KRITIS-Sektorstudie Logistik Analyse Kritischer Infrastrukturen in Deutschland Diese Studie wurde im Auftrag des Bundesamts für Sicherheit in der Informationstechnik von KPMG AG Wirtschaftsprüfungsgesellschaft erarbeitet. Öffentliche Fassung, Revisionsstand 18. Dezember 2015 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-5098 E-Mail: [email protected] Internet: https://www.bsi.bund.de © Bundesamt für Sicherheit in der Informationstechnik 2016 Danksagung Danksagung Die Erstellung der vorliegenden KRITIS-Sektorstudie wäre ohne die enge Zusammenarbeit mit zahlreichen Vertretern von Betreibern und Verbänden in der Logistikbranche nicht möglich gewesen. Unser besonderer Dank gilt den Betreibern, die trotz des sensiblen Themas und der vollen Terminkalender Zeit und Motiva tion fanden, uns bei der Durchführung der Studie mit Experteninterviews aktiv zu unterstützen. Sie haben mit ihrem Fachwissen und Engagement wesentlich zum Gelingen der Studie beigetragen. Wir sind ebenso den vielen Experten dankbar, die uns in Hintergrundgesprächen hilfreiche Diskussions möglichkeiten und wertvolle Impulse gegeben haben. In gleicher Weise möchten wir uns bei den Mitarbeitern des BSI aus dem Referat C22 für die konstruktive und offene Zusammenarbeit bedanken. Unser Dank geht insbesondere an Frau Christine Hofer und Herrn Dr. Jan Sanders, die eine kontinuierliche Studienbegleitung und letztlich den erfolgreichen Projektabschluss ermöglicht haben. Berlin, im Dezember 2015 Wilhelm Dolle, Paul Weissmann, Hanna Lurz Bundesamt für Sicherheit in der Informationstechnik 3 Inhaltsverzeichnis Inhaltsverzeichnis Danksagung.......................................................................................................................................................................................... 3 Einleitung............................................................................................................................................................................................ 10 1 Branchenüberblick.......................................................................................................................................................................... 13 1.1 Einführung in die Logistik.................................................................................................................................................... 13 1.2 Bedeutung für Staat und Gesellschaft............................................................................................................................. 19 1.3 Wahrnehmung der Branche................................................................................................................................................ 20 1.4 Volkswirtschaftlicher Kontext............................................................................................................................................ 21 1.5 Einordnung der Branche Logistik in KRITIS............................................................................................................... 27 1.5.1 Abgrenzung zum Sektor Transport und Verkehr................................................................................................27 1.5.2 Definition der KRITIS-Branche Logistik................................................................................................................. 28 2 Branchenstruktur............................................................................................................................................................................ 30 2.1 Strukturierung und Organisation der Branche.......................................................................................................... 30 2.2 Marktteilnehmer....................................................................................................................................................................... 34 2.2.1 Logistikunternehmen...................................................................................................................................................... 34 2.2.2 Verbände................................................................................................................................................................................. 37 2.3 Beziehungen innerhalb der Branche............................................................................................................................... 38 2.4 Rolle der öffentlichen Hand................................................................................................................................................. 40 2.4.1 Beteiligte Organe und Regulierung........................................................................................................................... 40 2.4.2 Zollabfertigung.................................................................................................................................................................... 41 2.5 Aktuelle Entwicklungen & Trends..................................................................................................................................... 42 2.5.1 Globale Entwicklungen................................................................................................................................................... 42 2.5.2 Technologische Trends..................................................................................................................................................... 44 3 Kritische Dienstleistungen.......................................................................................................................................................... 47 3.1 Transportlogistik (DL1)........................................................................................................................................................... 50 3.1.1 Vorbereitung (PS1)............................................................................................................................................................. 52 3.1.2 Transport (PS2).................................................................................................................................................................... 58 3.1.3 Lieferung (PS3)..................................................................................................................................................................... 64 3.2 Umschlaglogistik (DL2)........................................................................................................................................................... 67 3.2.1 Wareneingang (PS1)........................................................................................................................................................... 71 3.2.2 Umschlag (PS2).................................................................................................................................................................... 76 3.2.3 Warenausgang (PS3).......................................................................................................................................................... 82 3.3 Lagerlogistik (DL3).................................................................................................................................................................... 85 3.3.1 Wareneingang (PS1)........................................................................................................................................................... 88 3.3.2 Lagerung (PS2)..................................................................................................................................................................... 92 3.3.3 Warenausgang (PS3).......................................................................................................................................................... 96 4 4.1 4.2 4.3 4.4 Logistik in anderen KRITIS-Sektoren.................................................................................................................................... 99 Logistik im Sektor Gesundheit........................................................................................................................................... 99 Logistik im Sektor Ernährung.......................................................................................................................................... 104 Logistik im Sektor Energie................................................................................................................................................. 106 Logistik im Sektor Finanzen.............................................................................................................................................. 108 5 5.1 5.2 Vorfallsammlung........................................................................................................................................................................... 110 Nationale Vorfälle................................................................................................................................................................... 113 Internationale Vorfälle......................................................................................................................................................... 114 Bundesamt für Sicherheit in der Informationstechnik 5 Inhaltsverzeichnis 6 Cyber-Sicherheit............................................................................................................................................................................ 122 6.1 Standards und Best Practices............................................................................................................................................ 122 6.2 Gesetzliche Anforderungen............................................................................................................................................... 124 6.3 Umsetzungsgrad der Cyber-Sicherheit........................................................................................................................ 125 6.3.1 Sicherheitsorganisation und -management........................................................................................................ 126 6.3.2 Technische IT-Sicherheit.............................................................................................................................................. 127 6.3.3 Überwachung und Monitoring................................................................................................................................. 127 6.3.4 Externe Abhängigkeiten............................................................................................................................................... 128 6.3.5 Notfallmanagement........................................................................................................................................................ 128 6.3.6 Security Awareness.......................................................................................................................................................... 128 6.4 Herausforderungen und Trends...................................................................................................................................... 128 7 Schlussfolgerungen und Ausblick......................................................................................................................................... 131 Anhänge............................................................................................................................................................................................. 134 Abkürzungsverzeichnis....................................................................................................................................................... 134 Abbildungen.............................................................................................................................................................................. 142 Literaturverzeichnis..................................................................................................................................................................... 143 6 Bundesamt für Sicherheit in der Informationstechnik Inhaltsverzeichnis Abbildungsverzeichnis Abbildung 1: Funktionen der Unternehmenslogistik.................................................................................................................. 14 Abbildung 2: Hybrides Logistiknetzwerk als Überlagerung ein- bis vierstufiger Netzwerke....................................16 Abbildung 3: Funktionen eines Logistikzentrums........................................................................................................................ 17 Abbildung 4: Differenzierung der Logistikbranche nach Gewichtsbereichen, Marktbereichen und Teilmärkten...................................................................................................................................................................................................... 18 Abbildung 5: Anzahl der Sendungen von KEP-Diensten in Deutschland von 2005 bis 2013....................................21 Abbildung 6: Gesamtwirtschaftliche Bedeutung der Logistikbranche in Deutschland (2013).................................22 Abbildung 7: Umsatz der Logistikbranche in Deutschland von 2005 bis 2014................................................................23 Abbildung 8: Umsatz nach einzelnen Marktbereichen der deutschen Logistikbranche (2013)...............................23 Abbildung 9: Umsatzverteilung nach Logistikfunktionen in Prozent (2013)...................................................................24 Abbildung 10: Gesamtes Güteraufkommen in Deutschland im Zeitraum von 2005 bis 2014..................................26 Abbildung 11: Verteilung des Güteraufkommens auf Verkehrsträger in Prozent (2014).............................................26 Abbildung 12: Unterteilung in Makro- und Mikrologistik........................................................................................................27 Abbildung 13: KRITIS-relevante Bereiche der Logistik............................................................................................................... 29 Abbildung 14: Entwicklungsstufen von Logistikdienstleistern............................................................................................... 30 Abbildung 15: Funktionale Verortung der wichtigsten Logistikregionen in Deutschland........................................34 Abbildung 16: Vertikale Integration von Wertschöpfungsketten...........................................................................................39 Abbildung 17: Idealtypische Zuordnung von Dienstleistertypen zu kritischen Dienstleistungen.........................48 Abbildung 18: Modellierung kritischer Dienstleistungen.......................................................................................................... 48 Abbildung 19: Schematische Darstellung der kritischen Dienstleistung „Transportlogistik“..................................51 Abbildung 20: Prozessschritt „Vorbereitung“ der Dienstleistung „Transportlogistik“..................................................53 Abbildung 21: Prozessschritt „Transport“ der Dienstleistung „Transportlogistik“.........................................................58 Abbildung 22: Prozessschritt „Lieferung“ der Dienstleistung „Transportlogistik“.........................................................64 Abbildung 23: Schematische Darstellung der kritischen Dienstleistung „Umschlaglogistik“..................................68 Abbildung 24: Prozessschritt „Wareneingang“ der Dienstleistung „Umschlaglogistik“...............................................71 Abbildung 25: Prozessschritt „Umschlag“ der Dienstleistung „Umschlaglogistik“........................................................76 Abbildung 26: Prozessschritt „Warenausgang“ der Dienstleistung „Umschlaglogistik“..............................................82 Abbildung 27: Schematische Darstellung der kritischen Dienstleistung „Lagerlogistik“...........................................86 Abbildung 28: Prozessschritt „Wareneingang“ der Dienstleistung „Lagerlogistik“........................................................88 Abbildung 29: Prozessschritt „Lagerung“ der Dienstleistung „Lagerlogistik“...................................................................92 Abbildung 30: Prozessschritt „Warenausgang“ der Dienstleistung „Lagerlogistik“........................................................96 Abbildung 31: Abgrenzung der Healthcare-Logistik.................................................................................................................. 100 Abbildung 32: Informationssysteme in der Logistik.................................................................................................................. 110 Abbildung 33: IKT-Einsatz im Prozessschritt – Darstellung der Methodik.....................................................................111 Abbildung 34: Schematische Darstellung der kritischen Dienstleistung „Transportlogistik“................................113 Abbildung 35: Zusammenspiel zwischen Tourenplanungs- und ERP-Systemen.........................................................122 Abbildung 36: Schematische Darstellung der kritischen Dienstleistung „Umschlaglogistik“................................136 Abbildung 37: Steuerungspyramide der Intralogistik............................................................................................................... 147 Abbildung 38: Schematische Darstellung der kritischen Dienstleistung „Lagerlogistik“.........................................159 Abbildung 39: Standards und Best Practices für die Cyber-Sicherheit in der Logistikbranche in Deutschland ............................................................................................................................................................................................................................. 194 Abbildung 40: Einfach gebrochene, intramodale Logistikkette............................................................................................213 Abbildung 41: Funktionsbezogene Anwendungen in der IT-gestützten Logistik (Technologiestand 2015)...213 Abbildung 42: Mehrfach gebrochene, intermodale Logistikkette.......................................................................................213 Bundesamt für Sicherheit in der Informationstechnik 7 Inhaltsverzeichnis Tabellenverzeichnis Tabelle 1: Sektoreinteilung der Kritischen Infrastrukturen in Deutschland.....................................................................10 Tabelle 2: Kennzahlen der Wirtschaftszweige der Logistikbranche nach destatis (2013)............................................25 Tabelle 3: Übersicht der Leistungsmerkmale und Leistungsangebote verschiedener Dienstleistertypen..........32 Tabelle 4: Top 25 der Logistikunternehmen in Deutschland nach Umsatz(2013)...........................................................37 Tabelle 5: Betriebsinterner Prozess „Auftragsmanagement“ (DL1 PS1 BP1)......................................................................54 Tabelle 6: Betriebsinterner Prozess „Disposition“ (DL1 PS1 BP2)............................................................................................ 56 Tabelle 7: Betriebsinterner Prozess „Tourenplanung“ (DL1 PS1 BP3)...................................................................................57 Tabelle 8: Betriebsinterner Prozess „Warenübernahme“ (DL1 PS2 BP1)..............................................................................59 Tabelle 9: Betriebsinterner Prozess „Transport“ (DL1 PS2 BP2)...............................................................................................61 Tabelle 10: Betriebsinterner Prozess „Transportsteuerung“ (DL1 PS2 BP4).......................................................................62 Tabelle 11: Betriebsinterner Prozess „Tracking/Tracing“ (DL1 PS2 BP5).............................................................................63 Tabelle 12: Betriebsinterner Prozess „Warenübergabe“ (DL1 PS3 BP1)................................................................................65 Tabelle 13: Betriebsinterner Prozess „Warenannahme“ (DL2 PS1 BP1)................................................................................72 Tabelle 14: Betriebsinterner Prozess „Auftragsmanagement“ (DL2 PS1 BP2)...................................................................73 Tabelle 15: Betriebsinterner Prozess „Yard Management“ (DL2 PS1 BP3)...........................................................................74 Tabelle 16: Betriebsinterner Prozess „Warenerfassung“ (DL2 PS1 BP4)...............................................................................75 Tabelle 17: Betriebsinterner Prozess „Verbringung“ (DL2 PS2 BP1).......................................................................................77 Tabelle 18: Betriebsinterner Prozess „Zwischenlagerung“ (DL2 PS2 BP2)..........................................................................78 Tabelle 19: Betriebsinterner Prozess „Umschlagmanagement“ (DL2 PS2 BP4)................................................................81 Tabelle 20: Betriebsinterner Prozess „Warenübergabe“ (DL2 PS3 BP1)................................................................................83 Tabelle 21: Betriebsinterner Prozess „Yard Management“ (DL2 PS3 BP2)...........................................................................84 Tabelle 22: Betriebsinterner Prozess „Warenannahme“ (DL3 PS1 BP1)................................................................................89 Tabelle 23: Betriebsinterner Prozess „Auftragsmanagement“ (DL3 PS1 BP2)...................................................................90 Tabelle 24: Betriebsinterner Prozess „Warenerfassung“ (DL3 PS1 BP3)...............................................................................91 Tabelle 25: Betriebsinterner Prozess „Verräumung“ (DL3 PS2 BP1).......................................................................................93 Tabelle 26: Betriebsinterner Prozess „Lagerung“ (DL3 PS2 BP2).............................................................................................94 Tabelle 27: Betriebsinterner Prozess „Lagerverwaltung“ (DL3 PS2 BP3).............................................................................95 Tabelle 28: Betriebsinterner Prozess „Kommissionierung“ (DL3 PS3 BP1).........................................................................97 Tabelle 29: Betriebsinterner Prozess „Warenübergabe“ (DL3 PS3 BP2)................................................................................98 Tabelle 30: Güterarten, logistische Anforderungen und Dienstleistertypen im Gesundheitssektor...................101 Tabelle 31: Logistikbereiche des Gesundheitssektors mit Einsatz externer Logistikdienstleistern.....................102 Tabelle 32: KRITIS-relevante Logistikabhängigkeiten im Sektor Ernährung.................................................................105 Tabelle 33: KRITIS-relevante Logistikabhängigkeiten im Sektor Energie.......................................................................107 Tabelle 34: IKT im betriebsinternen Prozess „Auftragsmanagement“ (DL1 PS1 BP1)................................................115 Tabelle 35: IKT im betriebsinternen Prozess „Disposition“ (DL1 PS1 BP2)......................................................................118 Tabelle 36: IKT im betriebsinternen Prozess „Tourenplanung“ (DL1 PS1 BP3)..............................................................120 Tabelle 37: IKT im betriebsinternen Prozess „Warenübernahme“ (DL1 PS2 BP1)........................................................124 Tabelle 38: IKT im betriebsinternen Prozess „Transport“ (DL1 PS2 BP2)..........................................................................127 Tabelle 39: IKT im betriebsinternen Prozess „Transportsteuerung“ (DL1 PS2 BP3).....................................................129 Tabelle 40: IKT im betriebsinternen Prozess „Tracking/Tracing“ (DL1 PS2 BP4)..........................................................131 Tabelle 41: IKT im betriebsinternen Prozess „Warenübergabe“ (DL1 PS3 BP1).............................................................134 Tabelle 42: IKT im betriebsinternen Prozess „Warenannahme“ (DL2 PS1 BP1).............................................................138 Tabelle 43: IKT im betriebsinternen Prozess „Auftragsmanagement“ (DL2 PS1 BP2)................................................140 Tabelle 44: IKT im betriebsinternen Prozess „Yard Management“ (DL2 PS1 BP3)........................................................141 Tabelle 45: IKT im betriebsinternen Prozess „Warenerfassung“ (DL2 PS1 BP4)............................................................143 