung (z. B. ein veränderter Lagerort
oder eine Veränderung nach Menge und Art einer Sendung) dokumentiert. Auch allgemeine Informationen
zur Sendung (Größe, Gewicht, Volumen, Stapelbarkeit) und zum Auftrag (Absender, Empfänger, Warenwert)
sind für das Umschlagmanagement relevant. Diese Informationen werden meist im
Transportmanagementsystem vorgehalten und sind aus verschiedenen Subsystemen abrufbar.
Das Transportmanagementsystem ist meist mit dem Warehouse Management System verknüpft (oder
beinhaltet dessen Funktionen), um Lagerplätze zu verwalten. Auch Systeme, welche die Kommissionierung
unterstützen, sowie automatische Förder- und Sortieranlagen nutzen Informationen des Umschlagmanagements.
Bundesamt für Sicherheit in der Informationstechnik
81
Kritische Dienstleistungen
3.2.3
Warenausgang (PS3)
Im Prozessschritt „Warenausgang“ werden Waren für den Warenausgang vorbereitet und an den
Transporteur übergeben. Optional können weitere Serviceleistungen (VAS) wie Umformung und Veredelung
erbracht werden, die im Folgenden jedoch nicht betrachtet werden. Bei Verfügbarkeit der Transportmittel an
den Beladestellen erfolgt im Anschluss die Warenübergabe, welche die Beladung sowie die
Ladungssicherung einschließt. Auf informatorischer Ebene werden Transportdokumente erstellt und mit
der physischen Sendung übergeben. Anschließend erfolgt der Prozess der „Fakturierung“, der jedoch als
nicht KRITIS-relevant eingestuft wird.
Die unterschiedlichen Tätigkeiten werden nachfolgend getrennt als sogenannte betriebsinterne Prozesse
betrachtet, um insbesondere die jeweiligen prozessualen und technischen Gegebenheiten beim
Warenausgang zu berücksichtigen (siehe Abbildung 26).
Für den Prozessschritt „Warenübergabe“ werden im weiteren Verlauf die folgenden betriebsinternen
Prozesse betrachtet:
• Warenübergabe (BP1): Vorbereitung der Pakete für den Transport, Erstellung der notwendigen Papiere
und Überführung der Sendung in das Transportfahrzeug sowie Ausbuchen der Ware aus dem Warehouse
Management System.
• Yard Management (BP2): Verwaltung der bereitstehenden Transportmittel und deren Zuordnung zu Beund Entladestellen.
• Fakturierung (BP3): Abrechnung der erfolgten Dienstleistung gegenüber dem Auftraggeber (nicht
KRITIS-relevant).
Abbildung 26: Prozessschritt „Warenausgang“ der Dienstleistung „Umschlaglogistik“
Quelle: eigene Darstellung
82
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
3.2.3.1
Warenübergabe (BP1)
DL
PS
BP
2
3
1
Zusammenfassung
Warenübergabe
Der betriebsinterne Prozess „Warenübergabe“ beinhaltet die Vorbereitung der Pakete
für den Transport, die Erstellung der notwendigen Papiere und die Überführung der
Sendung in das Transportfahrzeug.
IKT-Risikoelemente • Warehouse Management System (WMS)
• Barcode-/RFID-Systeme
• Schnittstellen zu Zollsystemen
Tabelle 20: Betriebsinterner Prozess „Warenübergabe“ (DL2 PS3 BP1)
Prozessbeschreibung
Im Warenausgang werden die verpackten Einheiten konsolidiert und die Transportdokumente für die
Sendungen erstellt. Abschließend werden sie zur Versendung vorbereitet und an den Transporteur
übergeben.
Je nach Kontext kann bei der Warenübergabe analog zur Warenerfassung ein Datenaustausch mit Dritten
notwendig sein, beispielsweise zur Information des Frachtführers über Gefahrgut, Kühlfracht etc. oder zur
zollrechtlichen Erfassung von Waren.
Zunächst werden die Versandeinheiten auf Paletten oder in Container verpackt und mit den entsprechenden Papieren versehen. Dazu gehören Lieferscheine, Zielpapiere und gegebenenfalls Rechnungen.
Des Weiteren werden die Pakete mit der Nummer der Versandeinheit (NVE) bzw. dem Serial Shipping
Container Code (SSCC) versehen, wodurch eine weltweit eindeutige Identifizierung der Versandeinheit (z. B.
Palette, Container etc.) möglich ist. Für das jeweilige Transportfahrzeug werden Ladelisten erstellt. Auch hier
werden die Versandeinheiten noch einmal auf Konformität mit dem Auftrag überprüft. Dazu findet ein
Abgleich mit den Daten des Warehouse Management Systems statt. Wenn nötig, können letzte
Veränderungen an der Zusammensetzung der Ware oder den Lieferscheinen vorgenommen werden
[Logistik Know-how 2013h].
Abschließend wird die Ware auf Bereitstellflächen gebracht, wo sie für den Versand konsolidiert wird. Dabei
können verschiedene Methoden zum Einsatz kommen. Unterschiedliche Bereitstellflächen können z. B.
bestimmten Regionen oder Postleitzahlgebieten zugeordnet werden. Die Beladung der Transportmittel
anhand der erzeugten Ladelisten kann durch automatische Beladungssysteme und autonome
Transportmittel fahrerlose Staplersysteme unterstützt werden.
Sowohl für See- als auch Luftfracht ist charakteristisch, dass die Umschlagbetriebe bis zum jeweiligen
Transportmittel im Auftrag des Betreibers des Transportmittels agieren.
Im Warenausgang wird üblicherweise Ware aus dem Zwischenlager abgefertigt. Allerdings ist es auch
möglich, dass Ware direkt aus dem Wareneingang in den -ausgang weitergeleitet oder Fremdware in den
Warenausgang integriert wird. Auch in diesen Fällen müssen vor der Verladung die Lieferscheine,
NVE-Labels und Ladellisten erstellt werden. Zusätzlich wird die Sendungen mit einem Lieferavis versehen
[Logistik Know-how 2013j].
Bundesamt für Sicherheit in der Informationstechnik
83
Kritische Dienstleistungen
3.2.3.2
Yard Management (BP2)
DL
PS
BP
2
3
2
Zusammenfassung
Yard Management
Der betriebsinterne Prozess „Yard Management“ beinhaltet die Verwaltung der
bereitstehenden Transportmittel und deren Zuordnung zu Be- und Entladestellen.
IKT-Risikoelemente • Warehouse Management System (WMS)
• Yard Management System (YMS)
• Slot Management System
Tabelle 21: Betriebsinterner Prozess „Yard Management“ (DL2 PS3 BP2)
Prozessbeschreibung
Das Yard Management übernimmt die Funktion der Zuordnung der Transportmittel und -güter zu den
entsprechenden Be- und Entladestellen. Für eine ausführliche Beschreibung siehe Abschnitt 3.2.1.3 „Yard
Management (BP3)“.
84
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
3.3
Lagerlogistik (DL3)
Die Lagerlogistik umfasst alle Prozesse und Abläufe, die nötig sind, um eigene oder unternehmensfremde
Waren in einem Lager aufzubewahren, zu verwalten und für die Distribution vorzubereiten. Hierfür nutzt
sie verschiedene Systeme für die Annahme von Waren, die Lagerung, die Kommissionierung und für den
Warenausgang. Ziel der Lagerlogistik ist die effiziente Nutzung aller Lagerressourcen. Dazu sind die
verschiedenen Stationen eines Lagers im Idealfall optimal aufeinander abgestimmt und arbeiten eng
zusammen, um z. B. neu angelieferte Waren in die Lagerung zu überführen und bei Bedarf kurzfristig
bereitzustellen und in den Ausgang zu transportieren. Die Waren und Güter eines Lagers müssen sowohl
physisch als auch in IT-basierten Verwaltungssystemen schnell auffindbar sein.
Warenlager sind ein elementarer Bestandteil von Logistiknetzwerken und werden zum Aufbau von
mehrstufigen Transportnetzen benötigt. Sie können dabei verschiedene Funktionen wie Liefer- und
Empfangspunkte oder Konzentrations- und Auflösungspunkte übernehmen. Ohne Zwischenlager mit
funktionierender Verwaltung, die moderne Logistikketten als Knotenpunkte verbinden, wäre der Transport
von Waren und Gütern, wie er im heutigem Umfang für die deutsche Wirtschaft und Gesellschaft nötig ist,
nicht zu realisieren. Die Lagerlogistik wird typischerweise von Logistikdienstleistern der Kategorie 1PL bis
3PL übernommen.
Die Bereitstellung der Infrastruktur für die Lagerlogistik besteht aus technisch und logisch komplexen
Vorgängen, die diese Studie zur Analyse kritischer Zusammenhänge und Abhängigkeiten in logische
Teilbereiche, sogenannte Prozessschritte, unterteilt (siehe Abbildung 27). Jeder Prozessschritt leistet einen
wesentlichen Beitrag zur Erbringung der Dienstleistung und beeinträchtigt bei Störung oder Ausfall die
gesamte Dienstleistung.
Für die Dienstleistung „Lagerlogistik“ werden im weiteren Verlauf der Studie die folgenden Prozessschritte
betrachtet:
• Wareneingang (PS1): Beim Eintreffen von Gütern und Waren im Lager müssen diese zunächst
angenommen werden. Dazu wird die Ware identifiziert, kontrolliert und im System erfasst. Nachdem die
Ware entsprechend gekennzeichnet worden ist, wird sie zur Lagerung freigegeben. Die Warenannahme
wird durch das Auftragsmanagement ergänzt, das die Schnittstelle zwischen Logistikdienstleister und
Kunden darstellt.
• Lagerung (PS2): Nach Eingang der Waren werden diese ihren Anforderungen entsprechend verräumt
und gelagert. Die Lagerverwaltung steuert und koordiniert dazu die nötigen Abläufe innerhalb des
Warenlagers.
• Warenausgang (PS3): Sollen Waren das Lager verlassen, werden die entsprechenden Teile aus dem Lager
zusammengestellt und kommissioniert. Nach der Verpackung folgt die Übergabe der Sendung an den
Transporteur. Abschließend wird die Ware aus dem System ausgebucht.
Bundesamt für Sicherheit in der Informationstechnik
85
Kritische Dienstleistungen
Abbildung 27: Schematische Darstellung der kritischen Dienstleistung „Lagerlogistik“
Quelle: eigene Darstellung
Ausfall der Lagerlogistik
Ein Ausfall der Lagerlogistik kann verschiedene Ursachen haben:
• Technisches Versagen: Ausfälle der Lagerlogistik, verursacht durch Ausfall oder technisches Fehlverhalten der eingesetzten Informations- und Kommunikationstechnologie.
• Menschliches Versagen: Ausfälle der Lagerlogistik, verursacht durch menschliches Fehlverhalten, etwa
bei großflächigen Konfigurationsänderungen der Informations- und Kommunikationstechnologie oder
anderer kritischer Systeme.
• Kriminelle oder terroristische Handlungen: Ausfälle der Lagerlogistik, verursacht durch absichtliche
Manipulationen oder Cyber-Angriffe auf die eingesetzte Informations- und Kommunikationstechnologie oder anderer Infrastruktur.
Unter dem Begriff „Ausfall“ werden im Folgenden ein vollständiger Ausfall der Dienstleistung, eine
gravierende Störung der Dienstleistung mit konkreten Folgen oder die Zerstörung von Infrastrukturen
(meist verbunden mit Ausfällen) verstanden.
Exemplarisch seien an dieser Stelle zwei Ausfallszenarien aufgeführt:
• Technisches Versagen gehört zu den häufigsten Gründen für Störungen innerhalb der Dienstleistung.
Beispiel hierfür ist der Ausfall von Motoren eines Regalbediengerätes in einem Hochregallager. Je nach
Kritikalität der eingesetzten Geräte kann dies potentiell zu erheblichen Verzögerungen in den
nachgelagerten Prozessen führen. Durch Störungen eines kritischen Regalbediengerätes können aus dem
Wareneingang nachrückende Waren nicht mehr im Lager verräumt werden. Dies kann schließlich dazu
führen, dass keine weitere Waren im Eingang angenommen werden können. Ebenfalls können Waren
nicht aus dem Warenlager in die Kommissionierung überführt werden, was einen Stillstand des
Warenausganges zur Folge hat. Technischem Versagen kann mit präventiven Maßnahmen wie regel86
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
mäßiger Wartung entgegengewirkt werden. Zudem können die Störungseffekte durch eine effiziente
Ersatzteillagerung abgemildert werden.
• Auch externe Cyber-Angriffe auf die IT-Systeme eines Warenlagers können zu erheblichen Störungen der
betriebsinternen Prozesse führen. Wie schwer solch ein Angriff wiegt, hängt von der Art des
Cyber-Angriffes und der Kritikalität der betroffenen Anlage ab. Ein Komplettausfall des Warehouse
Management Systems oder der Steuerungssysteme von Kommissioniergeräten ist mit einem Totalausfall
des Warenlagers gleichzusetzen. Im Rahmen der Just-in-Time-Logistik bedeutet eine dies einen
erheblichen finanziellen Verlust für betroffene Unternehmen.
Folgen eines Ausfalls der Lagerlogistik
Die Folgen eines Ausfalles der Lagerlogistik können nur in Zusammenhang mit dem jeweiligen Betreiber
bzw. dessen Warenangebot sinnvoll beurteilt werden. So wiegt der Ausfall eines regionalen Baustofflagers in
der Regel weniger schwer als der Ausfall eines zentralen Warenlagers für Arzneimittel.
Grundsätzlich lässt sich für die einzelnen Teilen der Gesellschaft Folgendes festhalten:
• Ein Ausfall der Lagerlogistik bedeutet für die Bevölkerung eine verspätete Bereitstellung oder Lieferung
von Waren und Gütern. Da in der Regel jedoch mehrere Betreiber in einem Warensegment existieren, ist
es wenig wahrscheinlich, dass die Versorgung der Bevölkerung mit kritischen Waren großflächig ausfällt.
Nur in Fällen, in denen entweder ein Großteil der Betreiber einer Warengruppe oder ein Unternehmen
mit herausragender Marktstellung ausfällt, ist mit nachhaltigen Versorgungsengpässen zu rechnen.
• Für die Wirtschaft sind bei Störung oder Ausfall der Lagerlogistik zunächst bedeutende finanzielle
Auswirkungen und eventuelle Reputationsverluste zu erwarten. Ähnlich wie in der Transport- und
Umschlaglogistik können Ausfälle von einzelnen regionalen Warenlager in der Regel durch die
vermaschten Logistikstrukturen kompensiert werden. Die Folgen sind dann Verzögerungen und daraus
entstehende Engpässe bei der Warenauslieferung. Ein kritisches Niveau wird erst durch den
großflächigen Ausfall eines Lagernetzwerkes erreicht.
• Der Staat ist von einem Ausfall in der Lagerlogistik nicht direkt betroffen. Da er jedoch einen
Versorgungsauftrag gegenüber der Bevölkerung hat, liegt es auch in seinem Verantwortungsbereich, das
Risiko für Ausfälle in der Lagerlogistik angemessen zu behandeln.
Bundesamt für Sicherheit in der Informationstechnik
87
Kritische Dienstleistungen
3.3.1
Wareneingang (PS1)
Im Prozessschritt „Wareneingang“ werden Waren und Güter bei ihrer Ankunft im Lager identifiziert,
entladen, sortiert und für die Überführung in das Warenlager bereitgestellt. Dabei erfolgt auch die
Aufnahme der Wareninformationen in die Systeme des Auftragsmanagements und der Lagerverwaltung.
Der Prozessschritt endet auf Materialflussebene mit der Bereitstellung der Waren für die Verräumung, auf
Ebene des Informationsflusses mit der Aufnahme der Daten in die Stammdaten.
Die unterschiedlichen Tätigkeiten werden nachfolgend getrennt als sogenannte betriebsinterne Prozesse
betrachtet, um insbesondere die jeweiligen prozessualen und technischen Gegebenheiten beim Wareneingang zu berücksichtigen (siehe Abbildung 28).
Für den Prozessschritt „Wareneingang“ werden im weiteren Verlauf der Studie die folgenden betriebsinternen Prozesse betrachtet:
• Warenannahme (BP1): Identitätsprüfung, Entladung, Eingangskontrolle sowie ggf. Entpacken und
Sortieren der gelieferten Waren.
• Auftragsmanagement (BP2): Verwaltung von Kunden- und Auftragsinformationen zur fehlerfreien und
termingerechten Ausführung.
• Warenerfassung (BP3): Erfassung der bei der Warenannahme erhobener Daten. Die Daten werden dann
in das Warehouse Management System übertragen, wo sie Grundlage für die Aufgaben der Lagerhaltung
und -verwaltung sind.
Abbildung 28: Prozessschritt „Wareneingang“ der Dienstleistung „Lagerlogistik“
Quelle: eigene Darstellung
88
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
3.3.1.1
Warenannahme (BP1)
DL
PS
BP
3
1
1
Zusammenfassung
Warenannahme
Der betriebsinterne Prozess „Warenannahme“ beinhaltet die Tätigkeiten bei
Anlieferung neuer Güter an einem Umschlag- bzw. Lagerpunkt. Er umfasst die
Identitätsprüfung, die Entladung, die Eingangskontrolle, das Entpacken und
Sortieren der gelieferten Waren.
IKT-Risikoelemente • Warehouse Management System (WMS)
Tabelle 22: Betriebsinterner Prozess „Warenannahme“ (DL3 PS1 BP1)
Prozessbeschreibung
Die Warenannahme umfasst alle Tätigkeiten bei Anlieferung neuer Güter an einem Umschlag- bzw.
Lagerpunkt. Für eine ausführliche Beschreibung siehe Abschnitt 3.2.1.1 „Warenannahme (BP1)“.
Bundesamt für Sicherheit in der Informationstechnik
89
Kritische Dienstleistungen
3.3.1.2
Auftragsmanagement (BP2)
DL
PS
BP
3
1
2
Zusammenfassung
Auftragsmanagement
Der betriebsinterne Prozess „Auftragsmanagement“ beinhaltet die Verwaltung von
Kunden- und Auftragsinformationen zur fehlerfreien und termingerechten
Ausführung.
IKT-Risikoelemente • Customer Relationship Management (CRM)
• Warehouse Management System (WMS)
• Kommunikationsverbindungen zur Datenfernübertragung
• Schnittstellen zu Zollsystemen
Tabelle 23: Betriebsinterner Prozess „Auftragsmanagement“ (DL3 PS1 BP2)
Prozessbeschreibung
Das Auftragsmanagement bildet die Schnittstelle zwischen Logistikdienstleister und Kunden. Es ist meist
über das interne Warehouse Management System mit dem logistikübergreifenden Auftragsmanagement
verbunden. Für eine ausführliche Beschreibung siehe Abschnitt 3.1.1.1 „Auftragsmanagement (BP1)“.
90
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
3.3.1.3
Warenerfassung (BP3)
DL
PS
BP
3
1
3
Zusammenfassung
Warenerfassung
Der betriebsinterne Prozess „Warenerfassung“ beinhaltet die elektronische Erfassung
der bei der Warenannahme erhobenen Daten. Diese werden in das Warehouse
Management System bzw. das Transportmanagementsystem übertragen und bilden
die Grundlage für nachfolgende Prozesse.
IKT-Risikoelemente • Warehouse Management System (WMS)
• Barcode-/RFID-Systeme
• Schnittstellen zu Zollsystemen
Tabelle 24: Betriebsinterner Prozess „Warenerfassung“ (DL3 PS1 BP3)
Prozessbeschreibung
Die Warenerfassung dient der meist IT-basierten Dokumentation der Sendungs- und Wareninformationen.
Für eine ausführliche Beschreibung siehe Abschnitt 3.2.1.4 „Warenerfassung (BP4)“.
Bundesamt für Sicherheit in der Informationstechnik
91
Kritische Dienstleistungen
3.3.2
Lagerung (PS2)
Im Prozessschritt „Lagerung“ werden die angelieferten Waren aus dem Eingangsbereich in das Warenlager
verräumt. Die eigentliche Lagerung erfolgt nach verschiedenen Belegungs- und Bewegungsstrategien, die
abhängig von der Größe und Art des Lagers, der Güterart und den logistischen Anforderungen gewählt
werden.
Im Rahmen der Lagerung können auch Veredelungs- oder Umformungsprozesse als Value Added Services
erbracht werden, z. B. Befüllung von Verkaufsdisplays mit Aktionsware, Konfektionierung von Bundles inkl.
Einschweißen, Sortimentierung oder Etikettierung.
Die unterschiedlichen Tätigkeiten werden nachfolgend getrennt als sogenannte betriebsinterne Prozesse
betrachtet, um insbesondere die jeweiligen prozessualen und technischen Gegebenheiten bei der Lagerung
zu berücksichtigen (siehe Abbildung 29).
Für den Prozessschritt „Lagerung“ werden im weiteren Verlauf der Studie die folgenden betriebsinternen
Prozesse betrachtet:
• Verräumung (BP1): Transport der Waren vom Eingang in das eigentliche Lager. Hierzu wird die Ware
zunächst identifiziert und dann manuell oder automatisch über Fördertechniken in das Warenlager
gebracht.
• Lagerung (BP2): Lagerung der Waren und Güter nach verschiedenen Bewegungs- und Belegungsstrategien zur Optimierung der Erreichbarkeit und Nutzung der Lagerflächen.
• Lagerverwaltung (BP3): Koordination der Warenbewegungen über alle Prozessschritte hinweg sowie
Auswahl der optimalen Bewegungs- und Belegungsstrategien für das Lager.
Abbildung 29: Prozessschritt „Lagerung“ der Dienstleistung „Lagerlogistik“
Quelle: eigene Darstellung
92
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
3.3.2.1
Verräumung (BP1)
DL
PS
BP
3
2
1
Zusammenfassung
Verräumung
Der betriebsinterne Prozess „Verräumung“ umfasst den Transport der Waren vom
Eingang in das eigentliche Lager. Dazu wird die Ware zunächst identifiziert und dann
manuell oder automatisch über Fördertechniken in das Warenlager gebracht.
IKT-Risikoelemente • Warehouse Management System (WMS)
• Barcode-/RFID-Systeme
• Quittierungssysteme
• Steuerungstechnik für automatische Hochregallager und Regalbediengeräte
• Staplerleitsysteme und Steuerungstechnik für autonome Transportmittel
Tabelle 25: Betriebsinterner Prozess „Verräumung“ (DL3 PS2 BP1)
Prozessbeschreibung
Nachdem die Warenannahme und -erfassung abgeschlossen ist, wird die Ware in die sogenannte Vorzone
zur Verräumung weitergeleitet. Dies geschieht entweder manuell oder automatisch über Förderanlagen. Bei
größeren Lagerhäusern wird dazu je Warengruppe ein Transportauftrag ausgestellt, der vom jeweiligen
Lagerarbeiter angenommen wird. Die einzulagernden Waren werden in der Vorzone zunächst anhand ihrer
Labels wie RFID-Transponder oder Barcodes identifiziert. Anschließend werden die Waren pauschal, einzeln
oder online quittiert. Dies hängt vom eingesetzten System des jeweiligen Lagerhauses ab. Die Quittierung
kann über automatische Regalbediengeräte, Schnittstellen an das Warehouse Management System oder
über Funkterminals erfolgen. Anschließend erfolgt die Verräumung der Ware im Lager [Logistik
Know-how 2013l].
Die Auswahl des Lagerorts hängt ebenfalls von den eingesetzten Systemen ab. Er kann manuell durch einen
Lagerarbeiter gewählt werden oder durch das Warehouse Management System automatisch zugewiesen
werden. Die Ware wird dann manuell aufgenommen oder automatisch über Fördertechnik zum Lagerort
transportiert. Bei der Bestimmung des Lagerortes wird berücksichtigt, wann die Ware das Lager wieder
verlässt, und mit dem Ein- und Ausgang anderer Waren abgestimmt, um eine optimale Ausnutzung des
Lagervolumens zu erzielen. Zudem müssen physische Anforderungen der Ware sowie gesetzliche und
sicherheitsrelevante Vorgaben beachtet werden, beispielsweise bei der Lagerung von Explosivstoffen
[Logistik Know-how 2013a].
Bundesamt für Sicherheit in der Informationstechnik
93
Kritische Dienstleistungen
3.3.2.2
Lagerung (BP2)
DL
PS
BP
3
2
2
Zusammenfassung
Lagerung
Der betriebsinterne Prozess „Lagerung“ beinhaltet die Lagerung von Waren und
Gütern, wobei verschiedene Bewegungs- und Belegungsstrategien angewendet
werden, um die Lagerung hinsichtlich Warenerreichbarkeit und Nutzung der
Lagerflächen zu optimieren.
IKT-Risikoelemente • Warehouse Management System (WMS)
• Steuerungstechnik für automatische Hochregallager und Regalbediengeräte
Tabelle 26: Betriebsinterner Prozess „Lagerung“ (DL3 PS2 BP2)
Prozessbeschreibung
Der Lagerungsprozess erfolgt vorrangig unter dem Ziel, die vorhandenen Lagerflächen optimal zu nutzen
und eine schnelle Erreichbarkeit der Waren zu gewährleisten. Auch bei der Lagerung werden zur exakten
Bestandsführung und zur Verwaltung der Lagerplätze kontinuierlich Daten an das Warehouse Management
System gesendet [Heinrich 2011, S. 516].
Bei der Lagerung von Waren und Gütern werden Bewegungs- und Belegungsstrategien angewendet. Bei
Belegungsstrategien wird das Lager in verschiedene Funktionsbereiche aufgeteilt. In welchem Bereich eine
Einheit gelagert wird, hängt davon ab, ob bei der Organisation primär eine Transportoptimierung oder eine
Flächenoptimierung der Waren im Vordergrund steht.
Beispiele für Belegungsstrategien sind die artikelreine und artikelgemischte Belegung von Lagerplätzen. Bei
einer artikelreinen Platzbelegung werden gleiche Artikel gemeinsam im selben Stellplatz gelagert. Der
Vorteil dieser Belegungsstrategie ist, dass Waren schneller transportiert werden können. Die artikelgemischte Platzbelegung kommt eher als Notlösung zum Einsatz, wenn der Platz in einem Lager begrenzt
ist. Vorteil ist, dass einzelne leere Stellflächen ausgefüllt werden können. Allerdings entstehen durch die
Streuung der Waren im Lager zu höheren Transportaufwänden, wenn die Waren in den Warenausgang
verschoben werden sollen oder auf andere Lagereinheiten zugegriffen werden muss. Daher erfordert die
artikelgemischte Lagerung mehr Geräte und Personal [Logistik Know-how 2014b].