Tabelle 46: IKT im betriebsinternen Prozess „Verbringung“ (DL2 PS2 BP1)....................................................................145 Tabelle 47: IKT im betriebsinternen Prozess „Zwischenlagerung“ (DL2 PS2 BP2)........................................................149 Tabelle 48: IKT im betriebsinternen Prozess „Kommissionierung“ (DL2 PS2 BP3)......................................................151 Tabelle 49: IKT im betriebsinternen Prozess „Umschlagmanagement“ (DL2 PS2 BP4).............................................153 Tabelle 50: IKT im betriebsinternen Prozess „Warenübergabe“ (DL2 PS3 BP1).............................................................156 Tabelle 51: IKT im betriebsinternen Prozess „Yard Management“ (DL2 PS3 BP2)........................................................158 8 Bundesamt für Sicherheit in der Informationstechnik Inhaltsverzeichnis Tabelle 52: IKT im betriebsinternen Prozess „Warenannahme“ (DL3 PS1 BP1).............................................................161 Tabelle 53: IKT im betriebsinternen Prozess „Auftragsmanagement“ (DL3 PS1 BP2)................................................162 Tabelle 54: IKT im betriebsinternen Prozess „Warenerfassung“ (DL3 PS1 BP3)............................................................163 Tabelle 55: IKT im betriebsinternen Prozess „Verräumung“ (DL3 PS2 BP1)....................................................................165 Tabelle 56: IKT im betriebsinternen Prozess „Lagerung“ (DL3 PS2 BP2)...........................................................................167 Tabelle 57: IKT im betriebsinternen Prozess „Lagerverwaltung“ (DL3 PS2 BP3)...........................................................169 Tabelle 58: IKT im betriebsinternen Prozess „Kommissionierung“ (DL3 PS3 BP1)......................................................172 Tabelle 59: IKT im betriebsinternen Prozess „Warenübergabe“ (DL3 PS3 BP2).............................................................173 Tabelle 60: Mögliche Gruppierung der Güterabteilungen nach NST 2007 im KRITIS-Kontext............................176 Tabelle 61: Anlagen der Logistikbranche inkl. möglichen Verbrauchs- und Kapazitätswerten.............................178 Tabelle 62: Modell zur Kritikalitätsbewertung von Logistikdienstleistern anhand kombinierter Faktoren.. .179 Tabelle 63: Überblick der Eigenschaften der gesammelten Vorfälle...................................................................................182 Bundesamt für Sicherheit in der Informationstechnik 9 Einleitung Einleitung Kritische Infrastrukturen (KRITIS) sind „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungs engpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“ [BMI 2009]. Sie erbringen kritische Dienstleistungen, die für Deutschland einen bedeutenden Beitrag zur Sicherung des Gemeinwohls leisten. Das Dokument „UP KRITIS – Grundlagen und Ziele“ von 2013 definiert kritische Dienstleistungen wie folgt: „Kritische Dienstleistungen sind für die Bevölkerung wichtige, teils lebenswichtige Güter und Dienstleistungen. Bei einer Beeinträchtigung dieser kritischen Dienstleistungen würden erhebliche Versorgungsengpässe, Störungen der Öffentlichen Sicherheit oder vergleichbare dramatische Folgen eintreten“ [BSI 2014]. Die Auswahl an kritischen Dienstleistungen kann zum einem auf den staatlichen Auftrag zur Daseinsfürsorge zurückgeführt werden, zum anderen auf ihre Bedeutung als technische Basisinfrastrukturen für andere kritische Dienstleistungen. Die zuverlässige Erbringung der kritischen Dienstleistungen bildet die Grundlage vieler alltäglicher Prozesse und Abläufe für die Bevölkerung und in der Wirtschaft. Sie ist Voraussetzung für die ausreichende Versorgung der Bevölkerung mit Lebensmitteln, Wasser, Elektrizität, Gesundheitsleistungen und vielen anderen wichtigen oder lebensnotwendigen Ressourcen. Vor diesem Hintergrund ist der Schutz Kritischer Infrastrukturen eine gesamtgesellschaftliche Aufgabe, die im Zusammenspiel von Staat, Wirtschaft und Öffentlichkeit erfolgt. Als Grundlage für die Kooperation von Staat und Wirtschaft beim Schutz Kritischer Infrastrukturen dient die Sektoren- und Brancheneinteilung. Sie bildet einen konzeptionellen Rahmen, der die Analyse und Behandlung einzelner technischer Basisinfrastrukturen und sozioökonomischer Dienstleistungsinfrastrukturen ermöglicht. Die Betreiber von KRITIS umfassen dabei sowohl staatliche als auch privatwirtschaftliche Organisationen. Sektoren Kritischer Infrastrukturen Energie Transport und Verkehr Informationstechnik und Telekommunikation Finanz- und Versicherungswesen Gesundheit Staat und Verwaltung Wasser Medien und Kultur Ernährung Tabelle 1: Sektoreinteilung der Kritischen Infrastrukturen in Deutschland Jeder KRITIS-Sektor (siehe Tabelle 1) ist in verschiedene Branchen aufgeteilt. Sowohl zwischen den Branchen innerhalb eines Sektors als auch zwischen den verschiedenen Sektoren existieren vielfältige Inter dependenzen. Beispielsweise ist die Stromversorgung eine Grundvoraussetzung für die Erbringung praktisch aller anderen kritischen Dienstleistungen. Ein weiteres Beispiel sind die Leistungen des Sektors Transport und Verkehr, die Voraussetzung für die Logistik von Nahrungsmitteln, Materialien für die Gesundheitswirtschaft und weiteren Gütern sowie für die Beförderung von Personen sind. Der Sektor Informationstechnik und Telekommunikation nimmt hierbei vor dem Gedanken der starken Durchdringung von Informations- und Telekommunikationstechnologie in allen anderen Sektoren eine Sonderrolle ein. Eine effiziente Leistungserbringung in den Sektoren ist heute ohne die Inanspruchnahme der Informations- und Telekommunikationsdienstleistungen nicht mehr vorstellbar. Die weiter zunehmende Verbreitung und Durchdringung von Informations- und Kommunikationstechnologien in allen Sektoren birgt jedoch gleichzeitig bekannte und neue Risiken. 10 Bundesamt für Sicherheit in der Informationstechnik Einleitung Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine der zentralen Stellen unter den zuständigen Behörden zum Schutz von Kritischen Infrastrukturen. Mit unterschiedlichen Aktivitäten wie der Organisation von Branchengesprächen, der Bereitstellung von Standards und Leitfäden zu wichtigen IT-Sicherheitsthemen und nationalen Projekten sowie der Koordination des UP KRITIS1 verfolgt das BSI die Umsetzung der Nationalen Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) und der nationalen Cyber-Sicherheitsstrategie. In seinen Arbeiten ist das BSI auf genaue Kenntnisse zu den Funktionen kritischer Dienstleistungen und der damit verbundenen Bedeutung wichtiger Anlagen und Einrichtungen (KRITIS) angewiesen. Dabei ist es wichtig, die wirtschaftlichen, technologischen, politischen und regulatorischen Rahmenbedingungen und Besonderheiten der Sektoren und deren Branchen genau zu verstehen. Dies umfasst gleichermaßen die Kenntnis zukünftiger Entwicklungen. Ein Jahr nach Erstellung der KRITIS-Sektorstudie Transport und Verkehr (Projekt 104) hat das BSI 2015 KPMG mit der Erarbeitung der KRITIS-Studie der Branche Logistik beauftragt (Projekt 105). Ziel der Studie ist ein aktueller Überblick über den Sektor, dessen Branchen sowie die im Sektor und den Branchen erbrachten kritischen Dienstleistungen. Dies beinhaltet Analysen zur Kritikalität der branchentypischen Dienstleistungen sowie deren betriebsinternen Prozessen. Weiterhin soll der Grad der Abhängig keiten betriebsinterner Prozesse von IKT ermittelt und die Frage beantwortet werden, welche Rolle Informationen, der Einsatz von IKT und die Nutzung von IKT-Prozessen für die Ausführung der betriebsinternen Prozesse spielt. Die generelle Frage, inwieweit Logistikbetreiber in Deutschland als Betreiber Kritischer Infrastrukturen zu bewerten sind, ist nicht Gegenstand dieser Studie. Neben dem vorhandenen Expertenwissen sowie öffentlich verfügbaren Informationen und Unterlagen bildet die Betreiberbefragung eine wesentliche Informationsgrundlage der Sektorstudien. Hierfür wurden wichtige Betreiber, Verbände und ggf. weitere wichtige Akteure der jeweiligen Sektoren im Studienzeitraum in zahlreichen persönlichen und telefonischen Gesprächen zum Stand der Cyber-Sicherheit befragt. Die Angaben sind in anonymisierter Form in die Studien eingeflossen, sodass keine Rückschlüsse auf einzelne Befragte gezogen werden können. Die Studie ist in die folgenden Kapitel gegliedert: Kapitel 1 bietet einen Überblick über die behandelte Branche. Kapitel 2 vertieft den Einblick mit der Branchenstruktur, der Bedeutung der Branche für Staat und Gesellschaft, dem volkswirtschaftlichen Kontext, den Marktteilnehmern, Beziehungen innerhalb der Branche, der Rolle der öffentlichen Hand sowie aktuellen Entwicklungen. Kapitel 3 enthält eine detaillierte Auseinandersetzung mit den kritischen Dienstleistungen. Dies sind im vorliegenden Fall die Dienstleistungen Transportlogistik (DL1), Umschlaglogistik (DL2) und Lagerlogistik (DL3). Einer strukturellen Zerlegung der Dienstleistungen folgt die Analyse der kritischen betriebsinternen Prozesse und die Ermittlung der Risikoelemente. Zudem wird die Kapitel 4 betrachtet die Ausgestaltung der kritischen Logistikdienstleistungen in den KRITIS-Sektoren Energie, Gesundheit, Ernährung und Finanzen. Kapitel 5 enthält eine vertiefte Befassung mit den IKT-Abhängigkeiten der kritischen Dienstleistungen, untergliedert nach Prozessschritten und betriebsinternen Prozessen. Kapitel 6 analysiert, welche generellen Faktoren zur Bewertung von Betreibern in der Branche betrachtet werden müssen und wie diese entsprechend für die Kritikalitätsbewertung genutzt werden können. Kapitel 7 liefert eine Sammlung bedeutsamer Sicherheitsvorfälle. Diese sind nach internationalen und nationalen Vorfällen differenziert sowie anhand wichtiger Eigenschaften zur Sensibilisierung und Aufklärung aufbereitet. Kapitel 8 setzt sich sowohl mit den geltenden Normen und Standards als auch mit den gesetzlichen Anforderungen für IT-Sicherheit in der Branche auseinander. Darüber hinaus wird auf den etablierten Stand 1 Der UP KRITIS ist eine Kooperation zwischen (KRITIS-)Betreibern, Verbänden und staatlichen Stellen, u. a. dem BSI (siehe www.upkritis.de). Bundesamt für Sicherheit in der Informationstechnik 11 Einleitung der Cyber-Sicherheit sowie auf Herausforderungen und Trends in der IT-Sicherheit eingegangen, was insbesondere aus den Ereignissen der Betreiberbefragung ermittelt wurde. Kapitel 9 führt die Ergebnisse aus den vorherigen Kapiteln als Fazit zusammen, schafft einen Überblick über die wesentlichen Erkenntnisse und stellt wichtige Handlungsempfehlungen zur Stärkung der IT-Sicherheit in der betrachteten Branche heraus. 12 Bundesamt für Sicherheit in der Informationstechnik Branchenüberblick 1 Branchenüberblick Die vorliegende Studie beschreibt die Branche Logistik, die im Rahmen der KRITIS-Studien von 2014 und 2015 losgelöst vom übergeordneten Sektor „Transport und Verkehr“ (TuV) behandelt wird. Grund hierfür ist zum einen der Umfang des TuV-Sektors in Deutschland, der neben der Logistik die Branchen Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr und Straßenverkehr umfasst. Zum anderen erbringt die Logistikbranche Basisdienstleistungen für wirtschaftliche Leistungen anderer Sektoren und Branchen und nimmt somit eine Querschnittsfunktion ein. 1.1 Einführung in die Logistik Unter dem Themenfeld Logistik wird primär der physische Materialfluss zur Verfügbarkeit von Waren innerhalb eines Unternehmens sowie zwischen Organisationen und deren Umwelt verstanden. Hierfür befasst sich die Logistik im engeren Sinne mit operativen Grundfunktionen. Dies sind Aktivitäten des Transportierens zur Raumüberbrückung, des Umschlagens zur Mengenanpassung, der Lagerung zur Zeitüberbrückung und – insbesondere in Umschlag und Lagerung je nach Bedarf beinhaltet – der Kommissionierung zur Auftragszusammenstellung [Gudehus 2010, S. 3; Werner 2008, S. 16; Kille/Schwemmer 2014, S. 40]. Das Logistikverständnis entwickelt sich kontinuierlich weiter. Der Begriff der Logistik wird heutzutage umfassender verwendet und beinhaltet nicht mehr nur die Steuerung von Material- oder Objektflüssen, sondern auch die intelligente Planung und Steuerung von Wertschöpfungsketten im Rahmen institutioneller Fragestellungen. Zusätzlich zu den operativen Prozessen des Transports, Umschlags und der Lagerung umfasst die moderne Logistik ebenso die Planung, Steuerung, Kontrolle und Optimierung von Prozessen und Informationen in einem Güterflusssystem. Aufgrund dieser Überschneidung zum Supply Chain Management (SCM) werden die Begriffe gelegentlich synonym verwendet, da beide die Gestaltung von Objektflüssen entlang der Wertschöpfungskette unter Steigerung von Effektivität (Kundennutzen) und Effizienz (Kosten-Nutzen-Verhältnis) anstreben. Im Unterschied zur Logistik beinhaltet SCM aber „neben den physischen Aktivitäten auch [immer] die begleitenden Auftragsabwicklungs- und Geldflussprozesse“ [Gabler o.J.b] und schließt Unternehmensbereiche wie Marketing, Unternehmensführung, Unternehmensrechnung und Controlling ein. In der Logistik sind diese Bereiche nur teilweise und je nach Dienstleistungstiefe integriert und kein grundsätzlicher Bestandteil. Branchentypische Dienstleistungen Zur Definition der logistischen Ziele hat sich die „Sieben-R-Regel“ oder „Seven-Rights-Definition“ nach Powmann etabliert. Ziel ist hiernach die Sicherung der Verfügbarkeit des richtigen Guts, in der richtigen Menge, der richtigen Qualität, am richtigen Ort, zur richtigen Zeit, zu den richtigen Kosten und für den richtigen Kunden [BVL 2015c; Gleißner/Femerling 2008, S. 4–5]. Logistikobjekte können dabei Handelswaren, Lebensmittel, Rohstoffe oder Material, Vorprodukte, Halbfertigfabrikate und Fertigwaren, Investitionsgüter oder Konsumgüter ebenso wie Produktions- oder Betriebsmittel und Abfallstoffe sein [Gudehus 2010, S. 3]. Als generelle logistische Prozesse werden Transport, Umschlag, Lagerung, Kommissionierung und Verpackung sowie begleitende Informations- und Kommunikationsprozesse definiert. Diese Prozesse dienen der operativen Umsetzung des physischen Warenflusses [Arnold et al. 2008, S. 6–7]. Die Auftragsabwicklung und zusätzliche administrative Prozesse werden ebenfalls der Logistik zugeordnet. Sie bilden die Kernkompetenz branchentypischer Logistikdienstleister wie Speditionen und Lagerhalter ab und beschreiben die Tätigkeiten einer Dienstleistungslogistik. Oftmals übernehmen Industrie- und Handelsunternehmen Tätigkeiten wie Planung, Steuerung und Kontrolle der Logistikprozesse selbst und nutzen zur Abwicklung operativer Logistikprozesse wie Transport oder Umschlag interne und externe Logistikdienstleister. Funktionen einer unternehmensinternen Logistik sind dabei in erster Linie die Beschaffungslogistik, Produktionslogistik, Distributionslogistik sowie Bundesamt für Sicherheit in der Informationstechnik 13 Branchenüberblick gegebenenfalls Ersatzteil- und Retourenlogistik (siehe Abbildung 1). Die Beschaffungslogistik schafft Strukturen und Prozesse für eine mengen-, termin- und qualitätsgerechte Materialversorgung eines Unter nehmens. Die für die Produktion benötigten Güter wie Rohstoffe, Teile und Komponenten werden von Lieferanten aus dezentralen Produktionsstätten oder Versorgungslagern bereitgestellt. Dabei koordiniert die Produktionslogistik den Fluss von Roh-, Hilfs-, und Betriebsstoffen sowie allen Zukaufteilen und Baugruppen. Sie übernimmt Funktionen wie die Strukturierung der Produktion, die Planung, Steuerung und Kontrolle der Material- und Informationsflüsse vom Wareneingang über alle Produktionsstufen bis hin zu den Ausgangslagern bzw. dem Versand. Je nach Fertigungsstand der Produkte werden Zwischenlager stufen durchlaufen. Die Hauptfunktion der Distributionslogistik ist die Güterverteilung über ein Netz von Transportkanälen, Lager- und Umschlagpunkten zu den Endabnehmern. Dabei werden häufig Absatzhelfer und Logistikdienstleister einbezogen. Als Schnittstelle zwischen der kundenseitigen Beschaffungslogistik und der lieferantenseitigen Distri butionslogistik fungiert die Ersatzteillogistik. Ihre Aufgabe ist die rechtzeitige Bereitstellung von Ersatzteilen sowie deren Bevorratung. Der Ersatzteilbedarf stellt typischerweise zeitkritische Anforderungen an den logistischen Versorger. Besonders der erreichte Lieferservice, die Lieferbereitschaft und die Liefer flexibilität sind logistische Größen, die in der Ersatzteillogistik einen Wettbewerbsfaktor darstellen können. Die Retourenlogistik ergänzt die Distributionslogistik durch die Bearbeitung von Rücksendungen aufgrund von Reklamationen oder Stornierungen. Dazu gehört die Entgegennahme von Retouren, eine Qualitätsprüfung und etwaige Aufbereitung oder Entsorgung der Waren. Je nach Branche müssen hierbei zeit kritische Anforderungen erfüllt werden, beispielsweise bei der Erstattung von Gutschriften und der Kontrolle und Aufbereitung von Waren, um diese neu verpacken und dem Lagerbestand wieder zuführen zu können. Die Entsorgungslogistik steuert Aufgaben und Prozesse zur Entsorgung von Reststoffen in allen Phasen der Wertschöpfungskette. Dazu zählen die Rückführung zur Verwertung oder zur Beseitigung sowie die Reduzierung der Entsorgungsgüter. Hierdurch wird die versorgungsorientierte Logistik zu einer Kreislauf logistik ergänzt. Häufig wird die Entsorgungslogistik durch gesetzliche Vorschriften veranlasst [Heiserich et al. 2011, S. 11–12]. Abbildung 1: Funktionen der Unternehmenslogistik Quelle: in Anlehnung an [Heiserich et al. 2011, S. 11–12] Zusätzlich zu Industrie und Handel existieren weitere gesellschaftlich und sozial relevante Logistiksysteme wie die Krankenhauslogistik oder die öffentliche Abfallentsorgung [Gleißner/Femerling 2008, S. 12]. Eine Differenzierung von Logistikdienstleistern zu Unternehmen und Einrichtungen mit logistischen Eigenanteilen wird dadurch deutlich, dass letztere Logistik nicht als Kernkompetenz handhaben. 14 Bundesamt für Sicherheit in der Informationstechnik Branchenüberblick Logistikdienstleister stellen dem Markt branchentypische Leistungen in unterschiedlicher Dienstleistungstiefe zur Verfügung. Dabei reicht das Leistungsportfolio der Dienstleister von rein physischen Transport-, Umschlag- und Lagerdienstleistungen bis hin zu Beratungsdienstleistungen sowie Kontrakt- und Projekt logistikdienstleistungen (z. B. logistische Planungstätigkeiten für Aufbau und Betrieb eines Verpackungszentrums für die Automobilindustrie, humanitäre Logistik, Eventlogistik etc.). Aufbau von Logistiknetzwerken und Logistikzentren Zur Erbringung der logistischen Dienstleistungen, insbesondere der operativen Grundfunktionen, werden großflächige Logistiksysteme genutzt, die auch als Logistiknetzwerke bezeichnet werden. Diese unter scheiden sich anhand der Stufigkeit der Lieferketten zwischen Lieferanten und Kunden, d. h. „der Anzahl an Zwischenstationen, die von den logistischen Objekten durchlaufen werden.“ [Gudehus 2010, S. 17] In einem einstufigen Transportnetz bestehen direkte, ungebrochene Verbindungen zwischen Versender und Empfänger. Dies ist insbesondere dann sinnvoll, wenn die verfügbaren Transportmittel durch die zu befördernden Warenmengen wirtschaftlich ausgelastet sind. Werden wenige Empfänger von vielen, weit verteilten Versendern über große Entfernungen mit Mengen beliefert, „die in der Direktrelation keine größeren Transporteinheiten füllen, kann ein zweistufiges Transportnetz mit einem Warenfluss über Umschlagpunkte vorteilhaft sein, die sich als Sammelstationen in der Nähe der Versandorte befinden.“ [Gudehus 2010, S. 18] Bei der Belieferung einer großen Anzahl von Empfängern durch viele Versender ist es sinnvoll, die zweistufige Struktur zu erweitern, indem eine weitere Stufe von Verteilstationen eingefügt wird. Hierdurch entsteht ein dreistufiges Transportnetz. In Nähe der Versender befinden sich dann Sammelstationen bzw. Logistikzentren, in Nähe der Empfänger Verteilstationen. Dadurch kann eine erhebliche Senkung der Transportkosten durch Bündelung der Transporte, durch Einsatz der jeweils rationellsten Transportmittel und durch optimale Touren erreicht werden [Gudehus 2010, S. 18–19]. Diese Struktur entsteht auch zwangsläufig beim Übergang zwischen verschiedenen Transportträgern mit großen Unterschieden in der Zahl der Ladeeinheiten pro Transportvorgang, womit fast jedes Seehafenterminal in diesem theoretischen Sinne ein Logistikzentrum ist. Zur weiteren Zentralisierung der Bestände und Funktionen können „ein oder mehrere multifunktionale Logistikzentren an geeigneten Standorten zwischen die Sammelstationen und die Verteilstationen geschaltet werden.“ [Gudehus 2010, S. 19] Dadurch ergeben sich vierstufige Transportnetze, die sich insbesondere durch „multimodalen Transport über große Entfernungen [erstrecken], zum Beispiel in der Luft- und Seefracht“ [Gudehus 2010, S. 19–20]. Werden Netzwerke unterschiedlicher Stufigkeit überlagert, entstehen strukturgemischte, hybride Logistiknetzwerke. Diese bieten „die Möglichkeit, die stärksten Warenströme direkt, die schwächeren Sammel- oder Verteilströme zweistufig und die schwächsten Ströme […] drei- oder mehrstufig laufen zu lassen.“ [Gudehus 2010, S. 19] Abbildung 2 zeigt ein solches hybrides Logistiknetzwerk. Typisch ist insbesondere in drei- und mehrstufigen Strukturen ein multimodaler Transport, während hingegen im Vor- und Nachlauf zu großen Teilen Lkw eingesetzt werden. Der Vor- und Nachlauf muss jedoch nicht zwingend per Lkw erfolgen; gerade im Massengutbereich sind auch Binnenschiff (z. B. Baustoffe), Eisenbahn (z. B. Erze) und Seeschiffe (z. T. Erze, Chemie, Öl) möglich. Bundesamt für Sicherheit in der Informationstechnik 15 Branchenüberblick Abbildung 2: Hybrides Logistiknetzwerk als Überlagerung ein- bis vierstufiger Netzwerke Quelle: in Anlehnung an [Gudehus 2010, S. 17–20] Umschlagprozesse im gebrochenen Verkehr nehmen eine besondere Bedeutung in der Distributionslogistik von Industrie und Handelsunternehmen ein. In der Logistik weit verbreitet ist das „Hub and Spoke“-Konzept (engl. „Nabe und Speiche“). Dabei handelt es sich um ein Verkehrsnetz, das aus einem zentralen Umschlagort („Hub“) und darauf sternförmig zulaufenden Transportstrecken („Spokes“) besteht. Die Hubs dienen dem Sammeln, Sortieren nach Zieldestinationen und Umladen von Sendungen. Durch die Bündelung der einzelnen Sendungen wird eine große Anzahl von Direktverkehren vermieden und die Verkehrsmittel im Einsatz zwischen verschiedenen Hubs optimal ausgelastet [Klaus 2012, S. 552]. Zentralisierte Logistikzentren, die in vierstufigen Logistiknerzwerken oder bei „Hub and Spoke“-Konzepten zum Einsatz kommen, dienen der Optimierung der verschiedenen Logistikleistungen und zur Steigerung des Services. Dabei bieten sie wie in Abbildung 3 dargestellt ein großes Spektrum an Funktionen an. Logistikzentren werden in offener oder geschlossener Form betrieben. Während ein geschlossenes Logistikzentrum als Betriebsstätte für nur ein Industrie-, Handels-, Dienstleistungs- oder Logistikunternehmen dient, umfassen offene Logistikzentren die Betriebe „mehrerer Unternehmen, Stauereien, Speditionen und anderer Logistikdienstleister“. [Gudehus 2010, S. 19] 16 Bundesamt für Sicherheit in der Informationstechnik Branchenüberblick Abbildung 3: Funktionen eines Logistikzentrums Quelle: in Anlehnung an [Gudehus 2010, S. 21] Differenzierung des Leistungsangebots In der Logistikbranche existieren verschiedenen Ansätze zur Differenzierung des Leistungsangebots der Logistikdienstleister. Geschäftsfelder und Spezialisierungen der Branche ergeben sich aus der Verschiedenheit von Sendungsgrößen und Güterarten, genutzten Verkehrsträgern sowie dem Einsatz von Verkehrsmitteln und -arten. Bei einer Betrachtung der Sendungsgrößen wird innerhalb der Branche zwischen Kurier-, Express- und Paketsendungen (KEP), Stück- und Sammelgut sowie Komplettladungen und Charterverkehren unterschieden. Weiterhin unterscheiden sich die Kompetenzen der Dienstleister hinsichtlich der Bedienung der Verkehrsträger Straße, Schiene, Binnengewässer, Hochseegewässer, Luftraum und Pipeline. Die Art der Güter bietet ebenfalls eine Möglichkeit zur Differenzierung des Leistungsangebots innerhalb der Branche. Als Güter mit besonderen logistischen Anforderungen gelten hier beispielsweise Kühlwaren, Gefahrgut, Silo- und Tanktransporte. Die Fraunhofer Arbeitsgruppe für Supply Chain Services SCS nutzt bei ihrem Ansatz verschiedene dieser Faktoren und differenziert die Logistikbranche anhand von Gewichtsbereichen, Marktbereichen und Marktsegmenten (siehe Abbildung 4). Seefracht und Luftfracht werden aufgrund der speziellen Anforderungen an die Bedienung dieser Verkehrsträger als gesonderte Marktbereiche dargestellt. Auch die Kontraktlogistik als „langfristige Übernahme komplexer logistischer Dienstleistungspakete“ [Gabler o.J.a] unter Kombination „mehrere[r] Basisdienstleistungen wie Transport, Lagerung, Umschlag, (teilweise) Montage und Konfektioniertätigkeiten sowie einfache[n] Produktions- oder Montagetätigkeiten“ [Gabler o.J.a] bildet einen eigenen Marktbereich. Bundesamt für Sicherheit in der Informationstechnik 17 Branchenüberblick Abbildung 4: Differenzierung der Logistikbranche nach Gewichtsbereichen, Marktbereichen und Teilmärkten Quelle: in Anlehnung an [Kille/Schwemmer 2014, S. 95] Dieser Ansatz einer vereinfachten Darstellung, die zwischen Verkehrsträgern, Ladungsbeschaffenheit und Märkten mischt, zeigt jedoch die Problematik einer Differenzierung auf, da die Komplexität von Logistiknetzwerken nicht vollständig berücksichtigt werden kann. So werden Schwerguttransporte auf internationaler Ebene fast immer multimodal abgewickelt. Massengut wird anstelle von landgebundenen Ladungsverkehren auch per Seefracht transportiert (insbesondere Kohle, Erz, Öl, Gase, Dünger, Steine, Holz etc.). Zudem sind in der Seefracht auch Teilladungen üblich. Im Gegensatz zur Verschiffung von Komplettcontainern („Full Container Load“, FCL), bei der der Container vollständig von einem Versender beladen wird, werden Kleinsendungen unterschiedlicher Versender vor der Verschiffung an Container Fright Stations (Packschuppen) in Sammelcontainer verpackt und an unterschiedlichen Zielorten für unterschiedliche Empfänger entladen (Less than Container Load, LCL). Auch stellt die Seefracht über die Containerfracht hinaus Transporte für Spezialgut wie Autos oder Papier sowie für Schwergut (“Heavy Lift“), beispielsweise Lokomotiven, Panzer oder Industrieanlagen, bereit. Gefahrguttransporte Für den Transport, den Umschlag und die Lagerung von Gefahrgut gelten spezielle sicherheitsrelevante Anforderungen und eine Vielzahl von Regelungen und Vorschriften (siehe auch Abschnitt 2.4 „Rolle der öffentlichen Hand“). Neben der originären Organisationsaufgabe für den Transport übernimmt der Logistiker bei Gefahrguttransporten zusätzliche Dokumentations- und Kommunikationsaufgaben, beispielsweise Meldepflichten an Behörden, Transportbeteiligte und ggf. zusätzliche Sicherungsdienstleister (Seegüterkontrolleur/Tallyman etc.). Das oberste Ziel der Gefahrgutlogistik ist die Konzeption und Ausgestaltung von kostenminimierenden Aktivitäten, die Logistikgüter, den Transporteur und Dritte vor Schäden bewahren. Nach dem „Gesetz über die Beförderung gefährlicher Güter“ werden als Gefahrgut Stoffe und Gegenstände bezeichnet, von denen aufgrund ihrer Eigenschaften oder ihres Zustandes im Zusammenhang mit einer Beförderung Gefahren für Mensch und Umwelt ausgehen können. Je nach Gefährlichkeitsmerkmal werden diese in neun 18 Bundesamt für Sicherheit in der Informationstechnik Branchenüberblick Gefahrgutklassen unterteilt. Die Unterteilung reicht von explosiven und entzündbaren Stoffen bis hin zu ätzenden Stoffen. Unternehmen, die im Bereich der Gefahrgutlogistik agieren, unterliegen einem Spannungsfeld, da nicht nur Kundenanforderungen und wirtschaftliche Unternehmensziele erreicht werden sollen, sondern in besonderer Hinsicht die Sorgfaltspflicht und die gesetzlichen Regelungen eingehalten werden müssen, um das Schutzziel zu erreichen. Für folgende Bereiche existieren rechtliche Grundlagen für die Beförderung von Gefahrgut: allgemeine Vorschriften, stoffspezifische Vorschriften (Gefahrgutklassen), Kennzeichnung und Markierung, Beförderungsvorschriften (Verpackung, Verladung, Umgang bei der Beförderung), Zusammenlade- und Zusammenpackverbote, Begleitpapiere, Vorschriften für Fahrzeug und Container, Verkehrsvorschriften und Umschlag [Arnold et al. 2008, S. 548.554]. Logistik als Querschnittsfunktion Die Logistikbranche nimmt in Deutschland eine Querschnittsfunktion ein, da sie Basisdienstleistungen für wirtschaftliche Leistungen anderer Sektoren und Branchen bietet (siehe auch Abschnitt 1.2 „Bedeutung für Staat und Gesellschaft“, Abschnitt 1.4 „Volkswirtschaftlicher Kontext“ und Kapitel 4 „Logistik in anderen KRITIS-Sektoren“). Insbesondere weist sie Schnittstellen zu allen Sektoren auf, in denen ein Transport und eine Lagerung von Gütern stattfinden. Zudem unterstützt sie branchenübergreifend zahlreiche Funktionen von Industrie- und Handelsunternehmen innerhalb deren Beschaffung, Produktion und Distribution. Im Gesundheitssektor bestehen Schnittstellen bei Produktionsprozessen von Medikamenten und medizinischer Ausrüstung sowie bei der Versorgung von Apotheken, Gesundheitszentren und Krankenhäusern. Logistikdienstleistungen in einer spezialisierten Form treten zudem beim Transport von Organen und Blutkonserven auf. Der Energiesektor nutzt logistische Dienstleistungen für die Produktion und Bereitstellung von Energiegewinnungsanlagen wie Kraftwerken, Solar- und Windanlagen. Auch bei der Distribution von Kraftstoffen werden logistische Dienstleistungen benötigt, zum Beispiel in Form von Tanktransporten für Flüssigkraftstoffe wie Öl oder Benzin oder in Form von Silotransporten für den Transport fester Kraftstoffe wie Kohle, Biomasse oder Brennstoffen wie Holz. Der Transport von Gas erfolgt durch die Nutzung von Rohrfernleitungen und Pipelines. Bidirektionale Abhängigkeiten bestehen insbesondere zum Finanzsektor sowie zum Sektor „Informationstechnik und Telekommunikation“ (IKT). Diese Sektoren bieten Dienstleistungen an, welche die Logistik branche unterstützen. Die Logistikbranche wiederum unterstützt die Sektoren insbesondere durch spezialisierte Transportdienstleistungen wie Geldtransporte und Transporte von IKT-Komponenten sowie bei der Produktion und Instandsetzung von Kommunikationsanlagen (Sendemasten, Funktürme, Telefonleitungen etc.). 1.2 Bedeutung für Staat und Gesellschaft Die Logistikbranche hat eine große Bedeutung für Staat und Gesellschaft, da sie als Schnittstellendisziplin grundlegende Dienstleistungen erbringt, die von weiten Teilen der Bevölkerung, der Wirtschaft und der öffentlichen Hand genutzt werden. In der Wirtschaft sind zahlreiche Dienstleistungen anderer Sektoren zunehmend von komplexen logistischen Prozessen abhängig [BVL 2015c]. „Moderne Mobilitätsinfrastruktur und ein leistungsfähiges Logistiksystem sind das Rückgrat einer mobilen Gesellschaft und einer wachstumsorientierten Volks wirtschaft. Mit seinem hohen Grad an Industrialisierung, globaler Verflechtung und seiner zentralen Lage mitten in Europa ist Deutschland wie kaum ein Land der Welt auf reibungslos funktionierende Lieferketten angewiesen.“ [BMVI 2015, S. 2] Da Deutschland eine stark exportorientierte Wirtschaft aufweist, sind eine effiziente Logistik bzw. effiziente Logistikdienstleister insbesondere im internationalen Wettbewerb ein entscheidender Erfolgsfaktor für deutsche Unternehmen. Eine schwerwiegende Störung oder ein Ausfall der logistischen Dienstleistungen würde die Bedienung ausländischer Absatzmärkte in einer Großzahl von Wirtschaftszweigen stark beeinflussen, darunter Handel inklusive Import, Pharmaindustrie, Automobilindustrie, Maschinenbau und Energieversorgung. Auch der Import wäre durch einen Ausfall der logistischen Bundesamt für Sicherheit in der Informationstechnik 19 Branchenüberblick Dienstleistungen beeinträchtigt. So werden im Rahmen einer globalen Arbeitsteilung viele Vorprodukte aus dem Ausland eingeführt und in Deutschland weiter verarbeitet, z. B. im Bereich der Elektronik (integrierte Schaltungen, Festplatten, Displays etc.) oder der Chemie (Grundstoffe und Fertigungserzeugnisse). Die Kritikalität der Logistikbranche für Staat und Gesellschaft lässt sich jedoch nicht nur an ihrer un mittelbaren Bedeutung für die Wirtschaft bemessen. Auch bei der Versorgung der Bevölkerung mit kritischen Waren und Dienstleistungen nimmt die Logistikbranche eine zentrale Rolle eine. Eine schwerwiegende Störung oder ein Ausfall der Logistikdienstleistungen hätte kritische Folgen für andere, abhängige Sektoren und dadurch auch für die Versorgung der Bevölkerung mit essentiellen Gütern wie Lebensmitteln, Energie, Medikamenten und Textilien. Ein länger andauernder Ausfall könnte zudem Produktion und Handel schwächen, was ggf. eine Erhöhung der Arbeitslosigkeit verursachen könnte. Vor dem Hintergrund der Daseinsfürsorge ist eine funktionierende Logistik daher auch für den deutschen Staat von besonderem Interesse. Weiterhin können Unfallsituationen in Transport-, Lager- und Umschlagprozessen eine Gefährdung der öffentlichen Sicherheit darstellen. Daher begrenzen verschiedene Verordnungen den Rahmen logistischer Dienstleistungen (siehe Abschnitt 2.4 „Rolle der öffentlichen Hand“). Hierzu zählt beispielsweise die Verordnung (EG) Nr. 561/2006, welche die Lenk- und Ruhezeiten für Lkw-Fahrer begrenzt und dadurch das Risiko von Verkehrsunfällen im Straßenverkehr senken soll. Weitere Vorschriften existieren für die Beladung von Lkw, beispielsweise in Bezug auf Maximallasten, eine Begrenzung der Fahrzeuglänge sowie die Sicherung der Ladung. Auch im Bereich des Schienen-, Luft- und Binnenwasserstraßentransports gelten Sicherheitsbestimmungen. Besonders für den Transport von Gefahrgütern jeglicher Art existieren Sicherheitsanweisungen und eine Ausweisung der Gefahrgutklasse der Güter (siehe Abschnitt 1.1 „Einführung in die Logistik“) [BMVI 2014a]. Für Lager- und Umschlaggebäude gelten Brandschutzmaßnahmen. Die Bedeutung der Logistik für Deutschland wird durch den 2010 veröffentlichen „Aktionsplan Güter verkehr und Logistik“ verdeutlicht, der den Güterverkehr und die Logistik in Deutschland auf zukünftige Herausforderungen wie eine wachsende Wirtschaft und ein stärkeres Verkehrswachstum ausrichtet [BMVI 2010]. Dies unterstreicht die von Staat und Gesellschaft an die Logistikbranche gestellten Erwartungen, den aktuellen Standard zu halten und eine kontinuierliche Verbesserung der Logistikdienstleistungen hinsichtlich der Faktoren Schnelligkeit, Kosten und Qualität (z. B. umweltfreundlichere Transporte und CO2-Bilanzen) anzustreben. 1.3 Wahrnehmung der Branche Trotz der wichtigen Rolle, die logistische Leistungen aufgrund ihrer Querschnittsfunktion im Alltag einnehmen, wird Logistik meist auf die sichtbaren Tätigkeiten des Transports, Umschlags und der Lagerung reduziert. Weiterführende Prozesse und organisatorische Aktivitäten, die tendenziell eher im Hintergrund bzw. ausschließlich innerhalb einer Organisation ablaufen, werden kaum wahrgenommen. „Jeder Mensch kommt täglich mit Logistik in Berührung: z. B. auf direktem Wege, wenn der Paketdienst klingelt und die Ware abgibt, die man am Tag zuvor bestellt hat, oder indirekt, wenn man auf der Straße einen Lkw mit dem Zusatz 'Logistics', 'Supply Chain Management' oder 'Kontrakt-Logistik' sieht. Doch Logistik ist weit mehr als Paketdienst und Spedition. Auch in einem Produkt stecken schon viele logistische Leistungen, wenn es den Verbraucher erreicht.“ [DHL 2008] Die wahrscheinliche größte Wahrnehmung der Logistikbranche ersteht bei der Nutzung von Kurier-, Express- oder Paketdiensten. Die Anzahl der Sendungen steigt dabei über die letzten Jahre kontinuierlich. Insbesondere der Onlinehandel ist Grund für den starken Anstieg. Von Geschäftsadressen an Privatkunden wurden 2012 „erstmals in Deutschland rund eine Milliarde Pakete“ verschickt [Die Welt 2013b]. 2013 wurden insgesamt 2,66 Milliarden Sendungen per KEP verschickt, 4 Prozent mehr als im Vorjahr (siehe Abbildung 5). Mit über 2 Milliarden Sendungen entfällt der größte Anteil der Sendungen auf Paketdienste; nur 17,8 Prozent wurden per Kurier- und Expressdienst versandt [statista 2015f]. 20 Bundesamt für Sicherheit in der Informationstechnik Branchenüberblick 3 2,47 2,5 2,12 2,23 2,23 2007 2008 2,56 2,66 2,33 2,18 21,95 1,5 2005 2006 2009 2010 2011 2012 2013 Anzahl Sendungen in Mrd. Abbildung 5: Anzahl der Sendungen von KEP-Diensten in Deutschland von 2005 bis 2013 Quelle: [statista 2015d] Dass diese und weitere logistische Leistungen nicht im Verhältnis zur Wahrnehmung der Logistikbranche in Deutschland stehen, haben auch Logistikdienstleister erkannt. Verschiedene Initiativen und Verbände setzen es sich daher zum Ziel, die öffentliche Wahrnehmung und Anerkennung der Logistikbranche in Deutsch land zu fördern. So erklärt beispielsweise die Logistik-Initiative Hamburg: „Das Ansehen der Logistik aber steht in keiner Relation zu der Bedeutung der Logistik - zudem drittgrößter Wirtschaftszweig in Deutschland. Die Funktion des Enablers für die gesamte Volkswirtschaft wird nicht angemessen wertgeschätzt und der Beitrag der Logistik zum Wohlstand der Metropolregion Hamburg wird kaum erkannt. […] So fehlt die öffentliche Wahrnehmung, was Logistik ist und kann.“ [Logistik-Initiative HH 2015] Das Wahrnehmungs- und Imageproblem der Logistikbranche kommt auch bei der Suche nach qualifiziertem Personal zum Tragen und begünstigt eine Verschärfung des Fachkräftemangels. Die von PwC durchgeführte Studie „Transportation & Logistics 2030“ zeigt, dass Arbeitsplätze in der Logistikbranche häufig mit schlechten Arbeitsbedingungen und unattraktiven Vergütungsmodellen assoziiert werden. „Und selbst gut bezahlte Logistik-Jobs mit einem hohen Potenzial zur Weiterentwicklung erscheinen nicht auf dem 'Radar' von Talenten.“ [PwC 2012] 1.4 Volkswirtschaftlicher Kontext Aufgrund der bereits aufgezeigten Querschnittsfunktion hat der deutsche Logistikmarkt eine große gesamt wirtschaftliche Bedeutung. Dies betrifft nicht nur den eigentlichen Logistikmarkt, sondern auch die Logistik-Zulieferwirtschaft mit ca. 0,6 Mio. Arbeitsplätzen und 90 Mrd. Euro Umsatz sowie Logistik-induzierte Beschäftigungen in fernen Wirtschaftsbereichen mit ca. 1,8 Mio. Arbeitsplätzen (siehe Abbildung 6). Bundesamt für Sicherheit in der Informationstechnik 21 Branchenüberblick Abbildung 6: Gesamtwirtschaftliche Bedeutung der Logistikbranche in Deutschland (2013) Quelle: in Anlehnung an [Kille/Schwemmer 2014, S. 32] In Deutschland erbringt der Wirtschaftsbereich Logistik den drittgrößten Umsatz nach der Automobilindustrie und dem Handel und rangiert damit vor der Elektronikbranche und dem Maschinenbau [BVL 2015d]. 2014 betrug der Umsatz branchenübergreifend rund 235 Milliarden Euro und hat sich damit gegenüber 2011 um 12 Milliarden gesteigert (siehe Abbildung 7). Trotz Finanz- und Wirtschaftskrise zählt die Logistikbranche damit immer noch zu einem der am stärksten wachsenden Wirtschaftszweige in Deutschland. Auf dedizierte Logistikdienstleister entfällt nur knapp die Hälfte des Gesamtumsatzes; der größere Teil der logistischen Prozesse wird unternehmensintern erwirtschaftet [Die Welt 2013a]. 2013 belief sich die Outsourcingrate logistischer Dienstleistungen in Deutschland auf 48 Prozent. Die höchste Outsourcingquote liegt dabei im Transportgeschäft; 71 Prozent des Umsatzes mit Transportleistungen wurden durch Logistikdienstleister erwirtschaftet. In Lagerwirtschaft und Umschlag wurden knapp 55 Prozent durch externe Leistungen erbracht, bei der Auftragsabwicklung und Planung waren es 62,5 Prozent. Die Bestandsverwaltung wird fast vollständig mit internen Ressourcen betrieben; in diesem Bereich liegt die Outsourcingrate bei lediglich 0,8 Prozent [Kille/Schwemmer 2014, S. 67]. 22 Bundesamt für Sicherheit in der Informationstechnik Branchenüberblick 300 250 200 189 174 218 206 210 200 223 228 230 235 2011 2012 2013 2014 150 100 50 0 2005 2006 2007 2008 2009 2010 Umsatz in Mrd. Euro Abbildung 7: Umsatz der Logistikbranche in Deutschland von 2005 bis 2014 Quelle: [statista 2015a]. Angabe für 2014 gemäß [BVL 2015d]. Bei der Betrachtung der Umsatzverteilung auf einzelne Marktbereiche 2 wird deutlich, dass Kontraktlogistik und (landgebundene) Ladungsverkehre die größten Anteile am Gesamtumsatz erwirtschaften (siehe Abbildung 8). Anteilig betrachtet erbringt die Kontraktlogistik 50 Prozent des Gesamtumsatzes; der Umsatz mit Ladungsverkehren liegt bei 18,5 Prozent. 14,7 M assengut 42,6 Ladungsverkehre 17,9 Stückgut/Teilladungen 115 Kontraktlogistik / Value Added Services 16,6 KEP 14 Seefracht 9,4 Luftfracht 0 20 40 60 80 100 120 140 Umsatz in Mrd. Euro Abbildung 8: Umsatz nach einzelnen Marktbereichen der deutschen Logistikbranche (2013) Quelle: Angaben berechnet aus [Kille/Schwemmer 2014, S. 58] Die Verteilung des Gesamtumsatzes auf einzelne funktionale Logistikbereiche zeigt, dass nur knapp die Hälfte der logistischen Leistungen, die in Deutschland erbracht werden, für jedermann sichtbar und wahrnehmbar sind; nämlich in der Bewegung von Gütern. Die andere Hälfte entfällt auf interne Vorgänge wie Bestandsverwaltung, Lagerwirtschaft und Umschlag sowie Auftragsabwicklung und Logistikplanung [BVL 2015d]. Abbildung 9 zeigt die prozentuale Aufteilung des Marktvolumens auf einzelne Logistikbereiche im Jahr 2013. 2 Zur Differenzierung der Logistikbranche in Marktbereiche und -segmente vgl. Abbildung 4. Bundesamt für Sicherheit in der Informationstechnik 23 Branchenüberblick 3% 4% Transport 24% 44% Bestände Lager & Umschlag Auftragsabwicklung Logistikplanung 25% Abbildung 9: Umsatzverteilung nach Logistikfunktionen in Prozent (2013) Quelle: in Anlehnung an [Kille/Schwemmer 2014, S. 58] In der Logistikbranche sind schätzungsweise 2,9 Millionen Personen beschäftigt. Diese verteilen sich auf ca. 60.000 Unternehmen, die überwiegend mittelständisch geprägt sind [BVL 2015d]. 2013 waren 53 Prozent der Beschäftigten in Lagerung und Umschlag tätig. Auf Transport und Verkehr entfielen 26 Prozent, 13 Prozent auf indirekte Logistiktätigkeiten3 und acht Prozent auf administrative Funktionen [Kille/Schwemmer 2014, S. 61]. Einordnung in die Wirtschaftszweige des Statistischen Bundesamts Die zuvor genannten Kennzahlen weichen nach der Strukturerhebung im Dienstleistungsbereich, die das Statistische Bundesamt jährlich herausgibt, geringfügig ab. So gibt die Erhebung beispielsweise einen Gesamtumsatz für Verkehr und Lagerei (Abschnitt H) von 280,3 Mrd. Euro im Jahr 2013 an. Dieser beinhaltet jedoch zusätzlich zu den Logistikanteilen ebenfalls Umsätze der TuV-Branchen Schienenverkehr, Straßenverkehr, Schifffahrt und Luftfahrt, was zusätzlich zum Güterverkehr auch Umsätze im Personenverkehr einschließt. Tabelle 2 gibt die Beschäftigten- und Umsatzzahlen für jene Wirtschaftszweige an, die der konkreten Logistikbranche in Deutschland zugerechnet werden können. Dabei liegt der Anteil der ausgewählten Wirtschaftszweige in Bezug auf Unternehmensanzahl, Beschäftigtenanzahl und Umsatzerbringung bei jeweils knapp 70 Prozent in Relation zu den Gesamtzahlen für den Wirtschaftsabschnitt H (nach destatis). 3 Fraunhofer vertritt bei der Erhebung der indirekten Logistik-Erwerbstätigkeiten den Ansatz, dass jede direkte Logistiktätigkeit (z. B. Lagertätigkeit) einen gewissen Anteil an indirekten Tätigkeiten (z. B. Büroarbeit) bedingt. „Die Höhe des Anteils bestimmt sich aus der Beschäftigungsstatistik und wird bei der Hochrechnung auf die Anzahl der direkten Logistik-Erwerbstätigen aufgeschlagen.“ [Kille/Schwemmer 2014, S. 59] 24 Bundesamt für Sicherheit in der Informationstechnik Branchenüberblick Bereich Abschnitt H: Verkehr und Lagerei Unternehmen 2012 (Anteil in Prozent4) Beschäftigte 2012 (Anteil in Prozent4) Umsatz 2012 in Tsd. Euro (Anteil in Prozent4) 90.871 2.062.370 280.275.687 135 (0,15) 28.163 (1,40) 6.862.705 (2,49) 34.325 (29,09) 393.053 (19,53) 39.130.886 (14,20) WZ 49:42: Umzugstransporte 1.527 (1,74) 16.869 (0,84) 903.216 (0,33) WZ 50.2: Güterbeförderung in der Seeund Küstenschifffahrt 2.110 (2,40) 18.709 (0,93) 27.394.526 (9,94) WZ 50.4: Güterbeförderung in der Binnenschifffahrt 662 (0,75) 4.162 (0,21) 1.846.634 (0,67) WZ 51.21: Güterbeförderung in der Luftfahrt 55 (0,06) 5.964 (0,30) 4.606.355 (1,67) 1.230 (1,40) 62.906 (3,13) 9.478.678 (3,44) 210 (0,24) 19.308 (0,96) 3.776.088 (1,37) WZ 52.29.1: Spedition 10.403 (11,85) 336.240 (16,71) 68.455.420 (24,84) WZ 53: Post-, Kurier- und Expressdienste 10.403 (11,85) 502.904 (24,99) 29.007.106 (10,53) Summe der WZ (ohne Gesamtzahlen für Abschnitt H) 61.060 (69,53) 1.388.278 (68,99) 191.461.614 (69,48) WZ 49.2: Güterbeförderung im Eisenbahnverkehr WZ 49.41: Güterbeförderung im Straßenverkehr WZ 52.1: Lagerei WZ 52.24: Frachtumschlag Tabelle 2: Kennzahlen der Wirtschaftszweige der Logistikbranche nach destatis (2013) Quelle: [destatis 2015] In der Auswahl der Wirtschaftszweige, die konkret der Logistik zuzurechnen sind, ist der Wirtschaftszweig 52.2 „Erbringung sonstiger Dienstleistungen für den Verkehr“ bis auf WZ 52.24 „Frachtumschlag“ und WZ 52.29.1 „Spedition“ nicht beinhaltet, sondern wird dem übergeordneten Sektor TuV zugerechnet. Der Wirtschaftszweig 49.5 „Transport in Rohrfernleitungen“, der den Transport von Rohöl, Mineralöl, Gasen, Schlämmen und anderen Gütern in Rohrfernleitungen sowie den Betrieb von Pumpstationen beschreibt, wird in diesem Rahmen dem KRITIS-Sektor Energie zugerechnet; entsprechende kritische Dienstleistungen wurden dort beschrieben. Transportierte Gütermenge als Indikator Obwohl Logistik mehr als nur den reinen Transport von Waren und Gütern beschreibt, kann die transportierte Gütermenge als Indikator für die volkswirtschaftliche Bedeutung der Logistik herangezogen werden. Als Teilmenge der Gesamtdisziplin Logistik hat der Transport als logistische Dienstleistung die höchste Sichtbarkeit für die Bevölkerung. Von der transportierten Gütermenge als Teilbereich der logistisch erbrachten Leistungen können daher Rückschlüsse auf den Umfang und die Bedeutung der gesamten Logistikleistungen gezogen werden. Das transportierte Güteraufkommen in Deutschland steigt seit der Finanzkrise wieder konstant und hat 2014 einen Wert von rund 4.486 Millionen Tonnen erreicht (siehe Abbildung 10). Dabei erbringt der Sektor 4 Anteil in Relation zu den Gesamtzahlen für Abschnitt H „Verkehr und Lagerei“ gemäß Definition des Statistischen Bundesamts [destatis 2015]. Bundesamt für Sicherheit in der Informationstechnik 25 Branchenüberblick TuV die notwendigen Infrastrukturen für den Gütertransport; Organisation und Steuerung des Transports werden als logistische Leistungen erbracht. 5000 4500 4000 3944,2 4088 4149,7 3714,7 4091 3721,5 3804,1 2009 2010 4283,3 4359,1 2012 2013 4485,6 3500 3000 2500 2005 2006 2007 2008 2011 2014 Güteraufkommen in Mio. Tonnen Abbildung 10: Gesamtes Güteraufkommen in Deutschland im Zeitraum von 2005 bis 2014 Quelle: [statista 2015b]. Bei den Angaben für das Jahr 2014 handelt es sich um vorläufige Ergebnisse. Der Güterverkehr verteilt sich in unterschiedlichem Maße auf die verschiedenen Verkehrsträger (siehe Abbildung 11).5 Obwohl die Nutzung von Luftfracht in den vergangenen Jahren gestiegen ist [BGL 2014], macht der Transport per Flugzeug mit 0,11 Prozent immer noch den deutlich geringsten Anteil der Verkehrsträger im Logistikbereich aus. Hauptgründe hierfür sind die hohe Kostenintensivität und die geringere Flexibilität im Vergleich zum Bodentransport und der Seefracht. Der Großteil der Güter wird nach wie vor auf der Straße transportiert. Im Jahr 2014 betrug der Anteil am Güteraufkommen 83,62 Prozent, was einer Gütermenge von knapp 3.500 Tonnen entspricht. 2,09% 5,46% 8,72% 0,11% Straßengüterverkehr Luftfracht Eisenbahnen Binnenschifffahrt Pipeline/Rohrfernleitungen 83,62% Abbildung 11: Verteilung des Güteraufkommens auf Verkehrsträger in Prozent (2014) Quelle: [statista 2015c] 5 Für die Luft- und Seefrachtanteile wurden nur Outbound-Transporte erfasst. 26 Bundesamt für Sicherheit in der Informationstechnik Branchenüberblick 1.5 Einordnung der Branche Logistik in KRITIS 1.5.1 Abgrenzung zum Sektor Transport und Verkehr Im Kontext von KRITIS haben sich die Bundesressorts für die Bundesebene auf eine einheitliche Sektorenund Brancheneinteilung der Kritischen Infrastrukturen verständigt. Danach unterteilt sich der als kritisch definierte Sektor „Transport und Verkehr“ in die sechs Branchen Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr und Logistik [BMVI 2015, S. 4]. Als Teil des TuV-Sektors weist die Logistikbranche enge Abhängigkeiten von den weiteren TuV-Branchen auf. Typische Dienstleistungen dieser bereits beschriebenen Branchen6 sind die Bereitstellung von Verkehrsinfrastruktur, der Betrieb der Transportmittel (Züge, Flugzeuge etc.) sowie unterstützende Service- und Steuerungsdiensten wie Wetterdienste oder Verkehrsdienste. Durch die Infrastrukturen in den genannten Branchen stellt der TuV-Sektor eine essentielle Grundlage für die Logistikbranche dar. Qualität, Kapazität und Auslastung der TuV-Strukturen beeinflussen die Qualität und das Angebotsportfolio der Logistikdienstleister. In besonderen Fällen können auch Logistikdienstleister eine Betreiberfunktion für Transport- und Verkehrsinfrastrukturen besitzen (z. B. die Deutsche Bahn für den Betrieb der Eisenbahninfrastruktur). Für eine Abgrenzung zwischen Logistikbranche und dem übergeordneten Sektor Transport und Verkehr ist ein institutionaler Ansatz hilfreich, bei dem zwischen Makrologistik und Mikrologistik differenziert wird (siehe Abbildung 12). Abbildung 12: Unterteilung in Makro- und Mikrologistik Quelle: eigene Darstellung 6 Vgl. hierzu [BSI 2014d]. Bundesamt für Sicherheit in der Informationstechnik 27 Branchenüberblick In der Makrologistik werden logistische Aufgabenstellungen im Sinne einer gesamtwirtschaftlichen Betrachtung wahrgenommen. Sie hat das Ziel, rationelle Informations-, Verkehrs-, Güter- und Personenströme zu ermöglichen, was durch die Entwicklung geeigneter Infrastrukturen angestrebt wird [Gudehus 2010, S. 6]. Hierfür stellen das Verkehrswesen bzw. die Verkehrswirtschaft ein wichtiges Feld dar, in dem die Verkehrslogistik Strukturen und Zusammenhänge untersucht, plant und gestaltet. Weitere Themengebiete der Makrologistik sind die Abfallbeseitigung sowie die Energieversorgung, die im Rahmen der KRITIS-Sektorstudie Energie behandelt wurde. Unter Mikrologistik werden Logistiksysteme gefasst, die nur einzelnen öffentlichen oder privatwirtschaftlichen Betrieben dienen. Diese mikrologistischen Systeme sind einzelwirtschaftliche Systeme, in denen z. B. Materialflüsse oder Kommunikationsprozesse gestaltet werden; sie sind sowohl inner- als auch zwischenbetrieblicher Art. Durch die Fokussierung auf Einzelwirtschaften ergeben sich weitere Unterdisziplinen wie beispielsweise die Militärlogistik oder die Krankenhauslogistik sowie der weite Bereich der Unternehmenslogistik. Letztere lässt sich wiederum nach Branchen wie Industrielogistik, Handelslogistik, Dienstleistungslogistik etc. differenzieren [Heiserich et al. 2011, S. 6–7]. 