Das Ziel von Belegungsstrategien ist es, Richtlinien zum intralogistischen Transport von Waren festzulegen
und dadurch eine bestmögliche Durchsatzleistung der Waren zu erreichen. Ein Beispiel für eine
Belegungsstrategie ist die Doppelspielstrategie. Dabei werden die Ein- und Auslagerungen von Waren
miteinander kombiniert: durch eine optimierte Anordnung der Lagereinheiten können z. B.
Regalbediengeräte nach der Hinfahrt und Einlagerung von Waren direkt die Auslagerung von Waren bei der
Rückfahrt vornehmen. Hierdurch lässt sich die Fahrzeit reduzieren. Nachteil der Strategie ist, dass die
Lagerung von Waren und die Bewegungsabläufe im Vorfeld entsprechend kalkuliert werden müssen.
Dagegen findet beim Einzelspiel nur eine Ein- oder Auslagerung pro Fahrt statt [Logistik Know-how 2013e].
Welche Strategien gewählt werden, hängt unter anderem davon ab, ob das vorrangige Ziel eine Transport optimierung oder Flächenminimierung ist. Dabei sind nicht alle Belegungsstrategien mit allen möglichen
Bewegungsstrategien kombinierbar.
94
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
3.3.2.3
Lagerverwaltung (BP3)
DL
PS
BP
3
2
3
Zusammenfassung
Lagerverwaltung
Der betriebsinterne Prozess „Lagerverwaltung“ beinhaltet die Koordination der
Warenbewegungen über alle Prozessschritte hinweg sowie die Festlegung der
optimalen Belegungs- und Bewegungsstrategien für das Lager.
IKT-Risikoelemente • Warehouse Management System (WMS)
Tabelle 27: Betriebsinterner Prozess „Lagerverwaltung“ (DL3 PS2 BP3)
Prozessbeschreibung
Die Lagerverwaltung stellt die Schnittstelle zwischen dem Materialfluss und dem Informationsfluss in
einem Lagerhaus dar und koordiniert und verwaltet beide Flüsse [Heinrich 2011, S. 519]. Sie verwaltet die
Lagerstammdaten und plant die Warenbewegungen für Ein-, Um- und Auslagerung. Weiterhin steuert sie
den Wareneingang und Warenausgang im Lager.
Die Lagerverwaltung legt zudem die Belegungs- und Bewegungsstrategien fest. Ziel ist es, eine optimale
Flächennutzung und kurze Durchlaufzeiten bei der Ein- und Auslagerung realisieren. Dazu überwacht die
Lagerplatzverwaltung die Prozesse der Verräumung und der Lagerung und kontrolliert unter anderem die
Anzahl der Einlagerungen, die Lagerauslastung und die Anzahl und Entfernung der Lagerorte [Logistik
Know-how 2013l]. In modernen Lagern mit größeren Warenmengen sind die notwendigen Prozesse ohne
EDV-Unterstützung nicht mehr effektiv umsetzbar. Der Einsatz von dynamischen Lagerhaltungsstrategien
(siehe Abschnitt 3.3.2.2 „Lagerung (BP2)“) ist nur mit dem Einsatz entsprechender Software zur
Bestandsverwaltung realisierbar, da die notwendige Geschwindigkeit bei der Datenverarbeitung bei
manueller Verwaltung nicht erreicht werden kann.
In der Lagerverwaltung werden Warehouse Management Systeme eingesetzt. Frühere WMS waren
beschränkt auf die Verwaltung des eigentlichen Lagers, erstrecken sich heute jedoch auf alle betriebs internen Prozesse von der Warenannahme bis zum Ausbuchen der Ware. Das Warehouse Management
System verwaltet unter anderem Chargendaten und steuert Bestandsreservierungen. Um einen
reibungslosen Übergang mit den anderen Logistikdienstleistungen zu erzielen, ist das Warehouse
Management System in vielen Fällen entweder mit dem übergeordneten ERP-System verbunden oder in
dieses integriert. In das WMS sind oft noch weitere Subsysteme integriert, wie Systeme zur Transportmitteloder Robotersteuerung. Ein Beispiel dafür ist das Staplerleitsystem, das Flurförderzeuge wie Gabelstapler
steuert.
Die Lagerverwaltung hält alle Lagerbewegungen fest und reserviert und bucht die entsprechenden Bestände
in Abstimmung mit dem Auftragsmanagement. Informationen über Ein- und Verkauf aus dem Auftrags management werden optimalerweise direkt von der Lagerverwaltung berücksichtigt, sodass Lagerzonen
und -plätze zeitnah gebucht werden. Die Lagerverwaltung kontrolliert und verwaltet den innerbetrieblichen
Materialfluss des administrativ geschlossenen Lagers und bildet die Schnittstelle zur externen Logistikkette.
Bundesamt für Sicherheit in der Informationstechnik
95
Kritische Dienstleistungen
3.3.3
Warenausgang (PS3)
Im Prozessschritt „Warenausgang“ werden die Waren aus dem Lager entnommen, sortiert, verpackt und die
entsprechenden Sendungen erstellt. Auch werden die notwendigen Lieferpapiere erzeugt. Abschließend
werden die Pakete in die jeweiligen Transportfahrzeuge verladen und die Waren aus dem System
ausgebucht. Der Prozessschritt endet mit Fakturierung der erbrachten Leistungen.
Die unterschiedlichen vorbereitenden Tätigkeiten werden nachfolgend getrennt als sogenannte betriebsinterne Prozesse betrachtet, um insbesondere die jeweiligen prozessualen und technischen Gegebenheiten
beim Warenausgang zu berücksichtigen (siehe Abbildung 30).
Für den Prozessschritt „Warenausgang“ werden im weiteren Verlauf der Studie die folgenden
betriebsinternen Prozesse betrachtet:
• Kommissionierung (BP1): Zusammenstellung von Sendungen aus verschiedenen Einzelwaren je nach
Auftrag sowie Verpackung und Sendungserstellung.
• Warenübergabe (BP2): Vorbereitung der Pakete für den Transport, Erstellung der notwendigen Papiere
und Überführung der Sendung in das Transportfahrzeug sowie Ausbuchen der Ware aus dem Warehouse
Management System.
• Fakturierung (BP3): Abrechnung der erfolgten Dienstleistung gegenüber dem Auftraggeber (nicht
KRITIS-relevant).
Abbildung 30: Prozessschritt „Warenausgang“ der Dienstleistung „Lagerlogistik“
Quelle: eigene Darstellung
96
Bundesamt für Sicherheit in der Informationstechnik
Kritische Dienstleistungen
3.3.3.1
Kommissionierung (BP1)
DL
PS
BP
3
3
1
Zusammenfassung
Kommissionierung
Der betriebsinterne Prozess „Kommissionierung“ beinhaltet die Zusammenstellung
von Sendungen aus verschiedenen Einzelwaren je nach Auftrag sowie die
Verpackung und Sendungserstellung.
IKT-Risikoelemente • Warehouse Management System (WMS)
• Kommissioniersysteme
• Pick-by-Light- oder Pick-by-Voice-Systeme
• Barcode-/RFID-Systeme
Tabelle 28: Betriebsinterner Prozess „Kommissionierung“ (DL3 PS3 BP1)
Prozessbeschreibung
Bei der Kommissionierung werden Sendungen aus verschiedenen Einzelwaren zusammengestellt und für
den Transport vorbereitet. Für eine ausführliche Betrachtung siehe Abschnitt 3.2.2.3 „Kommissionierung
(BP3)“.
Bundesamt für Sicherheit in der Informationstechnik
97
Kritische Dienstleistungen
3.3.3.2
Warenübergabe (BP2)
DL
PS
BP
3
3
2
Zusammenfassung
Warenübergabe
Der betriebsinterne Prozess „Warenübergabe“ beinhaltet die Vorbereitung der Pakete
für den Transport, die Erstellung der notwendigen Papiere und die Überführung der
Sendung in das Transportfahrzeug.
IKT-Risikoelemente • Warehouse Management System (WMS)
• Barcode-/RFID-Systeme
• Schnittstellen zu Zollsystemen
Tabelle 29: Betriebsinterner Prozess „Warenübergabe“ (DL3 PS3 BP2)
Prozessbeschreibung
Im Warenausgang werden die verpackten Einheiten konsolidiert und die Pakete mit den entsprechenden
Zielpapieren angefertigt. Abschließend werden sie zur Versendung vorbereitet und an den Transport
übergeben. Für eine ausführliche Beschreibung siehe 3.2.3.1 „Warenübergabe (BP1)“.
98
Bundesamt für Sicherheit in der Informationstechnik
Logistik in anderen KRITIS-Sektoren
4
Logistik in anderen KRITIS-Sektoren
Im folgenden Kapitel werden die Logistikanteile in den KRITIS-Sektoren Gesundheit, Ernährung, Energie
und Finanzen dargestellt und in ihrer Ausprägung untersucht. Dies erfolgt unter Berufung auf die
KRITIS-Sektorstudien für die jeweiligen Sektoren, in welchen die Logistikabhängigkeiten der einzelnen
betriebsinternen Prozesse identifiziert und bewertet wurden.20
Die Erbringung der notwendigen logistischen Leistungen zur Durchführung der jeweiligen sektorspezifischen Aufgaben erfolgt durch die kritischen Dienstleistungen der Logistikbranche, nämlich
Transportlogistik, Umschlaglogistik und Lagerlogistik. Aufgrund der abstrahierten Darstellung der
kritischen Dienstleistungen (siehe Kapitel 3 „Kritische Dienstleistungen“) laufen diese auch in anderen
KRITIS-Sektoren in ihren Grundzügen unverändert ab. Dabei beeinflussen die verschiedenen zu transportierenden Güterarten wie Bargeld, Heizöl oder Arzneimittel nicht grundsätzlich die generelle Ausgestaltung der Dienstleistung und ihrer Prozessschritte sowie betriebsinternen Prozesse. Gegebenenfalls
müssen jedoch veränderte Rahmenbedingungen beachtet und Abläufe an diese angepasst werden. Diese
Rahmenbedingungen werden im Folgenden analysiert und die konkrete Ausgestaltung der Dienstleistungen
für die einzelnen Sektoren beschrieben, sofern Unterschiede zur abstrahierten Darstellung bestehen.
4.1
Logistik im Sektor Gesundheit
Der KRITIS-Sektor Gesundheit erbringt kritische Dienstleistungen zur Versorgung der Bevölkerung mit
medizinischen Leistungen und Produkten. Aufgrund seiner Größe und gesellschaftlichen Bedeutung ist das
Gesundheitswesen in Deutschland ein zentraler volkswirtschaftlicher und sozialer Faktor. Ziel ist es,
medizinische und medizintechnische Güter bedarfsgerecht bereitzustellen und eine optimale Versorgungssicherheit aller Patienten und medizinischen Forschungseinrichtungen zu gewährleisten [Kertsen 2008].
Logistik im Gesundheitswesen wird auch als Healthcare-Logistik bezeichnet und dient als Oberbegriff für
diverse logistische Teilaktivitäten im Bereich des Gesundheitswesens [Klaus 2012, S. 219]. Logistische
Tätigkeiten umfassen die Planung, Steuerung, Durchführung und Kontrolle von Waren-, Informations- und
Personenflüssen zwischen und innerhalb beteiligter Institutionen. Die Healthcare-Logistik basiert auf den in
Kapitel 3 identifizierten kritischen Dienstleistungen der Transport-, Umschlag- und Lagerlogistik, die an den
gut- und marktspezifischen Anforderungen des Gesundheitswesen ausgerichtet werden. Zusätzlich bedarf es
Kompetenzen im Bereich der Beratung für Logistik und Supply Chain Management. Spezifische Güterarten
unterliegen besonderen gesetzlichen Vorschriften, welche bei Transport, Lagerung und Umschlag
eingehalten werden müssen. Weiterhin bestimmen Bestellzyklen, Liefermengen und die Händlerstruktur
die Rahmenbedingungen logistischer Leistungen im Gesundheitssektor. Zunehmend finden auch in der
Healthcare-Logistik die in Industrie und Handel bewährten logistischen Strategien und Konzepte wie
beispielsweise das der Citylogistik Anwendung. Die Healthcare-Logistik weist starke, meist durch rechtliche
Rahmenbedingungen vorgegebene Branchenspezifika auf [Klaus 2012, S. 218].
Healthcare-Logistik kann aus zwei Sichtweisen betrachtet werden (siehe Abbildung 31). Dies ist zum einen
die Perspektive der herstellenden Industrie, welche Logistik im Bereich Gesundheitswesen hauptsächlich als
Distributionslogistik auffasst. Dabei steht der Warenstrom ausgehend von der herstellenden Industrie zu
medizinischem Groß- und Facheinzelhandel, niedergelassenen Ärzten sowie sonstigen Zielen im
Home-Care-Bereich, d. h. der Versorgung von Privathaushalten und Pflegeheimen, im Fokus. Zum anderen
können logistische Prozesse im Gesundheitswesen aus Perspektive der Krankenhäusern und sonstigen
Gesundheitseinrichtungen betrachtet werden. Diese forciert insbesondere Prozesse der Beschaffung,
externen und internen Lagerhaltung sowie der Inhouse-Logistik.
20 Zum Zeitpunkt der Studienerstellung lagen für den Gesundheits- und den Finanzsektor noch keine
Bewertung der Logistikabhängigkeiten einzelner betriebsinterner Prozesse vor. Die Beschreibung der
logistischen Leistungserbringung erfolgt daher ohne konkreten Bezug zu den spezifischen
KRITIS-Sektorstudien für Gesundheit und Finanzen.
Bundesamt für Sicherheit in der Informationstechnik
99
Logistik in anderen KRITIS-Sektoren
Abbildung 31: Abgrenzung der Healthcare-Logistik
Quelle: in Anlehnung an [Klaus 2012, S. 220]
Distributionsperspektive
Logistikdienstleister übernehmen die Distributionslogistik zwischen Herstellern von pharmazeutischen
Erzeugnissen, Medizintechnik oder gesundheitsbasierten Verbrauchsgüter und den Empfängern im
Gesundheitswesen. Als typische Warenempfänger gelten Handelsunternehmen in Groß- und
Facheinzelhandel,
z. B.
Apotheken
und
Sanitätshäuser,
sowie
Krankenhäuser
und
Rehabilitationseinrichtungen, ambulante Einrichtungen, niedergelassene Ärzte, Forschungseinrichtungen
oder einzelne Patienten. Aufgrund der zunehmenden Entwicklung des Internet-Versandhandels im
Pharmabereich sowie der Online-Apotheken eröffnen sich weitere Geschäftsfelder für KEP-Dienstleister
[Klaus 2012, S. 220]. Da Pharmaunternehmen mittlerweile mehr als 50 Prozent ihres Absatzes in
ausländischen Märkten erzielen, müssen Logistikdienstleister im Healthcare-Bereich ebenso die
internationale Versorgung sicherstellen.
Zentrale Gütergruppen in der Healthcare-Logistik sind Medikamente, Ver- und Gebrauchsgüter für die
Patientenversorgung wie Verbände, Reinigungsmittel, Pflege- und Büromaterial sowie Produkte der
Medizintechnik. Je nach Güterart müssen bei der logistischen Abwicklung bestimmte gesetzliche
Vorschriften zur Temperaturführung oder Verpackung beachtet werden. Insbesondere in der Pharma industrie sind die Gütergebinde oft klein und hochwertig. Sie unterliegen strengen Regulierungen und sind
teilweise als Gefahrgut zu deklarieren. Vorrangig genutzte Verkehrsträger sind der Straßentransport, wobei
im Rahmen von KEP-Dienstleistungen auch die Versorgung per Luftfracht eine wesentliche Rolle einnimmt
[Kille/Schwemmer 2014, S. 192].
Je nach Art des Gutes kommen unterschiedliche Logistikdienstleister bzw. Geschäftsfelder eines
Dienstleisters zum Einsatz. Tabelle 30 gibt einen Überblick über Güterarten, logistische Anforderungen und
Dienstleister.
100
Bundesamt für Sicherheit in der Informationstechnik
Logistik in anderen KRITIS-Sektoren
Güterart
Logistische Anforderung
Marktbereich
Dienstleistertyp
Arzneimittel/
Ggf. Temperaturführung,
Pharma-erzeugni spezielle Verpackung
sse
Stückgut, Gefahrgut
Standardlogistik-dienstleist
er, KEP-Dienstleister,
Kontrakt-logistiker
Medizintechnik
Spezielle Verpackung (ggf.
für stoßempfindliche
Güter), ggf.
Installations-service
Stückgut, Gefahrgut
Standardlogistik-dienstleist
er, KEP-Dienstleister,
Kontrakt-logistiker
Verbrauchsgüter
Ggf. Gefahrgut
Stückgut, Gefahrgut
Standardlogistik-dienstleist
er, KEP-Dienstleister,
Kontrakt-logistiker
Patienten
Personen-/Patienten-transp
ort
Staatliche Rettungsdienste
Blut- und
Temperaturführung,
Organtransporte spezielle Verpackung
Standardlogistik-dienstleist
er, KEP-Dienstleister,
Kontrakt-logistiker und
Spezial-dienstleister
Speisen, Wäsche
Ggf. Temperaturführung,
spezielle Behälter/
Verpackung
Kreislauf-Logistiker,
Spezialdienstleister, häufig
als Kooperation
Entsorgung
Ggf. spezielle Behälter/
Verpackung
Standardlogistik-dienstleist
er und Spezial-dienstleister
Tabelle 30: Güterarten, logistische Anforderungen und Dienstleistertypen im Gesundheitssektor
Die ambulante Versorgung der Bevölkerung wird in der Regel von niedergelassenen Ärzten oder
Ambulanz-zentren erbracht. Das Netz der ambulanten Versorgungsstellen ist stark regionalisiert und durch
kleinste Funktionseinheiten wie Arztpraxen gekennzeichnet. Die Versorgung erfolgt durch regionale
Händlerstrukturen. Empfänger der logistischen Güter der häuslichen Patientenversorgung sind in der Regel
Haushalte oder Pflegeheime, welche ebenso durch regionale Händlerstrukturen bedient werden. Bei der
Versorgung der Haushalte spielen insbesondere niedergelassene Apotheken und Sanitätshäuser eine
bedeutende Rolle. Logistikgebiete für den Pharmabedarf sind mit ca. 10.000 Quadratmetern für eine
komplette Sortimentsvorhaltung vergleichsweise klein und verteilen sich auf ein ballungsraumorientiertes
Depotnetz [Kille/Schwemmer 2014, S. 193].
Beispiele für Großhandelsbetriebe, die regionale Apotheken oder Fachhändler versorgen, sind die PHOENIX
Gruppe, die Apothekergenossenschaft NOWEDA und der Apothekenlieferant CELESIO. Allerdings werden
die Großhandelsstrukturen zunehmend durch Konzepte wie Direct to Pharmacy (DTP) unter Druck gesetzt,
wobei krankenhausversorgende Apotheken beispielsweise direkt vom Hersteller ohne weitere
Zwischenhändlerstufen beliefert werden. Die Entwicklung solcher Modelle integriert Logistikdienstleister
stärker in die Prozesse und fördert eine Spezialisierung der Dienstleister [Röcken/Rohrberg 2008, S. 18].
Arzneimittelhersteller setzen oftmals einen primären Logistikdienstleister ein, der auf die Belieferung der
Gesundheitsbranche spezialisiert ist und entsprechende Kontrakte anbietet. Dieser unterstützt im Rahmen
der Kontraktlogistik die Bedürfnisse der Gesundheitseinrichtungen und entwickelt Supply Chain
Management- und Belieferungskonzepte, die optimalerweise gemeinsam mit den Gesundheitseinrichtungen in die Anwendung überführt werden. Damit einher geht die Entwicklung der Produktharmonisierung und die damit verbundene Reduktion der Lieferantenanzahl auf wenige Haupt- und
Leitlieferanten [Klaus 2012, S. 221]. Individualisierte Konzern- und Branchenlogistikangebote werden
gegenüber Standardlösungen verstärkt angeboten [Röcken/Rohrberg 2008, S. 17].
Bundesamt für Sicherheit in der Informationstechnik
101
Logistik in anderen KRITIS-Sektoren
Beispiele für logistische Generalunternehmen, die einen Pharmabereich im Gesamtportfolio aufweisen, sind
Deutsche Post DHL, Kühne + Nagel sowie Panalpina. Spezialisierte Dienstleister, die branchenspezifische
Transportkonzepte für den Gesundheitssektor anbieten, sind z. B. Grieshaber Logistics, Transmed und
Trans-O-Flex [Kille/Schwemmer 2014, S. 194].
Beschaffungsperspektive
Aus Sicht der Krankenhäuser und medizinischen Einrichtungen beschreibt Logistik in erster Linie die
Perspektive der Beschaffungslogistik zur nachgelagerten Versorgung der medizinischen Funktionsbereiche.
Oft wird in diesem Zusammenhang auch von der Krankenhaus- oder Inhouse-Logistik der Krankenhäuser
bzw. Gesundheitseinrichtungen gesprochen.
Kliniken und Gesundheitsdienstleister haben erst vor wenigen Jahren das Potenzial für eine Effizienz- und
Qualitätssteigerung sowie für Kosteneinsparungen in der Optimierung der eigenen logistischen Prozesse
erkannt. Die Entwicklung logistischer Abläufe unterstützt Ärzte und Pflegekräfte dabei, sich auf ihr
Kerngeschäft zu konzentrieren [Röcken/Rohrberg 2008, S. 12]. Der Aufbau und Betrieb effizienter
logistischer Infrastrukturen stellt für die Krankenhäuser und Gesundheitseinrichtungen eine große
Herausforderung dar, weshalb eine zunehmende Verlagerung logistischer Tätigkeiten in die Privatwirtschaft
zu erkennen ist. In der durch staatliche Einrichtungen geprägten Krankenhauslandschaft in Deutschland
gewinnen Private-Public-Partnership-Modelle mit gemeinschaftlichen Dienstleistungsgesellschaften
zunehmend an Bedeutung [Klaus 2012, S. 219]. Logistikdienstleister werden somit teilweise zu Mitbetreibern
von Gesundheitseinrichtungen. Tabelle 31 zeigt Bereiche der Logistik, die Potenzial für den Einsatz von
Logistikdienstleistern bieten.
Logistikbereich
Auszulagernde Bestandteile
Beschaffungslogistik
Bedarfskontrolle, Angebotswesen, Bestellüberwachung, bedarfsgerechte
Beschaffung von medizinischer Technik und Hilfsmitteln sowie Pharmazeutika
Lagerlogistik
Logistik in Zentrallagern, technische Lagerunterstützung
Entsorgungslogistik
Entsorgung von Medikamenten/Medikalprodukten
Transportlogistik
Eil- und Notfalllieferungen, Patienten-, Medikamenten- und Probentransporte
Prozesslogistik
Reinigung von Gebäuden und Operationsräumen, Sterilisation, Wäsche- und
Speiseversorgung, Laborlogistik, Wartung von (medizin-)technischen
Komponenten, Gebäudemanagement, technische Prozessunterstützung
Dokumentenlogistik
Archivhaltung, EDV-Instandhaltung
Tabelle 31: Logistikbereiche des Gesundheitssektors mit Einsatz externer Logistikdienstleistern
Die Beschaffungslogistik zusammen mit der Gestaltung der Einkaufsprozesse stellt eine große Herausforderung für die Verwaltung in Krankenhäusern dar. Eine Vielzahl von Lieferanten und Logistik dienstleistern verlangsamt die Beschaffungsprozesse. Eng mit der Beschaffung verbunden ist die Lagerhaltung, die krankenhausintern, in externen Lagern oder von externen Dienstleistern durchgeführt werden
kann.
Der Einsatz von Logistikdienstleistern kann in diesen Bereichen zu einer Effizienzsteigerung führen. Auch
für die Gestaltung der intern ablaufenden Prozesse eines Krankenhauses oder einer Gesundheitseinrichtung
können die Kompetenzen von Logistikdienstleistern in Form von Beratung, Umsetzungsunterstützung und
Koordination der Prozesse genutzt werden. Dies betrifft beispielsweise Konzepte für eine interne Flächennutzung, Weg-Routenplanung und die Bestückung der Pufferläger oder für interne Kreislaufsysteme wie der
Sterilisation, Wäsche- und Speiseversorgung. Auch die Planung von Entsorgungs- und Dokumenten logistik
werden häufig von Logistikdienstleistern unterstützt, welche die genannten Teilbereiche der
Inhouse-Logistik in ein einheitliches Prozessmodell überführen und als Betreiber auftreten. Die
gemeinsame Konzeptionierung, Planung und Umsetzung logistischer Prozesse kann dabei helfen,
102
Bundesamt für Sicherheit in der Informationstechnik
Logistik in anderen KRITIS-Sektoren
Beschaffungsprozesse zu standardisieren, die Lagerhaltung zu optimieren und Umschlagprozesse zu
minimieren.
Im Rahmen der Beschaffung und Lagerhaltung gewinnen Konzepte zum Vendor Managed Inventory (VMI)
zunehmend an Bedeutung. Hierbei rufen Krankenhäuser und Krankenhausapotheken Pharma- und
Verbrauchsmittel nur nach Bedarf aus einem Lager ab, welches vom Lieferanten bzw. beauftragten
Logistikdienstleister betrieben wird. Auch der Ausbau von Lieferantenlagern und Lieferanten-Kanban, d. h.
Pufferläger, die vom Lieferanten bei einem gewissen Verbrauch wieder befüllt werden, verdeutlicht, dass sich
die logistische Gesamtverantwortung von den Krankenhäusern auf die Lieferanten bzw. koordi nierenden
Dienstleister verlagert.
Weitere abzusehende Trends sind die Direktbelieferung von Krankenhauslagern durch die Hersteller sowie
die Lieferung bis in den Stationärbereich durch Logistikdienstleister. Dabei werden krankenhausseitige
Prozesse und Bestände vollständig aufgelöst und durch regionale bestandsführende Distributionsplattformen von Logistikdienstleistern übernommen.