1.5.2 Definition der KRITIS-Branche Logistik Zur Definition der KRITIS-Branche Logistik sowie zur inhaltlichen und methodischen Abgrenzung der beiden KRITIS-Studien „Transport und Verkehr“ und „Logistik“ dient zunächst die Einschränkung der logistischen Leistungen auf den Güterverkehr. Logistik wird ausschließlich verstanden als Transport und Umschlag physischer Güter und Waren sowie als Organisation und Steuerung dazugehöriger Leistungen wie Abfallentsorgung, Informationsmanagement etc. Der Personenverkehr ist im Gegensatz zu den anderen TuV-Branchen kein Teil der Logistikbranche. Daher werden keine Abläufe oder Dienstleistungen betrachtet, die eine Art des Personenverkehrs darstellen. Ebenfalls ist Makrologistik, also u. a. der Betrieb der nötigen Verkehrsinfrastruktur, nicht Teil der KRITIS-Branche Logistik. In einigen Fällen fungieren Logistikdienstleister zwar als Betreiber von Verkehrsinfrastrukturen; der Großteil der Verkehrsinfrastruktur dient jedoch nicht primär der Logistik, sondern dem Verkehr im Allgemeinem. Betrieb und Organisation von Straßen, Schienen und Brücken, Lufträumen sowie Seegebieten sind zwar Grundlage für eine effektive Logistik, jedoch in dieser Studie nicht Bestandteil der eigentlichen Branche, sondern Teil des übergeordneten KRITIS-Sektors TuV. Die Mikrologistik, die sich wie in Abbildung 13 dargestellt in Unternehmenslogistik und dedizierte Logistikdienstleister unterteilt, stellt die eigentliche KRITIS-Branche Logistik dar. Hierbei wird der Fokus auf Unternehmen gelegt, die im Kerngeschäft als Logistikdienstleister fungieren. Logistikanteile in Unternehmen anderer Sektoren und Branchen werden nicht betrachtet, da sie sich jeweils nur auf einzelne Unternehmen erstrecken. Zwar gelten diese Unternehmen ggf. als kritisch im Sinne der KRITIS-Definition, dies ergibt sich jedoch aus ihrem wirtschaftlichen Kontext und nicht notwendigerweise aufgrund ihrer internen Logistikanteile. Bei der Beschreibung unternehmensinterner Logistikdienstleistungen kann zudem auf die generellen Abläufe und Prozesse von Logistikdienstleistern verwiesen werden, die unternehmensintern in kleinerem Rahmen widergespiegelt werden. Neben der Mikrologistik wird auch die Metalogistik in der KRITIS-Branche Logistik betrachtet. Sie beinhaltet Allianzen und Kooperationen zwischen Logistikdienstleistern sowie mit Unternehmen anderer Sektoren, um Bündelungs- und Skaleneffekte zu erreichen oder die Tiefe der angebotenen Dienstleistungen zu erhöhen (vgl. auch Abschnitt 2.3 „Beziehungen innerhalb der Branche“). 28 Bundesamt für Sicherheit in der Informationstechnik Branchenüberblick Abbildung 13: KRITIS-relevante Bereiche der Logistik Quelle: eigene Darstellung Bei der Beschreibung der KRITIS-Branche Logistik werden im Folgenden der Betrieb der nötigen Transport flotten mit Güterzügen, Transportschiffen und -flugzeugen sowie der eigentliche Transport unter Durchführung von Flügen, Schifffahrten und Zugfahrten ausgenommen. 7 Grundsätzlich bestehen in diesem Punkt keine Unterschiede zum allgemeinen Betrieb von Transportflotten und zur Transportdurchführung im Sektor TuV. Die dazugehörigen Prozessschritte und IKT-Risikoelemente wurden bereits in der KRITIS-Sektorstudie TuV vollständig behandelt und benötigen daher keine erneute Betrachtung. 8 Der Betrieb von Lkw-Flotten sowie die Transportdurchführung im Straßenverkehr werden in Kapitel 3 „Kritische Dienstleistungen“ dieser Studie aufgeführt, da sie in der TuV-Studie nicht oder nur eingeschränkt betrachtet wurden. 7 Dies betrifft die Wirtschaftszweige WZ 49.2 „Güterbeförderung im Eisenbahnverkehr“, WZ 50.2 „Güterbeförderung in der See- und Küstenschifffahrt“, WZ 50.4 „Güterbeförderung in der Binnenschifffahrt“ und WZ 51.21 „Güterbeförderung in der Luftfahrt“. 8 Vgl. hierzu [BSI 2014d, S. 81-88, 137-144]. Bundesamt für Sicherheit in der Informationstechnik 29 Branchenstruktur 2 Branchenstruktur 2.1 Strukturierung und Organisation der Branche Im Folgenden wird die Strukturierung und Organisation der Logistikbranche in Deutschland dargestellt. Dabei werden verschiedene Dienstleistertypen anhand ihrer Leistungstiefe differenziert sowie Merkmale dieser dargestellt. Weiterhin wird die geographische Verteilung der Logistikbranche aufgezeigt. Differenzierung von Logistikdienstleistern Logistikdienstleister können generell anhand ihrer Dienstleistungstiefe unterschieden werden. Diese beschreibt, in welchem Umfang die logistischen Dienstleistungen die Wertschöpfungskette eines Unternehmens unterstützen bzw. in diese integriert sind. Eine Unterstützung bzw. Integration kann auf operativer, koordinierender oder strategischer Ebene erfolgen. Abbildung 14 zeigt die möglichen Entwicklungsstufen von Logistikdienstleistern. Dabei gilt, dass mit zunehmender Dienstleistungstiefe die Anzahl operativer Assets wie Transportmittel oder Umschlag- und Lagerflächen abnimmt, die IT-Intensität der angebotenen Dienstleistungen hingegen zunimmt. Die verschiedenen Entwicklungsstufen bzw. Dienstleistertypen werden im Folgenden genauer beschrieben. Abbildung 14: Entwicklungsstufen von Logistikdienstleistern Quelle: eigene Darstellung „Bis etwa Ende der 70er Jahre wurden logistische Leistungen zum großen Teil durch die produzierenden Unternehmen selbst durchgeführt“ [Siebrandt 2010, S. 23]. Dies betrifft die operative Ausführung der grundlegenden Logistikfunktionen Transport, Umschlag und Lagerung (TUL). Hersteller, die „für die selbst hergestellten Güter im Selbsteintritt“ [Siebrandt 2010, S. 23] die Logistikdurchführung übernehmen, werden als First Party Logistics Provider (1PL) bezeichnet. Der Transport ist hierbei meist auf einen oder wenige Verkehrsträger beschränkt. Die TUL-Tätigkeiten werden mit eigenen Assets wie Transportmitteln, Lagerund Umschlagflächen bedient. Dienstleistungen können dabei auf regionaler, nationaler oder internationaler Ebene erbracht werden. Heutzutage sind 1PL typischerweise Carrier oder reine Transporteure, die als Einzeldienstleister auftreten. Sie werden häufig als Subkontraktoren von Verbund- und Systemdienstleistern (s. u.) beschäftigt. Die Auftragsbindung ist eher kurzfristig und Aufträge werden meist singulär erteilt. Ein Sondertyp der Einzeldienstleister sind Spezialdienstleister. Diese verfügen über technische und organisatorische Kenntnisse in Bezug auf bestimmte Waren, Frachtarten oder Branchen (z. B. im Transport 30 Bundesamt für Sicherheit in der Informationstechnik Branchenstruktur von Gefahrengut oder der Chemikalieneinlagerung). Aufgrund des hohen Spezialisierungsgrades ist der Kundenkreis begrenzter als der anderer Dienstleistertypen. Allerdings sind die Kundenbeziehungen in der Regel auch stabiler und langfristiger. Aufgrund der Kundenbindung und des Spezialisierungsgrads ist das Leistungsangebot von Spezialdienstleistern stärker auf regionaler und nationaler Ebene ausgerichtet. Mit Beginn der 80er Jahre erfolgte die Erbringung logistischer Leistungen verstärkt durch dedizierte Logistikdienstleister, sogenannte Second Party Logistics Provider (2PL) [Siebrandt 2010, S. 23]. Diese übernehmen als konkrete Logistikdienstleister die Organisation und Koordination der TUL-Prozesse; sie werden auch als Spediteure bezeichnet. Hauptaufgabe ist die Organisation einer Transportkette, insbesondere die Vermittlung der Leistungen zwischen Verlader und Transporteur. Die Hauptaufgabe besteht nach § 453 HGB Abs. 1 darin, „die Versendung des Guts zu besorgen“. Verfügt der Spediteur über eigene Transportmittel, ist er gemäß § 458 HGB „befugt, die Beförderung des Gutes durch Selbsteintritt auszuführen.“ Meist nutzt er jedoch lediglich eigene Lager und Umschlagflächen und beauftragt den eigentlichen Transport weiter. Die vertragliche Bindung zwischen Auftraggeber und 2PL ist stärker ausgeprägt als bei 1PL, dennoch eher gering. Im Gegensatz zu Einzeldienstleistern treten 2PL als Verbunddienstleister auf, da sie einen Verbund von mehreren logistischen Einzeldienstleistungen anbieten, welche individuell auf bestimmte Kundenanforderungen ausgerichtet werden können. Dies kann auch Value Added Services wie z. B. Veredelung und Diversifizierung von Produkten umfassen oder Gestellungsmitteilungen an Zollbehörden, die typischerweise durch Seehafen- oder Luftfrachtspediteure auf 2PL-Ebene erbracht werden. Die Beziehungen zwischen Verbunddienstleister und Kunden sind anonymer und kurzfristiger als bei Einzeldienstleistern. Allerdings ist der Kundenkreis insgesamt größer. Verbunddienstleister verfügen über eigene Ressourcen, greifen jedoch ebenfalls auf fremde Dienstleister wie Speditionen oder Logistikzentren zurück und integrieren externe Leistungen in ihr Logistiknetzwerk. Daher können Frachtketten häufig auf das ganze Spektrum der Verkehrsträger zurückgreifen. „In den 90er Jahren entwickelten sich viele der 2PL zu 3PL.“ [Siebrandt 2010, S. 23] Auf koordinativer Ebene bieten Third Party Logistics Provider (3PL) vollständige Logistiksysteme an und verwalten diese hinsichtlich Kosteneffizienz und Qualität. Sie werden auch als Systemdienstleister oder Full Service Provider bezeichnet. Ihr Dienstleistungsspektrum umfasst logistikunterstützende Leistungen wie Bestellwesen, Auftragsabwicklung, Zahlungsverkehr und sonstige Value Added Services (VAS) sowie Zollformalitäten und Frachtweiterleitung. Kunden können so komplette Logistikbereiche an einen externen Systemdienstleister auslagern, weshalb in erster Linie größere Unternehme diesen Service nutzen. Der Kundenkreis von Systemdienstleistern ist meist beschränkt auf wenige Großkunden; die Auftragsbindung ist sehr eng und erfolgt in Form von Kontrakten (Kontraktlogistik) zur „langfristige[n] Übernahme komplexer logistischer Dienstleistungspakete“ [Gabler o.J.a]. Da Systemdienstleister in erster Linie koordinierende Aufgaben wahrnehmen, verfügen sie meist weder über einen eigenen Fuhrpark noch über eigene Lager- und Umschlagflächen [Das Wirtschaftslexikon 2013]. Als Erweiterung der 3PL übernehmen Fourth Party Logistics Provider (4PL) die Rolle eines Logistik-Managers innerhalb eines Unternehmens. Dabei bieten sie keine eigenen logistischen Ressourcen mehr, sondern verstehen sich als Systemintegratoren, welche zwischen Kunde und anderen Logistikdienstleistern angesiedelt sind. Sie übernehmen die „übergreifende Steuerung der im logistischen Netzwerk verteilten technologischen und personellen Ressourcen“ [Gabler o.J.c] und agieren gleichsam als Provider, indem sie „die unterschiedlichen Teilfunktionen einer logistisch integrierten Lösung“ einkaufen oder als Kooperation anbieten [BVT 2009]. Dies ermöglicht die Koordination von Kapazitäten und Technologien, um ganzheitliche Lösungen zu präsentieren. Als Dienstleister mit der größten Dienstleistungstiefe agieren Fifth Party Logistics Provider (5PL). Sie werden auch als Lead Logistics Provider (LLP) bezeichnet und nehmen „die Rolle eines 'Führungslogistikers' in einem Geflecht aus unterschiedlichsten Logistikdienstleistern“ ein [Kille/Schwemmer 2014, S. 123]. LLPs können Asset-basierte Dienstleistungen anbieten, indem sie eigene operative Ressourcen für Transport- und Lagertätigkeiten mit strategischen Aufgaben des Logistikmanagements bündeln. Ebenso können Dienstleistungen ohne eigene Assets erbracht werden, indem LLPs Subdienstleister einsetzen, ihre Lösungen Bundesamt für Sicherheit in der Informationstechnik 31 Branchenstruktur koordinieren, kontrollieren und die Bezahlung für die Auftragnehmer abwickeln [Kille/Schwemmer 2014, S. 123]. Dies ermöglicht es, komplexe Systemnetzwerke zu schaffen und die Geschäftsprozesse der Kunden entlang deren Wertschöpfungskette anhand dieser Netzwerke auszurichten. Tabelle 3 zeigt eine Übersicht der zusammengefassten Leistungsmerkmale und -angebote nach Dienstleistertyp. Typ Leistungsmerkmale Leistungsangebote Einzeldienstl - logistische Einzeldienstleistungen eister - operative Ausführung der TUL-Prozesse - großer, oft anonymer Kundenkreis - sehr unterschiedliche Dauer der Geschäftsbeziehungen - Transport, Umschlag und Lagerung - Verzollung - meist auf einen oder wenige Verkehrsträger beschränkt Spezialdienstl - auf das Transportgut spezialisierte eister Einzeldienstleistungen - begrenzter Kundenkreis - relativ stabile Geschäftsbeziehungen - Transport und Lagerung von Wertgut, Gefahrgut, Kühlgut, Schwergut, Flüssigkeiten, Gasen oder Chemikalien Verbunddien - Kombination (Verbund) mehrerer stleister logistischer Einzeldienstleistungen - Organisation und Koordination der TUL-Prozesse - großer, meist anonymer Kundenkreis - kurzfristige und häufig wechselnde Geschäftsbeziehungen - stark schwankende Mengenanforderungen - Kurier-, Express- und Paketdienste - kombinierte Straßen-, Bahn-, Schiffs-und Lufttransporte einschließlich Umschlag - Ver- und Entsorgungsdienstleistungen für Paletten, Container, Behälter, Transportmittel und Verpackungen - Retourenabwicklung und Ersatzteillogistik - Abfallentsorgung und Recycling Systemdienst - Aufbau und Betrieb vollständiger leister Logistiksysteme - ausgerichtet auf den Bedarf weniger Großkunden - langfristig kalkulierbare Geschäftsbeziehungen (Kontraktlogistik) - Versorgungs-, Bereitstellungs- und Distributionssysteme - Logistikzentren - Erbringung nach extern vergebener Unternehmenslogistikfunktionen Systemintegr - übergreifende Steuerung technologischer ator und personeller Ressourcen - Koordination von Kapazitäten und Technologien zur Präsentation ganzheitlicher Lösungen - Übernahme des Logistikmanagements innerhalb eines Unternehmens Tabelle 3: Übersicht der Leistungsmerkmale und Leistungsangebote verschiedener Dienstleistertypen Quelle: in Anlehnung an [BVT 2009, S. 10] Organisatorische Merkmale der Dienstleistertypen Transportunternehmen, Speditionen, Systemdienstleister und Systemintegratoren weisen i. d. R. jeweils gleiche Merkmale in Bezug auf Unternehmensform, -organisation und -größe auf. Jedoch gilt es zu beachten, dass die Übergänge zwischen den Dienstleistertypen fließend sind und die beschriebenen Merkmale nicht immer als Indiz gelten. Daher werden im Folgenden die Merkmale für die Gruppen „Transportunternehmen und Speditionen“, „Speditionen und Systemdienstleister“ und „Systemdienstleister und Systemintegratoren“ beschrieben. Transportunternehmen und Speditionen (1PL bis 2PL) sind meist Inhaber-geführt, „häufig in Familienbesitz gewachsen und in regional verankerten Strukturen ansässig.“ [BVT 2009] Meist handelt es sich bei Transportunternehmen um Kleinbetriebe mit bis zu 20 Beschäftigten, die primär im Transportbetrieb 32 Bundesamt für Sicherheit in der Informationstechnik Branchenstruktur eingesetzt sind. „Die Anzahl der Betriebe, die mehr als fünf Kräfte als Disponenten, im EDV-Bereich oder in der sonstigen Verwaltung einsetzen, ist gering.“ [BVT 2009] Speditionen und Logistikdienstleister (2PL bis 3PL) sind meist „unabhängige, traditionsreiche Unternehmen mit einer festen regionalen Verankerung“. [BVT 2009] Die Beschäftigtenzahl beträgt zwischen 50 und 250 Personen. Dabei ist die Beschäftigtenzahl im Lagerbereich deutlich höher, aber „vor allem die Anzahl der Disponierenden, der kaufmännischen Angestellten und sonstigen Verwaltungsangestellten ist entsprechend der umfangreichen Tätigkeitsfunktionen stärker ausgeprägt.“ [BVT 2009] Systemdienstleister und Systemintegratoren (ab 3PL) sind in der Regel „im Leistungsangebot gewachsene Unternehmen mit einer langen Speditionstradition oder Logistikunternehmen bzw. -abteilungen größerer Konzerne. Typisch für diese Unternehmenstypen ist die Angehörigkeit zu einem Unternehmensverbund, einer Unternehmensgruppe oder einem Konzern.“ [BVT 2009] In der Regel verteilen sich die Unternehmen auf mehrere Niederlassungen, teils europa- und weltweit, und beschäftigen über 250 Personen. Hiervon ist der Großteil in klassischen Verwaltungsbereichen sowie Abteilungen für unterschiedliche Logistikprojekte und Kunden tätig. Geographische Verteilung des Logistikmarktes Der Logistikmarkt in Deutschland verteilt sich geographisch über das gesamte Bundesgebiet. Dabei ist eine Konzentration von Logistikdienstleistern an Standorten zu beobachten, die Transport- und Umschlagtätigkeiten begünstigen, wie z. B. an See- und Binnenhäfen, Flughäfen und großen Autobahnknoten. Anhand der Logistikattraktivität und -intensivität lassen sich 20 Logistikstandorte und -regionen erkennen, die jeweils unterschiedliche logistische Aufgaben übernehmen (siehe Abbildung 15). Bundesamt für Sicherheit in der Informationstechnik 33 Branchenstruktur Abbildung 15: Funktionale Verortung der wichtigsten Logistikregionen in Deutschland Quelle: mit freundlicher Genehmigung der Fraunhofer SCS [Fraunhofer SCS 2013] 2.2 Marktteilnehmer 2.2.1 Logistikunternehmen Bei der Erhebung der wichtigsten Logistikunternehmen des deutschen Logistikmarktes sind verschiedene notwendige Einschränkungen zu berücksichtigen. Dies betrifft zunächst die sachliche/inhaltliche Abgrenzung des Begriffes der „Logistik-Dienstleistung“, was darauf zurückzuführen ist, dass es „bis heute keine ausreichende Übereinstimmung darüber gibt, welche wirtschaftlichen Aktivitäten der Logistik zuzurechnen und wie Logistikmärkte einzugrenzen sind“ [Kille/Schwemmer 2014, S. 39]. Ein weiterer Punkt ist „eine geographische Abgrenzung innerdeutscher Dienstleistungen von Dienstleistungen außerhalb 34 Bundesamt für Sicherheit in der Informationstechnik Branchenstruktur Deutschlands“ [Kille/Schwemmer 2014, S. 39]. Die Ermittlung nationaler Logistikmarktgrößen und die Erstellung landesbezogener Umsatzranglisten wird jedoch durch den wachsenden Anteil an grenzüberschreitend erbrachten Logistikleistungen des Transports erschwert. Viele Dienstleistungsunternehmen nehmen keine Trennung zwischen z. B. innereuropäischen und außereuropäischen Leistungsanteilen vor; auch sind Umsatzwerte von Logistik-Dienstleistungen im Ausland ansässiger Unternehmen, die in einem bestimmten anderen Land erbracht werden, statistisch nicht zu erfassen [Kille/Schwemmer 2014, S. 41]. Zuletzt ist die „Frage der institutionellen Zuordnung“ [Kille/Schwemmer 2014, S. 39] von Unternehmen zu Logistikdienstleistungswirtschaften [Kille/Schwemmer 2014, S. 42] zu betrachten. Unter Rückbezug auf die Fraunhofer Arbeitsgruppe für Supply Chain Services SCS werden diese Punkte wie folgt gehandhabt: – Als Betrachtungsgegenstand für die Markterhebung dienen die „TUL-Logistikdienstleistungen des Transports, der Umordnung, der Lagerung und damit verbundenen administrativen Aktivitäten in der Wirtschaft. Das Volumen dieses Marktes umfasst ausdrücklich sowohl die einschlägigen Leistungen, die mit verladereigenen Mitteln (Werksverkehr, Eigenläger) erbracht werden, wie auch die fremdvergebenen Leistungen, die von den Logistikdienstleistern erbracht werden.“ [Kille/Schwemmer 2014, S. 41] – „Um einen eindeutigen Bezug zwischen veröffentlichten Unternehmensumsätzen zum jeweiligen Bruttoinlandsprodukt […] herzustellen, wird […] das 'Heimatland-Prinzip' angewandt“ [Kille/Schwemmer 2014, S. 42]. Dabei werden alle „inbound“-Leistungsanteile, also die „im 'Heimatland' eines Unternehmens fakturierten und umsatzsteuerlich erfassten Umsätze […] diesem Land zugerechnet – ohne Rücksicht darauf, inwieweit darin auf ausländischen Streckenanteilen erbrachte 'outbound'-Leistungsanteile enthalten sind, die insofern zur Überschätzung der Umsätze des betrachteten Landes führen.“ [Kille/Schwemmer 2014, S. 42] – „Als 'Logistikdienstleistungsunternehmen' werden solche Unternehmen einbezogen, wo deren Leistung bzw. Zulieferung für die Erstellung von TUL-Aktivitäten sehr eng verzahnt und exklusiv ist (wie im Fall eines Hafenbetriebs oder die Leistung eines Güterzugbetreibers). Andere Unternehmen, deren Infrastruktur- und Vorleistungen nicht integraler Bestandteil der TUL-Leistungsprozesse sind und […] [diesen nicht primär dienen], werden nicht explizit in die Ranglisten der Logistikdienstleister einbezogen.“ [Kille/Schwemmer 2014, S. 42] Datenquellen und Datenlücken Trotz der beständig intensivierten Datenrecherchen, die der „Top 100“-Studie der Fraunhofer SCS über die letzten Jahre hinweg zugrunde liegen, können viele „notwendige Informationen nicht direkt aus externen Datenquellen gewonnen werden. Dies gilt insbesondere für die zentrale Frage nach der Größe der Logistikaufwendungen in den europäischen Ländern sowie der Marktsegmente und der Aufteilung des Logistik-Leistungsvolumens in die Funktionsbereiche des Transports, der Lagerung, der Administration etc.“ [Kille/Schwemmer 2014, S. 46] Trotz Hochrechnungen und Einschätzung von Experten ist „ein Risiko von Unschärfen und Fehleinschätzungen nicht zu eliminieren.“ [Kille/Schwemmer 2014, S. 47] Daher wird die unterschiedliche Datenqualität durch folgende Markierung gekennzeichnet: *** = „vollständige eigene und plausibilisierte Angaben der befragten Unternehmen (Fragebogenangaben, Geschäftsberichte und Firmendrucksachen, Webpages und in persönlichen Interviews gesammelte Daten mit hoher Wahrscheinlichkeit der 'Richtigkeit')“ [Kille/Schwemmer 2014, S. 47] ** = „durch Schätzungen ergänzte eigene Angaben der Unternehmen und Angaben aus dritten Quellen (wie DVZ-Archiv und andere Fachzeitschriftenartikel, externe Experteneinschätzung, Unternehmensdatenbanken), auch Hochrechnungen mit gering eingeschätztem Fehlerrisiko“ [Kille/Schwemmer 2014, S. 47] Bundesamt für Sicherheit in der Informationstechnik 35 Branchenstruktur * = „freie eigene Schätzungen aufgrund persönlicher Marktkenntnis der Autoren und informeller Brancheninformationen mit erhöhtem Fehlerrisiko“ [Kille/Schwemmer 2014, S. 47] Entsprechend dieser Abgrenzungen und Kennzeichnung der Datenqualität führt Tabelle 4 die 25 größten Logistikunternehmen in Deutschland im Jahr 2013 nach Umsatz auf. Rang Unternehmen Haupt- Daten-q sitz ualität Umsatz 2013 in Mio. Euro Entwicklungsstufe9 (1PL bis 5PL) aktuell Tendenz 1 Deutsche Post DHL (Group) DE ** 8.900 5PL - 2 DB Mobility Logistics AG (Konzern) DE *** 7.100 5PL - 3 Kühne + Nagel (AG & Co.) KG DE ** 3.400 3PL 5PL 4 Dachser GmbH & Co. KG DE *** 2.790 3PL 5PL 5 Rhenus SE & Co. KG DE *** 2.200 3PL 5PL 6 Volkswagen Logistics GmbH & Co. OHG DE * 1.750 4PL - 7 United Parcel Service Deutschland Inc. & Co. KG DE ** 1.600 3PL 5PL 8 Hermes Europe GmbH DE ** 1.550 3PL 5PL 9 DPD Dynamic Parcel Distribution GmbH & Co. KG DE ** 1.535 3PL - 10 Panalpina Welttransport (Deutschland) GmbH DE ** 1.500 3PL - Zwischensumme Top 10 32.325 11 Hellmann Worldwide Logistics GmbH & Co. KG DE *** 1.335 3PL 5PL 12 Imperial Logistics International B.V. & Co. KG DE *** 1.268 3PL - 13 Arvato DE * 1.250 3PL 4PL 14 BLG Logistics Group AG & Co. KG DE *** 1.125 3PL - 15 Kraftverkehr Nagel GmbH & Co. KG DE *** 1.100 3PL - 16 Fiege Logistik Holding Stiftung & Co. KG DE * 1.000 3PL 4PL 17 Hamburger Hafen und Logistik AG DE ** 920 3PL - 18 General Logistics Systems Germany GmbH & Co. OHG DE * 920 3PL - 19 DSV Deutschland DE *** 900 3PL 5PL 20 Deutsche Lufthansa Aktiengesellschaft DE ** 843 3PL - 9 Die Spalte gibt lediglich eine grobe Einschätzung, inwieweit das jeweilige Unternehmen anhand seiner Dienstleistungstiefe in eine der Kategorien 1PL bis 5PL eingeordnet werden kann. Die Einschätzung erfolgte durch die Autoren der vorliegenden Sektorstudie auf Basis der Eigendarstellung der Unternehmen und des angebotenen Dienstleistungsspektrums. Sie steht in keinerlei Bezug zur angegebenen „Top 100“-Studie der Fraunhofer SCS. 36 Bundesamt für Sicherheit in der Informationstechnik Branchenstruktur Rang Unternehmen Haupt- Daten-q sitz ualität Umsatz 2013 in Mio. Euro Entwicklungsstufe (1PL bis 5PL) aktuell Tendenz 21 TNT Express GmbH DE *** 750 3PL - 22 Logwin AG LU *** 630 3PL 5PL 23 Hans Geis GmbH + Co. DE *** 625 3PL 5PL 24 METRO Logistics Germany GmbH DE * 600 4PL - 25 Hapag-Lloyd Aktiengesellschaft DE ** 550 3PL - Zwischensumme Top 25 46.141 Tabelle 4: Top 25 der Logistikunternehmen in Deutschland nach Umsatz(2013) Quelle: Angaben zu Rangfolge, Hauptsitz, Datenqualität und Umsatz gemäß [Kille/Schwemmer 2014, S. 213]. Angaben zur Entwicklungsstufe bzw. Dienstleistungstiefe beruhen auf eigenen Einschätzungen. 2.2.2 Verbände Neben den Betreibern haben innerhalb der Branche sowohl Verbände als auch Regulierungsbehörden eine wichtige Rolle inne. Sie haben zwar keinen unmittelbaren Einfluss auf die eigentliche Leistungserbringung oder Dienstbereitstellung, treten aber als mittelbare Interessenvertreter sowie in steuernder Funktion auf. Verbände können als gebündelte Vertreter mehrerer Unternehmen in der Branche politische oder regulatorische Forderungen mit größerem Nachdruck aussprechen. Durch den Einfluss des Staates in Form von Gesetzen und Regulierungsbehörden spielen diese Verbände eine wichtige Rolle bei der Entwicklung der Logistikbranche, da sie die wirtschaftlichen Interessen der Verbandsmitglieder nach außen hin vertreten. Im Folgenden werden die wichtigsten Verbände für die deutsche Logistikbranche genannt und kurz beschrieben.10 Der Bundesverband der Kurier-Express-Post-Dienste e.V. (BdKEP) vertritt seit 1990 die Interessen der mittelständischen Kurier-, Express-, Paket- und Briefdienste. Neben der Reaktion auf Veränderungen im Markt sowie auf Herausforderungen durch Politik und Verwaltung verfolgt er das Ziel der professionellen und fachspezifischen Fortbildung zur vertieften Wissensvermittlung seiner Mitglieder und der Branche [BdKEP 2014]. Der Bundesverband Güterkraftverkehr Logistik und Entsorgung e.V. (BGL) ging nach diversen Fusionen 1999 in seiner heutigen Form hervor. Er ist der „Spitzenverband für Güterkraftverkehr, Logistik und Entsorgung in Deutschland“ [BGL o.J.a] und betreut über seine Landesverbände die Unternehmen des deutschen Transportlogistikgewerbes. Der gemeinsame Umsatz der Mitglieder wird mit 31,8 Mrd. Euro in 2012 beziffert [BGL o.J.a; BGL o.J.b]. Der Bundesverband Paket und Expresslogistik e. V. (BIEK) fördert insbesondere die Liberalisierung im Kommunikations- und Transportbereich. Er „setzt sich für mehr Wettbewerb und faire Wettbewerbsbedingungen auf den Post- und Transportmärkten ein“ und „hilft den Mitgliedsunternehmen dabei, im globalen Wettbewerb Schritt zu halten“ [BIEK o.J.]. Zudem bearbeitet er in Fachausschüssen „Themen aus den Bereichen Arbeit & Soziales, Gefahrgut, Image der Branche, Luftverkehr, Post & Regulierung, Recht, Sicherheit, Verkehr und Zoll.“ [BIEK o.J.] Der Bundesverband Materialwirtschaft, Einkauf und Logistik e.V. (BME) wurde 1954 gegründet. Er ist Dienstleister für 9.000 Einzel- und Firmenmitglieder und fördert als Netzwerkgestalter den Erfahrungsaustausch für Unternehmen und Wissenschaft, für die Beschaffungs- und für die Anbieterseite. Der Verband 10 Weitere Verbände, insbesondere auf Ebene des Betriebs von Verkehrsmitteln und -infrastrukturen, finden sich in [BSI 2014d]. Bundesamt für Sicherheit in der Informationstechnik 37 Branchenstruktur ist offen für alle Branchen (Industrie, Handel, öffentliche Auftraggeber, Banken/Versicherungen) und Unternehmensformen [BME 2008]. Die Bundesvereinigung Logistik e.V. (BVL) ist ein offenes Netzwerk von mehr als 10.000 Fach- und Führungskräften aus Industrie, Handel, Dienstleistung und Wissenschaft, „die aktiv für ein effizientes Miteinander in der globalisierten Wirtschaft eintreten. Ihr Kernziel ist es, die Bedeutung von Supply Chain Management und Logistik zu vermitteln – sowie deren Anwendung und Entwicklung voranzubringen.“ [BVL 2015a] Der Bundesverband der Transportunternehmen e.V. (BVT) setzt sich insbesondere für die Belange und Rechte kleinerer Transportunternehmen ein. Er bietet Erfahrungsaustausch, Beratung und Informationen und strebt die Anerkennung kleinerer Transportunternehmen in Öffentlichkeit und Politik an sowie eine Verringerung von „Bürokratie, Unfairneß und Benachteiligung“ [BVT o.J.]. Der Bundesverband Wirtschaft, Verkehr und Logistik e.V. (BWVL) wurde 1955 gegründet. Er nimmt es sich zur Aufgabe, als Unternehmensfachverband für Transport und Logistik „die gemeinsamen Interessen der Mitgliedsunternehmen gegenüber der Politik und in der Wirtschaft engagiert und wirksam zu vertreten. […] Er setzt sich für nachhaltige Liberalisierung und Harmonisierung der Transportmärkte, Rahmenbedingungen für reibungslos funktionierende logistische Prozesse und eine optimale Gestaltung der Informations- und Verkehrsinfrastruktur als Voraussetzung für effizientes wirtschaftliches Handeln ein.“ [BWVL o.J.] Der Deutsche Speditions- und Logistikverband e.V. (DSLV) beteiligt sich „an der verkehrspolitischen Diskussion und nimmt im Sinne seiner Mitgliedsunternehmen Stellung zu Gesetzesvorhaben, Verordnungen und Richtlinien. Darüber hinaus vertritt er die Interessen des Gewerbes gegenüber der verladenden Wirtschaft und den Verkehrsträgern“ [DSLV 2015b]. Im Rahmen praxisorientierter Fachausschüsse, Kommissionen und Arbeitskreise analysiert er logistische, rechtliche, organisatorische und betriebswirtschaftliche Fragen. Er vertritt ca. 3.000 Betriebe, die einen jährlichen Gesamtumsatz von 80 Mrd. Euro erwirtschaften. Dabei verfolgt er eine enge Zusammenarbeit mit dem Arbeitgeberverband Spedition und Logistik Deutschland (ASL), dem Verein Automobillogistik im DSLV (AML), der Schutz- und Aktionsgemeinschaft zur Erhöhung der Sicherheit in der Spedition (s.a.f.e.) sowie dem Bundesverband Möbelspedition und Logistik (AMÖ) [DSLV 2015b]. Der Zentralverband der deutschen Seehafenbetriebe e.V. (ZDS) „ist der Bundesverband der am Seegüterumschlag in den deutschen Seehäfen beteiligten Betriebe. Er ist ein Zusammenschluss von Hafenunternehmen, die unmittelbar und mittelbar am Güterumschlag in den deutschen Seehäfen beteiligt sind oder der Seeschifffahrt dienen.“ [ZDS o.J.] Der ZDS hat zum Ziel, die Wahrnehmung der gemeinsam wirtschafts-, gewerbe-, sozial- und tarifpolitischen Interessen der deutschen Seehafenunternehmen zu stärken, die im Rahmen hybrider Logistiknetzwerke (siehe Abbildung 2) in theoretischem Sinne auch als Logistikzentren fungieren. Die International Port Community Systems Association (IPCSA) ist ein Zusammenschluss von 21 Mitgliedern (Stand 07/2014), die gemeinschaftlich Kommunikationssystemen für Häfen betreiben. Die bereitgestellten elektronischen Kommunikationsplattformen sollen reibungslose Transport- und Logistikabläufe an hunderten von Seehäfen, Binnenhäfen und Flughäfen gewährleisten [IPCSA 2014]. Ziel ist es, die Einführung von E-Logistics als Schlüsselelement in der Entwicklung internationaler See-, Transportund Logistiksektoren voranzutreiben. 2.3 Beziehungen innerhalb der Branche In der Logistik können vertikale und horizontale Beziehungen unterschieden werden. Vertikale Beziehungen können zwischen verschiedenen Unternehmen und Dienstleistern bestehen. Integrieren Unternehmen vor- und nachgelagerte Produktionsprozesse (Handels- und Dienstleistungsprozesse) über mehrere Stufen in der Wertschöpfungskette, kann von einer vertikalen Integration gesprochen werden. Logistikdienstleister dienen dabei als Kooperationspartner und übernehmen eine verbindende Funktion zwischen den einzelnen Wertschöpfungsstufen. Abbildung 16 zeigt die vertikale Integration von Wert38 Bundesamt für Sicherheit in der Informationstechnik Branchenstruktur schöpfungsketten durch Logistikdienstleister. Dabei werden in der Praxis oft einzelne oder mehrere Stufen ausgelassen bzw. übersprungen. Aufgrund der globalen Vernetzung von Logistiknetzwerken laufen Wertschöpfungsketten in der Regal (weit) grenzüberschreitend ab. Abbildung 16: Vertikale Integration von Wertschöpfungsketten Quelle: in Anlehnung an [Dangelmeier et al. 2004, S. 5] Ein Beispiel einer vertikalen Kooperation ist das kollaborative Belieferungskonzept „Vendor Managed Inventory“. Dabei besteht eine Kollaboration zwischen einem Zulieferer und dem sich auf der nächsthöheren Stufe der Wertschöpfungskette befindenden Partner (z. B. Endprodukthersteller). Die Waren bleiben solange in Besitz des Lieferanten (die Lagerung und Verwaltung wird extern und in Kundennähe durch Logistikdienstleister ausgeführt), bis das produzierende Unternehmen die Ware abruft und mittels Kaufvertrag deren Besitz übernimmt [Arnold et al. 2008, S. 468]. Ein weiteres Beispiel stellen die Kontraktund Projektlogistik dar, in welchen Kooperationen zwischen Logistikdienstleistern und Industrie- oder Handelsunternehmen geschlossen werden. Auch innerhalb der Logistikbranche existieren vertikale Kooperationen. Systemdienstleister schließen beispielsweise Kooperationsverträge mit Einzel- oder Spezialdienstleistern, um einen bestimmten Grad einer Dienstleistungstiefe erreichen zu können (z. B. Kooperationsverträge zwischen einem Systemdienstleister, der keinen eigenen Fuhrpark besitzt, und einem Einzeldienstleister, der über eigene Transportmittel verfügt). Horizontale Kooperationen existieren zwischen einzelnen oder mehreren Unternehmen auf gleicher Produktionsstufe bzw. Dienstleistungsstufe. Dazu zählen beispielsweise Fusionen zwischen Logistikdienstleistern. Diese können eine Erweiterung des Produktportfolios, der Zielmärkte oder der Geschäftsprozesse bewirken. So kann ein Logistikdienstleister, der sein europäisches Logistiknetz ausweiten möchte, beispielsweise mit einem nationalen Dienstleister aus Spanien eine Fusion eingehen. Weiterhin existieren in der Logistikbranche Einkaufskooperationen zwischen Dienstleistern zur Erreichung von Skaleneffekten. Frachtbörsen bieten Plattformen für das Angebot und den Erwerb von Transportkapazitäten oder Transportsendungen. Probleme wie Kapazitätsknappheit und der Anteil an Leerfahrten können durch die Nutzung entsprechender Angeboten auf Frachtbörsen reduziert werden. Dies wird auch durch Logistikdienstleister ohne eigene Transportmittel (3PL oder höher) genutzt, um Transporte „in Gegenrichtung“ günstig einzukaufen, bei denen das entsprechende Fuhrunternehmen andernfalls Leerfahrten nicht umgehen könnte. Container-Reedereien wie Hapag Lloyd nutzen diese Entwicklung zur Disposition von Leercontainern, wodurch Unternehmen Leercontainer flexibel ordern und zurückgeben können. Bundesamt für Sicherheit in der Informationstechnik 39 Branchenstruktur 2.4 Rolle der öffentlichen Hand Nachfolgend wird die Rolle der öffentlichen Hand sowie die rechtlichen Rahmenbedingungen beschrieben. Dabei wird primär die Logistikbranche in Deutschland beleuchtet. Eine Beschreibung für die TuV-Branchen Luftfahrt, Schifffahrt, Schienenverkehr und Straßenverkehr findet sich in [BSI 2014d, S. 24-26, 37-38, 48-49, 63-65]. 2.4.1 Beteiligte Organe und Regulierung Die Logistikbranche in Deutschland fällt unter den Zuständigkeitsbereich des Bundesministeriums für Verkehr und digitale Infrastruktur (BMVI). Um der Bedeutung von Güterverkehr und Logistik als entscheidenden Faktoren für die Wettbewerbsfähigkeit Deutschlands Rechnung zu tragen, „muss das Bundesverkehrsministerium nicht nur die nötige Infrastruktur schaffen, es muss auch umwelt- und klimapolitische Aspekte berücksichtigen.“ [BMVI 2014b] Hierfür ist die Zusammenarbeit von Wirtschaft, Wissenschaft, Politik und Verbänden zur nachhaltigen Stärkung der „Logistikdrehscheibe Deutschland“ [BMVI 2014b] zwingend notwendig. Der Aktionsplan Güterverkehr und Logistik – Logistikinitiative für Deutschland, der im November 2010 durch das BMVI herausgegeben wurde, verdeutlicht die Bedeutung des Logistikmarktes für Deutschland und soll „die Weichen für ein zukunfts- und leistungsfähiges Logistik und Güterverkehrssystem in Deutschland“ stellen [BMVI 2010, S. 2]. Er wird durch die im Januar 2015 herausgegebene Sicherheitsstrategie für die Güterverkehrs- und Logistikwirtschaft erweitert, die darlegt, wie das BMVI zusammen mit seinem Geschäftsbereich die Aufgabe des Schutzes Kritischer Infrastrukturen und der verkehrsträgerübergreifenden Gefahrenabwehr versteht und wahrnimmt [BMVI 2015, S. 3]. Mit der Initiative Logistics Alliance Germany (LAG) zielt die Bundesregierung auf die Vermarktung des Logistikstandorts Deutschland im globalen Wettbewerb. Die LAG ist „ein öffentlich-privates Partnerschaftsprojekt des Bundesministeriums für Verkehr und digitale Infrastruktur (BMVI) und der deutschen Logistikwirtschaft, das sich zum Ziel gesetzt hat, den Logistikstandort Deutschland unter dem Motto 'Logistics made in Germany' im außereuropäischen Ausland zu vermarkten.“ [LAG 2015] Das Bundesministerium für Wirtschaft und Energie (BMWi) unterstützt finanziell Verbundprojekte, die im Rahmen der Förderbekanntmachung „Zukunftsfähige Logistiknetzwerke“ neuartige Lösungsansätze für die Synchronisation von Produktion und Logistik, die Reduktion der Transportkosten durch Verkehrsvermeidung und -verlagerung, die Anwendung innovativer IuK-Technologie oder die Einführung neuer Organisationsformen für logistische, intermodale Transportketten aufzeigen. Der grenzüberschreitende Warenverkehr wird durch die Zollverwaltung überwacht, die dem Bundesfinanzministerium (BMF) unterstellt ist. Sie umfasst das Zollkriminalamt und örtliche Dienststellen wie Hauptzollämter, Zollämter und Zollfahndungsämter. Die Zollverwaltung überwacht auch Verbote und Beschränkungen bei der Einfuhr, Ausfuhr und Durchfuhr von Waren, insbesondere was explosionsgefährliche Stoffe, Waffen, Lebensmittel und geschützte Tiere und Pflanzen nach dem Artenschutz anbelangt. Im Postbereich, u. a. für Kurier-, Express- und Paketdienste, ist die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (BNetzA) für die „Marktregulierung und Wettbewerbsaufsicht marktbeherrschender Anbieter zuständig. […] Die ihr zugewiesenen Aufgaben sind im Einzelnen im Postgesetz und den zugehörigen Verordnungen geregelt.“ [BNetzA 2015]. Zusätzlich regelt die Richtlinie 97/67/EG in der aktuellen Form 2008/06/EG den europäischen Binnenmarkt für Postdienste, um „durch einen geeigneten Regulierungsrahmen dafür zu sorgen, dass unionsweit allen Bürgern effiziente, zuverlässige Qualitätspostdienste zu erschwinglichen Preisen zur Verfügung stehen.“ Dies begründet sich durch die Bedeutung der Postdienste für den wirtschaftlichen Wohlstand und das soziale Gefüge und den Zusammenhalt in der EU [Europäische Kommission 2015]. 40 Bundesamt für Sicherheit in der Informationstechnik Branchenstruktur Staatliche Einflüsse, die auch die deutsche Logistikbranche berühren, sind beispielsweise Lenk- und Ruhezeitenregelungen, die Einführung eines flächendeckenden Mindestlohns, das erweiterte Mautkonzept und die Privatisierung staatlicher Unternehmen (z. B. Deutsche Post DHL und Deutsche Bahn / DB Schenker Rail) [Kille/Schwemmer 2014, S. 21–23]. Ferner existieren gesetzliche Regelungen insbesondere für verschiedene Güterarten. So wird die Beförderung radioaktiver Stoffe und Gefahrgüter im Gesetz über die Beförderung gefährlicher Güter (GGBefG) und in der Verordnung über die Kontrollen von Gefahrguttransporten auf der Straße und in den Unternehmen (GGKontrollV) geregelt. Dies beinhaltet auch Übernahme, Be- und Entladung, Ablieferung und zeitweilige Lagerung entsprechender Güter. Für Explosivstoffe ist seit 2008 gemäß der Richtlinien 2008/43/EG und 2012/4/EU der Europäischen Kommission ein Verfahren zur Kennzeichnung und Rückverfolgung gefordert. Seit 2005 besteht weiterhin die Pflicht der Rückverfolgbarkeit von Lebensmitteln, die durch die EU-Verordnung (EG) Nr. 178/2002 gesetzlich verankert ist und u. a. auch für die Logistikbranche eine Herausforderung im verkehrsträgerübergreifenden Transport darstellt. Der International Shipment and Port Facility Security Code (ISPS-Code) zur Erhöhung der Gefahrenabwehr auf Schiffen und in Hafenanlagen wurde auf EU-Ebene durch die EU-Verordnung (EG) Nr. 725/2004 umgesetzt. Ferner regelt die Richtlinie 2010/65/EU Meldeformalitäten für Schiffe beim Einlaufen in und/oder aus Häfen der EU-Mitgliedsstaaten. Sie hebt die Richtlinie 2002/6/EG auf. Zu den Meldeformalitäten zählen u. a. eine Besatzungs- und Fahrgastliste, ein Gefahrgutmanifest, eine sogenannte WASTE Declaration, die Informationen über an Bord angefallenen Abfälle und Rückstände verzeichnet, sicherheitsrelevante Angaben, Erklärung über Schiffsvorräte und persönliche Habe, eine Seegesundheitserklärung sowie eine Ankunftsmeldung. Diese Informationen wurden bislang über unterschiedlichste Meldewege übermittelt. Mit der neuen Richtlinie ist den Anmeldern eine eindeutige Referenz zur Wiedererkennung zugeordnet und die Kommunikation wird über eine Webanwendung als zentrale Meldestelle abgewickelt [DAKOSY 2014]. Für die Entwicklung der Logistikbranche ist ebenfalls das IT-Sicherheitsgesetz relevant. Die Bundesregierung will mit diesem Gesetz insbesondere Kritische Infrastrukturen schützen. Wichtige Elemente des Gesetzes sind die Meldepflicht von IT-Sicherheitsvorfällen an das BSI und die Einhaltung von Mindeststandards an IT-Sicherheit, was insbesondere Betreiber Kritischer Infrastrukturen betreffen wird. [BMI 2014]. 2.4.2 Zollabfertigung Neben der zuvor beschriebenen Regulierung bestehen erhebliche Inderdependenzen mit dem öffentlichen Sektor im Rahmen der Zollabfertigung. Werden Waren über die Grenzen der Europäischen Union hinaus verbracht, unterliegen diese der zollamtlichen Überwachung. Dabei wird nach Einfuhr aus Nicht-EU-Staaten, Ausfuhr in Nicht-EU-Staaten, Warenverkehr innerhalb der EU, Durchfuhr durch Deutschland sowie Postsendungen und Internetbestellungen unterschieden [BMF o.J.a]. Bei der Einfuhr von Waren aus Nicht-EU-Staaten ist eine zollamtliche Abfertigung Pflicht. Hierbei müssen in der Regel eine Einfuhrumsatzsteuer sowie in bestimmten Fällen zusätzliche Verbrauchssteuern entrichtet werden. Als Voraussetzung für die Zollabwicklung benötigen Unternehmen für die Registrierung und Identifizierung als Wirtschaftsbeteiligter eine EORI-Nummer (Economic Operators Registration and Identification number). Bei der Einfuhr von Waren besteht eine verbindliche Zolltarifauskunftspflicht. Dabei müssen die entsprechenden Zolltarifnummern der abzufertigenden Waren angegeben werden. Vor Verbringung der Waren in das Zollgebiet ist eine summarische Eingangsanmeldung bei der zuständigen Zollstelle einzureichen. Die Anmeldung umfasst dabei alle maßgebenden Umstände und Merkmale für die Zollbehandlung, sowie alle notwendigen Dokumente wie Handlungsrechnungen und Beförderungspapiere [BMF o.J.b]. Nach der Anmeldung erfolgt die Verbringung der Waren in das Zollgebiet (Grenzüberschreitung) und die Gestellung.11 Die Eingangsanmeldung wird über das IT-Verfahren „Import Control System“ (ICS) vorgenommen, die Gestellung erfolgt über das IT-System ATLAS (Automatisiertes Tarif- und lokales Zollabwicklungssystem), welches durch das BMF zur Verfügung gestellt wird. 11 Die Gestellung ist eine Mitteilung an das Zollamt, dass sich die angemeldeten Waren an der Zollstelle befinden. Bundesamt für Sicherheit in der Informationstechnik 41 Branchenstruktur Nach erfolgter Gestellung erfolgt die Abwicklung der Zollanmeldung, die sich in vier Phasen untergliedert: Entgegennahme der Zollanmeldung, Vorprüfung der Zollanmeldung, Überprüfung der Zollanmeldung und Überlassung der Ware. Im Rahmen der Vorprüfung und Überprüfung führt die zuständige Zollstelle zu Sicherheitszwecken ebenfalls eine Risikoanalyse für die zu verzollenden Waren durch, um potentielle risikobehaftete Lieferungen angemessen zu behandeln. Nach Freigabe der Waren und der Bescheidung über Einfuhrabgaben werden die Waren in den freien Wirtschaftsverkehr eingeführt. Einfuhrabgaben sind grundsätzlich zum Zeitpunkt des Grenzübertritts zu entrichten. Da die Zieldestination der Waren in den meisten Fällen im Binnenland liegt, wurde das Versandverfahren eingerichtet. Es bietet die Möglichkeit, die Verzollung am Bestimmungsort der Ware vorzunehmen. Das Versandverfahren wird seit 2005 mit dem New Computerised Transit System (NCTS) durchgeführt und überwacht den unversteuerten Warenversand. Voraussetzung dafür ist der Zugang zum IT-System ATLAS. ATLAS wird ebenso für die zollrechtliche Abwicklung von Warenausfuhren verwendet. In der Regel wird ein zweistufiges Ausfuhrverfahren angewendet. Dabei erfolgt die Eröffnung des Ausfuhrverfahrens bei der Ausfuhrzollstelle als nächste Zollstelle zum Geschäftssitz. Die elektronische Ausfuhranmeldung des Anmelders wird von der Zollstelle überprüft, woraufhin der Anmelder ein Ausfuhrbegleitdokument erhält. In einer zweite Stufe wird die Ware bei der Ausgangszollstelle gestellt und das Ausfuhrbegleitdokument vorgelegt. Nachdem der Zoll die Prüfung der Waren auf Übereinstimmung mit dem Ausfuhrbegleitdokument vorgenommen hat, werden diese zur Ausfuhr freigegeben. Für die Überwachung und Dokumentation des Transports verbrauchssteuerpflichtiger Waren unter Steueraussetzung zwischen verschiedenen Mitgliedsstaaten wird seit 2011 das EDV-gestützte Beförderungsund Kontrollsystem Exercise Movement and Control System (EMCS) verwendet. Mit Hilfe des elek tronischen Verwaltungsdokuments „e-VD“ wird der Transport durch den Zoll elektronisch überwacht. Zolllager bieten die Möglichkeit, Transitware zeitlich unbegrenzt unverzollt im Zollgebiet der Gemeinschaft zu lagern. Weiterhin ist für Waren in einem Zolllager, die zum Absatz in diesem Zollgebiet bestimmt sind, der anfallende Zoll erst nach Beendigung der Vorratshaltung zu entrichten. Die Anmeldung für das Zolllagerverfahren kann ebenfalls über ATLAS erfolgen [BMF o.J.a]. 2.5 Aktuelle Entwicklungen & Trends In diesem Kapitel werden aktuelle globale Entwicklungen auf politischer und gesellschaftlicher Ebene mit Auswirkungen auf die Logistikbranche erläutert. Zudem werden technologische Trends aufgezeigt, die wahrscheinlich zu organisatorischen und operationellen Veränderungen in der Logistik führen. Dabei handelt es sich jedoch lediglich um Prognosen; jährlich werden zahlreiche unterschiedliche Publikationen über Trends und Entwicklungen in der Logistik herausgegeben, was aufzeigt, wie schwierig verlässliche Voraussagen in diesem Wirtschaftsbereich sind. Die hier dargestellten Trends greifen daher nur die zentralen, übergeordneten Entwicklungen auf. Bei den technologischen Trends wurde zudem darauf verzichtet, hochspekulative Prognosen darzustellen, sondern es werden nur solche Trends aufgezeigt, in denen bereits Anstrengungen in der Umsetzung unternommen werden oder in naher Zukunft zu erwarten sind. 2.5.1 Globale Entwicklungen Globalisierung Die Bedingungen für den weltweiten Handel und Wirtschaftsverkehr haben sich in den letzten zwanzig Jahren stark verbessert. Durch die Schaffung gemeinsamer Märkte (z. B. EU, MERCOSUR, NAF`TA, ASEAN), den Abbau von Zollschranken und den Abschluss von Handelsabkommen (z. B. GATT) wurden Handelsbarrieren abgebaut. Die Verbreitung moderner Informationstechnologie hat im Vergleich zu früheren Verfahren eine bedeutend schnellere und kostengünstigere Kommunikation ermöglicht. Auch die 42 Bundesamt für Sicherheit in der Informationstechnik Branchenstruktur fortschreitende Standardisierung durch internationalen Organisationen wie die International Organization for Standardization (ISO) hat zu einer Senkung der Transaktionskosten für Unternehmen geführt [Deutsche Post 2008, S. 1]. Die voranschreitende Globalisierung führt als Folge dessen zu einer stärkeren weltwirtschaftlichen Arbeitsteilung. Unternehmen lassen Waren in Ländern mit günstigeren Bedingungen produzieren und verkaufen diese wiederum in Ländern mit profitablen Absatzmärkten. Als Konsequenz wachsen die Transportdistanzen zwischen dem Produktionsstandort einer Ware und dem Ort ihrer Distribution an den Endkunden. Dies führt zu zergliederten Wertschöpfungsketten und komplexeren Ansprüchen an Liefer ketten. Gütermenge, Transporthäufigkeit und Umschlaggeschwindigkeit nehmen zu. Auch die unterstützenden Prozesse, wie der Einsatz von Informations- und Kommunikationsmitteln, müssen daran angepasst werden. Durch diese Entwicklungen steigt global gesehen der Bedarf an Logistikleistungen sowie zugehörigen Informationssystemen stark an [Kille/Schwemmer 2014, S. 8]. Veränderungen in dieser Arbeitsteilung sind in Zukunft primär durch wirtschaftliche Transformations prozesse in China zu erwarten. Durch die Anstrengungen Chinas, sich vom Billigexporteur zum Konsumland mit einer stärkeren Binnenwirtschaft zu wandeln, könnten europäische exportorientierte Firmen profitieren und davon wiederum die Logistikbranche. Klimawandel und Nachhaltigkeit Nicht nur wirtschaftliche Entwicklungen wirken auf die Logistikbranche, auch politische und gesellschaftliche Themen beeinflussen die strategische Ausrichtung von Unternehmen. Der Klimawandel wird im öffentlichen Bewusstsein zunehmend als eine der drängendsten Herausforderungen unserer Zeit gesehen. Auch die internationale Politik hat Übereinkommen auf diesem Gebiet gefunden, beispielsweise das Kyoto-Protokoll, auch wenn die Umsetzung auf nationaler Ebene bisher noch langsam vorangeht. Zukünftig wird dieses Problem jedoch zwangsläufig stärkerer Bestandteil der politischen Agenda werden, was sich in neuen Regelungen und Vorschriften äußern wird. Logistikdienstleister werden sich auf diese Entwicklungen zunehmend einstellen und Nachhaltigkeit sowie ökologisch verantwortliches Handeln direkt in ihre Konzernstrategien integrieren müssen. Für die Reduzierung von CO2-Emissionen ist die globale Logistikindustrie von besonderer Bedeutung, da diese 2014 für ca. 14 Prozent der weltweiten