Branchenspezifika
Die logistischen Anforderungen aus der Pharmaindustrie sind mit denen aus der Lebensmittelindustrie
vergleichbar. In beiden Branchen werden von Logistikdienstleistern eine lückenlose Transparenz in der
Lieferkette, geschlossene Kühlketten und ein Nachweis über die Qualitätseinhaltung gefordert. Die
Anforderungen an logistische Dienstleistungen sind vornehmlich aus den Produktspezifika abzuleiten. Zu
den Healthcare-Produkten zählen zeitkritische wie lebenserhaltende oder lebensnotwendige Produkte,
Produkte mit speziellen Lager- und Transportvorschriften wie Sterilprodukte, Produkte, die eine
geschlossene Kühlkette erfordern oder sicherheitskritische Produkte wie Gefahrstoffe oder Betäubungs mittel [Klaus 2012, S. 219].
Beim Arzneimitteltransport benötigen Pharmaunternehmen Nachweise, dass Logistikunternehmen Güter
entsprechend der Bestimmungen an den Empfänger geliefert haben. Dafür muss IT-Kompetenz vorhanden
sein und die Fähigkeit zur Integration der einzelnen Beteiligten [Kille/Schwemmer 2014, S. 193]. Bevor das
Logistikunternehmen mit dem Transport beauftragt wird, muss gemäß EU Good Manufacturing Practice
(GMP) sichergestellt sein, dass dieses die Vorschriften des Wirkstoffes kennt und befolgt. Viele Wirkstoffe
sind gekühlt zu transportieren und zu lagern oder dürfen eine bestimmte Temperatur nicht überschreiten,
um ihre Qualität nicht negativ zu beeinträchtigen. Die Kühlleistung muss unabhängig von der
Außentemperatur erbracht werden und ist durch Systeme wie Datenlogger oder Telematiksysteme zu
bestätigen. Bei Transportdienstleistungen sind Qualitätsstandards nach Safety and Quality Assesment System
(SQAS), DIN EN ISO 9001 und ISO/IEC 14001 einzuhalten.
Die Verordnung über die Anwendung der Guten Herstellungspraxis bei der Herstellung von Arzneimitteln und
Wirkstoffen und über die Anwendung der Guten fachlichen Praxis bei der Herstellung von Produkten
menschlicher Herkunft (AMWHV) sowie die Arzneimittelbetriebsordnung (AMBO) schreiben zudem vor,
Lieferungen bei Annahme stets auf die kritischen Parameter zu überprüfen und dies aufzuzeichnen, um ihre
Einhaltung zu garantieren [Frick 2010]. Alle Parteien der Wertschöpfungskette, auch die Auslieferer selbst,
müssen hinsichtlich der zur Good Distribution Practice (GDP) konformen Ausübung der Tätigkeiten geschult
sein. Für den Transport von Arzneimitteln dürfen ausschließlich Fahrzeuge eingesetzt werden, die zuvor
pharmagerecht qualifiziert wurden [VerkehrsRundschau 2013]. Der Probentransport muss über temperierte
Boxen bzw. temperaturgesteuert und mit Material zur Probenentnahme nach gefahrengutrechtlichen
Vorschriften durchgeführt werden [DSLV 2014].
Für Lager ist ggf. eine Großhandelserlaubnis erforderlich, wenn diese ein Produkt länger als 24 Stunden
lagern. Bei Kühlprodukten muss für die Zwischenlagerung ggf. eine Großhandelserlaubnis vorliegen,
unabhängig von der Dauer der Lagerung.
Die Dokumentenlogistik hat nach Good Laboratory Practice (GLP) zu erfolgen. Mit diesem Qualitätssicherungssystem werden nicht klinische gesundheits- und umweltrelevante Sicherheitsprüfungen geplant,
durchgeführt und überwacht [BfR 2015].
Bundesamt für Sicherheit in der Informationstechnik
103
Logistik in anderen KRITIS-Sektoren
Ausblick
Die Healthcare-Logistik wird zukünftig in ihrer Bedeutung und Ausgeprägtheit wachsen und sich weiter als
eigenes Segment im Logistikmarkt entwickeln. Gründe für eine zunehmende Bedeutung der
Healthcare-Logistik sind zum einem das Wachstum des tatsächlichen logistischen Volumens, da der
Materialeinsatz bei der medizinischen Behandelung steigen wird. Zum anderen werden die Ansprüche nach
einer höheren Versorgungsgeschwindigkeit und einem höheren Qualitäts- und Serviceniveau bessere und
detailliertere Logistikkonzepte verlangen [Klaus 2012, S. 224]. Auch die demografischen Entwicklungen
zeigen zukünftig einen erhöhten Bedarf an Dienstleistungen im Bereich Healthcare-Logistik auf
[Kille/Schwemmer 2014, S. 195]. Die Bedeutung von IT-Systemen wird zukünftig hinsichtlich zweier Aspekte
eine besondere Bedeutung tragen: zum einen ist der lückenlose Nachweis über den regelkonformen
Transport, den Umschlag und die Lagerung über die gesamte Supply Chain transparent darzustellen, zum
anderen bildet die Integration von Prozessen in einheitliche Systeme die Grundlage für
Effizienzsteigerungen in der Inhouse-Logistik. Gerade bei einer externen Lagerhaltung und
bedarfsgerechten Versorgung an den Verbrauchsstellen, z. B. im Operationssaal, ist die Funktionsfähigkeit
der logistischen Prozesse sowie der eingesetzten IT-Systeme essentiell.
4.2
Logistik im Sektor Ernährung
Der Sektor Ernährung erbringt zur Versorgung der Bevölkerung die kritische Dienstleistung „Lebensmittel versorgung“. Die Gesellschaft hat ein erhebliches Interesse an der ausreichenden Qualität und Quantität von
Lebensmitteln, da diese für die Bevölkerung lebensnotwendig sind. Hierbei spielt die Sicherstellung der
kontinuierlichen Herstellung und Verteilung der Lebensmittel eine wesentliche Rolle, da durch den Ausfall
von Prozessen innerhalb der Wertschöpfungskette flächendeckende Versorgungsengpässe entstehen
können, die je nach Schwere des Ausfalls eine Beeinträchtigung des gesundheitlichen Zustands der
Bevölkerung und der Stabilität der Volkswirtschaft zur Folge haben.
Bei der Produktion von Lebensmitteln sowie der Bereitstellung in Lebensmittelgroß- und -einzelhandel
bestehen in einigen betriebsinternen Prozessen wesentliche Abhängigkeiten von Logistikdienstleistungen.
Diese wurden in der KRITIS-Sektorstudie Ernährung und Wasser identifiziert und begründet (vgl. hierzu
[BSI 2014b]). Tabelle 32 zeigt jene betriebsinternen Prozesse, die wesentliche (KRITIS-relevante)
Logistikabhängigkeiten aufweisen.
104
Bundesamt für Sicherheit in der Informationstechnik
Logistik in anderen KRITIS-Sektoren
Betriebsinterner Prozess
(ID, Name)21
Ausgestaltung der Abhängigkeiten
Kritische Dienstleistung „Lebensmittelversorgung“
Prozessschritt „Lebensmittelproduktion“
DL1 PS1 BP1
„Rohstoffgewinnung“
Die gelieferten Produktionsmaterialien und die produzierten Rohstoffe
müssen durch interne und externe Logistikprozesse an Lagerorte der
landwirtschaftlichen Betriebe oder der Lebensmittelproduzenten transportiert
werden.
DL1 PS1 BP2 „Verwaltung Es muss sichergestellt werden, dass die Lieferung von bestelltem
des Produktionsmaterials“ Produktionsmaterial rechtzeitig, vollständig und in ausreichender Qualität
erfolgt und diese im gesamten Produktionsprozess verfügbar ist. Des Weiteren
muss sichergestellt werden, dass benötigte technische Geräte funktionsfähig
sind.
Die gelieferten Produktionsmaterialien müssen durch interne Logistikprozesse
an vordefinierte Lagerorte transportiert werden.
DL1 PS1 BP3 „Produktion“ Interne logistische Prozesse müssen die Lieferung von Produktionsmaterialien
an unterschiedliche Produktionsstandorte sicherstellen. Hierbei sind
Kühlketten und Hygienevorschriften einzuhalten.
DL1 PS1 BP4 „Lagerung
und Auslieferung“
Logistische Prozesse müssen die Auslieferung produzierter Lebensmittel an die
Kunden unter Berücksichtigung unterschiedlicher Transportanforderungen
sicherstellen. Interne logistische Prozesse müssen den Transport der
Lebensmittel innerhalb der eigenen Lager regeln. Je nach Lebensmittel müssen
besondere Anforderungen bei der Verpackung berücksichtigt werden.
Prozessschritt „Lebensmittelgroßhandel“
DL1 PS2 BP1
„Organisation des
Lagerbestands“
Es muss sichergestellt werden, dass die Anlieferung von Lebensmitteln, die
durch die Händler bei den Lebensmittelproduzenten bestellt wurden,
rechtzeitig, vollständig und in ausreichender Qualität erfolgt.
DL1 PS2 BP3
„Tourenplanung und
Auslieferung“
Logistische Prozesse müssen die Auslieferung produzierter Lebensmittel an die
Kunden unter Berücksichtigung unterschiedlicher Transportanforderungen
sicherstellen. Interne logistische Prozesse müssen den Transport der
Lebensmittel innerhalb der eigenen Lager regeln.
Prozessschritt „Lebensmitteleinzelhandel“
DL1 PS3 BP1
„Organisation der Waren“
Es bestehen Abhängigkeiten von internen und externen Logistikprozessen,
welche die zeitnahe und vollständige Anlieferung der Waren sicherstellen.
Tabelle 32: KRITIS-relevante Logistikabhängigkeiten im Sektor Ernährung
Logistische Dienstleistungen werden primär bei der Transportorganisation und -durchführung in Anspruch
genommen. Dabei müssen Produktionsmaterialien und Rohstoffe transportiert und sichergestellt werden,
dass die Lieferung alle zeitlichen und qualitativen Anforderungen erfüllt. Die Erbringung der Logistikanteile
übernehmen meist auf den Ernährungssektor spezialisierte Logistikdienstleister mit entsprechendem
Know-how und operativen Ressourcen. Auch bei der Organisation und Ausrichtung betriebsinterner
Logistikprozesse erbringen Logistikdienstleister Services für Unternehmen des Ernährungssektors.
In der Lebensmittellogistik müssen spezielle Rahmenparameter wie Temperatur- und Hygienebestimmungen beachtet werden. Der Großteil der Transporte in der Lebensmittellogistik wird temperiert
gefahren. Ausnahmen sind Teil- oder Kompletttransporte, die aufgrund der Temperaturunempfindlichkeit
keiner Kühlung bedürfen. Bevorzugt temperaturgeführt abgewickelt werden plusgradige Lebensmittel wie
21 Die ID bezieht sich auf die Referenzierung in der KRITIS-Sektorstudie Ernährung und Wasser (2014).
Bundesamt für Sicherheit in der Informationstechnik
105
Logistik in anderen KRITIS-Sektoren
Fleisch, Fisch und Molkereiprodukte sowie Convenienceprodukte wie Fertiggerichte, Feinkost, schokoladeund sahnehaltige Konditorei- und Süßwaren, Obst und Gemüse. Hinzu kommen Transporte für klassische
Tiefkühlprodukte.
Hauptanforderungen in der Lebensmittellogistik sind Rückverfolgbarkeit, Qualität und Sicherheit. Diese
werden ergänzt durch zahlreiche technische und organisatorische Anforderungen der Logistikkunden. Diese
erwarten, dass die „ohnehin hohen gesetzlichen Anforderungen an das Equipment und an die Systeme
eingehalten werden, so zum Beispiel für die Sicherstellung der Rückverfolgbarkeit, der Einhaltung der
Temperaturhöchstgrenzen bei bestimmten Produkten, oder zur Temperaturdokumentation.“
[Maienschein 2007] Letztere erfordert den Nachweis der lückenlosen Temperaturkette über den gesamten
Transport- und Lagervorgang hinweg. Auf organisatorischer Ebene wird zunehmend gefordert, dass
„Lager, Kommissionierung und die Transporte für Beschaffung und Distribution aus einer
Hand kommen, und zwar möglichst standortoptimal. Zudem gilt es, die gesetzlichen
Mindest-Standards für Lebensmittel-Sicherheit tatsächlich einzuhalten. Hier sind vor allem zu
nennen Rückverfolgbarkeit binnen kürzester Zeit, beispielsweise für Rückrufaktionen,
dokumentierte Temperaturverläufe, Hygiene und HACCP.“ 22 [Maienschein 2007]
Im Hinblick auf die strengen Hygienevorschriften sind sowohl spezielle Hygienemaßnahmen als auch
dediziertes Equipment wie Behälter etc. notwendig.
Dienstleister wie die DACHSER GmbH & Co. KG, welche das Geschäftsfeld DACHSER Food Logistics anbietet,
bieten sowohl Standardservices für die schnelle, zuverlässige und lebensmittelgerechte Verteilung von
Produkten an, als auch individuelle maßgeschneiderte Dienste, „weil Outsourcing von Logistikleistungen
ein weiterhin anhaltender Trend ist. So zum Beispiel die Zusammenlegung von historisch gewachsenen
Logistik-Standorten zu Zentrallagern, die dann von externen Dienstleistern betrieben werden.“
[Maienschein 2007]
Dabei setzen Logistikdienstleister vermehrt auf die Zertifizierung ihrer Angebote nach DIN EN ISO 9001, um
die nationalen und europäischen gesetzlichen Bestimmungen zum Lebensmitteltransport in einem
Qualitätsmanagement zu verankern. Auch streben verschiedene Dienstleister eine Zertifizierung nach dem
Standard IFS Logistics an, welcher „der Auditierung von Logistikaktivitäten für Lebensmittel und
Non-Food-Produkte“ dient [IFS 2015]. Dies umfasst Transport, Lagerung, Vertrieb, Be- und Entladen etc. „Der
Standard ist auf alle Logistikbereiche anwendbar, z. B. Anlieferung per LKW, Bahn oder Schiff, und gilt für
alle Arten von Produkten, egal, ob sie bei Gefriertemperaturen, gekühlt oder ungekühlt transportiert werden
müssen.“ [IFS 2015]
4.3
Logistik im Sektor Energie
Der Sektor Energie erbringt zur Versorgung der Bevölkerung die kritischen Dienstleistungen „Stromversorgung“, „Gasversorgung“ und „Treibstoff- und Heizölversorgung“. Diese umfassen die Erzeugung des
jeweiligen Energieträgers, ggf. die Bearbeitung bzw. Veredelung, den Transport sowie die Bereitstellung der
benötigten Leistung beim Verbraucher.
Bei der Versorgung der Bevölkerung mit Strom, Gas, Treibstoff und Heizöl bestehen in einigen betriebsinternen Prozessen wesentliche Abhängigkeiten von Logistikdienstleistungen. Diese wurden in der
KRITIS-Sektorstudie Energie identifiziert und begründet (vgl. hierzu [BSI 2014c]). Tabelle 33 zeigt jene
betriebsinternen Prozesse, die wesentliche (KRITIS-relevante) Logistikabhängigkeiten aufweisen.
22 Das Hazard Analysis Critical Control Point-Konzept (dt. „Gefährdungsanalyse und kritische Lenkungspunkte“)
hat das Ziel, Einflüssen bei Herstellung, Behandlung und Verarbeitung, Transport, Lagerung und Verkauf von
Lebensmitteln vorzubeugen, die Erkrankungen des Menschen nach Verzehr eines Lebensmittels erwarten
lassen.
106
Bundesamt für Sicherheit in der Informationstechnik
Logistik in anderen KRITIS-Sektoren
Betriebsinterner Prozess
(ID, Name)23
Beschreibung der Abhängigkeiten
Kritische Dienstleistung „Stromversorgung“
Prozessschritt „Stromerzeugung“
DL1 PS1 BP1
„Brennstoffversorgung“
Es bestehen hohe Abhängigkeiten beim Transport von Brennmaterial zu
Kraftwerken (vor allem bei Braunkohle und Steinkohle über das Bahnnetz).
DL1 PS1 BP5 „Entsorgung Für die Entsorgung von Rückständen aus den Kraftwerken sind meist
von Rückständen“24
Logistikdienstleistungen notwendig (unter anderem bei Lkw, die Abfälle oder
Rohstoffe abtransportieren). Sehr hohe Abhängigkeiten bestehen ferner beim
Abtransport von abgebrannten Brennstäben aus Kernkraftwerken
(CASTOR-Transporte).
Kritische Dienstleistung „Gasversorgung“
Prozessschritt „Gasförderung“
DL2 PS1 BP1 „Exploration Es bestehen wesentliche Abhängigkeiten beim Transport der für die
und Erschließung“
Erschließung nötigen Geräte (u. a. Lieferung der Rohre) und bei der Versorgung
mit Ersatzteilen.
Kritische Dienstleistung „Treibstoff- und Heizölversorgung“
Prozessschritt „Treibstoff- und Heizölverteilung“
DL3 PS2 BP2
„Öltransport“25
Große Mengen Mineralölprodukte werden auf der Straße, der Schiene oder
durch die (Binnen-)Schifffahrt transportiert. Es bestehen hohe
Logistikabhängigkeiten beim Transport.
Prozessschritt „Treibstoff- und Heizölverteilung“
DL3 PS3 BP1
„Heizölvertrieb“
Es bestehen hohe Logistikabhängigkeiten aufgrund des Transports auf Schiene
und Straße.
DL3 PS3 BP2
„Kraftstoffvertrieb“
Es bestehen hohe Logistikabhängigkeiten aufgrund des Transports auf Schiene
und Straße.
Tabelle 33: KRITIS-relevante Logistikabhängigkeiten im Sektor Energie
Für den Begriff der „Energielogistik“ existiert keine allgemein gültige Definition. Rüdiger Winkler,
Geschäftsführer der EDNA-Initiative e.V., führt aus: „Der Begriff der Energielogistik ist noch sehr jung. [...]
Hier geht es nicht um die materielle Zulieferung von Energie, sondern um die dafür erforderlichen Kommu nikationsprozesse zwischen den Marktpartnern.“ [ETA Energie 2009] Im Gegensatz dazu fokussiert das neue
Forschungsfeld „Energielogistik“ der Abteilung Verkehrslogistik des Fraunhofer IML die strukturellen
Energieflüsse sowie die notwendigen logistischen Methoden und Prozesse, die zur Erbringung von
Dienstleistungen im Energiesektor notwendig sind. Dazu zählt die Planung und Optimierung von
Flüssiggasdistributionssystemen und Tankstellenbelieferung, die Entwicklung multimodaler Transport23 Die ID bezieht sich auf die Referenzierung in der KRITIS-Sektorstudie Energie (2014).
24 Der Prozess „Entsorgung von Rückständen“ ist in Bezug auf die Verfügbarkeit der Kritischen Infrastrukturen
nicht bedeutend, die Abhängigkeit von logistischen Dienstleistungen dennoch wesentlich. Daher wird er der
Vollständigkeit halber aufgeführt.
25 Die Logistikabhängigkeit des betriebsinternen Prozesses „Öltransport“ wurde in der KRITIS-Sektorstudie
Energie als unwesentlich bewertet. Dies bezog sich jedoch nur auf den Transport per Pipeline, bei dem keine
Logistikleistungen notwendig sind. Wird zusätzlich der Transport per Lkw oder Schiff zugrunde gelegt,
ergeben sich wesentliche Abhängigkeiten von logistischen Dienstleistungen. Fachlich abzugrenzen ist der
Öltransport von der Produktabgabe, welche die Abgabe der Mineralölprodukte an die Verbraucher und
Weiterverkäufer direkt oder durch Einspeisung in Pipelines umfasst. Dies betrifft jedoch nur die Bereitstellung
der Ölprodukte und beinhaltet keine Transportleistungen.
Bundesamt für Sicherheit in der Informationstechnik
107
Logistik in anderen KRITIS-Sektoren
ketten zur Kraftwerksversorgung, die integrative Planung von Stromtransport- und -verteilnetzen sowie die
Entwicklung von Prognosemodellen [Fraunhofer IML 2015, S. 4–5].
Für die weiteren Betrachtungen bezüglich der Erbringung von Logistikanteilen im Energiesektor wird der
Ansatz des Fraunhofer IML zugrunde gelegt. Logistikabhängigkeiten bestehen dabei primär bei der
Transportorganisation und -durchführung für Brennstoffe. Dabei ist zwischen chemischen Energieträgern
und Elektrizität (elektrischer Strom) bzw. Wärme zu unterscheiden. Letztere werden leitungsgebunden über
Verbundnetze bzw. Fern- und Nahwärmenetze transportiert und bedingen keine konkreten logistischen
Dienstleistungen.
Chemische Energieträger hingegen wie Kohle und andere feste Brennstoffe werden hauptsächlich per Schiff,
Bahn und Lkw transportiert. 26 Hauptanforderungen an die Transporte erstehen insbesondere aus dem
Bereich der Gefahrgutlogistik (siehe Kapitel 1.1 „Einführung in die Logistik“ und Kapitel 2.4 „Rolle der
öffentlichen Hand“), da rohes Erdöl, Mineralölerzeugnisse und Kraftstoffe in die Gefahrenklasse 3 „Entzündbare flüssige Stoffe“ zählen. So müssen die Transporte vorschriftenkonform dokumentiert, die Verpackung
kontrolliert und entsprechende Kennzeichnungsvorschriften beachtet werden; „die Fahrzeugausrüstung
und -technik sowie letztlich die sichere Verladung, Beförderung und Lagerung gefährlicher Stoffe verlangen
ein breites Fachwissen und große Kompetenz aller Beteiligten.“ [DSLV 2015a, S. 17] Zusätzlich dazu müssen
die eingesetzten Transportmittel für den Transport gefährlicher Güter zugelassen sein sowie über geeignete
und zugelassene Einrichtungen zur Ladungssicherung und über geeignete und geprüfte Ladehilfsmittel
verfügen.
Der DSLV-Branchenerhebung zufolge ist die Gefahrgutabwicklung für fast jedes dritte im Gefahrgutbereich
tätige Unternehmen ein Leistungsschwerpunkt. „Es ist davon auszugehen, dass dies insbesondere im
Geschäftsfeld der Tankwagenspedition zutrifft.“ [DSLV 2015a, S. 18]
Zusätzlich zu den Anforderungen, die bei Gefahrguttransporten entstehen, stellen Kunden hohe
Anforderungen an die Qualität der Dienstleistung, beispielsweise zum Schutz vor Verunreinigungen bei Öltransporten. Individualvereinbarungen werden häufig auch in Bezug auf Transportzeiten und Lieferfristen
getroffen, z. B. zur Sicherstellung der Versorgung von Dieselaggregaten kritischer Betreiber. Dies sind jedoch
keine Anforderungen, die ausschließlich bei der Leistungserbringung für den Energiesektor entstehen;
daher nehmen diese keinen besonderen Einfluss auf die Ausgestaltung der angebotenen Logistikdienstleistungen im Vergleich zur Erbringung in anderen Sektoren.
4.4
Logistik im Sektor Finanzen
Der Sektor Finanzen erbringt zur Versorgung der Bevölkerung wesentliche Dienstleistungen wie die
Abwicklung des Zahlungsverkehrs durch die Bereitstellung und Verwaltung von Konten, die Abwicklung
von Einlagen- und Kreditgeschäften, die Bargeldversorgung und den Wertpapier- und Derivatehandel.
Die in Kapitel 3 identifizierten kritischen Logistikdienstleistungen dienen im Finanzsektor in erster Linie der
Versorgung der Banken und Geldinstitute mit Bargeld sowie bei der Lagerung von Bargeld und sonstigen
Wertgegenständen von besonderer Relevanz. Die Transport-, Umschlag- und Lageraktivitäten im
Versorgungsprozess der Geldinstitute werden überwiegend von Spezialdienstleistern wie der Prosegur
GmbH [Prosegur 2015] oder der Ziemann Gruppe [Ziemann Gruppe 2015] angeboten. Diese Dienstleister
erfüllen die spezifischen logistischen Anforderungen der Branche. Dazu zählen die Einhaltung eines hohen
Sicherheitsstandards sowie eine ständige Transportüberwachung. Um diese Anforderungen einzuhalten,
bieten die Spezialdienstleister GPS-überwachte Fahrzeuge, in einigen Fällen auch die Zugriffsmöglichkeit
auf ausgewählte Fahrzeuge per GPRS, z. B. für die funkbasierte Stilllegung von Fahrzeugen bei Bedarf. So
kann ein durchgehendes Tracking und Tracing angeboten werden. Neben Bargeld werden auch Sorten,
vertrauliche Daten(-träger), Verträge, eilbedürftige Schriftstücke und sonstige Werte in Transport- und
Lagerdienstleistungen abgewickelt. Spezialdienstleister für Geld- und Werttransporte sind in der Regel mit
gepanzerten Fahrzeugen und speziell geschützten Behältern ausgestattet. In einigen Fällen wird, sofern
26 Flüssige und gasförmige Energieträger wie Erdöl, Erdgas oder Flüssigerdgas können zusätzlich über Pipelines
transportiert werden. Vgl. hierzu [BSI 2014c, S. 118-119,136].
108
Bundesamt für Sicherheit in der Informationstechnik
Logistik in anderen KRITIS-Sektoren
gesetzlich erlaubt, bewaffnetes Personal für den sicheren Transport eingesetzt. Sicherheitsrelevante
Vorschriften für Geld- und Werttransporte werden beispielsweise durch die Bundesvereinigung Deutscher
Geld- und Wertdienste e.V. (BDGW) entwickelt.
Speziallogistikdienstleister erbringen neben den kritischen logistischen Dienstleistungen weitere Services
für ihre Kunden wie die Bestückung von Geldautomaten, die Abholung von Bargeld und das Zählen,
Bündeln und die Einzahlung von Bargeld auf die entsprechenden Konten. Für die Abwicklung der Prozesse
im Finanzgeschäft ist häufig Individualsoftware im Einsatz, um die Spezifität der Prozesse abzubilden und
die Sicherheit bei der Prozessabwicklung zu erhöhen [Prosegur 2015]. Ein weiterer Bereich, der durch
spezifische Logistikdienstleister der Branche abgedeckt wird, ist die Lagerhaltung für Bargeld und sonstige
Wertgegenstände. Dazu werden Hochsicherheitslager sowie Zollfreilager betrieben.