Treibhausgase verantwortlich war [statista 2014].12 2010 betrug in Deutschland der Anteil des Verkehrs (inklusive Personenverkehr) an den gesamten CO 2-Emissionen etwa 20,6 Prozent [destatis 2012, S. 506]. Ökologische Gründe und eine zunehmend restriktivere nationale und internationale Umweltschutzgesetzgebung sind jedoch nicht die einzigen Treiber einer nachhaltigen Logistik. Für Unternehmen bieten sich angesichts steigender Energiepreise auch ökonomische Vorteile durch eine nachhaltige Unternehmensstrategie. Preisschwankungen erschweren Kostenkalkulationen für Logistikdienstleister. Obwohl seit 2012 die Preise für Dieselkraftstoffe wieder gesunken sind, waren diese zuvor im Zeitraum zwischen 1999 und 2012 von 63,9 Cent auf 148,9 Cent je Liter gestiegen [statista 2015e]. Dies entspricht einer Steigerung um 133 Prozent im genannten Zeitraum. Um eine größere Planungssicherheit zu realisieren, versuchen Logistikdienstleister daher kontinuierlich, ihre Energieeffizienz zu verbessern [BVL 2015b]. Abzuwarten bleibt auch, wie sich die sogenannte „grüne Nachfrage“ in Zukunft entwickelt. Privatkunden messen heute Aspekten der Nachhaltigkeit bei der Wahl ihrer Dienstleister und Produkte bereits deutlich mehr Bedeutung zu als noch vor 20 Jahren. Auch Investoren setzen verstärkt auf Unternehmen mit nachhaltigen Geschäftsmodellen, da sich bei diesen die Risiken hinsichtlich umweltpolitischer und sozialer Regulierungen schwächer darstellen [Deutsche Post 2010, S. 16]. Im Vergleich zu Transporten via Lkw sind größere Seeschiffe sparsamer pro Ladungseinheit, erhöhen aber Lastspitzen und Anforderungen an die küstennahen Verkehrswege und senken darüber hinaus die Flexibilität und Substituierbarkeit des Transports. Logistiklösungen mit einem geringeren Ausstoß von CO 2-Emissionen sind bisher nicht in großem Umfang verfügbar, allerdings könnten verschiedene technologische Neuerungen in den nächsten Jahren Fortschritte 12 Dies beinhaltet auch Leistungen des Personentransports. Bundesamt für Sicherheit in der Informationstechnik 43 Branchenstruktur ermöglichen. Die in Abschnitt 2.5.2 „Technologische Trends“ aufgeführten Entwicklungen zeigen dabei einige Möglichkeiten für zukünftige CO 2-arme Logistiklösungen auf. Shared Economy und andere kooperative Ansätze Mit dem Thema der Nachhaltigkeit eng verknüpft sind kooperative Ansätze, die helfen sollen, bestehende Assets zwischen Wettbewerben bzw. „Coopetitors“ ökologisch und ökonomisch sinnvoller zu nutzen. Dabei handelt es sich vor allem um Ressourcen, die nicht dauerhaft benötigt und daher durch Teilen effektiver genutzt werden können. Die Nutzung des Internets hat es ermöglicht, schnell und bequem mit anderen in Kontakt zu treten und kurzfristig verschiedene Waren oder Dienstleistungen zu teilen. Die gemeinsame Nutzung, aber auch die gemeinsame Produktion, Distribution und der Handel von Waren werden oft unter dem Begriff „Shared Economy“ zusammengefasst. „Collaborative Business“ umfasst Konzepte, bei denen Unternehmen Investitionen, logistische Infra strukturen (Lagerhäuser, Transportflotten etc.) und Dienstleistungen mit anderen Coopetitors gemeinsam nutzen. Die entstehenden Vorteile für Unternehmen sind ähnlich wie bei Privatpersonen: die Kapazitäts auslastung von Vermögenswerten kann erhöht und Kosten gespart werden. Beispiele für Collaborative Business sind „Shared Logistics Centers“ (SLCs) [DB Schenker 2013], auf deren Kapazitäten Logistikdienstleister je nach Bedarf zurückgreifen können, oder „Shared Supply Chains“, bei denen Firmen dieselben Verteilungszentren oder Transportflotten nutzen [Supply Chain Quarterly 2011]. Logistikdienstleister gewinnen durch Collaborative Business ein erhöhtes Maß an Flexibilität. Die gemeinsame Nutzung bzw. das Teilen von Assets erlaubt es ihnen, sich besser auf wechselnde Anforderungen wie z. B. saisonale Mengenschwankungen einzustellen. Neben der Senkung von operativen Kosten können kooperative Ansätze auch zu einer Reduzierung der CO 2-Emissionen eines Unternehmens führen und dienen daher auch einer nachhaltigen Unternehmensstrategie [DHL 2014, S. 27]. 2.5.2 Technologische Trends Robotik & Automatisierung Die zunehmende Nutzung von E-Commerce bedeutet eine zunehmende Anzahl von individuellen Bestellungen. Die Summe der Bestellungen muss entlang aller Logistikdienstleistungen wie dem Transport, Umschlag und der Lagerung abgewickelt werden und stellt die Dienstleister vor neue Herausforderungen. Logistikdienstleister experimentieren daher zunehmend mit automatisierten Lösungen und Robotern, die eine erhöhte Produktionssteigerung versprechen. Das Hauptanwendungsgebiet für diese Lösungen werden vermutlich Lagerhäuser und Logistikzentren sein. Hier werden bereits teilweise automatisierte Sortiersysteme eingesetzt, die Pakete in Hochgeschwindigkeit in die entsprechenden Ablagen sortieren. Auch Versuche mit autonomen Transportshuttles werden bereits unternommen. Die „Zellulare Intralogistik“ soll die bisherigen innerbetrieblichen Transportprozesse wie Fördertechnik und Regalbedienung unterstützen oder vollständig ersetzen. Autonome Fahrzeuge sollen sich frei bewegen können und Regale, Kommissioniergassen und Warenein- und ausgänge selbstständig ansteuern. In Zukunft sollen sie durch gemeinsame Kommunikation in der Lage sein, sich untereinander zu koordinieren (Schwarm-Intelligenz) [Fraunhofer IML 2015]. Auf dem Container Terminal Altenwerder (CTA) der HHLA werden seit 2011 Automated Guided Vehicles, fahrerlose Transportfahrzeuge, eingesetzt, die mit Batterien betrieben werden, sich autark bewegen und ihre Akkus vollautomatisiert und selbstständig wechseln [Die Welt 2011]. Andere potentielle Anwendungsgebiete für Robotik und Automatisierung sind KEP-Dienste. Die Sortierung und Beladung von Transportfahrzeugen, vor allem mit verschiedenen Kleinstwaren und Paketen, ist sehr zeitintensiv. Paketroboter sollen diese Aufgabe in Zukunft schneller übernehmen und damit einen reibungsloseren Übergang zwischen Umschlag und Distribution der Waren ermöglichen. Durch den stetigen Fortschritt in der Leistungsfähigkeit von Robotern ist es wahrscheinlich, dass diese in den nächsten Jahren einen verstärkten Einsatz in der Logistik finden werden. Durch ihren Einsatz und eine 44 Bundesamt für Sicherheit in der Informationstechnik Branchenstruktur verstärkte Prozess-Automatisierung kann die Fehlerquote bei der Güter- und Warenproduktion drastisch gesenkt und die Produktivität gesteigert werden. Zudem bietet diese Art der Logistikinfrastruktur eine größere Flexibilität und ermöglicht es dem Dienstleister, besser auf Marktfluktuationen reagieren zu können [DHL 2014, S. 34]. IT-Lösungen mit Augmented Reality (AR) stellen einen weiteren Trend in der Logistik dar. Als Einsatzgebiet eignen sich insbesondere komplexe Lagerprozesse mit hohen Anforderungen an Prozesssicherheit und -transparenz. Da AR-Technologie die Möglichkeit einer optischen Kontrolle von Abläufen bietet, ist der Einsatz überall dort sinnvoll, wo Qualität eine wichtige Rolle spielt. Dabei entstehen auch Steigerungen der Prozessqualität und der „Effizienz jedes einzelnen Mitarbeiters, die zukünftig beide Hände für ihre Kerntätigkeit frei haben. Mit kontextbezogenen Informationen im Blickfeld der Mitarbeiter steigern Unternehmen ihre Prozesssicherheit und reduzieren damit die Fehlerquote.“ [IT-Zoom 2014] Aktuell ermöglicht der Stand der Hardware erste Pilotprojekte; jedoch ist noch nicht abzusehen, „wann die Technologie zum Standard in den logistischen Abläufen der Unternehmen wird.“ [IT-Zoom 2014] Vorausschauende Logistik Die zunehmende Nutzung elektronischer Kommunikation und digitaler Medien generiert große Datenvolumen. Die Analyse von Informationen über Kunden und deren Kaufverhalten mittels Algorithmen bildet die Grundlage der vorausschauenden Logistik. Nach Angaben des World Economic Forum werden 50 bis 60 Prozent der heutigen Transportkapazitäten verschwendet [DHL 2014, S. 18]. Mit der Auswertung verschiedener Datenquellen wird versucht, realistische Prognosen hinsichtlich der zu erwartenden Nachfrage zu erstellen, die dabei helfen sollen, diese (bisher verschwendeten) Kapazitäten nutzbar zu machen. Auch wird angestrebt, die Prognosen für Liefer- und Ankunftszeiten im Netzwerk eines Dienstleisters zu verbessern. Bei der Analyse werden interne Daten wie bisherige Lieferzeiten und externe Daten wie Wetterbedingungen, Feiertage sowie Kaufverhalten einbezogen. Mittels Big-Data-Analysen ist zudem geplant, ein „vorausschauendes Versenden“ von Waren zu ermöglichen. Dabei werten Online-Händler die Suchanfragen, früheren Einkäufe sowie Wunschlisten ihrer Kunden aus, wodurch vorhergesagt werden soll, ob Kunden ein Produkt kaufen werden. Bei hoher Wahrscheinlichkeit wird die Ware bereits in Richtung des Kunden versandt, bevor dieser die eigentliche Bestellung aufgegeben hat. Bestellt der Kunde das Produkt wider Erwarten nicht, kann dieses noch im Transit an eine andere Adresse weitergeleitet werden [Golem.de 2014b]. Durch den Einsatz vorausschauender Logistik versprechen sich Dienstleister, Kapazitäten und Ressourcen in ihrem Logistiknetzwerk effizienter ausnutzen zu können und schnellere Lieferzeiten sowie dynamischere Versandoptionen zu realisieren. Zudem könnten die Risiken von Lieferketten durch genauere Bewertungen gesenkt werden, da durch die Auswertung verschiedener Daten potentielle Risiken präziser antizipiert und bewertet werden können [DHL 2014, S. 18]. Autonome Logistik Autonome Logistik umfasst neue Transportmöglichkeiten wie selbststeuernde Fahrzeuge und unbemannte Luftfahrzeuge (Drohnen) sowie die dazugehörigen Lösungen im Bereich der Produktlagerung. Für autonome Systeme gibt es verschiedene Anwendungsgebiete entlang von Logistikketten. Autonome Fahrzeuge haben heutzutage bereits einen erheblichen Reifegrad erreicht, auch wenn die Komplexität des Straßenverkehrs weiterhin Herausforderungen bereithält [ZEIT ONLINE 2014]. Mit dem Einsatz von Systemen wie GPS, Laser-Radar und Entfernungsmessern sind autonome Fahrzeuge heutzutage in der Lage, sich selbstständig zu steuern. Durch den Abgleich mit aktuellen Verkehrsdaten und die Kommunikation mit anderen Fahrzeugen kann in Zukunft auch eine dynamischere Routenfindung ermöglicht werden. Unter anderem arbeitet Mercedes an der Entwicklung von autonomen Lkw und hat auf der Internationalen Automobil-Ausstellung (IAA) 2014 einen ersten Prototyp vorgestellt. Im vorangegangenen Sommer hatte dieser Testfahrten mit Geschwindigkeiten von bis zu 80km/h in realistischen Verkehrssituationen auf einem Teilstück der Autobahn A14 in Magdeburg durchgeführt [Mercedes-Benz 2014]. Ob sich der logistische Gesamtprozess durch den Einsatz autonomer Transportsysteme nachhaltig ändern wird, bleibt abzuwarten. Bundesamt für Sicherheit in der Informationstechnik 45 Branchenstruktur Im März 2015 hat die US-Luftfahrtbehörde ihr Verbot von kommerziellen Drohnen aufgeweicht und erstmals Tests mit Drohnen für einen kommerziellen Einsatzzweck gestattet [FAA 2015]. Versandhändler wie Amazon oder DHL experimentieren bereits mit dem Einsatz von Lieferdrohnen. Diese sollen vor allem eingesetzt werden, um zeitkritische Lieferungen in abgelegene oder schwer zu erreichende Gegenden zu realisieren. Der Einsatz von Drohnen kann zudem in Regionen sinnvoll sein, in denen nur eine unzureichende Infrastruktur und Verkehrsträger zur Verfügung stehen. Experten vermuten zudem, dass Lagerhallen in Zukunft in direkter Verbindung mit dem Kunden stehen werden. Statt die Lieferung des Produkts an den Kunden über verschiedene Stationen hinweg zu realisieren, soll der Kunde über das Internet in direkter Kommunikation mit zentralen Warenhäusern stehen. Kontrollsysteme sollen dann in der Lage sein, in Echtzeit Anfragen aus dem Internet zu verarbeiten und die entsprechenden Prozesse innerhalb des Warenhauses zu steuern. Die unmittelbaren Vorteile autonomer Logistiksysteme sind Kostenersparnisse und die Erhöhung der Reichweite von Logistiknetzwerken. Darüber hinaus ergeben sich Begleiteffekte wie ein verbesserter Verkehrsfluss und geringere Unfallquoten. Kunden könnten von geringeren Lieferzeiten und Kosten profitieren [DHL 2014, S. 32]. 46 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3 Kritische Dienstleistungen Im folgenden Kapitel „Kritische Dienstleistungen“ werden diejenigen logistischen Dienstleistungen identifiziert und beschrieben, die für eine Industrienation wie Deutschland eine bedeutende (kritische) Rolle zur Sicherung des Gemeinwohls leisten. Kritische Dienstleistungen sind Dienstleistungen, deren Ausfall oder Beeinträchtigung zu nachhaltig wirkenden Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen führen kann [BMI 2009]. Im Rahmen dieser Studie werden in der Logistikbranche die folgenden drei kritischen Dienstleistungen beschrieben und untersucht: – die Transportlogistik (DL1); – die Umschlaglogistik (DL2); – die Lagerlogistik (DL3). Die Auswahl an kritischen Dienstleistungen kann zum einen auf den staatlichen Auftrag zur Daseinsfürsorge zurückgeführt werden, zum anderen auch auf ihre Bedeutung als Basisdienstleistungen für andere Sektoren und deren kritische Dienstleistungen [BMI 2011]. Die ausgewählten Dienstleistungen Transport(DL1), Umschlag- (DL2) und Lagerlogistik (DL3) entsprechen den operativen Grundfunktionen in der Logistik. Dabei hat die Trennung der einzelnen Leistungsbereiche eher idealtypischen Charakter; in der Praxis treten gerade in multimodalen Verkehren Kombinationen der Dienstleistungen auf, durch die sich beliebig komplexe Logistikketten mit z. B. zyklischen Lager- und Umschlagprozessen abbilden lassen. 13 In den nachfolgenden Unterkapiteln werden für jede Dienstleistung sowohl die notwendigen physischen Tätigkeiten entlang des Materialflusses als auch koordinierende bzw. strategische Tätigkeiten entlang des Informationsflusses dargestellt. Der Zusammenhang zwischen den verschiedenen Dienstleistertypen (siehe Abschnitt 2.1 „Strukturierung und Organisation der Branche“) und den erbrachten kritischen Dienstleistungen lässt sich aufgrund der komplexen Marktstrukturen lediglich idealtypisch betrachten. Abbildung 17 zeigt dies exemplarisch. 1PL/2PL erbringen oftmals Tätigkeiten im Rahmen einzelner Prozessschritte einer Dienstleistung, beispielsweise in der Transportlogistik. 3PL übernehmen darüber hinaus die Koordination und Steuerung ganzer Dienstleistungen oder mehrerer Dienstleistungen inklusive der Schnittstellen zwischen diesen. 4PL/5PL, die umfangreiche Logistikleistungen für externe Unternehmen übernehmen, koordinieren alle Tätigkeiten der drei betrachteten Dienstleistungen zur Leistungserbringung für das beauftragende Unternehmen; dies erfolgt aufgrund fehlender operativer Assets unter Rückbezug auf 1PL/2PL oder 3PL, welche die eigentlichen Tätigkeiten des Transports, Umschlags oder der Lagerung erbringen. 13 Beispielhafte Darstellungen für einfach gebrochene, intramodale sowie mehrfach gebrochene, intermodale Logistikketten finden sich in Abbildung 33 und Abbildung 35 im Anhang. Bundesamt für Sicherheit in der Informationstechnik 47 Kritische Dienstleistungen Abbildung 17: Idealtypische Zuordnung von Dienstleistertypen zu kritischen Dienstleistungen Quelle: eigene Darstellung Methodik Im jeweiligen Abschnitt der einzelnen Dienstleistungen (DL) werden diese als ein Gesamtprozess betrachtet und in ihrer Funktion beschrieben. Hierzu werden die kritischen Dienstleistungen in Prozessschritte (PS) untergliedert. Dies ermöglicht eine übersichtliche Betrachtung der zur Erbringung der Dienstleistung nötigen Schritte oder Komponenten (siehe Abbildung 18). Jedem Prozessschritt sind betriebsinterne Prozesse (BP) zugeordnet, welche die detaillierteste Betrachtungsebene im Rahmen dieser grundlegenden Sektorstudie darstellen. Diese Prozesse bilden einen allgemeinen und von der Realität teils abstrahierten Blick auf den Gesamtprozess. Es werden keine betreiberspezifischen Eigenheiten betrachtet. Abbildung 18: Modellierung kritischer Dienstleistungen Quelle: eigene Darstellung In der Studie werden nur jene betriebsinternen Prozesse genauer betrachtet, deren Ausfall oder Störung zu einem Ausfall oder einer Beeinträchtigung der gesamten Dienstleistung führen können. In diesem Sinne stellen sie die kritischen betriebsinternen Prozesse der Dienstleistung dar. Auf diese Prozesse wird inhaltlich näher eingegangen, um den Bezug zu betroffenen Anlagen und Betriebsstätten (feste Geschäfts48 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen einrichtungen, die der Tätigkeit des Unternehmens dienen) sowie Abhängigkeiten und Zusammenhänge von und zu anderen kritischen betriebsinternen Prozessen herauszustellen. Nicht KRITIS-relevante betriebsinterne Prozesse werden lediglich in den Übersichtsgrafiken der jeweiligen kritischen Dienst leistung aufgeführt, jedoch nicht näher erläutert. Für jede Dienstleistung werden durch beispielhafte Szenarien die dramatischen Folgen eines Ausfalls verdeutlicht. Diese Szenarien orientieren sich an realen Vorfällen oder basieren auf skizzierten Ursachen und Folgen, die nach Expertenmeinungen als realistisch angesehenen werden. Zur Überleitung in die Analyse der Abhängigkeiten der kritischen Dienstleistungen von Informations- und Kommunikationstechnologie (IKT) und zur Bestimmung des aktuellen Stands der Cybersicherheit werden in der Beschreibung der betriebsinternen Prozesse verschiedene IKT-Risikoelemente identifiziert. Diese stellen Systeme der Informationstechnik (IT) und Kommunikationstechnik (KT) dar, welche die betriebsinternen Prozesse stützen bzw. verarbeitete Informationen bereitstellen und verwalten. Bundesamt für Sicherheit in der Informationstechnik 49 Kritische Dienstleistungen 3.1 Transportlogistik (DL1) Die kritische Dienstleistung „Transportlogistik“ verbringt Güter zwischen verschiedenen Stationen in einem Logistiknetzwerk. Hierfür nutzt sie die durch den TuV-Sektor bereitgestellte Infrastrukturen. Sie erbringt zum einen die operativen Beförderungsleistungen für Produkte und Güter, zum anderen alle für den Transportvorgang notwendigen Verwaltungs- und Informationsabläufe. Dabei wirken administrative Größen (z. B. Personalverwaltung, Transport, Fahrzeugverwaltung), dispositive Größen (z. B. Transportstrategien, Transportsteuerung) und operative Größen (z. B. Transporttechnik, Datenübertragungstechnik) zusammen [Heinrich 2011, S. 97]. Bei Aufträgen, die nicht direkt oder ungebrochen abgewickelt werden, entstehen durch die Verknüpfung von Transport- und Umschlaglogistik indirekte oder gebrochene Logistikketten. Diese können intra- oder intermodal ausgestaltet sein. Neben den eigentlichen Transportmitteln werden verschiedene technische Systeme genutzt, welche die Vorbereitung des Transports, die Durchführung sowie die Lieferung unterstützen. Die übergeordnete Aufgabe der Transportlogistik ist dabei, Güter zu möglichst geringen Kosten zu verteilen und bereitzustellen. Die Transportkosten sinken, „wenn der Wert pro Gewichts- bzw. der Wert pro Volumeneinheit ansteigt, weil dadurch die Transportkapazitäten besser ausgelastet sind. Die Transportlogistik ist [daher] darauf ausgerichtet, die Transporte bezüglich Beladung, Entladung, Auslastung, Übergabe sowie Identifizierung zu optimieren.“ [Heinrich 2011, S. 97] Die Erbringung der Transportleistung besteht aus technisch und logisch komplexen Vorgängen, die diese Studie zur Analyse kritischer Zusammenhänge und Abhängigkeiten in logische Teilbereiche, sogenannte Prozessschritte, unterteilt (siehe Abbildung 19). Jeder Prozessschritt leistet einen wesentlichen Beitrag zur Erbringung der Dienstleistung und beeinträchtigt bei Störung oder Ausfall die gesamte Dienstleistung. Für die Dienstleistung „Transportlogistik“ werden im weiteren Verlauf der Studie die folgenden Prozessschritte betrachtet: • Vorbereitung (PS1): Vorbereitung und Planung des Transports erfolgen in erster Linie im Rahmen des Auftragsmanagements, der Disposition und der Tourenplanung. Die entsprechenden Tätigkeiten laufen auf strategischer Ebene ab, daher beinhaltet der Prozessschritt keine Abläufe entlang des Materialflusses. • Transport (PS2): Zu transportierende Güter werden entsprechend der zuvor erfolgten Transportplanung übernommen, verladen und zum Bestimmungsort transportiert. Begleitende Tätigkeiten wie die Überwachung und Steuerung des Transports sowie das Tracking und Tracing von Sendungen oder Fahrzeugen ergänzen den physischen Materialfluss. • Lieferung (PS3): Die Güter werden entladen und an den Empfänger übergeben. Nach Bestätigung des abgeschlossenen Transports erfolgt die Fakturierung. 50 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen Abbildung 19: Schematische Darstellung der kritischen Dienstleistung „Transportlogistik“ Quelle: eigene Darstellung Ausfall der Transportlogistik Ein Ausfall der Transportlogistik kann vielfältige Ursachen haben: • Technisches Versagen: Ausfälle der Transportlogistik, verursacht durch Ausfall oder technisches Fehlverhalten von Infrastrukturkomponenten (z. B. Transportmittel) bzw. der eingesetzten Informations- und Kommunikationstechnologie. • Menschliches Versagen: Ausfälle der Transportlogistik, verursacht durch menschliches Fehlverhalten, etwa bei großflächigen Konfigurationsänderungen der Informations- und Kommunikationstechnologie oder anderer kritischer Systeme. • Kriminelle oder terroristische Handlungen: Ausfälle der Transportlogistik, verursacht durch absichtliche Manipulationen oder Cyber-Angriffe auf die eingesetzte Informations- und Kommunikationstechnologie oder andere Infrastrukturkomponenten. Unter dem Begriff „Ausfall“ werden im Folgenden ein vollständiger Ausfall der Dienstleistung, eine gravierende Störung der Dienstleistung mit konkreten Folgen oder die Zerstörung von Infrastrukturen (meist verbunden mit Ausfällen) verstanden. Exemplarisch seien an dieser Stelle einige Ausfallszenarien aufgeführt: • Menschliches Fehlverhalten bei der Beladung von Transportmitteln, das nicht durch sachgemäße Kontrollen aufgedeckt wird, kann zu Unfällen und Behinderungen im Verkehr führen. In Folge können die jeweiligen Verkehrsträger partiell oder vollständig ausfallen. Dies zeigt der Fall der Havarie des Tankmotorschiffs „Waldhof“ vom Januar 2011 auf dem Mittelrhein. Das Schiff hatte die Fahrt angetreten, obwohl eine „ausreichende und vorschriftenkonforme Stabilität (Schwimmstabilität) des Fahrzeugs aufgrund unzulässiger Beladung“ [WSD Südwest 2013] nicht vorgelegen hatte. „Der Rhein war [in Folge] bis zum Abschluss der Bergungsmaßnahmen über einen Zeitraum von 32 Tagen für den Schiffsverkehr Bundesamt für Sicherheit in der Informationstechnik 51 Kritische Dienstleistungen partiell oder vollständig gesperrt, so dass insbesondere oberhalb der Unfallstelle bis zu 450 Schiffe an einer weiteren Talfahrt gehindert waren.“ [WSD Südwest 2013] • Externe Cyber-Angriffe können zu einer Störung der Transportlogistik führen, beispielsweise im Schienenverkehr. Im Jahr 2011 verschafften sich Hacker Zugriff auf Signalsteuerungsanlagen der Northwest Rail Company (USA) und setzten die Signale auf einem Streckenabschnitt für zwei Tage außer Betrieb. Da die Strecke „nahezu lahmgelegt“ war, „entstand ein riesiges Chaos“, was zu hohen Kosten für die betroffenen Transportunternehmen führte [KPMG 2015; Nextgov 2012]. • Terroristische Handlungen unter Nutzung logistischer Infrastrukturen können sowohl direkten Einfluss auf die angebotenen Dienstleistungen nehmen als auch Auswirkungen auf die öffentliche Sicherheit nach sich ziehen. Logistische Netzwerke fungieren als Rückgrat der globalen Supply Chains, weshalb Störungen dieser die nationale Wirtschaft ins Stocken bringen könnten. Angriffe auf besonders stark frequentierte Knotenpunkte könnten sogar Volkswirtschaften angrenzender Länder destabilisieren. Dies macht Logistiknetzwerke zu einem präferierten Ziel für terroristische Angriffe. [PwC 2011, S. 32] Insbesondere das Transportgewerbe gehört zu den bevorzugten Zielen von Internetkriminellen [eurotransport 2013]. „Die versuchten Bombenanschläge mit manipulierten Luftfrachtsendungen im Oktober 2010 haben die verlagerte Bedrohung auch im Frachtbereich vor Augen geführt.“ [BMVI 2015, S. 6] Terroristen hatten den Sprengstoff PETN in zwei Druckerpatronen versteckt, die aus dem Jemen per Luftfracht verschickt wurden. Beide Pakete waren unter anderem von UPS und FedEx transportiert worden. Obwohl diese nicht das eigentliche Ziel der Bombenpakete waren, hätte eine Detonation an Bord eines Flugzeuges oder am Boden verheerende Folgen nach sich gezogen [Spiegel Online 2010]. Folgen eines Ausfalls der Transportlogistik Aufgrund der Komplexität und des vermaschten Aufbaus von Logistiknetzen können Ausfälle von Verkehrsmitteln und -trägern in den meisten Fällen substituiert werden. Hierbei sind jedoch die „unterschiedliche Betroffenheit der Verkehrsträger zu berücksichtigen und, ob Ausfälle im Netz durch Ausweichstrecken anderer Verkehrsträger kompensiert werden können.“ [BMVI 2015, S. 9] Ausfälle zentraler Knotenpunkte ziehen oftmals großflächige Folgen nach sich, doch auch „punktuelle Ausfälle einiger wichtiger Verkehrsknoten können genügen, um abhängige Produktions- und Versorgungsbereiche signifikant einzuschränken oder gar temporär zusammenbrechen zu lassen.“ [BMVI 2015, S. 5] Die Folgen eines Ausfalls der Transportlogistik unterscheiden sich in den einzelnen Teilen der Gesellschaft: • Die Bevölkerung ist durch einen Ausfall der Transportleistungen insofern beeinflusst, als dass Güter nicht oder verspätet bereitgestellt werden können. Ist eine Substitution des Transports nicht möglich, können nachhaltig wirkende Versorgungsengpässe mit wichtigen Gütern entstehen. Dies betrifft beispielsweise Lebensmittel oder Medikamente. • Für die Wirtschaft ist bei Störung oder Ausfall der Transportlogistik von großen finanziellen Auswirkungen auszugehen. Bei einem Großteil der deutschen Wirtschaft bestehen hohe Logistik abhängigkeiten in Prozessen und Wertschöpfung. Insbesondere Just-in-Time-Produktionen, die auf einem logistikorientierten, dezentralen Organisations- und Steuerungskonzept beruhen, sind schnell betroffen. • Auch der Staat ist von einem Ausfall der Transportlogistik betroffen. So wird die Staatsfunktion zur Versorgung der Bevölkerung eingeschränkt, wodurch in Notsituationen Hilfsgüter nicht verteilt werden können. 3.1.1 Vorbereitung (PS1) Im Prozessschritt „Vorbereitung“ werden organisatorische Abläufe erbracht, die zur Durchführung und Steuerung des Transports notwendig sind. Der Prozessschritt beginnt mit Eingang eines Transportauftrags und endet mit der konkreten Tourenplanung. Die beinhalteten betriebsinternen Prozesse laufen ausschließlich auf Ebene des Informationsflusses ab; es finden keine Tätigkeiten statt, die den Materialfluss 52 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen begleiten. Als Dienstleister sind in diesem Prozessschritt vor allem Logistikunternehmen involviert, die als 2PL oder höher agieren. Die unterschiedlichen Tätigkeiten werden nachfolgend getrennt als sogenannte betriebsinterne Prozesse betrachtet, um insbesondere die jeweiligen prozessualen und technischen Gegebenheiten bei der Transport vorbereitung zu berücksichtigen (siehe Abbildung 20). Für den Prozessschritt „Vorbereitung“ werden im weiteren Verlauf die folgenden betriebsinternen Prozesse betrachtet: • Auftragsmanagement (BP1): Verwaltung von Kunden- und Auftragsinformationen zur fehlerfreien und termingerechten Ausführung. • Disposition (BP2): Logistische Verwaltung und Koordination von Transportaufträgen unter Berücksichtigung vereinbarter Leistungsanforderungen nach vorgegebenen Dispositionsstrategien. • Tourenplanung (BP3): Organisation von Abhol- und Zustellfahrten dergestalt, dass Anzahl und Einsatzzeit der Transportmittel minimal sind. Abbildung 20: Prozessschritt „Vorbereitung“ der Dienstleistung „Transportlogistik“ Quelle: eigene Darstellung Bundesamt für Sicherheit in der Informationstechnik 53 Kritische Dienstleistungen 3.1.1.1 Auftragsmanagement (BP1) DL PS BP 1 1 1 Zusammenfassung Auftragsmanagement Der betriebsinterne Prozess „Auftragsmanagement“ beinhaltet die Verwaltung von Kunden- und Auftragsinformationen zur fehlerfreien und termingerechten Ausführung. IKT-Risikoelemente • Customer Relationship Management (CRM) • Transportmanagementsystem (TMS) • Kommunikationsverbindungen zur Datenfernübertragung • Schnittstellen zu Zollsystemen Tabelle 5: Betriebsinterner Prozess „Auftragsmanagement“ (DL1 PS1 BP1) Prozessbeschreibung Das Auftragsmanagement umfasst primär vertriebliche Tätigkeiten. Es beinhaltet sowohl die Verwaltung von Kundendaten und -informationen als auch das Management eingehender Aufträge zur Vorbereitung des Transports, des Umschlags oder der Lagerung. „Aufträge sind entweder verbindliche Kundenaufträge, Vorgaben einer vorausgegangenen Planung oder aus einer kurzfristigen Bedarfsprognose abgeleitet.“ [Gudehus 2010, S. 43] Jeder Auftrag enthält Lieferanforderungen, Operationsanweisungen und Logistikanforderungen. Lieferanforderungen spezifizieren, welche Frachtarten und Mengen zu transportieren, umzuschlagen und zu lagern sind. Operationsanweisungen spezifizieren, wie die Leistung zu erfolgen hat und ob bestimmte Rahmenbedingungen beachtet werden müssen (z. B. bei Spezialtransporten für Gefahrgut). Logistikanforderungen geben vor, „wann und wo die Liefermengen in welcher Form abzuholen, abzuliefern oder bereitzustellen sind“ [Gudehus 2010, S. 44]. Aufgaben der kaufmännischen Auftragsbearbeitung sind die Überprüfung der Kundenaufträge hinsichtlich Preiskonditionen, Liefermodalitäten und Bonität des Kunden, die Auftragsannahme sowie die Einplanung in die weiteren Logistiktätigkeiten. Eine IT-basierte Unterstützung des Auftragsmanagements über alle Prozessphasen hinweg erlaubt die Datenübernahme aus Systemen zum Enterprise Resource Planning (ERP), Customer Relationship Management (CRM) oder aus Warehouse Management Systemen 14 (WMS). Die Integration des Auftragsmanagements in andere Bereiche der Leistungserbringung ermöglicht einen optimalen Informationsfluss sowie eine lückenlose und bereichsübergreifende Steuerung von Gesamtaufträgen. Aus externen Aufträgen leiten sich interne Aufträge ab, die regeln, „wann und wie in welchen Leistungsbereichen und von welchen Leistungsstellen welcher Aufgabenumfang der externen Aufträge durchzuführen ist.“ [Gudehus 2010, S. 45] Die Dokumentation der Aufträge erfolgt im Transportmanagementsystem (TMS). Die Auftragsdaten werden in der Regel per Datenfernübertragung empfangen und in das System über eine passende Schnittstelle integriert oder manuell erfasst. Das Transportmanagementsystem wird für die Erstellung der Transportdokumente, für das Avisieren der Lieferung beim Empfänger, die Fakturierung gegenüber dem Kunden und für Datenübertragung an die Zoll ämter genutzt (siehe Abschnitt 2.4.2 „Zollabfertigung“). Logistikdienstleister, die für ihre Kunden die Zollanmeldung übernehmen, integrieren in der Regel eine Verknüpfung zwischen dem Zollsystem ATLAS und ihrem Transportmanagementsystem. 14 Für Systeme der Lagerlogistik werden verschiedene Begriffe wie Lagerverwaltungssystem, Lagerführungssystem oder Warehouse Management System genutzt. Aus Gründen der Vereinfachung und Einheitlichkeit wird im Folgenden der Begriff „Warehouse Management System“ genutzt, um diese Systeme zu beschreiben. 54 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen Das Auftragsmanagement bildet über den gesamten Logistikprozess hinweg die direkte Schnittstelle zwischen Logistikdienstleister und Kunden. Ergänzende Informationen zum Auftrag werden im Rahmen der Auftragsüberwachung (siehe z. B. Abschnitt 3.1.2.3 „Transportsteuerung (BP4)“) geliefert und im jeweiligen Auftrag dokumentiert. Bundesamt für Sicherheit in der Informationstechnik 55 Kritische Dienstleistungen 3.1.1.2 Disposition (BP2) DL PS BP 1 1 2 Zusammenfassung Disposition Der betriebsinterne Prozess „Disposition“ beinhaltet die logistische Verwaltung von Transportaufträgen sowie die Bearbeitung aktueller Aufträge und Leistungsanforderungen nach vorgegebenen Dispositionsstrategien. IKT-Risikoelemente • Transportmanagementsystem (TMS) • Dispositionssystem Tabelle 6: Betriebsinterner Prozess „Disposition“ (DL1 PS1 BP2) Prozessbeschreibung Die Disposition „findet unverzüglich nach Auftragseingang oder regelmäßig in kurzen Zeitabständen von wenigen Stunden bis zu mehreren Tagen statt.“ [Gudehus 2010, S. 43]. Ziel der Disposition ist „die Ausführung der vorliegenden Aufträge innerhalb der zugesagten Lieferzeiten oder zu den geforderten Lieferterminen mit einer bestimmten Lieferfähigkeit“ [Gudehus 2010, S. 47]. Die Disposition hat die Aufgabe, „die kaufmännisch akzeptierten externen Aufträge zu erfassen, nach Prioritäten zu ordnen, nach geeigneten Dispositionsstrategien in interne Aufträge aufzulösen und diese an die betreffenden […] [Leistungsstellen] zur Ausführung weiterzuleiten.“ [Gudehus 2010, S. 46] Sie erbringt „die mengenmäßige Einteilung der Aufträge mit aktuellen Leistungsanforderungen und die terminierte Zuweisung der resultierenden internen Aufträge zu den verfügbaren Ressourcen.“ [Gudehus 2010, S. 43] Disponenten teilen die Touren für Subunternehmer oder die eigene Fahrzeugflotte ein und überwachen die Erledigung der Aufträge. Gleichzeitig werden Informationen zur Abrechnung und Qualitätssicherung erfasst. Die Disposition richtet sich an den Vorgaben der administrativen Ebene (Unternehmensplanung, Strategieentwicklung etc.) aus und verfolgt hierzu verschiedene Dispositionsstrategien. Dies sind im Rahmen der Transportlogistik in erster Linie verschiedene Transportstrategien. Sie ermöglichen es, die Transporteinheiten optimal zu den entsprechenden Zielorten zu leiten. Hauptsächlich werden hierfür vier Strategien genutzt: Stationsstrategien, Fahrwegstrategien, Leerfahrtstrategien und Verkehrsstrategien [Gudehus 2010, S. 787–790]. • Stationsstrategien regeln „die Abfertigung der Beförderungsaufträge an den Stationen und das Beladen der Transporteinheiten mit den zur Beförderung anstehenden Ladungen.“ [Gudehus 2010, S. 787] • Fahrwegstrategien „regeln die Reihenfolge, in der die Bestimmungsorte der Ladung einer Transporteinheit angefahren werden, und bestimmen den Fahrweg“ [Gudehus 2010, S. 788], unter Einsatz von Strategien minimaler Fahrwege, maximaler Kapazitätsauslastung oder Fahrplanstrategien. • Leerfahrtstrategien regeln den Einsatz der leeren und teilgefüllten Transporteinheiten, „die im Transportnetz eines Fahrzeugsystems umlaufen“ [Gudehus 2010, S. 789]. • Verkehrsstrategien regeln und lenken „die Ströme der Lade- oder Transporteinheiten durch das Transportnetz so, dass bei Einhaltung der zugesicherten Transportzeiten ein maximaler Durchsatz erreicht wird“ [Gudehus 2010, S. 790], unter Einsatz von Kombinations- und Gesamtnetzstrategien. Bei der dynamischen Transportdisposition werden eingehende Transportaufträge automatisch mit den „über Satellitenfunk oder Datenfernübertragung permanent verfügbaren Standorte[n] und Ladungsdaten von Transportmitteln“ [Gudehus 2010, S. 56] abgeglichen und zugeordnet. 56 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.1.1.3 Tourenplanung (BP3) DL PS BP 1 1 3 Zusammenfassung Tourenplanung Der betriebsinterne Prozess „Tourenplanung“ beinhaltet die Organisation von Abholund Zustellfahrten dergestalt, dass Anzahl und Einsatzzeit der Transportmittel minimal sind. IKT-Risikoelemente • Transportmanagementsystem (TMS) • Tourenplanungsprogramm • Flottenmanagementsystem Tabelle 7: Betriebsinterner Prozess „Tourenplanung“ (DL1 PS1 BP3) Prozessbeschreibung Während die Disposition die Einteilung von Aufträgen zu Touren vornimmt, werden bei der Tourenplanung Abhol- und Zustellfahrten dergestalt organisiert, „dass Anzahl und Einsatzzeit der Transportmittel minimal sind“ [Gudehus 2010, S. 828].15 Besondere Bedeutung kommt der Toureplanung im Straßenverkehr zu, da sich Quelle und Senke oft kurzfristig ändern; in den Bereichen Binnen- und Seeschifffahrt, Luft- und Schienenverkehr spielt die Toureplanung eine untergeordnete Rolle, da Quellen und Senken durch die existierende Infrastruktur relativ fix sind. Restriktionen, die bei der Tourenplanung beachtet werden müssen, sind die Transportkapazität der eingesetzten Transportmittel, die Empfindlichkeit und Beschaffenheit des Frachtguts, die Fahrzeiten gemäß der zulässigen Arbeitszeit des Fahrers, Abhol- und Anliefertermine sowie die zeitliche Transportdauer unter Berücksichtigung verkehrsbedingter Geschwindigkeitsbegrenzungen und Staueffekte [Gudehus 2010, S. 828]. Auch weitere externe Faktoren wie akute Gefahrenbereiche (z. B. aufgrund von Naturkatastrophen oder kriminellen Vorfällen) müssen berücksichtigt werden. Softwarebasierte Tourenplanungsprogramme nutzen meist heuristische Lösungsverfahren, um Tourenplanungsprobleme ohne Zeitrestriktionen rasch zu lösen. „Bei mehrfachen Zeitrestriktionen und Ein schränkungen der Beladefolge“ [Gudehus 2010, S. 828] ist jedoch nach wie vor eine manuelle Planung der Touren erforderlich. Ganzladungstransporte, die direkt bedient werden können, werden dabei meist ausgesondert und separat geplant. Teilladungstransporte bedingen die Konstruktion einer brauchbaren Ausgangssituation, „die den Beförderungsbedarf unter Einhaltung der Restriktionen erfüllt. Die Ausgangslösung kann dann mit Hilfe von heuristischen Verfahren weiter verbessert werden.“ [Gudehus 2010, S. 829] Zur Erzeugung der Ausgangslösung werden meist Clusterstrategien oder das Drehstrahlverfahren angewendet. Die Optimierung der Fahrwege kann anhand der kürzesten Fahrweglängen, der kürzesten Fahrzeiten oder der geringsten Fahrtkosten erfolgen [Gudehus 2010, S. 831]. Die Tourenplanung wird durch das Flottenmanagement ergänzt, welches die Planung, Steuerung und Kontrolle des Fuhrparks beinhaltet. Die Fuhrparkverwaltung erfolgt heutzutage in der Regel über Telematiksysteme zur automatischen Positionierung und Koordination der Fahrzeuge. Zum Flottenmanagement zählt auch die Wartung und Instandsetzung der Fahrzeuge. Digitale Systeme zum Flottenmanagement bieten meist Möglichkeiten zur Ermittlung von Einsparpotentialen, zur Optimierung der Flottenstrukturen sowie zur Erstellung individueller Flottenmanagementkonzepte. 15 Die Abgrenzung von Disposition und Tourenplanung ist nicht immer trennscharf; je nach Kontext bzw. Organisation werden die Begriffe unterschiedlich verwendet, teilweise auch synonym. Bundesamt für Sicherheit in der Informationstechnik 57 Kritische Dienstleistungen 3.1.2 Transport (PS2) Im Prozessschritt „Transport“ werden operative Abläufe erbracht, die zur Durchführung des Transports notwendig sind. Der Prozessschritt beginnt mit Übernahme der zu verladenden Waren und endet mit dem eigentlichen Transport. Zu transportierende Güter werden entsprechend der zuvor erfolgten Transportplanung übernommen und verladen sowie zum Bestimmungsort transportiert. Steuernde Tätigkeiten wie die Überwachung des Transportstatus und das Tracking von Sendungen oder Fahrzeugen ergänzen den physischen Materialfluss. Die unterschiedlichen Tätigkeiten werden nachfolgend getrennt als sogenannte betriebsinterne Prozesse betrachtet, um insbesondere die jeweiligen prozessualen und technischen Gegebenheiten bei der Transport durchführung zu berücksichtigen (siehe Abbildung 21). Für den Prozessschritt „Transport“ werden im weiteren Verlauf die folgenden betriebsinternen Prozesse betrachtet: • Warenübernahme (BP1): Übernahme der zu transportierenden Waren vom Versender und (elektronische) Dokumentation der Warenübernahme sowie Verladung der Waren in das Transportmittel und Sicherung der Ladung. • Transport (BP2): Transport der Waren unter Nutzung verschiedener Verkehrsträger und Verkehrsmittel. • Transportsteuerung (BP3): Realisierung der geplanten Transportstrategien und Steuerung der Transporte unter Berücksichtigung der Gesamtbelastung im Transportnetz. • Tracking/Tracing (BP4): Tracking des aktuellen Transportstatus und Verfolgung des Sendungsverlaufs. Abbildung 21: Prozessschritt „Transport“ der Dienstleistung „Transportlogistik“ Quelle: eigene Darstellung 58 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.1.2.1 Warenübernahme (BP1) DL PS BP 1 2 1 Zusammenfassung Warenübernahme Der betriebsinterne Prozess „Warenannahme“ beinhaltet die Übernahme der zu transportierenden Waren vom Versender sowie die (elektronische) Dokumentation der Warenübernahme. Im Anschluss daran erfolgt die Verladung der Waren in das Transportmittel und die Sicherung der Ladung. IKT-Risikoelemente • Transportmanagementsystem (TMS) • Barcode-/RFID-Systeme Tabelle 8: Betriebsinterner Prozess „Warenübernahme“ (DL1 PS2 BP1) Prozessbeschreibung Die Warenübernahme umfasst alle Tätigkeiten, die bei der Übernahme der zu transportierenden Waren vom Versender erfolgen.16 Dabei werden zunächst die zu übernehmenden Waren mit den (internen) Transportpapieren verglichen, die im Rahmen des Auftragsmanagements erstellt wurden und Liefer anforderungen, Operationsanweisungen und Logistikanforderungen spezifizieren. Zusätzlich werden die Waren auf Mängel und Schäden kontrolliert und die Liefermengen überprüft. Das Kennzeichnen der Waren und Sendungen durch Etiketten oder Beschriftung sowie die Erstellung der Begleitdokumente wie der Frachtbriefe erfolgt meist durch den Versender. Ggf. übernimmt der Transportdienstleister die Erstellung der Begleitdokumente; dies kann durch das Auftragsmanagement verwaltet werden. Die Warenübernahme wird meist in elektronischer Form dokumentiert. Dazu werden die Barcode-Etiketten der Packstücke bzw. der Gesamtlieferung eingescannt und der Status im Sendungsverlauf ergänzt (siehe Abschnitt 3.1.2.4 „Tracking/Tracing (BP5)“). Alternativ zu Barcodes kann die Erfassung von Packstücken über RFID erfolgen. Bei großen Sendungen (z. B. Containertransporte oder Schüttguttransporte per Bahn oder Schiff) erfolgt zusätzlich die Verknüpfung mit dem Transportmittel. Container werden i. d. R. leer beim Versender gestellt, von diesem beladen und nach Wartezeit oder am darauffolgenden Tag abgeholt. Versandmengen, die weniger als eine Containerladung umfassen (LCL), werden in sogenannten Konsoli dierungspunkten zu einer Komplettladung zusammen gefasst. In der Seefracht sind diese Punkte typischerweise Packschuppen, bei Luftfracht erfolgen ähnliche Vorgänge der Mengentransformation durch Handling-Agenten. Bei der Erstellung der Sendungsdokumente werden die Kennzeichen der Transportmittel (z. B. Containernummer) vermerkt. Verladeanlagen wie Hafenkräne werden meist von bestimmten Eigentümern und Betreibern geführt, welche von Reedern oder Agenten beauftragt werden. Begleitend oder im Anschluss an die organisatorische Warenübernahme erfolgt die physische Verladung der Waren in das Transportmittel zur Verlastung. Dabei erfolgt gleichzeitig eine Verknüpfung der erfassten Waren mit dem Transportmittel bzw. Container, in welchen die Waren verladen werden. Für die Verladung werden je nach Verkehrsträger bzw. Verkehrsmittel Verladeanlagen wie Kräne, Flurförderzeuge u. a. eingesetzt. Die Verladung der Waren in das Transportmittel muss mit entsprechender Sorgfalt 16 Die Waren werden dabei typischerweise vom Versender vorab kommissioniert und als Gesamtaufträge bereitgestellt, sodass der Transporteur keine Auswahl der zu übernehmenden Waren treffen muss. Zur Beschreibung dieser versenderseitigen Vorgänge siehe Abschnitt 3.2.2.3 „Kommissionierung (BP3)“ und Abschnitt 3.2.3.1 „Warenübergabe (BP1)“. Bundesamt für Sicherheit in der Informationstechnik 59 Kritische Dienstleistungen erfolgen, da die Verteilung des Ladegewichts das Fahr- bzw. Flugverhalten beeinflusst. Zur Transportsicherheit wird die Ladung gegen die beim Transport auftretenden physikalischen Bewegungs kräfte (bei Beschleunigung, Bremsen, Durchfahren von Kurven oder auf unebenen Straßen) gesichert. Im Straßentransport wird dies durch § 22 StVO begründet, der verlangt, die Ladung „so zu verstauen und zu sichern, dass sie selbst bei Vollbremsung oder plötzlicher Ausweichbewegung nicht verrutschen, umfallen, hin- und herrollen, herabfallen oder vermeidbaren Lärm erzeugen“ kann. Die Ladungssicherung kann entweder durch eine kraftschlüssige oder eine formschlüssige Sicherung erfolgen. Während bei der kraft schlüssigen Sicherung die Ladung mittels Zurrgurten (bzw. Zurrketten im Schwerlastbereich) auf die Lade fläche gepresst und dadurch die Reibungskraft erhöht wird, wird bei der formschlüssigen Sicherung die Ladung durch bündiges, lückenloses Verladen oder mittels Schräg- und Diagonalzurren gesichert. Als anerkanntes Grundlagenwerk der Ladungssicherung gilt die VDI-Richtlinienreihe VDI 2700 „Ladungssicherung auf Straßenfahrzeugen“, die beschreibt, welche Kräfte auf eine Ladung im Fahrbetrieb einwirken und wie Ladungen grundsätzlich gesichert werden können. Auch die Bundesanstalt für Materialforschung und -prüfung (BAM) sowie der Gesamtverband der deutschen Versicherungswirtschaft (GDV) geben Auskunft über sachgerechte Ladungssicherung. Zuständig für die Kontrolle der Einhaltung der gültigen Rechtsvorschriften ist das Bundesamt für Güterverkehr (BAG). 60 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.1.2.2 Transport (BP2) DL PS BP 1 2 2 Zusammenfassung Transport Der betriebsinterne Prozess „Transport“ beinhaltet den Transport der Waren unter Nutzung verschiedener Verkehrsträger und Verkehrsmittel. IKT-Risikoelemente • Navigationssysteme Tabelle 9: Betriebsinterner Prozess „Transport“ (DL1 PS2 BP2) Prozessbeschreibung17 Die Durchführung von Transporten im Straßenverkehr erfolgt mit Lastkraftwagen, die im Rahmen des Flottenmanagements (siehe Abschnitt 3.1.1.3 „Tourenplanung (BP3)“) durch die Logistikdienstleister (meist Speditionen und Transporteure/Einzeldienstleister) unterhalten werden. • Steuerung der Fahrzeugantriebe Lkw werden primär über einen verbrennungsmotorischen Antrieb angetrieben [Heinrich 2011, S. 101]. In Europa sind dies für Lkw ab 3,5 Tonnen in der Regel wassergekühlte Viertakt-Dieselmotoren. Die Steuerung erfolgt über den Lkw-Fahrer aus der Fahrzeugkabine. • Navigation Die Navigation im Straßenverkehr erfolgt meist GPS-basiert durch entsprechende Navigationssoftware zur Routenbestimmung und Routenoptimierung. Sie kann auch zentral aus Logistikzentren heraus im Rahmen der Transportsteuerung erfolgen (siehe Abschnitt 3.1.2.3 „Transportsteuerung (BP4)“). • Kommunikation Im Rahmen der Transportsteuerung erfolgt während des Transports eine Kommunikation zwischen Fahrer und Leitstelle (siehe hierzu Abschnitt 3.1.2.3 „Transportsteuerung (BP4)“). 17 Der Transport erfolgt für die Schifffahrt, Luftfahrt und im Schienenverkehr unter Durchführung von Flügen, Schifffahrten und Zugfahrten. Diese Vorgänge sind als betriebsinterne Prozesse in der KRITIS-Sektorstudie Transport und Verkehr bereits beschrieben worden (vgl. [BSI 2014d, S. 81–88]). Bundesamt für Sicherheit in der Informationstechnik 61 Kritische Dienstleistungen 3.1.2.3 Transportsteuerung (BP4) DL PS BP 1 2 4 Zusammenfassung Transportsteuerung Der betriebsinterne Prozess „Transportsteuerung“ beinhaltet die Realisierung der geplanten Transportstrategien und die Steuerung der Transporte unter Berücksichtigung der Gesamtbelastung im Transportnetz. IKT-Risikoelemente • Transportmanagementsystem (TMS) • Flottenmanagementsystem Tabelle 10: Betriebsinterner Prozess „Transportsteuerung“ (DL1 PS2 BP4) Prozessbeschreibung18 Die operative Durchführung der geplanten Transportstrategien (siehe Abschnitt 3.1.1.2 „Disposition (BP2)“) ist Aufgabe der Transportsteuerung, die meist zentralisiert erfolgt. Sie löst die Bewegung der Lade- oder Transporteinheiten durch das Transportnetz aus, kontrolliert und koordiniert diese und steuert und regelt sie entsprechend der Gesamtbelastung [Gudehus 2010, S. 784]. Eine dynamische Transportsteuerung ermöglicht auch kurz- und mittelfristige Anpassungen der Tourengebiete und -grenzen an Veränderungen und Schwankungen des Sendungsaufkommens. Die Transportsteuerung ist für die Steuerung sämtlicher Transportoperationen zuständig. Sie realisiert die geplante Transportstrategie und gibt den optimalen Weg für den Transport vor. Dabei berücksichtigt sie Verkehrsbeschränkungen, -dichte und -störungen, den Belegungszustand von Strecken (z. B. Straßen) und Punkten (z. B. Anlieferungsrampen) und den Betriebszustand der Transportmittel. Dies ist insbesondere für die Just-in-Time-Logistik relevant. Verzögern sich Lieferungen durch Probleme im Transportnetz, beispiels weise durch Staus oder Unfälle, kann dies die gesamte Produktion beeinträchtigen, da die Unternehmen keine Bestände vorhalten, um Lieferzeiten zu überbrücken. Die Transportsteuerung umfasst auch die Kommunikation mit dem nächsten Empfänger zur Ankündigung der Lieferung. Insbesondere im Bereich von Teil- und Komplettlieferungen erfordert dies die Übermittlung von Statusinformationen wie „Lkw in Anfahrt“ oder „Lkw abgefertigt“. Die Komplexität in Planung und Ausführung von Transporten nimmt insbesondere in Stadtgebieten stetig zu. Von 2008 bis 2009 entwickelte die Deutsche Post DHL in Zusammenarbeit mit dem Deutschen Zentrum für Luft- und Raumfahrt (DLR) sowie dem Institut für Wirtschaftsinformatik am Deutschen Forschungsinstitut für künstliche Intelligenz (DFKI) das Konzept „SmartTruck“ zur effizienten Fahrzeugauslastung und Tourenplanung. Hierfür wurden verschiedene Technologien in das Transportmittel integriert, u. a. eine Transportplanungs- und -steuerungssoftware für die Transport- und Netzwerkplanung, GPS zur Positionsbestimmung und Integration von Verkehrsinformationen, Software zur Routenplanung und Routenoptimierung und mobile Endgeräte zur Kommunikation zwischen Fahrer und Leitstelle. Das Konzept wurde 2009 von DHL in Berlin und anschließend in weiteren deutschen Städten getestet [DHL 2015]. 18 Die Transportsteuerung bei der Durchführung von Flügen, Schifffahrten und Zugfahrten sind in den entsprechenden betriebsinternen Prozessen in der KRITIS-Sektorstudie Transport und Verkehr beinhaltet (vgl. [BSI 2014d, S. 81–88]). 