Standarddienstleister der Logistikbranche tragen innerhalb des Finanzgeschäfts eine geringe Bedeutung. Sie
übernehmen jedoch hinsichtlich der internen Prozessgestaltung von Banken und weiteren Institutionen des
Finanzwesen im Rahmen der Beratungsdienstleistung eine bedeutende Funktion, was auf die Bekanntheit
die Logistik als wichtiger Erfolgsfaktor in der Sachleistungsindustrie zurückzuführen ist. Damit auch
Dienstleistungsunternehmen von logistischen Optimierungen hinsichtlich Zeit, Kosten und Servicequalität
profitieren können, muss der logistische Denkansatz auf die Immaterialität der Finanzdienstleitung
übertragen werden [Britsch 2003, S. 1].
Die Bedeutung der Logistik im Banksektor nimmt hinsichtlich der Prozesseffizienz zu, da in Folge der
Bankenkrise Einsparmaßnahmen erforderlich waren und der Kosten- sowie Wettbewerbsdruck gestiegen
sind. Logistischen Dienstleistern kommt die Aufgabe zu, die Banken hinsichtlich bekannter Logistik- und
Supply Chain Management-Konzepte zu beraten und diese gemeinsam zu entwickeln und umzusetzen. Das
erfordert die Koordination und Steuerung betrieblicher Teilprozesse sowie eine ganzheitliche Optimierung
von Schnittstellen im Auftragsprozess [Pfohl 2005, S. 371]. Neben der internen Prozessgestaltung gilt es,
ebenso die Informations-, Dokumenten- und Entsorgungslogistik zu integrieren [Pfohl 2005, S. 367].
Bundesamt für Sicherheit in der Informationstechnik
109
Vorfallsammlung
5
Vorfallsammlung
Die Logistikbranche erfährt eine steigende Zahl von Sicherheitsvorfällen im Bereich IT. In diesem Kapitel
werden in der Vergangenheit aufgetretene Vorfälle aufgeführt, die durch IT-Versagen oder IT-Angriffe
hervorgerufen wurden. Dabei handelt es sich sowohl um Vorfälle nationaler als auch internationaler
Bedeutung. Die aufgeführten Sicherheitsvorfälle stellen eine Auswahl von bekannten Fällen dar; dabei
erfolgt je nach Datenlage ggf. auch ein Rückgriff auf Vorfälle aus dem Personenverkehr, die analog auf den
Güterverkehr repliziert werden könnten. Dadurch sollen die Auswirkungen auf kritische Dienstleistungen
verdeutlicht und die Sensibilität für die Wichtigkeit wirksamer Cybersicherheitsmaßnahmen erhöht
werden.
Methodik
Die einzelnen Vorfälle werden im Folgenden in Tabellenform beschrieben, um eine Vergleichbarkeit zu
ermöglichen (siehe Tabelle 34). Jeder Vorfall wird mit einem individuellen Titel bezeichnet und mit einer
Identifikationsnummer (ID) versehen.
Die Vorfälle werden, sofern dies konkret möglich ist, der jeweiligen vom Vorfall betroffenen kritischen
Dienstleistung (DL) aus der Branche, dem jeweiligen Prozessschritt (PS) und dem jeweiligen betriebsinternen
Prozess (BP) zugeordnet.
Die Auswirkungen der Sicherheitsvorfälle werden mit unterschiedlichen Schweregraden bewertet. Hierzu
dienen die folgenden Kategorien:
• Hohe Auswirkungen
Ein Vorfall, bei dem offiziellen Angaben zufolge ein großer Schaden oder Ausfall der Dienstleistungen
eingetreten ist.27
• Mittlere Auswirkungen
Ein Vorfall, bei dem offiziellen Angaben zufolge kein schwerwiegender Schaden eingetreten ist, der
jedoch zu einem Schaden mit hohen Auswirkungen hätte führen können.
• Geringe Auswirkungen
Ein Vorfall, bei dem offiziellen Angaben zufolge kein oder geringer Schaden eingetreten ist.
Bei den gesammelten Vorfällen sind in vielen Fällen konkrete Anlagen bzw. IKT-Risikoelemente im Zusammenhang mit dem betriebsinternen Prozess der kritischen Dienstleistung betroffen. Diese werden benannt,
sofern eine solche Zuordnung möglich ist. 28 Auch werden je nach Datenlage die Reaktion der betroffenen
Betreiber sowie sonstige Reaktionen innerhalb der Branche beschrieben. In einigen Fällen reagierten auch
beteiligte Behörden durch organisatorische oder regulatorische Maßnahmen, unter anderem in Form von
Veröffentlichungen von Handlungsempfehlungen oder gar Gesetzen und Verordnungen.
Die Beschreibung der Vorfälle erfolgt anhand öffentlich zugänglicher Daten und Informationen. Unter schiede hinsichtlich des Detailgrades sind darauf zurückzuführen.
27 Aufgrund des redundanten Aufbaus der nationalen und globalen Logistikketten und der dadurch
entstehenden ausgeprägten Substituierbarkeit in der Branche ist ein vollständiger Ausfall der
Dienstleistungen, beispielsweise der Transportlogistik, nahezu unmöglich.
28 In einigen Fällen ist eine klare Abgrenzung der Anlagen und IKT-Risikoelemente der Logistikbranche von
jenen des übergeordneten TuV-Sektors nicht möglich. So kann ein IT-Angriff auf Steuerungssysteme von
Flugzeugen, die als Infrastrukturkomponenten dem TuV-Sektor zugeordnet wurden, direkte Auswirkungen
auf Logistikdienstleister im Transportgewerbe haben. Die entsprechenden Stellen werden kursiv vermerkt.
110
Bundesamt für Sicherheit in der Informationstechnik
Vorfallsammlung
ID
< ID > < Titel des Vorfalls >
DL
x
Aktualität
< Datierung der Quelle des Vorfalls >
PS
y
Herkunft
< Nationaler oder internationaler Ursprung des Vorfalls >
BP
z
Grad der Auswirkung < Kategorisierung der Auswirkung des Vorfalls auf die
Verfügbarkeit der kritischen Dienstleistung des Betreibers
auf die kritische DL
anhand der Kategorien „Hohe Auswirkungen“, „Mittlere
Auswirkungen“ und „Niedrige Auswirkungen“ >
Betroffene Anlagen
< Gegebenenfalls Abbildung der betroffenen Anlagen der
Prozessschritte der kritischen Dienstleistung >
Betroffene IKT-Risikoelemente
< Gegebenenfalls Darlegung der betroffenen IKT-Risikoelemente
des betriebsinternen Prozess der Prozessschritte >
Vorfallkurzbeschreibung
< Kurze Darstellung des Hergangs und Kontextes des beschriebenen Vorfalls >
Einfluss auf Versorgungsdienstleistung
< Darstellung des Einflusses des Vorfalls auf die betroffene kritische Dienstleistung >
Reaktion Betreiber
< Darstellung der Reaktionen des Betreibers auf den konkreten Sachverhalt des Vorfalls >
Reaktion beteiligte Behörde
< Darstellung der Reaktionen von Behörden bzw. Institutionen aufgrund des konkreten Sachverhalts des
Vorfalls >
Auswirkungen Sektor/Branche
< Darstellung der Auswirkungen auf den Sektor bzw. die Branche des Betreibers aufgrund des konkreten
Sachverhalts des Vorfalls >
Quellen
< Angabe der Recherchequelle(n) >
Tabelle 34: Überblick der Eigenschaften der gesammelten Vorfälle
Generelle Bewertung von IT-Sicherheitsvorfällen
Die IT-Durchdringung der Supply Chains und globalen Logistikketten führt zu einer stetig steigenden Komplexität von Systemen, Schnittstellen und Kommunikationsverbindungen. Dieser Effekt wird verstärkt
durch zahlreiche logische Links zwischen beteiligten Institutionen, wechselnde Transportwege und ver schiedene Modelle und Ebenen von Outsourcing. Hieraus ergibt sich die Problematik, dass Systeme und
Subsysteme sowohl einzeln als auch in Summe immer schwieriger zu verstehen und transparent zu
gestalten sind. Diese Problematik manifestiert sich auf Ebene der IT-Systeme in zwei grundsätzlichen
Gefährdungen. Zum einen sind Hardware- und Softwarekomponenten vor dem Hintergrund der komplexen Anforderungen schwieriger auf ihre Compliance zu testen; zum anderen bietet die Vielzahl der
Systeme neue Angriffsflächen für Schadcode [Supply Chain 24/7 2014].
Logistikunternehmen haben ein klares Verständnis für die Auswirkungen jeglicher Art von Unterbrechung
in Logistikketten – verspätete Lieferungen resultieren in Vertragsstrafen und -auflösung, leere Lkw ver ursachen Mehrkosten. Nichtsdestotrotz müssen die Unternehmen berücksichtigen, dass diese Geschäftsrisiken zunehmend durch IT-Angriffe ausgelöst werden können [PwC 2015].
Während der letzten Jahre ist die Anzahl der Cyberangriffe auf Unternehmen aus Logistik und Spedition, die
vormals eher selten im Fokus der Angreifer standen, stetig angestiegen [K2 Intelligence 2015] Die im
Bundesamt für Sicherheit in der Informationstechnik
111
Vorfallsammlung
Folgenden aufgeführten Vorfälle zeigen, dass dabei in erster Linie Infrastrukturkomponenten wie das
Bahnnetz oder Flughäfen und Verkehrsmittel wie Züge, Schiffe und Flugzeuge beein trächtigt wurden.29 Da
in diesem Bereichen die Sichtbarkeit von Störungen am größten ist, sind sie ein bevorzugtes Ziel für
kriminelle Angriffe gegen Unternehmen. Konkrete IT-Angriffe gegen IT-Systeme zur Steuerung von Supply
Chains sind aktuell im Verhältnis eher selten, jedoch nicht ungewöhnlich. Daher entwickeln immer mehr
Unternehmen Strategien, um versteckte Angriffe zu erkennen und zu behandeln.
Die Motive für IT-Angriffe sind unterschiedlich und reichen über finanzielle Beweggründe und Neugierde
hin zu Streben nach Aufmerksamkeit und Anerkennung. Häufig dienen Logistikunternehmen als Einfallstor,
ohne jedoch das eigentliche Ziel der Angriffe zu sein. Ein Beispiel hierfür ist die Automobilindustrie, die eine
starke Abhängigkeit von Logistikdienstleistern aufweist. Angriffe auf Logistikdienstleister, die zu
Verzögerungen in Lieferketten führen, könnten so die Markteinführung eines neuen Automodels
verhindern und zu Reputations- und Umsatzverlusten des Automobilherstellers führen [K2
Intelligence 2015]. Ein anderes Beispiel sind Logistiker im Bereich der Militärlogistik, die häufig Angriffe aus
Motiven der Spionage verzeichnet. So ist es um ein vielfaches leichter, die vergleichsweise schlecht
abgesicherten Informationssysteme der Logistiker anzugreifen und Informationen über Lebensmittellieferungen zu sammeln, um daraus mögliche geplante Truppenstützpunkte abzuleiten, als die direkten
Militärsysteme anzugreifen.
Die Systeme von Hafenbetreibern und Logistikern für Seefracht werden häufig vor dem Hintergedanken
angegriffen, Frachtgut umzuleiten und so illegalen Handel und Diebstahl zu vertuschen. Ungesicherte
IT-Systeme zur Steuerung von Frachtwegen innerhalb von Häfen bieten Angreifern die Möglichkeit,
Container in offene Lagerbereiche umzuleiten und Zollkontrollen zu umgehen, um die Container nachts zu
öffnen und die Fracht zu entwenden. Ein Beispiel hierfür ist der Cyberangriff auf den Antwerpener Hafen
zwischen 2011 und 2013, bei dem Drogenhändler Hacker angeworben hatten, um in die IT-Systeme
einzubrechen und die Bewegung von Containern zu manipulieren [BBC 2013].
29 Weitere Sicherheitsvorfälle durch IT-Versagen oder IT-Angriffe, die primär TuV-Infrastrukturen betreffen,
finden sich in der KRITIS-Sektorstudie Transport und Verkehr (vgl. hierzu [BSI 2014a, S. 197–208]).
112
Bundesamt für Sicherheit in der Informationstechnik
Vorfallsammlung
5.1
Nationale Vorfälle
Nachfolgend werden in Deutschland aufgetretene Sicherheitsvorfälle aufgeführt.
ID
1
Sicherheitslücke in Sendungsverfolgung von DHL
DL
1
Aktualität
September 2014
PS
2
Herkunft
national
BP
4
Grad der Auswirkung
Geringe Auswirkungen
auf die kritische DL
Betroffene Anlagen
Logistikzentrum
Betroffene IKT-Risikoelemente
• Transportmanagementsystem
• Portal zur Sendungsverfolgung
Vorfallkurzbeschreibung
Ein Softwarefehler in der Sendungsverfolgung von DHL führte im September 2014 zu einer Sicherheitslücke. Wer den Zustellungsweg seines Pakets online über die mobile Webseite verfolgen wollte, bekam
Daten fremder Lieferungen angezeigt, darunter fremde Paketnummern und E-Mail-Adressen. Nach
Aussagen der BILD-Zeitung sollen auch Zustellorte, Empfängernamen und Absender ersichtlich gewesen
sein.
Einfluss auf Versorgungsdienstleistung
Der Vorfall hatte keinen Einfluss auf die Versorgungsdienstleistung.
Reaktion Betreiber
DHL schaltete die Webseite zur Sendungsverfolgung vier Stunden nach Bekanntwerden der Sicherheitslücke bis zu ihrer Behebung ab. Dem Betreiber zufolge handelte es sich um eine fehlerhafte Konfiguration
des Webservers. Das Postgeheimnis sei nicht verletzt worden, da Zieladressen und Absender nicht einsehbar
gewesen seien.
Reaktion beteiligte Behörde
Es sind keine Reaktionen von Behörden bekannt.
Auswirkungen Sektor/Branche
Es sind keine Auswirkungen bekannt.
Quellen
[Golem.de 2014a]
Bundesamt für Sicherheit in der Informationstechnik
113
Vorfallsammlung
5.2
Internationale Vorfälle
Nachfolgend werden Sicherheitsvorfälle aufgeführt, die außerhalb Deutschland aufgetreten sind.
ID
2
Cyberattacke „Zombie Zero“ gegen Supply Chains von Logistik- und Transportunternehmen
DL
-
Aktualität
Juli 2014
PS
-
Herkunft
international
BP
-
Grad der Auswirkung
Geringe Auswirkungen
auf die kritische DL
Betroffene Anlagen
Logistikzentren
Betroffene IKT-Risikoelemente
• Barcode-/RFID-Systeme
• ERP-Systeme
Vorfallkurzbeschreibung
Laut Untersuchungsberichten der Firma TrapX stammt die Zero-Day-Attacke „Zombie Zero“ von einem
chinesischen Hard- und Softwarehersteller, der proprietäre Scannersysteme und -applikationen anbietet,
die von diversen Unternehmen weltweit genutzt werden. Ziel der Attacke waren Unternehmen aus der
Logistik, der Transportindustrie und der Produktion. Der Hersteller installierte Malware auf den
Windows-XP-Betriebssystemen der Handscanner, welche an verschiedene Kunden verschickt wurden. Die
Malware wurde ebenfalls über die Support-Webseite des Herstellers verteilt. So konnten Logistiknetzwerke
von intern kompromittiert und finanzielle und operative Informationen gesammelt werden. Die
gesammelten Informationen wurden an einen Command-and-Control-Server der Lanxiang Vocational
School in China übermittelt, deren Gebäude neben denen des Herstellers angesiedelt ist. Über in einem
zweiten Schritt nachgeladene Malware konnten außerdem die ERP-Systeme der Unternehmen
übernommen und Sendungsinformationen modifiziert bzw. Sendungen gelöscht oder hinzugefügt werden.
„Zombie Zero“ wurde bewusst konzipiert und auf einzelne Unternehmen zugeschnitten. Zwischen Mai 2013
und Juli 2014 wurden mindestens acht Unternehmen im Bereich der Robotik und Logistik kompromittiert.
Einfluss auf Versorgungsdienstleistung
Der Angriff hatte keinen Einfluss auf die Versorgungsdienstleistung.
Reaktion Betreiber
Nach Identifizierung der ersten infizierten Scanner wurden weitere Kunden des Herstellers kontaktiert und
überprüft. Der Hersteller der Geräte hat jede Schuld abgewiesen.
Reaktion beteiligte Behörde
Es sind keine Reaktionen von Behörden bekannt.
Auswirkungen Sektor/Branche
Es sind keine Auswirkungen bekannt.
Quellen
114
[TrapX 2015]
[SecurityWeek 2014]
Bundesamt für Sicherheit in der Informationstechnik
Vorfallsammlung
ID
3
Cyberangriffe auf Signalsteuerungsanlagen der Northwest Rail Company
DL
1
Aktualität
Dezember 2011
PS
2
Herkunft
international
BP
2, 3
Grad der Auswirkung
Mittlere Auswirkungen
auf die kritische DL
Betroffene Anlagen
Schienennetz inkl. Verkehrssteuerungs- und
-beeinflussungsanlagen
Betroffene IKT-Risikoelemente
• Stellwerksanlagen
• Spezielle Systeme zur Steuerung von Weichen/Signalen
Vorfallkurzbeschreibung
Im Dezember 2011 verschafften sich Hacker Zugriff auf Signalsteuerungsanlagen der Northwest Rail
Company (USA) und setzten die Signale auf einem Streckenabschnitt für zwei Tage außer Betrieb. Da die
Strecke nahezu lahmgelegt war, entstand ein großes Chaos, was zu hohen Kosten für die betroffenen
Transportunternehmen führte.
Einfluss auf Versorgungsdienstleistung
Ein Einfluss auf die Versorgungsdienstleistung ist nicht direkt bekannt, da wichtige Güter auf andere
Verkehrsträger umgeladen werden konnten.
Reaktion Betreiber
Es ist keine Reaktion des Betreibers bekannt.
Reaktion beteiligte Behörde
Es sind keine Reaktionen von Behörden bekannt.
Auswirkungen Sektor/Branche
Es sind keine Auswirkungen bekannt.
Quellen
[KPMG 2015]
[Nextgov 2012]
Bundesamt für Sicherheit in der Informationstechnik
115
Vorfallsammlung
ID
4
Cyberattacke gegen das Bodencomputersystem der polnischen Airline LOT
DL
1
Aktualität
Juni 2015
PS
1
Herkunft
international
BP
3
Grad der Auswirkung
auf die kritische DL
Geringe Auswirkungen
Betroffene Anlagen
Flughafen
Betroffene IKT-Risikoelemente
• Flughafeninformationssystem/Airport Operational Database
• Bodencomputersystem
Vorfallkurzbeschreibung
Am 21. Juni 2015 drangen Hacker in das Bodencomputersystem der polnischen Airline LOT am Flughafen
Warschau ein, welches dazu dient, Flugpläne zu koordinieren und herauszugeben. Das Computersystem
wurde gegen Nachmittag gehackt und war für circa fünf Stunden außer Betrieb. Wie der Sprecher Adrian
Kubicki mitteilte, mussten in dieser Zeit zehn nationale und internationale Flüge gestrichen und ein
Dutzend mehr verschoben werden. Die Sicherheit der laufenden Flüge sowie Flüge, die in Warschau
landeten, waren nicht betroffen. Auch wurden keine anderen Flughäfen beeinträchtigt. Der Betreiber gab
an, Computersysteme zu nutzen, die dem aktuellen Stand der Technik entsprechen, weshalb ähnliche
Angriffe auch andere Unternehmen in der Branche treffen könnten.
Einfluss auf Versorgungsdienstleistung
Ein Einfluss auf die Versorgungsdienstleistung ist nicht bekannt.
Reaktion Betreiber
Es ist keine Reaktion des Betreibers bekannt.
Reaktion beteiligte Behörde
Es sind keine Reaktionen von Behörden bekannt.
Auswirkungen Sektor/Branche
Es sind keine Auswirkungen bekannt.
Quellen
116
[Thomson Reuters 2015]
[CSO Online 2015]
Bundesamt für Sicherheit in der Informationstechnik
Vorfallsammlung
ID
5
Simulation: Wissenschaftler leiten Yacht mit gefälschtem GPS-Signal irre
DL
1
Aktualität
Juli 2013
PS
2
Herkunft
international
BP
2, 3
Grad der Auswirkung
Geringe Auswirkungen
auf die kritische DL
Betroffene Anlagen
Transportmittelflotte
Betroffene IKT-Risikoelemente
• Navigationssysteme
Vorfallkurzbeschreibung
Im Juli 2013 untersuchte ein Forschungsteam der University of Texas at Austin, inwiefern unter Nutzung
eines selbstgebauten GPS-Senders der Kurs einer Yacht unbemerkt manipuliert werden könne. Hierfür
entwickelten sie ein Gerät zum Spoofing von GPS-Signalen, welches falsche Signale aussendet und so den
GPS-Empfänger des Zielobjekts täuscht. Ziel des Experiments war es, die Schwierigkeit einer solchen
Spoofing-Attacke auf See zu bewerten und zu evaluieren, ob Sensoren der Kommandozentrale die
Täuschung erkennen könnten.
Im Gegensatz zu GPS Blocking oder Jamming, bei dem die GPS-Signale gestört werden, löste das GPS
Spoofing keinen Alarm in den Navigationssystemen der Kommandozentrale aus. Eine Unterscheidung
zwischen authentischen Signalen und den gefälschten Signalen des Forschungsteams war nicht möglich,
wodurch die Spoofing-Attacke erfolgreich durchgeführt und der Kurs des Schiffes um einige Grad verändert
werden konnte. Ohne zusätzliche Informationen des Schiffsradars oder klassischer Seekarten fällt eine
Kursänderung auf offener See ohne Sichtkontakt zum Land nicht auf.
Einfluss auf Versorgungsdienstleistung
Die Simulation hatte keinen Einfluss auf die Versorgungsdienstleistung.
Reaktion Betreiber
Es ist keine Reaktion des Betreibers bekannt.
Reaktion beteiligte Behörde
Es sind keine Reaktionen von Behörden bekannt.
Auswirkungen Sektor/Branche
Es sind keine Auswirkungen bekannt.
Quellen
[UT Austin 2013]
Bundesamt für Sicherheit in der Informationstechnik
117
Vorfallsammlung
ID
6
FBI beschuldigt Sicherheitsexperten, ein Flugzeug gehackt zu haben
DL
1
Aktualität
Mai 2015
PS
2
Herkunft
international
BP
2, 3
Grad der Auswirkung
Geringe Auswirkungen
auf die kritische DL
Betroffene Anlagen
Transportmittelflotte
Betroffene IKT-Risikoelemente
• keine
Vorfallkurzbeschreibung
Am 15. April 2015 hatte der Sicherheitsexperte Chris Roberts auf einem Flug mit United Airlines von
Chicago nach New York per Tweet gescherzt, dass er das Netzwerk des Flugzeugs hacken und die Notfallsauerstoffmasken aktivieren könne. Nach der Landung wurde er am Flughafen verhört und vom FBI
beschuldigt , sich während des Flugs in das Leitsystem des Flugzeugs gehackt und es vorübergehend
gesteuert zu haben. Laut FBI habe Roberts bereits im Februar und März Verhören zugegeben, sich während
2011 und 2014 über fünfzehnmal Zugang zu Inflight-Entertainment-Systemen von Thales und Panasonic in
Boeing- oder Airbus-Flugzeugen verschafft und einmal sogar kurzzeitig den Kurs des Flugzeugs verändert
zu haben. Roberts weist von sich, jemals real in den Kurs eines Flugzeugs eingegriffen zu haben, und
behauptet lediglich, dass ihm dies möglich sei. Bislang wurde keine Anklage erhoben, doch das FBI geht
davon aus, dass seine Behauptungen nicht nur zutreffen, sondern dass er tatsächlich bereits die Tat
begangen hat.
Einfluss auf Versorgungsdienstleistung
Der Angriff hatte keinen Einfluss auf die Versorgungsdienstleistung.
Reaktion Betreiber
United Airlines hat Chris Roberts untersagt, zukünftig mit der Airline zu fliegen. Boeing gab an, dass das
Entertainment-System von den Steuerungs- und Navigationssystemen isoliert und Änderungen an
Flugplänen nur mit Prüfung und Genehmigung des Piloten möglich wären. Designmerkmale der Flugzeuge
würden jedoch nicht generell im Hinblick auf Sicherheitsaspekte geprüft werden.
Reaktion beteiligte Behörde
Das FBI und die Transportation Security Administration hatten nach dem Verhör eine Warnung an die
Fluglinien ausgegeben, auf Passagiere zu achten, die versuchen könnten, sich in das WiFi-Netz oder das IFE
zu hacken.
Auswirkungen Sektor/Branche
Es sind keine Auswirkungen bekannt.
Quellen
118
[CNN 2015]
[Computerworld 2015]
[Telepolis 2015]
Bundesamt für Sicherheit in der Informationstechnik
Vorfallsammlung
ID
7
800.000 Daten von Kunden und Beschäftigten bei U.S. Postal Service gestohlen
DL
-
Aktualität
Oktober 2014
PS
-
Herkunft
international
BP
-
Grad der Auswirkung
Geringe Auswirkungen
auf die kritische DL
Betroffene Anlagen
Logistikzentren
Betroffene Risikoelemente
• ERP-Systeme
• Customer Relationship Management
Vorfallkurzbeschreibung
Der staatliche „U.S. Postal Service“ wurde Opfer eines Hacker-Angriffs, bei welchem ca. 800.000 persönliche
Daten von Mitarbeitern und Kunden gestohlen wurden. Der entstandene Schaden war auf bestimmte
Bereiche begrenzt und alle Geschäftsprozesse im Unternehmen konnten normal durchgeführt werden.
Entwendet wurden Mitarbeiterinformationen wie Namen, Adressen und Sozialversicherungsnummern.
Weiterhin wurden persönliche Daten von Kunden gestohlen, welche den U.S. Postal Service über den
Kundendienst per Mail oder Telefon kontaktiert hatten. Nicht betroffen waren Kreditkarten-Daten, die im
Rahmen des Online-Angebots der Post genutzt wurden.
Einfluss auf Versorgungsdienstleistung
Der Angriff hatte keinen Einfluss auf die Versorgungsdienstleistung.
Reaktion Betreiber
Es ist keine Reaktion des Betreibers bekannt.
Reaktion beteiligte Behörde
Es sind keine Reaktionen von Behörden bekannt.
Auswirkungen Sektor/Branche
Es sind keine Auswirkungen bekannt.
Quellen
[Katersky 2014]
Bundesamt für Sicherheit in der Informationstechnik
119
ID
8
Cyberattacke gegen Antwerpener Hafen ermöglicht unbemerkten Drogenhandel
DL
2
Aktualität
Juni 2011 bis 2013
PS
2
Herkunft
international
BP
1, 2
Grad der Auswirkung
Mittlere Auswirkungen
auf die kritische DL
Betroffene Anlagen
Hafen
Betroffene Risikoelemente
• Warehouse Management System
• Port Management Information System
Vorfallkurzbeschreibung
Im Juni 2011 waren Hacker in die IT-Systeme des Antwerpener Hafens eingedrungen, welche die Bewegung
von Containern und die Zuweisung der Lagerorte verwalten. Die Hacker waren von einem Drogenkartell
beauftragt worden und infiltrierten zunächst die Computernetzwerke von mindestens zwei Unternehmen,
die als Containerreedereien im Hafen tätig waren. Hierfür verschickten sie Schadsoftware per E-Mail an die
Angestellten der Unternehmen und richteten einen Remotezugang ein. Als dieser bemerkt und durch
Einrichtung einer Firewall blockiert wurde, brachen die Hacker in die Gebäude ein und installierten
Key-Logger in den Computern der Angestellten. So erhielten sie Zugang zu sensiblen Daten über Standort
und Sicherheitsdetails von Containern, wodurch Kokain und Heroin in Containern aus Südamerika mit
legalen Gütern wie Holz und Lebensmitteln versteckt werden konnten. Die Drogenhändler beauftragten
anschließend Lkw-Fahrer, die Fracht abzuholen, bevor der eigentliche Empfänger informiert werden und
die Fracht abholen konnte.
Einfluss auf Versorgungsdienstleistung
Der Angriff hatte keinen Einfluss auf die Versorgungsdienstleistung.
Reaktion Betreiber
Die Containerreedereien gaben an, ihre IT-Sicherheitsmaßnahmen verstärkt zu haben, um ähnliche Vorfälle
in Zukunft abzuwehren.
Reaktion beteiligte Behörde
Es sind keine Reaktionen von Behörden bekannt.
Auswirkungen Sektor/Branche
Es sind keine Auswirkungen bekannt.
Quellen
120
[BBC 2013]
Bundesamt für Sicherheit in der Informationstechnik
ID
9
Cyberattacke gegen die Islamic Republic of Iran Shipping Lines
DL
1
Aktualität
August 2011
PS
1
Herkunft
international
BP
2, 3
Grad der Auswirkung
Mittlere Auswirkungen
auf die kritische DL
Betroffene Anlagen
Logistikzentren
Betroffene Risikoelemente
• Transportmanagementsystem
• ERP-System
Vorfallkurzbeschreibung
Im August 2011 drangen Hacker in die IT-Systeme der Islamic Republic of Iran Shipping Lines (IRISL) ein
und manipulierten Daten zu Preisen, Ladungen, Frachtnummern, Lieferterminen und Lieferorten. In Folge
konnten Standorte der Container sowie der aktuelle Status der Beladung nicht bestimmt werden. Obwohl
die Daten letztendlich wiederhergestellt werden konnten, führte der Angriff zu signifikanten Unterbrechungen in Betriebsabläufen; eine große Menge Fracht wurde an falsche Zielorte geliefert, was zu hohen
finanziellen Verlusten führte. Darüber hinaus ging eine erhebliche Menge an Fracht vollständig verloren.
Einfluss auf Versorgungsdienstleistung
Der Angriff hatte keinen Einfluss auf die Versorgungsdienstleistung.
Reaktion Betreiber
Der Betreiber gab an, im Anschluss an den Angriff einen anonymen Hinweis erhalten zu haben. Dieser
nannte als Ziel der Attacke Güter, die für das iranische Nuklearprogramm bestimmt gewesen wären.
Reaktion beteiligte Behörde
Es sind keine Reaktionen von Behörden bekannt.
Auswirkungen Sektor/Branche
Es sind keine Auswirkungen bekannt.
Quellen
[CyberKeel 2014, S. 6, 18]
Bundesamt für Sicherheit in der Informationstechnik
121
Cyber-Sicherheit
6
Cyber-Sicherheit
Das Kapitel „Cyber-Sicherheit“ beschreibt die branchenüblichen Maßnahmen zur IT- und Informations sicherheit in der Logistikbranche in Deutschland. Dabei wird der derzeit umgesetzte Stand der Technik
betrachtet.
Abschnitt 6.1 „Standards und Best Practices“ erläutert die generelle IKT-Sicherheit in der Logistikbranche
unter Betrachtung vorhandener Standards für Informationssicherheit.
Abschnitt 6.2 „Gesetzliche Anforderungen“ betrachtet Anforderungen an die IKT-Sicherheit hinsichtlich
Normen, Gesetzen und weiterer spezifischer Regularien.
Abschnitt 6.3 „Umsetzungsgrad der Cyber-Sicherheit“ beschreibt die praktische Darstellung des
Umsetzungsgrads von Standards und Best Practices in der Logistikbranche. Da diesbezüglich keine
signifikanten Unterschiede zwischen den verschiedenen kritischen Dienstleistungen zu beobachten sind,
erfolgt die Darstellung dienstleistungsübergreifend. Sie basiert insbesondere auf der Auswertung der
Betreiberbefragung. Dabei werden Prozesse zur Identifikation, Analyse und Behandlung von Risiken
beschrieben. Ferner behandelt der Abschnitt die aktuellen Trends und Entwicklungen bezüglich
Reaktionsfähigkeit, Sensibilisierung und Cyber-Sicherheitsstrategie. Dies berücksichtigt auch die daraus
resultierenden bzw. aktuellen Probleme.
Entwicklungen und Herausforderungen, die aktuell oder zukünftig absehbaren Einfluss auf die
Cyber-Sicherheit in der Logistikbranche nehmen, werden in Abschnitt 6.4 „Herausforderungen und
Trends“ dargestellt. Die Aufbereitung erfolgt aus verschiedenen Perspektiven und wird in den Kategorien
„Organisatorisch“, „Technisch“, „Regulatorisch“ und „Marktbezogen“ zusammengefasst.
6.1
Standards und Best Practices
Die folgende Aufzählung von Standards und bewährten Vorgehensweisen – sogenannten Best Practices –
stellt aufgrund ihrer Vielzahl und den international unterschiedlichen Ausprägungen einen Auszug der
besonders relevanten Elemente dar. Es erfolgt lediglich die Aufführung von Standards, die für Deutschland
bedeutend sind und direkt auf die IKT-Sicherheit bezogen werden können. Zum Teil sind diese Standards
auch für andere KRITIS-Sektoren oder IKT-Systeme ohne KRITIS-Bezug anwendbar. Die Standards und Best
Practices besitzen innerhalb der Logistikbranche einen unterschiedlichen Verbreitungsgrad.
Diese Studie nimmt eine Einteilung der Standards und Best Practices hinsichtlich verschiedener Aspekte vor
(siehe Abbildung 32). Dabei wird einerseits zwischen nationalem und internationalem Ursprung
unterschieden; andererseits hinsichtlich der technischen und organisatorischen Ausrichtung der jeweiligen
Veröffentlichung.
122
Bundesamt für Sicherheit in der Informationstechnik
Cyber-Sicherheit
Abbildung 32: Standards und Best Practices für die Cyber-Sicherheit in der Logistikbranche in Deutschland
Quelle: eigene Darstellung
Nachfolgende werden die einzelnen Standards auf und deren Zielstellung vorgestellt. Die Nummerierung
erfolgt analog zu Abbildung 32.
Nationaler Ursprung
1. BSI-Grundschutzstandards 100-1 bis 100-4
Die BSI-Standards enthalten methodische, prozessuale, vorgehens- und verfahrenstechnische
Empfehlungen für die Sicherheit von Informationssystemen. Der BSI-Standard 100-1 enthält
Empfehlungen zum Informationssicherheitsmanagement-System, 100-2 beschreibt das Vorgehen zum
IT-Grundschutz, 100-3 gibt Empfehlungen zum Risiko-Assessment und 100-4 enthält Empfehlungen
zum Notfallmanagement.
2. BSI IT-Grundschutzkataloge
Die BSI IT-Grundschutzkataloge stellen ein bausteinorientiertes Handbuch auf Grundlage der
BSI-Grundschutzstandards 100-1 bis 100-4 zur Erkennung und Bekämpfung sicherheitsrelevanter
Schwachstellen in IKT-Umgebungen dar. Die Grundschutzkataloge B1 bis B4 umfassen verschiedene
Ebenen der gesamten Organisation, von übergreifenden bis hin zu technischen Empfehlungen.
Zusätzlich existieren Kataloge zu Gefährdungen, Schutzmaßnahmen und geeigneten Hilfsmitteln. Die
BSI IT-Grundschutzkataloge sind mit den Best Practices aus der IEC/ISO 27002 vergleichbar, geben
allerdings weitergehende Handlungsempfehlungen sowie Konfigurationsvorschläge.
Internationaler Ursprung
3. Common Criteria Schutzprofil(e) (bspw. SM_PP)
Die Schutzprofile nach Common Criteria (CC) für IT-Produkte legen generische Anforderungen an eine
Produktkategorie fest. Sie umfassen Anforderungen an die Funktionalität sowie an die Vertrauenswürdigkeit einer Produktkategorie und decken eine bestimmte Menge von Sicherheitszielen vollständig
ab. Die Schutzprofile setzen somit Mindeststandards für bestimmte Produktgruppen. Sie können durch
daraus ableitbare Sicherheitsvorgaben auf einen konkreten Gegenstand angepasst werden, sind generell
aber implementierungsunabhängig.
Bundesamt für Sicherheit in der Informationstechnik
123
Cyber-Sicherheit
4. ISO/IEC 20000
Die Norm legt Anforderungen an ein professionelles IT Service Management (ITSM) fest. Sie kann in
Verbindung mit dem ITIL- und COBIT-Framework auch für Best Practices im Rahmen des ITSM
herangezogen werden.
5. ISO/IEC 27001 und ISO/IEC 27002
Die Norm ISO/IEC 27001 spezifiziert in Verbindung mit der ISO/IEC 27002 Umsetzungsmaßnahmen zur
Etablierung eines ganzheitlichen Informationssicherheitsmanagementsystems (ISMS), unter anderem für
die Sicherheit von Rechenzentren. ISO/IEC 27001 kann in Verbindung mit BSI Standard 100-1 und
ISO/IEC 27002 als Best Practice für die Implementierung eines ISMS dienen.
6. ISO/IEC 27011
Die Norm ISO/IEC 27011 deckt den ordnungsgemäßen Betrieb von IKT-Systemen im Sinne von
Richtlinien für ein ISMS ab. Sie berücksichtigt speziell die Besonderheiten von IKT-Systemen.
7. ISO/IEC 27032
Die Norm ISO/IEC 27032 enthält Leitlinien für Cyber-Sicherheit und die speziellen Anforderungen aus
Internet-/Netzwerkverbundenen Anlagen und Systemen. Der Fokus liegt auf Informationssicherheit,
Netzwerksicherheit, Internetsicherheit und Sicherheit in kritischen Infrastrukturen (CIP). Die Norm
beschreibt zusammenfassend Cyber-Sicherheit, besondere Anforderungen und Bedrohungen und will
ein Rahmenwerk vorgeben, wie Aspekte der Cyber-Sicherheit von Betreibern adressiert werden können.
8. ISO/IEC 27033
Die Normen ISO/IEC 27033-1, ISO/IEC 27033-2 und ISO/IEC 27033-1 enthalten Empfehlungen, Definitionen und Best Practices für Netzwerksicherheit. Die Empfehlungen betreffen Hinweise auf Architekturen für Netzwerke, relevante und angemessene technische und nicht-technische Kontrollen sowie
deren Implementierung und Umsetzung.
9. ISO/IEC 22301
Die Normen ISO/IEC 27001 und ISO/IEC 27002 sowie der BSI-Standard 100-1 haben in Verbindung mit
der ISO/IEC 22301 die Aufrechterhaltung des Geschäftsbetriebes durch ein Business Continuity
Management zum Gegenstand. Dafür werden Anforderungen an ein Managementsystem zur Prävention
von den Geschäftsbetrieb unterbrechenden Ereignissen sowie die Reaktion und Vorbereitung auf solche
Ereignisse beschrieben.
10. IETF-Standards und Best Practices
Die Internet Engineering Task Force (IETF) gibt es neben technischen Standards und Normen eine
Vielzahl an Best Practices und Guidelines für IT-Sicherheit heraus, speziell für Internetprotokolle. Ohne
Anspruch auf Vollständigkeit umfasst dies verschiedenste Standards und Protokolle wie IPSec,
VoIP-Security, Kryptographie, betriebliche Best Practices u. v. m. Ein Versuch der IETF, ein
übergreifendes, deskriptives Dokument zu schaffen, das aktuelle und relevante Security Best Practices
auflistet (Security Best Practices Efforts and Documents IETF 2013), wurde nicht zum Standard gewählt.
6.2
Gesetzliche Anforderungen
Der folgende Abschnitt greift die verschiedenen Anforderungen an die IKT-Sicherheit in Form von Gesetzen
und Verordnungen in der Logistikbranche auf und erläutert diese. Hierzu werden die einschlägigen, in
Deutschland anwendbaren Gesetze erfasst.
Dabei werden lediglich jene Gesetze erfasst, die einen direkten Bezug zur Cyber-Sicherheit im Rahmen des
Einsatzes von IKT in den kritischen Dienstleistungen besitzen. Allerdings ist zu berücksichtigen, dass eine
scharfe Abgrenzung zwischen unmittelbarem und mittelbarem Bezug zur IKT-Sicherheit nicht immer
möglich ist. Aus diesem Grund betrachtet diese Studie weitere gesetzliche Normen und Verordnungen mit
124
Bundesamt für Sicherheit in der Informationstechnik
Cyber-Sicherheit
verhältnismäßig mittelbarem Bezug zur Cyber-Sicherheit nicht weiter. Eine vollständige Aufzählung aller
Normen würde den Rahmen dieser Studie überschreiten. 30
Das Bundesdatenschutzgesetz (BDSG) regelt auf Bundesebene den Umgang von personenbezogenen Daten,
die in Informations- und Kommunikationssystemen oder manuell verarbeitet werden. Dies umfasst nach
§ 1 BDSG den Schutz des Einzelnen vor der Verletzung des Persönlichkeitsrechts durch den Umgang mit
personenbezogenen Daten. Gemäß § 9 BDSG sind öffentliche Stellen, sofern sie manuell personenbezogene
Daten verarbeiten, und nicht-öffentliche Stellen, sofern sie Daten unter Einsatz von Datenverarbeitungs anlagen verarbeiten, dazu verpflichtet, technische und organisatorische Maßnahmen zu treffen, die
erforderlich sind, um die Ausführung und Vorschriften dieses Gesetzes (und die Anforderungen der Anlage
zum Gesetz) zu gewährleisten. Die Erforderlichkeit von Maßnahmen muss dabei in angemessenem Verhältnis zu dem angestrebten Schutzzweck stehen.
Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, auch IT-Sicherheitsgesetz
(ITSiG) genannt, verpflichtet Betreiber Kritischer Infrastrukturen, ihre IKT-Systeme besser vor Störungen in
Bezug auf Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der Daten und Systeme zu schützen.
Neben der Meldung von IT-Sicherheitsvorfällen werden allgemeine und branchenspezifische Mindeststandards für die IT-Sicherheit der KRITIS-Betreiber gefordert. In regelmäßigen Abständen von 2 Jahren
müssen Betreiber nachweisen, dass sie die Anforderungen erfüllen. Bei Verstößen gegen die aus dem Gesetz
entstehenden Anforderungen drohen Bußgelder von bis zu 100.000 Euro.
Die Richtlinien 2008/43/EG und 2012/4/EU der Europäischen Kommission fordern ein Verfahren zur
Kennzeichnung und Rückverfolgung von Explosivstoffen; ferner verankert die EU-Verordnung (EG)
Nr. 178/2002 die Pflicht der Rückverfolgbarkeit von Lebensmitteln (siehe Abschnitt 2.4.1 „Beteiligte Organe
und Regulierung“). Dies bedingt implizit geeignete Datenverarbeitungs- und speichersysteme sowie
angemessene Sicherheitsmaßnahmen, um die Systeme gegen Datenverlust oder bewusste/unbewusste
Manipulation zu schützen.
6.3
Umsetzungsgrad der Cyber-Sicherheit
Der Umsetzungsgrad der Maßnahmen zur Cyber-Sicherheit wird in diesem Kapitel anhand der folgenden
Kategorien betrachtet:
1. Sicherheitsorganisation und -management: Prozesse, Managementsysteme und Sicherheitsorganisation bei Betreibern, um das Sicherheitsniveau zu erhöhen, Sicherheitsvorfälle und -angriffe zu
erkennen und abzuwehren.
2. Technische IT-Sicherheit: Vorkehrungen an einzelnen Anlagen oder Risikoelementen, um deren Schutz
gegen Ausfälle, Manipulationen oder Angriffe zu erhöhen (Prävention).
3. Überwachung und Monitoring: Fähigkeiten, Angriffe und Unregelmäßigkeiten zu erkennen und darauf
angemessen reagieren zu können (Detektion und Reaktion).
4. Externe Abhängigkeiten: Vorkehrungen für externe Verträge und Schnittstellen zu anderen Organisationen und Betreibern.
5. Notfallmanagement: Etablierte Organisationen und Maßnahmen zur Bewältigung von Notfällen und
Krisen.
6. Security Awareness: Sensibilität der Betreiber und Akteure in der Branche für die Risiken, Bedrohungen
und Auswirkungen beim Einsatz von IKT.
In diesem Abschnitt werden zunächst allgemeine Beobachtungen zum Umsetzungsgrad der
Cyber-Sicherheit in der Logistikbranche beschrieben, die durch dedizierte Feststellungen für die einzelnen
Themenschwerpunkte der Informationssicherheit in den Abschnitten 6.3.1 bis 6.3.4 genauer erläutert und
30 Gesetze und Regularien, welche die operativen TuV-Branchen Luftfahrt, Seeschifffahrt, Binnenschifffahrt,
Schienenverkehr und Straßenverkehr betreffen, finden sich in [BSI 2014a, S. 212–214].
Bundesamt für Sicherheit in der Informationstechnik
125
Cyber-Sicherheit
bewertet werden. Die Einschätzung zum Umsetzungsgrad der Cyber-Sicherheit in der Logistikbranche wird
anhand des bestehenden Expertenwissens und der Erkenntnisse aus den Betreiberbefragung einschließlich
der Einschätzung weiterer Experten und Verbände vorgenommen. Dabei ist es zum Teil erforderlich, die
Informationen aufgrund der Anonymität der Betreiberbefragung soweit zu abstrahieren, dass keine
Zuordnung zu den befragten Betreibern und Verbänden erfolgen kann. Vor dem Hintergrund, dass die
Aussagen im folgenden Kapitel weitgehend auf Basis von Wissen über einzelne Unternehmen getroffen
werden, können nicht alle Aussagen auf alle Unternehmen der Branche bezogen werden. Je nach Unternehmensgröße und Tätigkeitsschwerpunkt sind hier erhebliche Variation möglich.
Bei der Evaluierung des Umsetzungsgrads der Cyber-Sicherheit stechen folgende Punkte besonders heraus:
• In der gesamten Branche ist ein hohes Bewusstsein für die Relevanz von IT-Systemen zur Erbringung
kritischer Dienstleistungen zu beobachten. Über die vergangenen Jahre hinweg nimmt linear damit auch
das Bewusstsein für die Notwendigkeit angemessener IT-Sicherheitsmaßnahmen zu, jedoch ist zu
beobachten, dass potenzielle Bedrohungen und Angriffe auf Logistiker immer noch eher unterschätzt
werden. So sehen Betreiber die reine Logistikbranche nicht direkt im Fokus von Cyberangriffen, da
Angriffe gegen Logistiker ohne TuV-Infrastrukturen nur geringe Aufmerksamkeit erregen und quasi
nahtlos durch andere Betreiber substituiert werden können.
• Logistikbetreiber sind sich bewusst, dass in der Vergangenheit diverse Sicherheitsvorfälle mit teils
erheblichen Auswirkungen auf die erbrachten Dienstleistungen aufgetreten sind (siehe Kapitel 5
„Vorfallsammlung“). Der Großteil dieser Vorfälle wurde jedoch auf internationaler Ebene beobachtet.
Betreiber räumen ein, dass die Dunkelziffer von Vorfällen, auch in Deutschland, deutlich höher sein kann
als die Zahl der aktuell bekannten Vorfälle.
• Es wird erwartet, dass die Bedrohungslage für die IT-Infrastruktur in den kommenden Jahren zunehmen
wird. Herausforderungen liegen insbesondere in der Komplexität der IT-Syteme, der Vernetzung der an
den logistischen Prozessen beteiligten Parteien und dem Datenaustausch zwischen diesen, technologischen Neuerungen wie autonomen Transportsystemen und Lieferketten sowie der weiteren Konsolidierung der Branche, auch auf globaler Ebene.
• Organisatorische und technische Sicherheitsstandards werden primär von größeren Betreibern
umgesetzt. Hierbei erfolgt in den meisten Fällen bisher lediglich eine Anlehnung interner Maßnahmen
an die Standards; nur wenige Betreiber sind nach Standards wie ISO/IEC 27001 zertifiziert.
In Summe wird der Umsetzungsgrad der Cyber-Sicherheit als durchschnittlich bewertet, wenngleich dies
bei Betreibern unterschiedlich ausgeprägt ist und unterschiedlicher Handlungsbedarf zu verzeichnen ist.
Insbesondere größere Unternehmen konnten in der Betreiberbefragung ein hoch ausgeprägtes Schutzniveau sowie ein professionelles Sicherheitsmanagement vorweisen, welches auch Vorkehrungen beinhaltet,
um die Sicherheitsvorkehrungen regelmäßig auf Aktualität zu überprüfen und ggf. anzupassen. Dabei ist
jedoch zu beobachten, dass nur wenige der befragten Betreiber ihr Informationssicherheitsmanagementsystem (ISMS) einer Zertifizierung unterziehen.
Defizite in der Cyber-Sicherheit wurden vor allem im Bereich der Detektion und Reaktion auf Vorfälle
verzeichnet sowie beim Betrieb eines Notfallmanagements und der Etablierung einer angemessenen
Security Awareness.
6.3.1
Sicherheitsorganisation und -management
Viele Betreiber, insbesondere größere Unternehmen, verfügen über ein ISMS, um Themen der Informationssicherheit angemessen im Unternehmen zu behandeln und zu lenken. Dabei lehnen die meisten Betreiber
ihr ISMS an Standards an, wobei größtenteils ISO/IEC 27001 genutzt wird. Für die Umsetzung einzelner
technischer Maßnahmen dienen auch entsprechende Empfehlungen des BSI IT-Grundschutzes. Eine
Zertifizierung ihres ISMS haben bislang nur wenige Betreiber erlangt, was darauf zurückzuführen ist, dass
diese bislang keinen konkreten Mehrwert für die Betreiber schafft, beispielsweise als Wettbewerbsvorteil. Ein
126
Bundesamt für Sicherheit in der Informationstechnik
Cyber-Sicherheit
Großteil der Betreiber erwägt jedoch insbesondere vor dem Hintergedanken des in Kraft getretenen
IT-Sicherheitsgesetzes eine Zertifizierung.
Dedizierte Computer Emergency Response Teams (CERT) sind bislang nur bei wenigen Betreibern etabliert.
Es existieren einzelne Konzepte und Maßnahmen, um auf neue Sicherheitslücken und -vorfälle zu reagieren,
jedoch werden diese nicht übergreifend durch ein Managementsystem koordiniert und gelenkt. Ein Großteil
der Betreiber plant aktuell die Einführung eines CERT bzw. ist mit der Umsetzung beschäftigt.
Nahezu alle Betreiber, insbesondere größere Unternehmen, verfügen über eine Risikomanagement-Strategie
sowie ein bestehendes Risikomanagementsystem, das kontinuierlich und regelmäßig überprüft und bei
Bedarf an die aktuelle Bedrohungslage angepasst wird. Dies ist in erster Linie auf operative Risiken
zurückzuführen, die aufgrund des Leistungs- und Kostendrucks in der Branche leicht schwerwiegende
Folgen haben können. Konkrete Cyber-Sicherheitsrisiken werden aktuell nicht notwendigerweise
heruntergebrochen und für alle Geschäftsprozesse identifiziert.
Kritikalitätsabwägungen und Risikoeinschätzungen werden in regelmäßigen Intervallen durchgeführt. Dies
umfasst eine regelmäßige Prüfung der Bedrohungslage sowie der potenziellen Verwundbarkeit, wobei in
vielen Fällen auch Informationen aus externen Quellen genutzt werden. Regelmäßige Sicherheitstests,
insbesondere Penetrationstests, werden hauptsächlich von größeren Betreibern durchgeführt.
6.3.2
Technische IT-Sicherheit
Bezüglich präventiver Sicherheitsmaßnahmen ist in der Logistikbranche ein hohes Schutzniveau zu
beobachten. Alle befragten Betreiber setzen Komponenten wie Firewalls, Application Level Gateways und
Intrusion-Prevention-Systeme (IPS) ein, um technische Angriffe zu erkennen und abzuwehren. Auch
Zugangskontrollen, VPN-Strukturen und der Einsatz digitaler Zertifikate ist verbreitet. Generell ist eine
Fokussierung insbesondere auf die Filterung von Internet-Traffic und E-Mails sowie auf Maßnahmen gegen
Malware zu beobachten.
Einige Betreiber orientieren sich bei der Ausrichtung von Sicherheitsmaßnahmen an den SANS Top 20
Critical Security Controls.
Betreiber, die eigene Rechenzentren betreiben, haben angemessene physische und technische Schutzmaßnahmen ergriffen. So werden die Kommunikationsverbindungen fast immer redundant und teils
knotendisjunkt ausgelegt, redundante Router eingesetzt sowie Internetanschlüsse über getrennte Internet
Service Provider realisiert.
Serverstrukturen sind vor allem beim größeren Betreibern hochverfügbar ausgelegt. Tendenziell lässt sich
beobachten, dass Redundanzen und Backup-Strukturen mit abnehmender Unternehmensgröße weniger
ausgeprägt sind.
Einige Betreiber handhaben Zugang und Zugriff auf kritische IT-Systeme äußerst restriktiv und genehmigen
diese erst nach einer Prüfung auf Notwendigkeit. Berechtigungen werden überprüft und auch entfernt,
wenn sie nicht mehr aktuell sind, wobei Prozesse für ein ganzheitliches Berechtigungsmanagement nach
wie vor eine Herausforderung darstellen.
Technische Maßnahmen zum Schutz der Vertraulichkeit werden zunehmend auch im operativen Geschäft
als notwendig bewertet, beispielsweise bei der Warenannahme und -übergabe, bei der die relevanten
Informationen zu großen Teilen RFID-gestützt erhoben und übertragen werden. Jedoch ist die Implementierung beispielsweise von Verschlüsselungsmaßnahmen aufgrund des vermaschten Aufbaus und der
Vernetzung der einzelnen Komponenten nur schwer umzusetzen.
6.3.3
Überwachung und Monitoring
Hinsichtlich detektiver und reaktiver Sicherheitsmaßnahmen wird das Schutzniveau in der Logistikbranche
als eher mittelmäßig eingestuft. Nur wenige, hauptsächlich große Betreiber setzen
Intrusion-Detection-Systeme (IDS) zur Anomalieerkennung ein. Auch die Korrelation von Logfiles und die
Bundesamt für Sicherheit in der Informationstechnik
127
Cyber-Sicherheit
gebündelte Auswertung dieser durch ein Security Information and Event Management (SIEM) ist aktuell nur
selten etabliert.
Nur wenige Betreiber verfügen über ein Security Operations Center (SOC). Insbesondere global agierende
Betreiber haben jedoch die Notwendigkeit für ein solches erkannt und sind derzeit mit der Implemen tierung beschäftigt bzw. erwägen, inwieweit der Betrieb eines SOCs, teils gemeinsam mit einem SIEM, durch
externe Dienstleister erbracht werden kann.
6.3.4
Externe Abhängigkeiten
Generell verzeichnen Logistikunternehmen eine hohe Abhängigkeit von externen Parteien. Dies ergibt sich
fast zwangsläufig durch die starke Vernetzung innerhalb der Branche sowie die große Anzahl an Betreibern,
die an einer Logistikkette beteiligt sind.
Bei Outsourcing von Leistungen fließen Sicherheitsanforderungen fast immer auch in die Ausgestaltung von
Serviceverträgen ein. Häufig existieren unternehmensweite Blueprints für Verträge, welche die generell
vereinbarten Anforderungen an IT-Sicherheit bereits enthalten. Auch Auftraggeber stellen in vielen Fällen
dedizierte Anforderungen an IT-Sicherheitsmaßnahmen, insbesondere im Bereich des Datenschutzes.
6.3.5
Notfallmanagement
Nur wenige Betreiber haben ein umfassendes Notfallmanagementsystem bzw. Business Continuity
Management (BCM) etabliert. Einzelne Konzepte und Maßnahmen sind bei fast allen Betreibern vorhanden,
werden jedoch nicht immer übergreifend koordiniert und gelenkt.
Je nach Dienstleistungsspektrum richten Betreiber unternehmensinterne und teils -übergreifende Arbeitskreise ein, um Notfallmaßnahmen zu entwickeln, beispielsweise zur Kompensation von Ausfällen im Mobilfunknetz bei der Steuerung von Transporten, die im Normalfall via GSM erfolgt.
Trotz gut ausgeprägter technischer Redundanzen und Backup-Strukturen (siehe Abschnitt 6.3.2 „Technische
IT-Sicherheit“) erfolgt im Rahmen eines umfassenden Notfallmanagements nur selten ein Test von
Leitungen, Servern oder Rechenzentren. Dies begründet sich vor allem nicht oder nur selten vorhandenen
Wartungsfenstern, da aufgrund der starken Vernetzung in der Branche und der hohen zeitlichen Kritikalität
von Transporten nur schwierig prozesskettenübergreifende Wartungsfenster abgestimmt werden können.
6.3.6
Security Awareness
Viele Betreiber führen regelmäßige Trainings zur Sensibilisierung ihrer Mitarbeiter für Bedrohungen und
Schutzmaßnahmen hinsichtlich der Sicherheit ihrer IT-Systeme durch. Damit wird bewusst dem in den
letzten Monaten zu beobachtenden Trend von Social Engineering und Phishing-Angriffen entgegengewirkt.
Dennoch weist die Logistikbranche insgesamt ein eher mittelmäßiges Bewusstsein für Cyberangriffe auf;
viele Betreiber und auch Verbände sehen die Logistik selbst nicht im direkten Fokus von gezielten Angriffen
wie Advanced Persistent Threats (APT) und verweisen auf aus ihrer Sicht deutlich betroffeneren Branchen
und Sektoren wie den Finanz-, Gesundheits-, Energie- oder IKT-Sektor. So geben Betreiber an, dass Angriffe
mit kritischen Auswirkungen über andere Wege, beispielsweise Strom- oder Informationsnetze, signifikant
einfacher zu realisieren sind, als zahlreiche Logistiker gleichzeitig anzugreifen, da in diesen Bereichen der
Verteilfaktor deutlich höher ist.
6.4
Herausforderungen und Trends
Die Herausforderungen und Trends in der Logistikbranche lassen sich aus verschiedenen Perspektiven
betrachten. Als Zusammenfassung und Ergänzung insbesondere von Kapitel 3 „Kritische Dienstleistungen“
befasst sich dieser Abschnitt mit den aktuellen Trends und Herausforderungen in Bezug auf
128
Bundesamt für Sicherheit in der Informationstechnik
Cyber-Sicherheit
Cyber-Sicherheit. Dabei werden Trends und Herausforderungen jeweils zusammengefasst in den folgenden
Kategorien beschrieben:
1. Organisatorisch: Herausforderungen und Trends, welche die interne Struktur der Betreiber und deren
Sicherheitsorganisation betreffen.
2. Technisch: Änderungen und Entwicklungen eingesetzter Technologien in Bezug auf Betrieb, Produktion
oder Schutz von IKT.
3. Regulatorisch: Auswirkungen und Herausforderungen an und durch nationale Regulierung.
4. Marktbezogen: Entwicklungen und Marktbewegungen, die Auswirkungen auf eingesetzte Technologien,
Verfahren und Schutzniveaus der Dienstleistungen haben.
Teilweise können einzelne Feststellungen mehr als einer Kategorie zugeordnet werden; in diesem Fall erfolgt
die Zuordnung zu der am stärksten betroffenen Kategorie.
Organisatorisch
Eine zentrale organisatorische Herausforderung für Betreiber in der Logistikbranche liegt darin, effektive
organisatorische Strukturen zur Sicherstellung eines angemessenen IT-Sicherheitsniveaus aufzubauen.
Konkret manifestiert sich dies nach Aussagen der Betreiber sowohl bei der Gewinnung von qualifiziertem
Personal als auch in den dadurch stark gestiegenen Kosten, welche die Unternehmen bewältigen müssen.
Insbesondere kleinere und mittelständische Unternehmen sind davon in besonderem Maße betroffen.
Bei der Analyse der Betreiber in der Logistikbranche kann beobachtet werden, dass nicht nur große
Unternehmen auf globaler Ebene agieren, sondern auch zahlreiche mittelständische Unternehmen. Dies
stellt die Unternehmen vor die Herausforderung, im internationalen Wettbewerb zu bestehen. Das
IT-Sicherheitsgesetz wird diesbezüglich von vielen Betreibern als möglicher Wettbewerbsnachteil bewertet,
da den zusätzlich entstehenden Kosten für Sicherheitsorganisation und -management keine Wettbewerbs vorteile im Markt gegenüberstehen. Einige Betreiber verfügen zudem bereits über hierarchische und
zentralisierte Sicherheitsorganisationen, die relevante Funktionen überwachen und steuern. Diese Organisationen sind teilweise nicht in Deutschland angesiedelt und steuern Sicherheitsbelange der deutschen
Konzernteile, Tochterfirmen oder Infrastrukturen aus dem Ausland. Speziell im Rahmen des IT-Sicherheitsgesetzes kann dies bedeuten, dass Sicherheitsstrukturen, Prozesse und Meldewege in Deutsch land dupliziert
oder abgebildet werden müssten. Auch dass Meldungen an das BSI in deutscher Sprache erfolgen müssen,
führt häufig zu Mehraufwänden in Unternehmen, in denen Englisch allgemeine Kom munikationssprache
ist.
Technisch
Die bereits vorhandene starke Vernetzung von Betreibern, Verbänden und Institutionen der öffentlichen
Hand sowie die damit verbundene hohe Zahl technischer Schnittstellen nimmt weiter zu. Damit
einhergehend ist eine zunehmende technische Komplexität der bestehenden Systeme zu beobachten,
welche die Grundlage für weitere IKT-Abhängigkeiten bildet und neue Risiko- und Angriffsszenarien schafft.
Kooperationen zwischen Logistikern sind dabei wesentliche Treiber für Cloud Computing,
„denn die Partner wollen jederzeit und standortunabhängig den Überblick über und den
Zugriff auf den aktuellen Datenbestand haben. […] Die Vision ist eine vollständige elektronische
Akte. So sollen digitalisierte Frachtbriefe sowie Verpackungs- und Versandformulare
papierbasierte Ablagesysteme in Zukunft vollständig überflüssig machen.“ [PwC 2014, S. 3]
Weitere technische Trends wie Big Data, Bring Your Own Device (BYOD), Business Intelligence und mobile
Endgeräte und Apps stellen die Logistikbranche vor die Herausforderung, neue Prozesse zu etablieren bzw.
bestehende Prozesse entsprechend umzugestalten. Damit einhergehend müssen Infrastrukturen erweitert
oder ausgetauscht und im Rahmen dessen erweiterte Schutzmaßnahmen implementiert werden. Dies wird
durch prozessbezogene technologische Trends wie autonome Transportsysteme und Lieferketten ergänzt,
Bundesamt für Sicherheit in der Informationstechnik
129
Cyber-Sicherheit
die sowohl den Einsatz neuer technischer Infrastrukturen und Systeme als auch Veränderungen in der
aktuellen Prozesslandschaft von Betreibern verlangen.
Soziale Netzwerke, Wiki-Systeme und branchen- oder funktionsspezifische Community-Plattformen
werden in der Logistikbranche zunehmend häufiger genutzt. Dies schafft in vielen Bereichen einen Mehr wert, birgt jedoch auch die Gefahr des Preisgebens interner Unternehmensdetails, mit der sich Logistiker
künftig vermehrt auseinandersetzen müssen [PwC 2014, S. 4].
Insgesamt stellt die digitale Transformation Logistiker vor die Herausforderung, Geschäftsmodelle zu
überdenken und so die Zukunftsfähigkeit ihres Unternehmens zu sichern. Dafür müssen sie schnell und
flexibel reagieren, um die Potenziale der digitalen Transformation optimal auszuschöpfen und Risiken für
ihre bestehenden Geschäftsmodelle zu vermeiden.
Regulatorisch
Die bestehenden gesetzlichen Regelungen definieren derzeit überwiegend allgemeine Anforderungen an die
IT-Sicherheit bei Logistikbetreibern. Das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz beinhaltet
verschärfte Regelungen und Anforderungen zur Sicherstellung von IT-Sicherheit. Dies wird von einigen
Betreibern durchaus kritisch bewertet, da unklar ist, wie weit die Konsequenzen des Gesetzes reichen. So ist
bislang nicht geregelt, wie Mindeststandards konkret ausgestaltet werden und wie das IT-Sicherheitsgesetz
sinnvoll, wirtschaftlich und vor allem greifbar umgesetzt werden kann.
Marktabhängig
Der zunehmende Kostendruck im Sektor Transport und Verkehr schlägt sich auch auf die Logistikbranche
nieder. Dies ist unter anderem auf erhöhte Rohstoffpreise und Abgaben sowie gestiegene Anforderungen der
Kunden zurückzuführen, wobei erwartet wird, dass der Kostendruck in Zukunft weiter steigen wird. Dem
entgegen stehen zusätzliche Kosten, die durch ggf. zwingend erforderliche Sicherheitsmaßnahmen im
Rahmen des IT-Sicherheitsgesetzes entstehen, was nach Aussage von Betreibern sowohl national als auch
international zu Wettbewerbsnachteilen führen kann.
Der zunehmende Wettbewerb zeigt sich auch an sich verändernden Betreiberkonstellationen. So wird nach
Aussage von Betreibern die Marktkonsolidierung weiter zunehmen. Es wird erwartet, dass in Zukunft das
logistische Kerngeschäft von wenigen großen Logistikern bedient wird und operative Tätigkeiten zunehmend durch kleinere Subunternehmer ausgeführt werden.
Neue Kundenanforderungen und Trends wie Green Logistics und Just-in-Time-Logistik lassen nachhaltige
Logistikkonzepte, neue Lieferstrategien und Prozessketten entstehen. Dies wird sich in veränderten Pro zessen und Schnittstellen zwischen an der Logistikkette beteiligten Parteien auswirken, wodurch neue
Herausforderungen für die IT-Sicherheit in der Logistikbranche entstehen.
130
Bundesamt für Sicherheit in der Informationstechnik
Schlussfolgerungen und Ausblick
7
Schlussfolgerungen und Ausblick
Die vorliegende Studie betrachtet die Logistikbranche als Teil des KRITIS-Sektors Transport und Verkehr. 31
Dabei ist die KRITIS-Branche Logistik vor allem Mikrologistik mit Fokus auf Unternehmen, die im
Kerngeschäft als Logistikdienstleister fungieren. Logistikanteile in Unternehmen anderer Sektoren und
Branchen waren nicht Teil dieser Studie, da sie sich jeweils nur auf einzelne Unternehmen erstrecken.
Innerhalb dieser KRITIS-Branche wurden in dieser Studie die folgenden sogenannten kritischen Dienstleistungen untersucht:
– Transportlogistik (DL1)
– Umschlaglogistik (DL2)
– Lagerlogistik (DL3)
Im Gegensatz zu anderen KRITIS-Sektoren wie z. B. dem IKT-Sektor besteht die Besonderheit der Logistikbranche in ihrer Heterogenität durch eine große Anzahl von Dienstleistern. Die Logistikbranche ist geprägt
von zahlreichen, überwiegend mittelständischen Unternehmen, die verschiedene Marktbereiche wie Stück-,
Massen- oder Sammelgut sowie die unterschiedlichen Verkehrsträger Schiene, Straße, Luft und See
bedienen. Dadurch entsteht ein komplexes, vermaschtes Logistiknetzwerk, das durch strukturelle und
operative Redundanzen darauf ausgerichtet ist, Ausfälle zu kompensieren und Störungen in der Leistungserbringung zu vermeiden. Grundsätzlich muss bei Ausfällen einzelner Betreiber jedoch berücksichtigt
werden, dass die Möglichkeit zur Kompensation abhängig von der geographischen Reichweite eines
Logistikers sowie den von ihm fokussierten Marktbereichen wie z. B. Stück-, Massen- oder Gefahrgut ist. Die
Auswirkungen einer Störung oder eines Ausfalls eines Betreibers sind dabei in erster Linie von seiner Größe
abhängig sowie davon, welche kritischen Güter der Betreiber für die Bevölkerung oder andere
KRITIS-Sektoren bedient.
Die Logistikbranche weist diverse branchen- und sektorübergreifende Schnittstellen auf. Zum einen
bestehen innerhalb der Branche horizontale Beziehungen zwischen verschiedenen Logistikdienstleistern
bzw. vertikale Beziehungen zwischen Dienstleistern und Unternehmen, beispielsweise bei der Integration
von vor- und nachgelagerten Produktionsprozessen in der Wertschöpfungskette. Zum anderen stellt die
Logistikbranche als Querschnittsdisziplin Waren für die anderen KRITIS-Sektoren bereit, die zur Dienstleistungserbringung in diesen Sektoren benötigt werden. Im Gegenzug besteht eine umgekehrte Abhängigkeit des Sektors von den durch die Sektoren Energie und IKT erbrachten Dienstleistungen.
Bei der Dienstleistungserbringung bestehen in allen Prozessen wesentliche Abhängig keiten von
IKT-Systemen, insbesondere durch den Einsatz von Managementsystemen für Transporte, Lagerhäuser und
Warenbestände. Dabei ist in vielen Prozessen bereits eine hohe IKT-Durchdringung zu verzeichnen, wo durch eine gleichbleibende Entwicklung der Abhängigkeiten erwartet wird. Für betriebsinterne Prozesse der
Warenübernahme und -übergabe, Transport und Transportsteuerung, Yard Management, Verbringung und
Lagerung wird vor dem Hintergrund fortschreitender Entwicklungen eine Zunahme der IKT-Abhängigkeiten erwartet, was auf Entwicklungen im Bereich autonomer Transportmittel, Lagersysteme und cyberphysische Systeme sowie die fortschreitende Digitalisierung von Prozessen zurückzuführen ist. Innerhalb
der Logistikunternehmen ist eine zunehmende Zentralisierung der IKT-Systeme zu verzeichnen, branchenweit betrachtet gibt es jedoch nur wenig zentralisierte IT-Systeme, die von allen Beteiligten genutzt
werden.32
Logistikunternehmen haben generell ein klares Verständnis und Vertragswerke für die Auswirkungen von
Unterbrechung in Logistikketten. Nichtsdestotrotz müssen die Unternehmen berücksichtigen, dass diese
Geschäftsrisiken zunehmend durch IT-Angriffe ausgelöst werden können. Wie die zweite Ausgabe des
Technology Risk Radars von KPMG UK zeigt, zählen Cybercrime und unautorisierter Systemzugang, eine
31 Die generelle Frage, inwieweit Logistikbetreiber in Deutschland als Betreiber Kritischer Infrastrukturen
zu bewerten sind, ist nicht Gegenstand dieser Studie.
32 Ein Beispiel hierfür ist das deutsche Zollsystem ATLAS.
Bundesamt für Sicherheit in der Informationstechnik
131
Schlussfolgerungen und Ausblick
mangelnde Ausrichtung von IT-Investitionen und -Projekten sowie die Komplexität von IT-Systemen zu
den Top-5-Risiken im Transport-und Logistiksektor. Die aktuelle Relevanz dieser Studie lässt sich anhand
von Vorfällen in der Logistikbranche ablesen, die in Kapitel 5 „Vorfallsammlung“ beschrieben wurden.
Während der letzten Jahre ist die Anzahl der Cyberangriffe auf Unternehmen aus Logistik und Spedition
stetig angestiegen. Die aufgeführten Vorfälle zeigen, dass dabei in erster Linie Infrastrukturkomponenten
wie das Bahnnetz oder Flughäfen und Verkehrsmittel wie Züge, Schiffe und Flugzeuge beeinträchtigt
wurden. Da in diesem Bereichen die Sichtbarkeit von Störungen am größten ist, sind sie ein bevorzugtes Ziel
für kriminelle Angriffe gegen Unternehmen. Konkrete IT-Angriffe gegen IT-Systeme zur Steuerung von
Supply Chains sind aktuell im Verhältnis eher selten, jedoch nicht ungewöhnlich. Daher entwickeln immer
mehr Unternehmen Strategien, um versteckte Angriffe zu erkennen und zu behandeln.
In der gesamten Logistikbranche ist ein hohes Bewusstsein für die Relevanz von IT-Systemen zur Er bringung kritischer Dienstleistungen zu beobachten. Über die vergangenen Jahre hinweg nimmt linear
damit auch das Bewusstsein für die Notwendigkeit angemessener IT-Sicherheitsmaßnahmen zu, wobei eine
Verschärfung der Bedrohungslage für die IT-Infrastruktur in den kommenden Jahren erwartet wird.
Herausforderungen liegen insbesondere in der Komplexität der IT-Syteme, der Vernetzung der an den logis tischen Prozessen beteiligten Parteien und dem Datenaustausch zwischen diesen, technologischen
Neuerungen wie autonomen Transportsystemen und Lieferketten sowie der weiteren Konsolidierung der
Branche auch auf globaler Ebene.
Die Umsetzung der Cyber-Sicherheit als Reaktion auf diese Bedrohungen ist in der Logistikbranche teil weise
unterschiedlich, generell aber auf einem angemessenen Niveau. Die im Zuge dieser Studie durch geführte
Betreiberbefragung zeigt, dass organisatorische und technische Sicherheitsstandards primär von größeren
Betreibern umgesetzt werden. Hierbei erfolgt in den meisten Fällen bisher lediglich eine Anlehnung interner
Maßnahmen an Sicherheitsstandards; nur wenige Betreiber sind nach ISO/IEC 27001 o. ä. zertifiziert.
Eine direkte Regulierung der Cyber-Sicherheit für logistische Infrastrukturen erfolgt zurzeit noch nicht; je
nach Güterart entstehen implizite Anforderungen an IKT-Systeme und deren Sicherheit, beispielsweise
durch die Verpflichtung von Logistikern zur Nachverfolgbarkeit von Lebensmitteln und Gefahrstoffen.
Durch die weiter ansteigende Vernetzung fast sämtlicher Wirtschaftsbereiche bestehen auch in Zukunft
große Abhängigkeiten der Wirtschaft von der Dienstleistungserbringung der Logistikbranche. Hier ist es
insbesondere wichtig, dass staatliche Stellen Rahmenbedingungen schaffen, die den Betreibern dabei helfen,
ihre Infrastrukturen angemessen zu schützen und weitere Untersuchungen und Anstrengungen unter nehmen. Dies bedingt im Gegenzug ein hohes freiwilliges Engagement der Betreiber im Rahmen des UP
KRITIS.
Förderung des Austausches bezüglich Cyber-Sicherheit: Derzeit werden Aktivitäten im Rahmen von
Forschungsarbeiten zur Cyber-Sicherheit eher isoliert durch Unternehmen oder teilweise auch durch
Branchenverbände durchgeführt. Hierbei kann eine sinnvolle Maßnahme sein, Aktivitäten hinsichtlich der
Informationssicherheit weiter auszubauen und den Austausch mit externen Experten zu stärken. Dabei
könnten erhebliche Synergien genutzt werden, z. B. durch eine zentrale Einrichtung oder eine Plattform,
über die Betreiber ein gemeinsames Vorgehen abstimmen könnten. Auch die verbesserte Kommunikation
der Betreiber untereinander, ggf. branchen- und sektorübergreifend, könnte weitere Synergieeffekte haben.
So könnten Cyber-Angriffe auf Betreiber schneller erkannt werden, wenn diese bestimmte Angriffsmuster
untereinander austauschen können. Die Einrichtung eines solchen zentralen Kompetenzzentrums oder
einer Plattform sollte daher im Idealfall von den Betreibern vorangetrieben und durch die öffentliche Hand
unterstützt werden. Eine Erweiterung der bestehenden Aktivitäten der Allianz für Cyber-Sicherheit wäre an
dieser Stelle denkbar.
Förderung der Forschung im Bereich IKT in autonomen Transportmitteln: Die Entwicklung autonomer
Transportmittel sowie die zunehmende Vernetzung von Transportmitteln untereinander und mit zentralen
Stellen schafft potentiell neue Angriffsmöglichkeiten auf Logistiksysteme. IT-Sicherheitsbedenken in diesem
Zusammenhang sollten bereits zum Zeitpunkt der Spezifikation von IT-Systemen einbezogen werden, um
„Security by Design“ zu implementieren. Diesbezüglich sind verpflichtende Standards für die Hersteller
132
Bundesamt für Sicherheit in der Informationstechnik
Schlussfolgerungen und Ausblick
autonomer Systeme denkbar; alternativ können finanzielle oder sonstige Anreize geschaffen werden, um die
Sicherheit der betroffenen Systeme zu erhöhen.
Untersuchung der Möglichkeiten zur Kompensation bei Ausfallszenarien: In der Logistikbranche agieren
eine Vielzahl von Unternehmen, die gleiche oder ähnliche Dienstleistungen anbieten. Durch die Zersplitterung des Marktes und durch Maßnahmen bei Logistikern zur Sicherung ihrer Leistungen entsteht
eine Vielzahl von strukturellen und operativen Redundanzen, wodurch die Transport-, Umschlag- und
Lagerdienstleistungen auch bei einem größeren Ausfall voraussichtlich nicht komplett zum Erliegen
kommen. Dies steht im Gegensatz zu anderen Branchen und Sektoren, in denen sich Ausfälle nicht in
gleichem Maße kurzfristig substituieren lässt. Die hohe Möglichkeit zur Kompensation von Ausfällen in der
Logistikbranche sollte bei der Bewertung der Kritikalität und infolgedessen bei der Ableitung von Sicherheitsmaßnahmen berücksichtigt werden.
Betrachtung komplexer, branchenübergreifender Ausfallszenarien: Die Logistikbranche ist insbesondere
von den Sektoren Energie und IKT abhängig, wodurch das Szenario eines sektorübergreifenden Ausfalls an
Bedeutung gewinnt. Besonders im Hinblick auf die wachsende physische Vernetzung und Komplexität der
Strom- und IKT-Netze steigt die Eintrittswahrscheinlichkeit für solche Szenarien. Aktuell finden diese
jedoch nur wenig Beachtung, auch aufgrund der Vielzahl der zu betrachtenden Parameter. Es ist daher notwendig, dass Betreiber ggf. in Kooperation mit wissenschaftlichen Einrichtungen derartige übergreifende
Ausfallszenario betrachten oder simulieren, um die Folgen solcher Vorfälle abzuschätzen und Maßnahmen
zur Vermeidung einleiten zu können.
Untersuchung der Bedeutung zentraler IT-Dienstleister: Logistikunternehmen nutzen zunehmend
zentrale IT-Dienstleister zur Unterstützung von Tätigkeiten, die zum Betrieb der informations verarbeitenden Systeme und Infrastrukturen notwendig sind. Beispiele hierfür sind Anwendungsentwicklung, Customizing oder Betrieb und Wartung von Systemen und Infrastrukturen. Dadurch sind
IT-Dienstleister immer öfter an der logistischen Leistungserbringung beteiligt bzw. wirken auf diese ein. Es
sollte untersucht werden, welche Bedeutung zentrale IT-Dienstleister für die Erbringung der kritischen
Dienstleistungen durch Logistiker haben und inwieweit sie im KRITIS-Kontext erfasst werden bzw. erfasst
werden sollten.
Bundesamt für Sicherheit in der Informationstechnik
133
Anhänge
Anhänge
Abkürzungsverzeichnis
Abkürzung
Begriff
Beschreibung
1PL
First Party Logistics Provider
Logistikdienstleister, welche die operative
Ausführung der grundlegenden
Logistikfunktionen Transport, Umschlag und
Lagerung (TUL) übernehmen.
2PL
Second Party Logistics Provider
Logistikdienstleister, welche die Organisation
und Koordination der TUL-Prozesse
übernehmen und diese ausführen.
3PL
Third Party Logistics Provider
Logistikdienstleister, die als Systemdienstleister
agieren und alle im Rahmen logistischer
Prozesse anfallenden Tätigkeiten organisieren
und koordinieren. Dies beinhaltet insbesondere
auch Value Added Services (siehe "VAS).
4PL
Fourth Party Logistics Provider
Logistikdienstleister, welche die Rolle eines
Logistikmanagers innerhalb eines
Unternehmens übernehmen und ohne eigene
operative Assets als Systemintegrator zwischen
Kunde und anderen Logistikdienstleistern (1PL
bis 3PL) vermitteln.
5PL
Fifth Party Logistics Provider
Logistikdienstleister, die als Lead Logistics
Provider agieren und die Rolle eines
Führungslogistikers in einem Geflecht aus
unterschiedlichsten Logistikdienstleistern
einnehmen.
AR
Augmented Reality
Technologien, die computergestützt eine
erweiterte Realitätswahrnehmung
ermöglichen. Insbesondere in der Logistik
betrifft dies die visuelle Darstellung von
Informationen, beispielsweise durch die
Nutzung von Datenbrillen, die computergenerierte Zusatzinformationen für Mitarbeiter
in Kommissionier- oder Lagertätigkeiten
bereitstellen
ATLAS
Automatisiertes Tarif- und lokales
Zollabwicklungssystem
IT-basiertes Zollsystem, das von Deutschland
zur Realisierung des NCTS genutzt wird.
B2B
Business to Business
134
Bundesamt für Sicherheit in der Informationstechnik
Anhänge
Abkürzung
Begriff
Beschreibung
B2C
Business to Customer
BAG
Bundesamt für Güterverkehr
BAM
Bundesanstalt für Materialforschung
und -prüfung
BCM
Business Continuity Management
BMF
Bundesministerium der Finanzen
BMI
Bundesministerium des Innern
BP
Betriebsinterner Prozess
BSI
Bundesamt für Sicherheit in der
Informationstechnik
BYOD
Bring Your Own Device
Trend, dass Mitarbeiter ihre eigenen
technischen Geräte in das Netzwerk von
Institutionen integrieren und nutzen.
CERT
Computer Emergency Response
Team
Team von Fachleuten, die Lösungen für
konkrete IT-Sicherheitsvorfälle, Schwachstellen
etc. erarbeiten und im Unternehmen etablieren.
CRM
Customer Relationship Management
Ausrichtung und Strategie des Unternehmens
zur Gestaltung und Pflege von Kundenbeziehungen und Interaktion durch
Dokumentation und Verwaltung dieser mit
dem Ziel, nachhaltige Kundenbeziehungen zu
etablieren.
DEKRA
Deutscher
Kraftfahrzeug-Überwachungs-Verein
DFKI
Deutsches Forschungsinstitut für
künstliche Intelligenz
DFÜ
Datenfernübertragung
DHL
DHL International GmbH
Bundesamt für Sicherheit in der Informationstechnik
Strategien, Pläne und Maßnahmen, um
betriebsinterne Tätigkeiten oder Prozesse, deren
Unterbrechung der Organisation ernsthafte
Schäden oder Verluste zufügen würde, zu
schützen und alternative Abläufe zur
Aufrechterhaltung des Geschäftsbetriebs zu
ermöglichen.
135
Anhänge
Abkürzung
Begriff
Beschreibung
DIN
Deutsche Industrienorm
DL
Dienstleistung
DLR
Deutsches Zentrum für Luft- und
Raumfahrtechnik
DLP
Direct to Pharmacy
Logistikkonzept, bei denen
krankenhausversorgende Apotheken z.B. direkt
vom Hersteller ohne weitere Zwischenhändlerstufen beliefert werden.
EAN
Europäische Artikelnummer
Globale Artikelidentifikationsnummer; seit
2009 als "Global Trade Item Number" (GTIN)
bezeichnet.
EDI
Electronic Data Interchange
Verfahren zum elektronischen Austausch von
Geschäftsdokumenten.
EDIFOR
EDI for the Forwarding Community
Subset des EDIFACT-Standards für
speditionelle und logistische Abwicklungen;
enthält nur die Datensegmente und
Datenelemente für die branchentypischen
Geschäftsprozesse.
EDV
Elektronische Datenverarbeitung
EMCS
Exercize Movement and Control
System
IT-basiertes Beförderungs- und Kontrollsystem
für verbrauchsteuerpflichtige Waren.
EORI
Economic Operators' Registration
and Identification
Nummer für Registrierung und Identifizierung
als Wirtschaftsbeteiligter bei der
Zollabwicklung.
ERP
Enterprise Resource Management
Bedarfsgerechte Planung und Steuerung von
Unternehmensressourcen zur Erreichung
effizienter betrieblicher Wertschöpfungsprozesse und einer stetig optimierten
Steuerung der unternehmerischen Prozesse.
EU
Europäische Union
e-VD
elektronisches Verwaltungsdokument
Elektronisches Verwaltungsdokument im
Rahmen des Verfahrens zur Beförderung
verbrauchssteuerpflichtiger Waren.
FCL
Full Container Load
Warensendungen, bei denen Container
vollständig von einem Versender beladen
136
Bundesamt für Sicherheit in der Informationstechnik
Anhänge
Abkürzung
Begriff
Beschreibung
werden.
FTS
Fahrerloses Transportsystem
GDP
Good Distribution Practice
GDV
Gesamtverband der deutschen
Versicherungswirtschaft
GLP
Good Laboratory Practice
Leitlinien für die Durchführung von
Sicherheitsprüfungen an chemischen
Produkten; in Deutschland im
Chemikaliengesetz (ChemG) Anhang 1
verankert.
GMP
Good Manufacturing Practice
Leitlinien zur Qualitätssicherung der
Produktionsabläufe und -umgebung bei der
Produktion von Arzneimitteln und Wirkstoffen.
Der GMP-Leitfaden konkretisiert die Richtlinie
2003/94/EG zur Festlegung der Grundsätze und
Leitlinien der Guten Herstellungspraxis für
Humanarzneimittel und für zur Anwendung
beim Menschen bestimmte Prüfpräparate
sowie die Richtlinie 1991/412/EWG zur
Festlegung der Grundsätze und Leitlinien der
Guten Herstellungspraxis für Tierarzneimittel.
GPS
Global Positioning System
Offiziell "NAVSTAR GPS", ein globales
Navigationssatellitensystem zur Positionsbestimmung.
GSM
Global System for Mobile
Communications
Übertragungsstandard für volldigitale
Mobilfunknetze. GSM wird primär für die
Sprachübertragung (Telefonie) genutzt, aber
auch zur leitungs- und paketvermittelten
Datenübertragung.
HR
Human Resources
Personalabteilung; unternehmensinterne
Funktion mit den Kernaufgaben der
Bereitstellung und des zielorientierten
Personaleinsatzes.
ICS
Import Control System
System zur Zollanmeldung bei Import.
ID
Identifikationsnummer
Bundesamt für Sicherheit in der Informationstechnik
Leitlinien der Europäischen Kommission zur
Sicherstellung der Kontrolle der Vertriebskette
und Aufrechterhaltung der Qualität und
Unversehrtheit von Arzneimitteln.
137
Anhänge
Abkürzung
Begriff
Beschreibung
IDS
Intrusion Detection System
IKT
Informationstechnik und
Telekommunikation
IPS
Intrusion Prevention System
IRISL
Islamic Republic of Iran Shipping
Lines
IT
Informationstechnik
KEP
Kurier-, Express- und Paketdienste
KPMG
KPMG AG Wirtschaftsprüfungsgesellschaft
KRITIS
Kritische Infrastrukturen
KT
Kommunikationstechnologie
LCL
Less than Container Load
Kleinsendungen unterschiedlicher Versender,
die vor der Verschiffung an Container Fright
Stations (Packschuppen) in Sammelcontainer
verpackt und an unterschiedlichen Zielorten
für unterschiedliche Empfänger entladen
werden.
LE
Ladeeinheit
Gebündelte Fülleinheiten in einem Behälter,
auf einer Palette oder in einem anderen
Ladehilfsmittel zum Zweck der Lagerung.
Lkw
Lastkraftwagen
LTE
Long Term Evolution
Mobilfunkstandard der vierten Generation mit
Übertragungsraten von ca. 300 Mbit/s.
LVS
Lagerverwaltungssystem
Siehe „WMS“.
138
Technische Komponente zur Erkennung von
Anomalien und Sicherheitsverstößen.
Technische Komponente zur Prävention und
Behandlung von Anomalien und
Sicherheitsverstößen.
Organisationen und Einrichtungen mit
wichtiger Bedeutung für das staatliche
Gemeinwesen, bei deren Ausfall oder
Beeinträchtigung nachhaltig wirkende
Versorgungsengpässe, erhebliche Störungen der
öffentlichen Sicherheit oder andere
dramatische Folgen eintreten würden.
Bundesamt für Sicherheit in der Informationstechnik
Anhänge
Abkürzung
Begriff
Beschreibung
MIKI
Methode zur Identifikation Kritischer
Infrastrukturen
NCTS
New Computerized Transit System
IT-basiertes Zollsystem innerhalb der EU.
NVE
Nummer der Versandeinheit
Eine weltweit eindeutige 18-stellige
Identnummer zum Tracking und Tracing von
Sendungen.
PETN
Pentaerythrityltetranitrat
PS
Prozessschritt
PwC
PricewaterhouseCoopers AG
Wirtschaftsprüfungsgesellschaft
RFID
Radio-Frequency Identification
Technologie zur automatischen, kontaktlosen
Identifizierung und Lokalisierung von Objekten
per elektromagnetischer Wellen.
SCM
Supply Chain Management
Prozessorientierter Managementansatz zur
Steuerung aller Abläufe und Ressourcen
entlang der Wertschöpfungs- bzw. Lieferkette
(Supply Chain) mit dem Ziel der
Ressourcenoptimierung.
SIEM
Security Information and Event
Management
System zur Korrelation und Auswertung von
Sicherheitsvorfällen und Anomalien anhand
von Logfiles, Sicherheitsmeldungen etc.
SLS
Staplerleitsystem
Logistiksystem, das den Einsatz von
Flurfördergeräten steuert, insbesondere von
Gabelstaplern.
SMS
Short Message Service
SOC
Security Operations Center
Team von Fachleuten, dass Hinweise und
Verfahren zur Vorbeugung und Behandlung
von Sicherheitsverstößen und -vorfällen
bereitstellt.
SPS
Speicherprogrammierbare Steuerung
Komponente zur Steuerung oder Regelung
einer Maschine oder Anlage. Die
Programmierung erfolgt im Gegensatz zur
verbindungsprogrammierten Steuerung auf
digitaler Basis.
SSCC
Serial Shipping Container Code
siehe „NVE“.
Bundesamt für Sicherheit in der Informationstechnik
139
Anhänge
Abkürzung
Begriff
Beschreibung
StVO
Straßenverkehrsordnung
T&T
Tracking und Tracing
TCP
Transit Computerization Project
Dachprojekt der Europäischen Kommission zur
Entwicklung eines IT-basierten Zollsystems.
TMC
Traffic Message Channel
Nichthörbarer Bereich des UKW-Signals, über
den Verkehrsbeeinträchtigungen gesendet
werden.
TMS
Transportmanagementsystem
System zur Verwaltung, Kontrolle,
Durchführung und Abrechnung von
Transportprozessen entlang der Lieferkette.
Dies beinhaltet auch Vorgänge zum Umschlag
und zur Lagerung.
TUL
Transport, Umschlag, Lagerung
TuV
Transport und Verkehr
TÜV
Technischer Überwachungsverein
UMTS
Universal Mobile
Telecommunications System
Mobilfunkstandard der dritten Generation (3G)
mit Übertragungsraten von ca 384 kbit/s.
UN/
EDIFACT
United Nations EDI For
Administration, Commerce and
Transport
Unter Federführung der UN entstandene
Umsetzung von EDI in ein anwendbares
Protokoll.
UPS
United Parcel Service of America, Inc.
VAS
Value Added Services
VDI
Verein Deutscher Ingenieure
VMI
Vendor Managed Inventory
Logistisches Konzept zur Verbesserung der
Performance in der Lieferkette, bei dem der
Lieferant auf die Lagerbestands- und
Nachfragedaten des Kunden zugreift und den
Bestand eigenverantwortlich steuert.
WLAN
Wireless Local Area Network
Lokales Funknetz, meist auf Basis eines
Standards der IEEE-802.11-Familie.
WMS
Warehouse Management System
System zur Erfassung, Verwaltung und
140
Zusätzliche Leistungen, die Basisdienste oder
-produkte ergänzen mit dem Ziel, ihren Wert
oder Nutzen zu erhöhen.
Bundesamt für Sicherheit in der Informationstechnik
Anhänge
Abkürzung
Begriff
Beschreibung
Kontrolle von ein- und ausgehenden
Warenlieferungen und Lagerbeständen sowie
zur Abrechnung der erbrachten
Lagerleistungen.
WZ
Wirtschaftszweig
YMS
Yard Management System
Bundesamt für Sicherheit in der Informationstechnik
System zur Erfassung und Verwaltung der
bereitstehenden Transportmittel deren
Zuweisung zu entsprechenden Be- und
Entladeflächen in einem Umschlag- oder
Lagerpunkt.
141
Anhänge
Abbildungen
Abbildung 33: Einfach gebrochene, intramodale Logistikkette
Quelle: eigene Darstellung
Abbildung 34: Funktionsbezogene Anwendungen in der IT-gestützten Logistik (Technologiestand 2015)
Quelle: in Anlehnung an [Hausladen 2014, S. 52]
Abbildung 35: Mehrfach gebrochene, intermodale Logistikkette
Quelle: eigene Darstellung
142
Bundesamt für Sicherheit in der Informationstechnik
Literaturverzeichnis
Literaturverzeichnis
active logistics AG 2015
o.V.: Automatische Disposition für schnellere Entscheidungen: IT-Systeme
können dazu beitragen, den Ertrag von Speditionen zu vergrößern. 2015.
http://www.pressebox.de/pressemitteilung/active-logistics-gmbh/Automat
ische-Disposition-fuer-schnellere-Entscheidungen/boxid/732381
(30.07.2015)
Arnold et al. 2008
Arnold, Dieter; Isermann, Heinz; Kuhn, Axel et al.: Handbuch Logistik.
Dordrecht: Springer 2008.
BBC 2013
Bateman, Tom: Police warning after drug traffickers' cyber-attack. 2013.
http://www.bbc.com/news/world-europe-24539417 (28.08.2015)
BdKEP 2014
Bundesverband der Kurier-Express-Post-Dienste e.V.: Der BdKEP. 2014.
http://www.bdkep.de/index.php?id=uebdkep (23.03.2015)
BfR 2015
Bundesinstitut für Risikobewertung: Gute Laborpraxis (GLP). 2015.
http://www.bfr.bund.de/de/gute_laborpraxis__glp_-258.html (14.10.2015)
BGL 2014
Bundesverband Güterkraftverkehr Logistik und Entsorgung e.V.:
Güteraufkommen der Verkehrsträger im Bundesgebiet 1950 - 2012. 2014.
http://www.bgl-ev.de/images/daten/verkehr/gueteraufkommen_tabelle.pdf
(18.05.2015)
BGL o.J.a
Bundesverband Güterkraftverkehr Logistik und Entsorgung e.V.: Der BGL:
Bundesverband Güterkraftverkehr Logistik und Entsorgung (BGL) e.V. - der
Spitzenverband. o.J. http://www.bgl-ev.de/web/ueber/index.htm
(23.03.2015)
BGL o.J.b
Bundesverband Güterkraftverkehr Logistik und Entsorgung e.V.: BGL Daten
& Fakten: Der gewerbliche Güterkraftverkehr - eine Branche in Zahlen. o.J.
http://www.bgl-ev.de/web/daten/index.htm (23.03.2015)
BIEK o.J.
Bundesverband Paket und Expresslogistik e.V.: Über uns. o.J.
http://www.biek.de/index.php/ueber_uns.html (23.03.2015)
BME 2008
Bundesverband Materialwirtschaft Einkauf und Logistik e.V.: Verband: Wir
über uns. 2008. http://www.bme.de/Wir-ueber-uns.85.0.html (23.03.2015)
BMF o.J.a
Bundesministerium der Finanzen: Warenverkehr. o.J.
http://www.zoll.de/DE/Unternehmen/Warenverkehr/warenverkehr_node.
html (08.06.2015)
BMF o.J.b
Bundesministerium der Finanzen: Zollanmeldung: Allgemeines. o.J.
http://www.zoll.de/DE/Fachthemen/Zoelle/Zollanmeldung/Allgemeines/al
lgemeines_node.html (17.05.2015)
BMI 2014
Bundesministerium des Innern: Bundesregierung beschließt
IT-Sicherheitsgesetz: Die IT-Systeme und digitalen Infrastrukturen
Deutschlands sollen zu den sichersten weltweit werden. 2014.
https://www.bmi.bund.de/SharedDocs/Kurzmeldungen/DE/2014/12/bund
eskabinett-beschlie%C3%9Ft-it-sicherheitsgesetz.html (23.03.2015)
BMI 2011
Bundesministerium des Innern: Schutz Kritischer Infrastrukturen – Risikound Krisenmanagement: Leitfaden für Unternehmen und Behörden. 2011.
http://www.bmi.bund.de/SharedDocs/Downloads/DE/Broschueren/2008/L
eitfaden_Schutz_kritischer_Infrastrukturen.html (20.03.2015)
Bundesamt für Sicherheit in der Informationstechnik
143
Literaturverzeichnis
BMI 2009
Bundesministerium des Innern: Nationale Strategie zum Schutz Kritischer
Infrastrukturen (KRITIS-Strategie). 2009.
http://www.bmi.bund.de/SharedDocs/Downloads/DE/Broschueren/2009/k
ritis.html (10.06.2014)
BMVI 2015
Bundesministerium für Verkehr und digitale Infrastruktur:
Sicherheitsstrategie für die Güterverkehrs- und Logistikwirtschaft: Schutz
kritischer Infrastrukturen und verkehrsträgerübergreifende
Gefahrenabwehr. 2015. (23.03.2015)
BMVI 2014a
Bundesministerium für Verkehr und digitale Infrastruktur: Beförderung
gefährlicher Güter: Informationen und Sicherheitsbestimmungen für
Gefahrguttransporte. 2014.
http://www.bmvi.de/SharedDocs/DE/Artikel/UI/Gefahrgut/befoerderunggefaehrlicher-gueter.html (24.03.2015)
BMVI 2014b
Bundesministerium für Verkehr und digitale Infrastruktur: Verkehr und
Mobilität: Güterverkehr und Logistik. 2014.
http://www.bmvi.de/SharedDocs/DE/Artikel/IR/gueterverkehr-und-logisti
k.html (20.03.2015)
BMVI 2010
Bundesministerium für Verkehr, Bau und Stadtentwicklung: Aktionsplan
Güterverkehr und Logistik – Logistikinitiative für Deutschland. 2010.
(23.03.2015)
BNetzA 2015
Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und
Eisenbahnen: Post: Über unsere Aufgaben. 2015.
http://www.bundesnetzagentur.de/cln_1431/DE/Sachgebiete/Post/Ueberu
nsereAufgaben/ueberunsereaufgaben-node.html; (20.03.2015)
Britsch 2003
Britsch, Frank Jochen: Banklogistik - Lösungsansätze für interne und
externe Dienstleister. Berlin: Schmidt 2003.
BSI 2014a
Bundesamt für Sicherheit in der Informationstechnik: KRITIS-Sektorstudie
Transport und Verkehr. 2014. (17.05.2015)
BSI 2014b
Bundesamt für Sicherheit in der Informationstechnik: KRITIS-Sektorstudie
Ernährung und Wasser. 2014. (27.07.2015)
BSI 2014c
Bundesamt für Sicherheit in der Informationstechnik: KRITIS-Sektorstudie
Energie. 2014. (27.07.2015)
BSI 2014d
Bundesamt für Sicherheit in der Informationstechnik: KRITIS-Sektorstudie
Informationstechnik und Telekommunikation (IKT). 2014. (29.06.2015)
BVL 2015a
Bundesvereinigung Logistik e.V.: Über die BVL. 2015.
http://www.bvl.de/ueber-die-bvl (23.03.2015)
BVL 2015b
Bundesvereinigung Logistik e.V.: Wirtschaftsbereich Logistik ist
wesentlicher Hebel für mehr Energieeffizienz und Nachhaltigkeit. 2015.
http://www.bvl.de/energieeffizienz (27.03.2015)
BVL 2015c
Bundesvereinigung Logistik e.V.: Bundesvereinigung Logistik (BVL):
Logistik-Bereiche. 2015. http://www.bvl.de/wissen/logistik-bereiche
(20.03.2015)
BVL 2015d
Bundesvereinigung Logistik e.V.: Bundesvereinigung Logistik (BVL):
Bedeutung für Deutschland. 2015.
http://www.bvl.de/wissen/bedeutung-fuer-deutschland (09.03.2015)
144
Bundesamt für Sicherheit in der Informationstechnik
Literaturverzeichnis
BVL 2014
ten Hompel, Michael; Rehof, Jakob; Heistermann, Frauke: Logistik und IT
als Innovationstreiber für den Wirtschaftsstandort Deutschland: Die neue
Führungsrolle der Logistik in der Informationstechnologie. 2014.
http://www.bvl.de/files/441/500/BVL14_Positionspapier_Logistik_IT.pdf
(03.08.2015)
BVT 2009
Wäscher, Dagmar: Berufs- und Beschäftigungsguide Logistik: Die
Logistikbranche. 2009.
http://www.logistik-berufe.de/downloads/Kap_01_Logistik.pdf (18.05.2015)
BVT o.J.
Bundesverband der Transportunternehmen e.V.: Verband: Aufgaben. o.J.
http://www.bvtev.de/aufgaben.html (23.03.2015)
BWVL o.J.
Bundesverband Wirtschaft, Verkehr und Logistik e.V.: Verband: Unsere
Aufgaben und Ziele. o.J. http://www.bwvl.de/verband-1299329.html
(23.03.2015)
CNN 2015
Perez, Evan: FBI: Hacker claimed to have taken over flight's engine
controls. 2015.
http://edition.cnn.com/2015/05/17/us/fbi-hacker-flight-computer-systems
/ (26.08.2015)
Computerwoche 2014
Quack, Karin: Wie Hellmann seine komplexen Logistikprozesse mit IT
unterstützt. 2014.
http://www.computerwoche.de/a/wie-hellmann-seine-komplexen-logistik
prozesse-mit-it-unterstuetzt,3071647 (02.06.2015)
Computerworld 2015
Kirk, Jeremy: Security researcher's hack caused airplane to climb, FBI
asserts. 2015.
http://www.computerworld.com/article/2922769/security0/security-resear
chers-hack-caused-airplane-to-climb-fbi-asserts.html (26.08.2015)
CSO Online 2015
Mingis, Ken: Security Short Take: Was the Polish LOT airline really
hacked? 2015.
http://www.csoonline.com/article/2938763/cyber-attacks-espionage/the-ta
keaway-was-the-polish-lot-airline-really-hacked.html (25.08.2015)
CyberKeel 2014
Cyberkeel: Maritime Cyber-Risks: Virtual pirates at large on the cyber
seas. 2014. http://www.cyberkeel.com/images/pdf-files/Whitepaper.pdf
(28.08.2015)
DACHSER 2014
DACHSER GMBH & Co. KG: Mit Yard-Management alles im Griff. 2014.
http://www.dachser.com/de/de/Yardmanagement_1568.htm (14.08.2015)
DAKOSY 2014
DAKOSY Datenkommunikationssystem AG: Informationsveranstaltung
"EU-Richtlinie 2010/65". 2014.
http://www.dakosy.de/fileadmin/user_upload/Unternehmen/Veranstaltun
gen/Praesentation150414.pdf (08.06.2015)
Dangelmeier et al. 2004
Dangelmeier, Wilhelm; Pape, Ulrich; Rüther, Michael: Agentensysteme für
das Supply Chain Management: Grundlagen, Konzepte, Anwendungen.
Wiesbaden: Dt. Univ.-Verl. 2004.
Das Wirtschaftslexikon 2013
Baghwathi, Miriam: Logistikdienstleister. 2013.
http://www.daswirtschaftslexikon.com/d/logistikdienstleister/logistikdiens
tleister.htm (12.03.2015)
DB Schenker 2015
Deutsche Bahn AG: DB Schenker in Zahlen: Umsätze für das Geschäftsjahr
2014. 2015.
Bundesamt für Sicherheit in der Informationstechnik
145
Literaturverzeichnis
http://www.logistics.dbschenker.de/log-de-de/unternehmen/kennzahlen.h
tml (30.10.2015)
DB Schenker 2013
Schenker Deutschland AG: DB Schenker Logistics setzt verstärkt auf Shared
Logistics Center. 2013.
http://www.logistics.dbschenker.de/log-de-de/news/shared-logistics-cente
rs.html (27.03.2015)
destatis 2015
Statisches Bundesamt: Dienstleistungen: Strukturerhebung im
Dienstleistungsbereich Verkehr und Lagerei. 2015.
https://www.destatis.de/DE/Publikationen/Thematisch/DienstleistungenFi
nanzdienstleistungen/Struktur/VerkehrLagerei.html (19.08.2015)
destatis 2012
Thomas, Joachim: Umweltökonomische Analyse des Güterverkehrs 1995 bis
2010. 2012.
https://www.destatis.de/DE/Publikationen/WirtschaftStatistik/UGR/Umw
eltoekonomischeAnalyse_62012.pdf?__blob=publicationFile (18.05.2015)
destatis 2008
Statisches Bundesamt: Verkehr: NST 2007. 2008.
https://www.destatis.de/DE/ZahlenFakten/Wirtschaftsbereiche/TransportV
erkehr/Gueterverkehr/Tabellen/NST2007.pdf?__blob=publicationFile
(19.10.2015)
Deutsche Post 2010
Deutsche Post AG: Delivering tomorrow: Zukunftstrend Nachhaltige
Logistik Wie Innovation und „grüne“ Nachfrage eine CO2-effiziente
Branche schaffen. 2010.
http://www.dpdhl.com/content/dam/dpdhl/logistik_populaer/trends/Stud
ieSustainableLogistics/dpdhl_delivering_tomorrow_studie.pdf (27.03.014)
Deutsche Post 2008
Deutsche Post AG: Globalisierung. 2008.
http://www.dhl-discoverlogistics.com/cms/de/course/trends/influences/gl
obalization.jsp (31.03.2015)
DHL 2015
Deutsche Post AG: Intelligent unterwegs. 2015.
http://www.dpdhl.com/de/logistik_populaer/aus_den_unternehmensbereic
hen/dhl_smarttrucks.html (21.04.2015)
DHL 2014
Bubner, Nedialka; Bubner, Nikolaus; Helbig, P. RalfD et al.: Logistics Trend
Radar 2014: Delivering insight today. Creating value tomorrow! 2014.
http://www.dhl.com/en/about_us/logistics_insights/dhl_trend_research/tre
ndradar.html (27.03.2015)
DHL 2008
Deutsche Post AG: Definition der Logistik: Bedeutung und Herkunft der
Logistik. 2008.
https://www.dhl-discoverlogistics.com/cms/de/course/origin/defintion.jsp
(30.03.2015)
Die Welt 2014
WeltN24 GmbH: Mit diesem Polen-Trick umgeht Amazon den Streik. 2014.
http://www.welt.de/wirtschaft/article135384635/Mit-diesem-Polen-Trick-u
mgeht-Amazon-den-Streik.html (07.05.2015)
Die Welt 2013a
WeltN24 GmbH: Ein entscheidender Wirtschaftsfaktor mit großem
Potenzial. 2013.
http://www.welt.de/print/die_welt/article120472692/Ein-entscheidenderWirtschaftsfaktor-mit-grossem-Potenzial.html (09.03.2015)
Die Welt 2013b
WeltN24 GmbH: Eine Milliarde Pakete an Privatkunden verschickt. 2013.
http://www.welt.de/wirtschaft/article118717924/Eine-Milliarde-Pakete-anPrivatkunden-verschickt.html (30.03.2015)
146
Bundesamt für Sicherheit in der Informationstechnik
Literaturverzeichnis
Die Welt 2011
WeltN24 GmbH: In Hamburg bewegen Roboter mit Ökostrom-Antrieb die
Container. 2011.
http://www.welt.de/print/die_welt/wirtschaft/article13428313/In-Hambur
g-bewegen-Roboter-mit-Oekostrom-Antrieb-die-Container.html
(07.05.2015)
DSLV 2015a
DSLV Deutscher Speditions- und Logistikverband e.V.: Zahlen - Daten
- Fakten aus Spedition und Logistik. 2015.
http://www.dslv.org/dslv/web.nsf/gfx/6CFE028FC9D5A06BC1257E5B003C
8189/$file/DSLV_Zahlen-Daten-Fakten_2015-Downloadversion.pdf
(28.07.2015)
DSLV 2015b
Deutscher Speditions- und Logistikverband e.V.: Der DSLV: Unter einem
Dach in die Zukunft. 2015.
http://www.dslv.org/dslv/web.nsf/id/pa_fdih9bwcke.html (23.03.2015)
DSLV 2014
Roth, Jörg: ADR 2015: Die wichtigsten Änderungen der Vorschriften für die
Beförderung gefährlicher Güter auf der Straße im Überblick. 2014.
http://www.dslv.org/dslv/web.nsf/gfx/65C98CB0CA61ACA0C1257D720044
A10C/$file/ADR%202015%20Leitfaden%20Stand%20Oktober%202014.pdf
(14.10.2015)
ETA Energie 2009
Winkler, Rüdiger: Energielogistik: Die Basis für das Funktionieren des
Energiemarkts. 2009.
http://www.ifed.de/uploads/conn_71_xx-xx_Winkler_eta0409.pdf
(28.07.2015)
Europäische Kommission 2015 European Commission DG Internal Market, Industry, Entrepreneurship and
SMEs: EU-Rechtsvorschriften für den Postsektor. 2015.
http://ec.europa.eu/growth/single-market/services/post/legislation/index_
de.htm (23.03.2015)
eurotransport 2013
Nallinger, Carsten: Mit Sicherheit gefährdet. 2013.
http://www.eurotransport.de/news/die-logistikbranche-mit-sicherheit-gef
aehrdet-6484173.html (07.03.2015)
FAA 2015
U.S. Department of Transportation, Federal Aviation Administration:
Amazon Gets Experimental Airworthiness Certificate. 2015.
http://www.faa.gov/news/updates/?newsId=82225 (30.03.2015)
Fraunhofer IML 2015
Fraunhofer-Institut für Materialfluss und Logistik IML: Zellulare
Transportsysteme: Autonome FTF-Schwärme erweitern traditionelle Lagerund Fördertechnik. 2015.
http://www.iml.fraunhofer.de/de/themengebiete/automation_eingebettete
_systeme/Forschung/multishuttle_move1.html (27.03.2015)
Fraunhofer IML 2014
Fraunhofer-Institut für Materialfluss und Logistik IML: Kletterkünstler im
Regal: Fraunhofer IML präsentiert revolutionäre Shuttle-Technologie auf
der CeMAT 2014. 2014.
http://www.iml.fraunhofer.de/de/presse_medien/pressemitteilungen/rackr
acer.html (04.08.2015)
Fraunhofer SCS 2013
Nehm, Alexander; Veres-Homm, Uwe; Kübler, Annemarie et al.:
Logistikimmobilien - Markt und Standorte 2013: Deutschland, Österreich,
Schweiz, Belgien und Niederlande. Stuttgart: Fraunhofer IRB 2013.
Frick 2010
Frick, Christoph: Regulatorische Anforderungen an Lagerung und
Transport. 2010.
Bundesamt für Sicherheit in der Informationstechnik
147
Literaturverzeichnis
http://www.gmp-verlag.de/media/files/leitartikel_2010/Leitartikel-10-2010
-Reg-Anf-LagerTransport.pdf (14.10.2015)
Gabler o.J.a
Krieger, Winfried: Gabler Wirtschaftslexikon: Stichwort:
Kontraktlogistik. o.J.
http://wirtschaftslexikon.gabler.de/Archiv/83329/kontraktlogistik-v7.html
(12.03.2015)
Gabler o.J.b
Krieger, Winfried; Lackes, Richard; Siepermann, Markus et al.: Gabler
Wirtschaftslexikon: Stichwort: Supply Chain Management (SCM). o.J.
http://wirtschaftslexikon.gabler.de/Archiv/56470/supply-chain-manageme
nt-scm-v12.html (11.03.2015)
Gabler o.J.c
Krieger, Winfried: Gabler Wirtschaftslexikon: Stichwort: Third Party
Logistics. o.J.
http://wirtschaftslexikon.gabler.de/Archiv/83323/third-party-logistics-v9.h
tml (12.03.2015)
Gleißner/Femerling 2008
Gleißner, Harald; Femerling, Christian: Logistik: Grundlagen - Übungen Fallbeispiele. Wiesbaden: Gabler 2008.
Golem.de 2014a
Sawall, Achim: Sicherheitslücke in Sendungsverfolgung von DHL. 2014.
http://www.golem.de/news/deutsche-post-sicherheitsluecke-in-sendungsv
erfolgung-von-dhl-1409-109382.html (26.08.2015)
Golem.de 2014b
Donath, Andreas: Amazon will Pakete ohne Bestellung verschicken. 2014.
http://www.golem.de/news/vorausschauender-versand-amazon-will-paket
e-ohne-bestellung-verschicken-1401-104006.html (27.03.2015)
Gudehus 2010
Gudehus, Timm: Logistik: Grundlagen - Strategien - Anwendungen. Berlin,
Heidelberg: Springer 2010.
Günthner/ten Hompel 2010
Günthner, Willibald; ten Hompel, Michael: Internet der Dinge in der
Intralogistik. Berlin, Heidelberg: Springer-Verlag 2010.
Hausladen 2014
Hausladen, Iris: IT-gestützte Logistik: Systeme - Prozesse - Anwendungen.
Wiesbaden: Springer Gabler 2014.
Heinrich 2011
Martin, Heinrich: Transport- und Lagerlogistik: Planung, Struktur,
Steuerung und Kosten von Systemen der Intralogistik. Wiesbaden:
Vieweg+Teubner 2011.
Heiserich et al. 2011
Heiserich, Otto-Ernst; Helbig, Klaus; Ullmann, Werner: Logistik: Eine
praxisorientierte Einführung. Wiesbaden: Gabler 2011.
IFS 2015
IFS Management GmbH: IFS International Featured Standards: IFS
Logistics. 2015.
http://www.ifs-certification.com/index.php/de/retailers-de/ifs-standards/if
s-logistics (27.07.2015)
Inbound Logistics 2012
Brown, Justine: The Illuminating Power of Yard Management Systems. 2012.
http://www.inboundlogistics.com/cms/article/the-illuminating-power-ofyard-management-systems/ (18.05.2015)
IPCSA 2014
International Port Community Systems Association: The International Port
Community Systems Association (IPCSA): Company overview. 2014.
http://ipcsa.international/about/company-overview (07.05.2015)
IT-Zoom 2014
Sommerhäuser, Lea: Einsatz von Datenbrillen: Augmented Reality:
Interview mit Christian Erb, Salt Solutions. 2014.
148
Bundesamt für Sicherheit in der Informationstechnik
Literaturverzeichnis
http://www.it-zoom.de/it-director/e/einsatz-von-datenbrillen-9639/
(10.08.2015)
K2 Intelligence 2015
o.V.: Increased Cyber Attacks on Shipping and Logistics Highlight the Need
for Preventative Strategy. 2015.
https://www.k2intelligence.com/increased-cyber-attacks-on-shipping-and
-logistics-highlight-the-need-for-preventative-strategy/ (28.08.2015)
Katersky 2014
Katersky, Aaron: USPS Hacked: Postal Service Hit By Cyber Attack. 2014.
http://abcnews.go.com/US/usps-hacked-postal-service-hit-cyber-attack/st
ory?id=26810621 (26.08.2015)
Kertsen 2008
Kertsen, Wolfgang: Logistik im Gesundheitswesen. 2008.
http://www.forschungsinformationssystem.de/servlet/is/251070/
(14.10.2015)
Kille/Schwemmer 2014
Kille, Christian; Schwemmer, Martin: Die Top 100 der Logistik:
Marktgrößen, Marktsegmente und Marktführer. Eine Studie der Fraunhofer
Arbeitsgruppe für Supply Chain Services SCS. Hamburg: DVV Media
Group 2014.
Klaus 2012
Klaus, Peter: Gabler-Lexikon Logistik: Management logistischer Netzwerke
und Flüsse. Wiesbaden: Gabler 2012.
KPMG 2015
Wagner, Steffen: Cyber-Security: Logistikbranche im Visier von
Hackern. 2015.
http://news.kpmg.de/cyber-security-logistikbranche-im-visier-von-hacker
n/ (07.04.2015)
LAG 2015
LNC LogisticNetwork Consultants GmbH: Logistik in Deutschland:
Innovativ, persönlich und kompetent. 2015.
http://www.logistics-alliance-germany.de/de/startseite.html (23.03.2015)
Logistik Know-how 2015a
DR. THOMAS + PARTNER GmbH & Co. KG: Host-System. 2015.
http://logistikknowhow.com/host-system-host/ (02.09.2015)
Logistik Know-how 2015b
DR. THOMAS + PARTNER GmbH & Co. KG: Die moderne
Materialflusssteuerung. 2015.
http://logistikknowhow.com/die-moderne-materialflusssteuerung/
(02.09.2015)
Logistik Know-how 2014a
DR. THOMAS + PARTNER GmbH & Co. KG – Materialflussplanung und
Automatisierungstechnik: Identifikationspunkt (I-Punkt). 2014.
http://logistikknowhow.com/identifikationspunkt-i-punkt/ (02.04.2015)
Logistik Know-how 2014b
DR. THOMAS + PARTNER GmbH & Co. KG – Materialflussplanung und
Automatisierungstechnik: Belegungsstrategie: Artikelreine vs.
Artikelgemischte Platzbelegung. 2014.
http://logistikknowhow.com/belegungsstrategie-artikelreine-vs-artikelgem
ischte-platzbelegung/ (10.04.2015)
Logistik Know-how 2013a
DR. THOMAS + PARTNER GmbH & Co. KG – Materialflussplanung und
Automatisierungstechnik: Einlagerung - Grundlagen. 2013.
http://logistikknowhow.com/einlagerung-grundlagen/ (02.04.2015)
Logistik Know-how 2013b
DR. THOMAS + PARTNER GmbH & Co. KG – Materialflussplanung und
Automatisierungstechnik: Kommissionierung – Grundlagen. 2013.
http://logistikknowhow.com/kommissionierung-grundlagen/ (10.04.2015)
Bundesamt für Sicherheit in der Informationstechnik
149
Literaturverzeichnis
Logistik Know-how 2013c
DR. THOMAS + PARTNER GmbH & Co. KG – Materialflussplanung und
Automatisierungstechnik: Wareneingang - Grundlagen. 2013.
http://logistikknowhow.com/wareneingang-grundlagen-2/ (02.04.2015)
Logistik Know-how 2013d
DR. THOMAS + PARTNER GmbH & Co. KG: Middleware. 2013.
http://logistikknowhow.com/middleware/ (02.09.2015)
Logistik Know-how 2013e
DR. THOMAS + PARTNER GmbH & Co. KG – Materialflussplanung und
Automatisierungstechnik: Bewegungsstrategien: Einzelspiel. 2013.
http://logistikknowhow.com/bewegungsstrategien-einzelspiel/ (10.04.2015)
Logistik Know-how 2013f
DR. THOMAS + PARTNER GmbH & Co. KG – Materialflussplanung und
Automatisierungstechnik: Ware-zum-Mann Kommissionierung. 2013.
http://logistikknowhow.com/ware-zum-mann-kommissionierung/
(18.05.2015)
Logistik Know-how 2013g
DR. THOMAS + PARTNER GmbH & Co. KG – Materialflussplanung und
Automatisierungstechnik: Mann-zur-Ware Kommissionierung. 2013.
http://logistikknowhow.com/mann-zur-ware-kommissionierung/
(18.05.2015)
Logistik Know-how 2013h
DR. THOMAS + PARTNER GmbH & Co. KG – Materialflussplanung und
Automatisierungstechnik: Warenausgang - Prozessschritte. 2013.
http://logistikknowhow.com/warenausgang-prozessschritte/ (20.04.2015)
Logistik Know-how 2013i
DR. THOMAS + PARTNER GmbH & Co. KG: Idee der modularen
Software. 2013.
http://logistikknowhow.com/die-idee-der-modularen-software/
(02.09.2015)
Logistik Know-how 2013j
DR. THOMAS + PARTNER GmbH & Co. KG – Materialflussplanung und
Automatisierungstechnik: Warenausgang - Grundlagen. 2013.
http://logistikknowhow.com/warenausgang-grundlagen/ (20.04.2015)
Logistik Know-how 2013k
DR. THOMAS + PARTNER GmbH & Co. KG: Sensoren und Aktoren. 2013.
http://logistikknowhow.com/sensoren-und-aktoren/ (02.09.2015)
Logistik Know-how 2013l
DR. THOMAS + PARTNER GmbH & Co. KG – Materialflussplanung und
Automatisierungstechnik: Einlagerung – Vorzone. 2013.
http://logistikknowhow.com/einlagerung-vorzone/ (10.04.2015)
Logistik-Initiative HH 2015
Logistik-Initiative Hamburg e.V.: Logistik-Initiative Hamburg: Logistik ist
Problem-Löser, nicht Problem-Auslöser. 2015.
http://www.hamburg-logistik.net/veranstaltungen/fruehlingsforum/2015-i
mage-der-logistik.html (30.03.2015)
Lünendonk 2013
Lünendonk GmbH - Gesellschaft für Information und Kommunikation:
Next Generation Fleet Management: Professionelles Management der
Fahrzeugflotte zur Steigerung der Unternehmenseffizienz. 2013.
http://luenendonk-shop.de/out/pictures/0/lue_tomtom_wp_fleetmgt_f260
213_ms_fl.pdf (11.08.2015)
Maienschein 2007
Maienschein, Bernd: Anforderungen und Trends in der
Lebensmittellogistik. 2007.
http://www.process.vogel.de/logistik_verpackung/articles/135785/
(27.07.2015)
Mercedes-Benz 2014
Mercedes-Benz Österreich Vertriebsgesellschaft mbH: Mercedes-Benz
Future Truck 2025: Weltpremiere der spektakulären Studie des Lkw von
morgen – autonome Fahrt in eine faszinierende Zukunft. 2014.
150
Bundesamt für Sicherheit in der Informationstechnik
Literaturverzeichnis
http://media.daimler.com/dcmedia-at/0-1071-1087645-49-1741739-1-0-10-0-0-0-0-0-1-0-0-0-0-0.html (27.03.2015)
Nextgov 2012
Sternstein, Aliya: Hackers Manipulated Railway Computers, TSA Memo
Says. 2012.
http://www.nextgov.com/cybersecurity/2012/01/hackers-manipulated-rail
way-computers-tsa-memo-says/50498/ (07.04.2015)
Pfohl, Hans Christian (2005): Logistik in der deutschen Finanzbranche. In: Zbynek Sokolovsky (Hg.):
Handbuch Industrialisierung der Finanzwirtschaft. Strategien, Management
und Methoden für die Bank der Zukunft. 1. Aufl. Wiesbaden: Gabler
(21.10.2015) (21.10.2015)
Prosegur 2015
Prosegur GmbH: Services für Banken. 2015.
http://www.prosegur.de/deu/Services-Banken/index.htm (14.10.2015)
PwC 2015
Stevens, Dan: Transport & logistics companies – cyber security is relevant to
you too! 2015.
http://pwc.blogs.com/cyber_security_updates/2015/04/transport-logisticscompanies-cyber-security-is-relevant-to-you-too.html (26.08.2015)
PwC 2014
Bauer, Ingo; Fischer, Derk: Transport & Logistik Kompass: Transporteure
und Logistiker im digitalen Zeitalter. 2014.
https://www.pwc.de/de/transport-und-logistik/assets/logistiker-unterscha
etzen-risiken-der-digitalisierung.pdf (23.09.2015)
PwC 2012
PricewaterhouseCoopers AG WPG: Neue PwC-Studie: Transport und
Logistik gehen die Fachkräfte aus. 2012.
http://www.pwc.de/de/transport-und-logistik/neues-delphi-panel-transpo
rt-und-logistik-gehen-die-fachkraefte-aus.jhtml (07.04.2015)
PwC 2011
PricewaterhouseCoopers AG WPG: Transportation & Logistics 2030: Volume
4: Securing the supply chain. 2011.
http://www.pwc.de/de_DE/de/transport-und-logistik/assets/t-und-l-2030v4.pdf (07.04.2015)
Röcken/Rohrberg 2008
Röcken, Bernd; Rohrberg, Andrea: Gesundheitslogistik für Mittel- und
Osteuropa: Kompetenzen & Potenziale. 2008.
http://www.logistiknetz-bb.de/fileadmin/login/bilder/eigene_veroeffentlic
hungen/Studie_Gesundheitslogistik_03_04_2008.pdf (14.10.2015)
SecurityWeek 2014
Kovacs, Eduard: Hackers Attack Shipping and Logistics Firms Using
Malware-Laden Handheld Scanners. 2014.
http://www.securityweek.com/hackers-attack-shipping-and-logistics-firms
-using-malware-laden-handheld-scanners (21.08.2015)
Siebrandt 2010
Siebrandt, Michael: Professionelles Risikomanagement in der Logistik:
Praxishandbuch mit Arbeitshilfen und Beispielen. Hamburg: DVV Media
Group 2010.
Spiegel Online 2010
Gebauer, Matthias: Bomben in Luftfracht: Getarnte Paketbomben
alarmieren deutsche Terrorfahnder. 2010.
http://www.spiegel.de/politik/deutschland/bomben-in-luftfracht-getarntepaketbomben-alarmieren-deutsche-terrorfahnder-a-726556.html
(07.04.2015)
statista 2015a
Statista GmbH: Umsatz der Logistikbranche in Deutschland von 1995 bis
2013 (in Milliarden Euro). 2015.
Bundesamt für Sicherheit in der Informationstechnik
151
Literaturverzeichnis
http://de.statista.com/statistik/daten/studie/166970/umfrage/umsatz-der-l
ogistikbranche-in-deutschland/ (09.03.2015)
statista 2015b
Statista GmbH: Gesamtes Güteraufkommen in Deutschland im Zeitraum
von 1950 bis 2014 (in Millionen Tonnen). 2015.
http://de.statista.com/statistik/daten/studie/7041/umfrage/gesamtes-guete
raufkommen-in-deutschland/ (09.03.2015)
statista 2015c
Statista GmbH: Güteraufkommen je Verkehrsträger in Deutschland in den
Jahren 2011 bis 2014 (in Millionen Tonnen). 2015.
http://de.statista.com/statistik/daten/studie/12240/umfrage/gueteraufkom
men-in-deutschland-je-verkehrstraeger/ (09.03.2015)
statista 2015d
Statista GmbH: Anzahl der Sendungen von Kurier-, Express- und
Paketdiensten (KEP) in Deutschland in den Jahren 2000 bis 2013 (in
Millionen). 2015.
http://de.statista.com/statistik/daten/studie/154829/umfrage/sendungsme
nge-von-paket-und-kurierdiensten-in-deutschland/ (30.03.2015)
statista 2015e
Statista GmbH: Durchschnittlicher Preis für Dieselkraftstoff in Deutschland
in den Jahren 1950 bis 2015 (Cent pro Liter). 2015.
http://de.statista.com/statistik/daten/studie/779/umfrage/durchschnittspre
is-fuer-dieselkraftstoff-seit-dem-jahr-1950/ (18.05.2015)
statista 2015f
Statista GmbH: Anteile der Standard- und Express-/Kuriersendungen an
der Gesamtzahl der Sendungen der Kurier-, Express- und Paketbranche in
Deutschland im Jahr 2013. 2015.
http://de.statista.com/statistik/daten/studie/219459/umfrage/verteilung-d
er-sendungsarten-im-kep-markt/ (30.03.2015)
statista 2014
Statista GmbH: Treibhausgas-Emissionen nach Wirtschaftsbereich. 2014.
http://de.statista.com/infografik/2140/anteil-der-wirtschaftsbereiche-an-de
n-menschlich-bedingten-treibhausgas-emissionen/ (18.05.2015)
Supply Chain 24/7 2014
Ram, Levi; Rojkes-Dombe, Ami: The Supply Chain Silent Threat – Cyber
Attack. 2014.
http://www.supplychain247.com/article/the_supply_chain_silent_threat_cy
ber_attack/security (26.08.2015)
Supply Chain Quarterly 2011
Cooke, James A.: Sharing supply chains for mutual gain. 2011.
http://www.supplychainquarterly.com/topics/Global/scq201102kimberly/
(27.03.2015)
TecChannel 2007
Manhart, Klaus: IT in der Logistik - Aktuelle Technologien: Tracking
& Tracing. 2007.
http://www.tecchannel.de/kommunikation/handy_pda/1709514/it_in_der_
logistik_aktuelle_technologien/index19.html (21.04.2015)
Telepolis 2015
Rötzer, Florian: FBI beschuldigt Sicherheitsexperten, ein Flugzeug gehackt
zu haben. 2015. http://www.heise.de/tp/artikel/44/44953/1.html
(26.08.2015)
ten Hompel 2013
ten Hompel, Michael: IT in der Logistik 2013/2014 - Marktübersicht &
Funktionsumfang: Enterprise-Resource-Planning,
Warehouse-Management, Transport-Management &
Supply-Chain-Management-Systeme. Stuttgart: 2013
Thomson Reuters 2015
Szary, Wiktor; Heneghan, Tom: Hackers ground 1,400 passengers at Warsaw
Airport. 2015.
152
Bundesamt für Sicherheit in der Informationstechnik
Literaturverzeichnis
http://uk.reuters.com/article/2015/06/21/uk-poland-lot-cybercrime-idUK
KBN0P10WY20150621 (25.08.2015)
TrapX 2015
Malachi, Yuval: Anatomy of An Attack – Zombie Zero. 2015.
https://trapx.com/anatomy-of-an-attack-1/ (21.08.2015)
Ullrich 2014
Ullrich, Günter: Fahrerlose Transportsysteme: Ein Leitfaden - mit
Praxisanwendungen - zur Technik - für die Planung. Wiesbaden: Springer
Fachmedien Wiesbaden GmbH 2014.
UT Austin 2013
o.V.: UT Austin Researchers Spoof Superyacht at Sea. 2013.
http://www.engr.utexas.edu/features/superyacht-gps-spoofing (25.08.2015)
VerkehrsRundschau 2015
Springer Fachmedien München GmbH: Yard Management. 2015.
http://www.verkehrsrundschau.de/yard-management-694401-vkr_lexikon.
html (18.05.2015)
VerkehrsRundschau 2013
Eva Hassa: Interview: Was ändert sich mit der neuen GDP? 2013.
http://www.verkehrsrundschau.de/interview-was-aendert-sich-mit-der-ne
uen-gdp-1233030.html (14.10.2015)
Werner 2008
Werner, Hartmut: Supply Chain Management: Grundlagen, Strategien,
Instrumente und Controlling. Wiesbaden: Gabler 2008.
WSD Südwest 2013
Unfalluntersuchungskommission TMS „Waldhof": Bericht über den Ablauf
und die Ursachen der Havarie des Tankmotorschiffes „Waldhof“ am 13.
Januar 2011 auf dem Mittelrhein (Rhein‐km 553,75):
Zusammenfassung. 2013.
https://www.elwis.de/Service/TMS-Waldhof/Zusammenfassung.pdf
(07.04.2015)
ZDS o.J.
Zentralverband der deutschen Seehafenbetriebe e.V.: Der Verband. o.J.
http://www.zds-seehaefen.de/verband.html (07.05.2015)
ZEIT ONLINE 2015
Azubel, Diega: Hilfsflieger beschädigen Landebahn in Kathmandu. 2015.
http://www.zeit.de/gesellschaft/zeitgeschehen/2015-05/nepal-erdbeben-hil
fe-kathmandu-flughafen (18.05.2015)
ZEIT ONLINE 2014
Breitinger, Matthias: Wenn der Computer lenkt. 2014.
http://www.zeit.de/mobilitaet/2014-08/autonomes-fahren (27.03.2015)
Ziemann Gruppe 2015
ZIEMANN SICHERHEIT Holding GmbH: Geld- und Wertdienste. 2015.
http://www.ziemann-gruppe.de/geld-und-wertdienste.html (14.10.2015)
Bundesamt für Sicherheit in der Informationstechnik
153