62 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.1.2.4 Tracking/Tracing (BP5) DL PS BP 1 2 5 Zusammenfassung Tracking/Tracing Der betriebsinterne Prozess „Tracking/Tracing“ beinhaltet das Tracking des aktuellen Transportstatus sowie die Verfolgung des Sendungsverlaufs. IKT-Risikoelemente • Transportmanagementsystem (TMS) • Flottenmanagementsystem • Barcode-/RFID-Systeme • Portal zur Sendungsverfolgung Tabelle 11: Betriebsinterner Prozess „Tracking/Tracing“ (DL1 PS2 BP5) Prozessbeschreibung Tracking und Tracing (kurz „Track and Trace“) sind in erster Linie begleitende Services zum eigentlichen Transport, die jedoch zunehmend als Standardanwendung insbesondere für KEP-Dienste angesehen werden. Tracking bezeichnet die Sendungsverfolgung vom Versender zum Empfänger und ermöglicht es, jederzeit einzusehen, wo sich ein Packstück gerade befindet und wer am Transport beteiligt ist. Tracing die Rückverfolgung der Sendungsherkunft vom Endabnehmer bis zum Punkt der ursprünglichen Erzeugung [Gudehus 2010, S. 57]. Damit soll eine umfangreiche Transparenz innerhalb der verschiedenen Stufen der Logistikkette gewährleistet werden. Auf Basis dessen können Prozesse optimiert und ungenutzte Kapazitäten reduziert werden, beispielsweise durch die exakte Planung von Wareneingängen beim Empfänger. Für Tracking und Tracing werden IT-Systeme eingesetzt, die primär aus einem Transponder und einem Lesegerät samt zugehöriger Software bestehen. Dafür werden die zu transportierenden Waren mit maschinell lesbaren Etiketten versehen, die im Rahmen der Warenübernahme (siehe Abschnitt 3.1.2.1 „Warenübernahme (BP1)“) erfasst werden. Eine Erfassung erfolgt auch an wesentlichen Zwischenstationen im Transport, beispielsweise an Umschlaghubs oder Zentrallagern. Die im Etikett enthaltenen Daten werden übertragen, zentral gespeichert und meist im Rahmen des Auftragsmanagements für Versender und Empfänger zur Information bereitgestellt (siehe Abschnitt 3.1.1.1 „Auftragsmanagement (BP1)“). „Die entsprechenden Daten werden über GSM an den Logistik-Dienstleister oder Paketdienst übermittelt. Je nach vereinbartem Servicelevel bekommen die Beteiligten, etwa der Empfangsspediteur oder der Empfänger, bestimmte Nachrichten und Statusmeldungen in Echtzeit zugestellt. Kunden und Logistik-Dienstleister können so jederzeit nachvollziehen, wo sich ein Paket befindet.“ [TecChannel 2007] Bundesamt für Sicherheit in der Informationstechnik 63 Kritische Dienstleistungen 3.1.3 Lieferung (PS3) Im Prozessschritt „Lieferung“ werden operative Abläufe erbracht, die den erfolgten Transport abschließen. Der Prozessschritt beginnt mit Entladung und Übergabe der transportierten Waren und endet mit der Fakturierung der Leistungen. Die unterschiedlichen Tätigkeiten werden nachfolgend getrennt als sogenannte betriebsinterne Prozesse betrachtet, um insbesondere die jeweiligen prozessualen und technischen Gegebenheiten bei der Lieferung zu berücksichtigen (siehe Abbildung 22). Für den Prozessschritt „Lieferung“ werden im weiteren Verlauf die folgenden betriebsinternen Prozesse betrachtet: • Warenübergabe (BP1): Lösen der Ladungssicherung und Entladung der Waren aus dem Transportmittel sowie Übergabe der transportierten Waren an den Empfänger und (elektronische) Dokumentation des mit der Warenübergabe abgeschlossenen Transports. • Fakturierung (BP3): Abrechnung der erfolgten Dienstleistung gegenüber dem Auftraggeber (nicht KRITIS-relevant). Abbildung 22: Prozessschritt „Lieferung“ der Dienstleistung „Transportlogistik“ Quelle: eigene Darstellung 64 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.1.3.1 Warenübergabe (BP1) DL PS BP 1 3 1 Zusammenfassung Warenübergabe Der betriebsinterne Prozess „Entladung“ beinhaltet das Lösen der Ladungssicherung und die Entladung der transportierten Waren aus dem Transportmittel. Im Anschluss daran erfolgt die Übergabe der transportierten Waren an den Empfänger und die (elektronische) Dokumentation des mit der Warenübergabe abgeschlossenen Transports. IKT-Risikoelemente • Transportmanagementsystem (TMS) • Barcode-/RFID-Systeme • Schnittstellen zu Zollsystemen Tabelle 12: Betriebsinterner Prozess „Warenübergabe“ (DL1 PS3 BP1) Prozessbeschreibung Die Warenübergabe umfasst alle Tätigkeiten, die bei der organisatorischen Übergabe der entladenen Waren an den Empfänger erfolgen. Dabei erfolgt am Zielort bzw. an zwischengeschalteten Umschlagpunkten zunächst die physische Entladung der Waren aus dem Transportmittel. Meist geht der Entladung eine empfängerseitige Identitätsprüfung voraus (siehe Abschnitt 3.3.1.1 „Warenannahme (BP1)“). Je nach Kontext kann die Warenübergabe zollrelevant sein. Bei zollrechtlich zu behandelnden Sendungen sind die relevanten Angaben an die verantwortlichen Zollstellen zu veranlassen (siehe Abschnitt 3.1.1.1 „Auftragsmanagement (BP1)“). Für die Entladung ist bei Frachtflugzeugen ein sogenannter Lademeister verantwortlich; bei Lkw üblicher weise der Fahrer. Beim Entladen kommen i. d. R. Hilfsgeräte wie Stapler, Kräne, Pumpen, Fördertechniken oder größere Ver- und Entladeanlagen zum Einsatz. Die Entladung erfolgt je nach Transportmittel auf unterschiedlichen Bereitstellflächen. Dabei ist generell darauf zu achten, Schäden am Fahrzeug durch eine nicht sachgerechte Entladung zu vermeiden. Lkw werden typischerweise vom Frachtführer an eine Laderampe gebracht. Dort kann die Entladung durch den Frachtführer selbst oder durch den Empfänger erfolgen. Das Löschen von Transportschiffen erfolgt in der Regel mit Hilfe von Kränen oder Pumpen. Bei Containern kommen sogenannte Containerbrücken zum Einsatz. Transportflugzeuge werden meist über seitliche Frachtraumklappen im Unterdeck entladen; sehr große Spezialtransportflugzeuge werden vom Bug her be- und entladen, wozu eine Frontklappe geöffnet wird. Bei Transportflugzeugen werden Hebebühnen und Fließbänder zu Verladung eingesetzt. Die Verladung von Zügen erfolgt an Güterbahnhöfen. Diese sind mit Abstell- und Ladegleisen ausgestattet. An den Ladestellen kommen entweder fest montierte Verladehilfen zum Einsatz (z. B. Kräne, Fließbänder u. ä.) oder mobile Geräte wie Gabelstapler und Radlader. Bei der Warenübergabe von Bahn auf Schiff und umgekehrt erfolgt die Übergabe im Hafen mit Geräten des Hafenbetreibers. Bei der Verladung von Massengut z. B. per Bahn (Pkw, Erze, Mineralölprodukte) erfolgt die Warenübergabe in einem Industriebetrieb mit Gerät des Unternehmens. Im Anschluss an die Entladung werden die gelieferten Waren mit den (internen) Transportpapieren und den Begleitdokumenten des Versenders verglichen (siehe Abschnitt 3.1.1.1 „Auftragsmanagement (BP1)“). Zusätzlich werden die Waren auf Mängel und Schäden kontrolliert und die Liefermengen überprüft. „Die Lieferung einer Sendung wird mit dem Quittieren der Vollständigkeit und Richtigkeit der zugestellten Warenmenge durch den Empfänger abgeschlossen. Die Empfangsbestätigung muss möglichst schnell dem Bundesamt für Sicherheit in der Informationstechnik 65 Kritische Dienstleistungen Lieferanten oder Versender zugeleitet werden, damit dieser den Auftrag abschließen und gegebenenfalls die Rechnung fakturieren kann.“ [Gudehus 2010, S. 928] Die Warenübergabe wird daher meist in elektronischer Form dokumentiert. Dazu werden die Barcode-Etiketten der Packstücke bzw. der Gesamtlieferung eingescannt und der Status im Sendungsverlauf ergänzt (siehe Abschnitt 3.1.2.4 „Tracking/Tracing (BP5)“). Alternativ zu Barcodes kann die Erfassung über RFID erfolgen. 66 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.2 Umschlaglogistik (DL2) Die Umschlaglogistik als kritische Dienstleistung wird laut DIN-Vorschrift 30781 als „Gesamtheit der Förderund Lagervorgänge beim Übergang der Güter auf ein Transportmittel, beim Abgang der Güter von einem Transportmittel und wenn Güter das Transportmittel wechseln“ definiert [Heiserich et al. 2011, S. 180]. Der Prozess der Umschlaglogistik wird dabei in drei Abschnitte untergliedert: die Aufnahme des Guts, dessen Veränderung in den Dimensionen Raum und Zeit sowie die Abgabe des Guts. Dabei unterscheidet sich der Input nach Durchführung von Umschlagprozessen in der Regel vom Output durch art- und mengenmäßig veränderte Strukturen, wie beispielsweise bei der Zusammenstellung von Sendungen [Klaus 2012, S. 552]. Umschlagprozesse dienen innerhalb der Transportkette vornehmlich Effizienzzielen. Zum einen erhöht die Umschlagdienstleitung für Unternehmen aus Handel und Industrie die Verwertbarkeit der Güter hinsichtlich der nachgelagerten Transportprozesse. Weiterhin erzeugen Umschlagprozesse die vom Kunden gewünschte Struktur der Art und Menge der Ware an den spezifischen Verbrauchorten. Zusätzlich können durch eine effizient geplante Auslastung der Transportmittel die Gesamtkosten für Transportdienstleistungen gesenkt werden [Klaus 2012, S. 553]. Umschlagprozesse finden innerhalb eines Logistiknetzwerks an Knotenpunkten statt, die verschiedene Transportabschnitte miteinander verbinden. Als Umschlagpunkte lassen sich Orte definieren, an denen ein Wechsel eines Verkehrsträgers oder eines Transportmittels stattfindet. Beispiele für Umschlagpunkte sind Häfen, Flughäfen, Rangierbahnhöfe, Logistikzentren und Güterverkehrszentren. Die Umschlaglogistik kann verschiedenartig ausgeprägt sein. Im kombinierten Verkehr wird das gesamte Transportmittel umgesetzt. Ein Beispiel dafür stellt die „rollende Landstraße“ dar; dabei wird ein kompletter Lkw auf einen Zug verladen und transportiert. Eine weitere Variante stellt das Umsetzen der Güter mit Hilfe eines Ladehilfsmittel oder eines Transportgefäßes dar, z. B. der Containerumschlag von einem Schiff auf einen Lkw. Eine dritte Umschlagvariante ist das direkte Umsetzen der Güter ohne Transportgefäß im sogenannten gebrochenen Verkehr [Klaus 2012, S. 553]. Die Dienstleistung „Umschlaglogistik“ gilt als kritisch und von besonderer Bedeutung, da verschiedene Transportabschnitte und Verkehrsträger durch die ablaufenden Prozesse verbunden werden. Ohne diese Verbindung kann im Fall eines nötigen Verkehrsträgerwechsels die angestrebte Destination nicht erreicht werden. Weiterhin werden durch Umschlag- und Bündelungsdienstleitungen die Verkehrsträger optimal ausgelastet, was zusätzliche Verkehre vermeidet und somit positiv auf die Kapazitätsauslastung der Infrastrukturen wirkt. Die Umschlaglogistik wird in der Regel von Logistikdienstleistern durchgeführt, die über Infrastrukturen, Immobilien und Betriebsmittel für das Umschlagen von Gütern verfügen. Dazu zählen hauptsächlich 1PL bis 3PL. Ein 1PL ist beispielsweise ein Unternehmen, das einen Packschuppen an einem Hafen betreibt. Ein 3PL, der Transportdienstleistungen durchführt, kann ebenfalls Betreiber eigener Umschlagzentren sein, um komplexe Logistikdienstleistungen aus einer Hand anbieten zu können. Logistikdienstleister der Stufe 4PL und 5PL verfügen in der Regel nicht über eigene Anlagen zur Abwicklung von Umschlagdienstleistungen, sondern beauftragen andere Logistikdienstleister, welche die Umschlaglogistik abwickeln. Die Erbringung der Umschlagleistung besteht aus technisch und logisch komplexen Vorgängen, die diese Studie zur Analyse kritischer Zusammenhänge und Abhängigkeiten in logische Teilbereiche, sogenannte Prozessschritte, unterteilt (siehe Abbildung 23). Jeder Prozessschritt leistet einen wesentlichen Beitrag zur Erbringung der Dienstleistung und beeinträchtigt bei Störung oder Ausfall die gesamte Dienstleistung. Für die Dienstleistung „Umschlaglogistik“ werden im weiteren Verlauf der Studie die folgenden Prozessschritte betrachtet: • Wareneingang (PS1): Umzuschlagende Waren werden angenommen und entladen. Die kaufmännische Verwaltung der Aufträge erfolgt im Rahmen des Auftragsmanagements, die Koordination der Anlieferplätze und -zeiten durch das Yard Management. Bundesamt für Sicherheit in der Informationstechnik 67 Kritische Dienstleistungen • Umschlag (PS2): Die Güter werden von der Entladestelle zur nächsten Beladestelle verbracht. Je nach avisiertem Liefertermin bzw. Auslastung des Umschlagpunktes finden kurze Zwischenlagerungsprozesse statt. Auch wird ggf. die Zusammensetzung der Ladeeinheiten verändert (Kommissionierung im Rahmen von Transshipment). Die Verwaltung der Abläufe und Prozesse findet organisatorisch durch das Umschlagmanagement statt. • Warenausgang (PS3): Der abschließende Prozessschritt des Warenausgangs beinhaltet die Übergabe der Waren an den Transporteur sowie die Fakturierung der erbrachten Leistungen. Abbildung 23: Schematische Darstellung der kritischen Dienstleistung „Umschlaglogistik“ Quelle: eigene Darstellung Ausfall der Umschlaglogistik Ein Ausfall der Umschlaglogistik kann verschiedene Ursachen haben: • Technisches Versagen: Ausfälle der Umschlaglogistik, verursacht durch Ausfall oder technisches Fehlverhalten von Infrastrukturkomponenten (z. B. Förderanlagen und Umschlaggeräte) bzw. der eingesetzten Informations- und Kommunikationstechnologie. • Menschliches Versagen: Ausfälle der Umschlaglogistik, verursacht durch menschliches Fehlverhalten, etwa bei großflächigen Konfigurationsänderungen der Informations- und Kommunikationstechnologie oder anderer kritischer Systeme. • Kriminelle oder terroristische Handlungen: Ausfälle der Umschlaglogistik, verursacht durch absichtliche Manipulationen oder Cyber-Angriffe auf die eingesetzte Informations- und Kommunikationstechnologie oder anderer Infrastruktur. 68 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen Unter dem Begriff „Ausfall“ werden im Folgenden ein vollständiger Ausfall der Dienstleistung, eine gravierende Störung der Dienstleistung mit konkreten Folgen oder die Zerstörung von Infrastrukturen (meist verbunden mit Ausfällen) verstanden. Exemplarisch seien an dieser Stelle einige Ausfallszenarien aufgeführt: • Ein Cyberangriff auf Anlagen und Systeme eines Dienstleisters könnte zu einem Ausfall der Umschlaglogistik führen. Sind Systeme zur administrativen Abwicklung des Umschlagprozesses betroffen, bestehen Risiken bei der Datenerfassung, der Zusammenstellung der Sendung sowie bei den Prozessen der Fakturierung. Ist die Datenerfassung per Datenfernübertragung gestört, kann dies durch andere Datenübertragungswege substituiert werden. Die Übermittlung der Daten kann dann beispielsweise über Kommunikationskanäle wie E-Mail oder Telefon erfolgen. Bei Ware, die sich schon im Zulauf befindet, kann die Übergabe der Sendungsdokumente als Übermittlung der Sendungsdaten angesehen werden. Im Anschluss würde eine manuelle Sendungserstellung und Fakturierung erfolgen. Alternative Formen für die Abwicklung der Prozesse sind mit einem vergleichbar höherem Zeitaufwand verbunden und würden zu Verzögerungen im Umschlagprozess führen. Ein Cyberangriff auf Systeme der Umschlaganlagen würde bei stark automatisierten Anlagen wie automatischen Hochregallagern, Sortieranlagen und fahrerlosen Transportsystemen ebenfalls Ausfälle der Umschlaglogistik hervorrufen. Die Dauer des Ausfalls wäre dabei primär von der Wiederherstellungszeit der betroffenen Systeme bestimmt. Ein Ausfall könnte durch Nutzung alternativer Umschlaganlagen wie beispielsweise Gabelstapler oder durch eine manuelle Sendungszusammenstellung kompensiert werden. Hierbei würde ein höherer Bedarf bezüglich Räumlichkeiten und Mitarbeitern entstehen. • Eine Störung der Umschlaglogistik kann beispielsweise durch einen Streik der Belegschaft hervorgerufen werden. Die Wahrscheinlichkeit eines Streiks erscheint aufgrund eines niedrigeren Lohnniveaus bei operativ tätigen Mitarbeitern höher als bei Mitarbeitern, die administrative Tätigkeiten ausführen. Somit ist das Risiko für einen weniger automatisierten Umschlagbetrieb höher einzustufen als bei hoch automatisierten Umschlagprozessen. 2002 verursachte ein Streik der Hafenarbeiter an der Westküste der Vereinigten Staaten massive Schäden. 10.500 Hafenarbeiter bestreikten 29 Häfen; pro Tag entstand dabei ein Schaden von einer Milliarde US-Dollar, wobei die Auswirkungen sechs Monate anhielten. Zu dieser Zeit wurden 60 Prozent des amerikanischen Güterverkehrsvolumen über die Häfen der Westküste abgewickelt. Der Anteil des globalen maritimen Handels der Vereinigten Staaten beträgt ca. 20 Prozent, somit nahmen die Auswirkungen des Streiks weltweiten Einfluss [PwC 2011, S. 16]. Je nach Ausbildung der Umschlaginfrastrukturen können Störungen jedoch durch Redundanzen flexibel kompensiert werden. Dies zeigt die Bestreikung der deutschen Umschlagzentren von Amazon im November 2014. Amazon steuerte den Versand und die Umschlagprozesse über alternative Standorte im Nachbarland Polen, um die angebotenen Dienstleistungen aufrechtzuerhalten. In diesem Fall entstanden kaum spürbare Veränderungen in der Versorgung für den Kunden [Die Welt 2014]. • Das Risiko einer Zerstörung von Umschlaginfrastrukturen besteht beispielsweise bei Eintreten von Naturkatastrophen, Terroranschlägen oder Unfällen in Umschlagpunkten. Ein besonderes Beispiel stellt das Erbeben in Nepal dar, bei welchem die Logistikinfrastrukturen stark beschädigt wurde [ZEIT ONLINE 2015]. Durch die weitflächige Zerstörung von Infrastrukturen war ein Ausweichen auf alternative Umschlagpunkte und Verkehrsträger für den Transport nur selten möglich. Blockierte Straßen und Dörfer ohne Straßenanbindung stellten Hilfskräfte vor eine immense logistische Aufgabe. Die humanitäre Logistik musste mit Notfalllogistikkonzepten und provisorischen alternativen Anlagen die Transport- und Umschlagvorgänge vornehmen. Dadurch entstanden erhöhte Aufwände für Personal und Anlagen sowie besondere Herausforderungen in Bezug auf das Fachwissen, das an die Helfer weitergegeben werden musste. Bundesamt für Sicherheit in der Informationstechnik 69 Kritische Dienstleistungen Folgen eines Ausfalls der Umschlaglogistik Ein Ausfall der Umschlaglogistik kann zu Einschränkungen und Verzögerungen in der Versorgung der Bevölkerung mit Gütern und Produkten führen. Ein Ausfall innerhalb von Logistikzentren und Güterverkehrszentren erscheint weniger kritisch als ein Ausfall der Dienstleistung an infrastrukturellen Verkehrsknotenpunkten wie Häfen, Bahnhöfen oder Flughäfen. Bei einem Ausfall einzelner privat wirtschaftlicher Umschlagpunkte kann, bei ausreichendem Alternativangebot, durch Nutzung eines anderen Logistikzentrums ein Ausfall substituiert werden. Hinsichtlich infrastruktureller Umschlagpunkte ist festzustellen, dass das Angebot alternativer Umschlagpunkte begrenzt ist, da beispielsweise die Nutzung von Häfen nur in Abhängigkeit von der entsprechenden Schiffsgrößen erfolgen kann. Zusätzlich können Kapazitätsprobleme zu Überlastungen der Infrastrukturen führen und somit eine Störung der Dienstleistung bewirken. Die Folgen eines Ausfalls der Umschlaglogistik unterscheiden sich in den einzelnen Teilen der Gesellschaft: • Die Bevölkerung ist insofern betroffen, als dass Güter nicht, verspätet oder in nicht gewünschten Mengen bereitgestellt werden können. Ist eine Substitution des Umschlags nicht möglich, können nachhaltig wirkende Versorgungsengpässe mit wichtigen Gütern entstehen. Besonders die Versorgung der Bevölkerung mit Lebensmitteln, die eine Mindesthaltbarkeit aufweisen, ist bei einem Ausfall oder Störung der Umschlaglogistik nicht garantiert. Ebenso verhält sich eine zeitgerechte Belieferung von Apotheken und Krankenhäusern mit Medikamenten und anderen zeitkritischen medizinischen Produkten. Ein Ausfall der Versorgung mit zeitkritischen Medien wie Tageszeitungen kann mittlerweile durch die Entwicklung neuer alternativer Medienkanäle (Onlineangebote) substituiert werden. • Für die Wirtschaft sind bei Störung oder Ausfall der Umschlaglogistik bedeutende finanzielle Auswirkungen zu erwarten. Durch die Zunahme von globalen Beschaffungsstrategien und einem erhöhten Anteil von Auslagerungen von Unternehmensaufgaben auf andere Unternehmen gewinnt die Logistik an Bedeutung. Die Versorgung der Unternehmen mit Rohstoffen, Halb- und Fertigwaren, Ersatzteilen sowie Informationen und Finanzmitteln wirkt sich essentiell auf die Erfüllung der Aufgaben des Unternehmens aus. Bei einem Ausfall der Umschlaglogistik wird die Ware nicht, verspätet oder in einer nicht gewünschten Menge bereitgestellt. Für produzierende Unternehmen entstehen Versorgungsengpässe und zeitliche Defizite, die beispielsweise zu einem Stillstand der Produktion führen können. Wird die Ware nicht oder in nicht gewünschten Mengen geliefert, entstehen für das Unternehmen Absatzausfälle bzw. zusätzliche Kapazitätsaufwände sowie Aufwände für die Verteilung der Ware. • Auch der Staat ist von einem Ausfall der Umschlaglogistik betroffen. Analog zu Auswirkungen auf die Wirtschaft verhält sich auch die staatliche Beschaffung von Gütern jeglicher Art sowie deren Distribution. Es können Unterversorgungen sowie Zeitverzögerungen in der Versorgung auftreten. In Notsituationen, wie bei Folgen von Naturkatastrophen oder Unfällen, kann bei einer Störung oder einem Ausfall der Umschlaglogistik die Versorgung mit Hilfsgütern nur bedingt sichergestellt werden. Bei Ausfall oder Störung privatwirtschaftlicher Umschlagpunkte kann der Staat durch die Nutzung eigener Ressourcen wie Militärhäfen und -flughäfen Alternativen für die Notversorgung nutzen. 70 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.2.1 Wareneingang (PS1) Im Prozessschritt „Warenannahme“ werden die Waren vom Umschlagdienstleister in Empfang genommen und entladen. Sendungsinformationen werden in der Regel zeitlich vorgelagert an den Dienstleister übermittelt, sodass bei Ankunft der Sendung ein Abgleich nach Art, Menge und Qualität erfolgen kann. Auf Ebene des Informationsflusses erfolgt zunächst das Auftragsmanagement, im Rahmen dessen eingehenden Aufträge geprüft, Informationen übermittelt und über die Annahme des Auftrages in Abstimmung mit vorhandenen Kapazitäten und Ressourcen entschieden wird. Das Yard Management ordnet die eintreffenden Transportmittel den entsprechenden Entladestellen zu und verwaltet die Entladekapazitäten. Im Rahmen der Warenerfassung werden die Wareninformationen IT-basiert erfasst und in Verwaltungs systeme wie ERP, TMS oder LVS gespeichert. Die unterschiedlichen Tätigkeiten werden nachfolgend getrennt als sogenannte betriebsinterne Prozesse betrachtet, um insbesondere die jeweiligen prozessualen und technischen Gegebenheiten beim Wareneingang zu berücksichtigen (siehe Abbildung 24). Für den Prozessschritt „Wareneingang“ werden im weiteren Verlauf die folgenden betriebsinternen Prozesse betrachtet: • Warenannahme (BP1): Identitätsprüfung, Entladung, Eingangskontrolle sowie ggf. Entpacken und Sortieren der gelieferten Waren. • Auftragsmanagement (BP2): Verwaltung von Kunden- und Auftragsinformationen zur fehlerfreien und termingerechten Ausführung. • Yard Management (BP3): Verwaltung der bereitstehenden Transportmittel und deren Zuordnung zu Beund Entladestellen. • Warenerfassung (BP4): Erfassung der bei der Warenannahme erhobenen Daten. Die Daten werden dann in das Verwaltungssystem übertragen, wo sie Grundlage für die Aufgaben des Umschlagprozesses bzw. der Lagerhaltung sind. Abbildung 24: Prozessschritt „Wareneingang“ der Dienstleistung „Umschlaglogistik“ Quelle: eigene Darstellung Bundesamt für Sicherheit in der Informationstechnik 71 Kritische Dienstleistungen 3.2.1.1 Warenannahme (BP1) DL PS BP 2 1 1 Zusammenfassung Warenannahme Der betriebsinterne Prozess „Warenannahme“ beinhaltet die Tätigkeiten bei Anlieferung neuer Güter an einem Umschlag- bzw. Lagerpunkt. Dies umfasst die Identitätsprüfung, die Entladung, die Eingangskontrolle, das Entpacken und Sortieren der gelieferten Waren. IKT-Risikoelemente • Warehouse Management System (WMS) Tabelle 13: Betriebsinterner Prozess „Warenannahme“ (DL2 PS1 BP1) Prozessbeschreibung Ziel der Warenannahme ist es, die Durchlaufzeiten so gering wie möglich zu halten und die Waren möglichst zeitnah in den Umschlagprozess bzw. die Lagerung oder direkt wieder in den Warenausgang zu überführen [Logistik Know-how 2013c]. Bei Ankunft der Waren und Güter werden diese zunächst auf die richtige Identität geprüft. Hierdurch kann unnötiger Arbeitsaufwand vermieden werden, falls die Lieferung in falschem Umfang oder an die falsche Adresse geliefert wurde. Hierfür werden vom Lieferanten i. d. R. Vorabinformationen über die Ware im sogenannten Lieferavis an den Empfänger übermittelt. Das Lieferavis informiert den Empfänger unter anderem über den rechtzeitigen oder gegebenenfalls verspäteten Eingang der Ware, die enthaltenen Artikel (Artikelbezeichnung und Menge) sowie ggf. Gewicht oder Volumen der Sendung. Die im Lieferavis enthaltenen Informationen werden mit den eingegangenen Waren abgeglichen und so die Korrektheit der Lieferung überprüft. Fällt die Prüfung positiv aus, wird das Lieferfahrzeug entladen. Je nach Fahrzeug kann dies auf unterschiedlichen Bereitstellflächen erfolgen. Dabei ist generell darauf zu achten, Schäden am Fahrzeug durch eine nicht sachgerechte Entladung zu vermeiden (siehe Abschnitt 3.1.3.1 „Warenübergabe (BP1)“). Je nach Dienstleistungstiefe des Logistikers kann im Anschluss an die Entladung eine Packstückkontrolle im Hinblick auf Qualität und Quantität der Lieferung erfolgen. 72 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.2.1.2 Auftragsmanagement (BP2) DL PS BP 2 1 2 Zusammenfassung Auftragsmanagement Der betriebsinterne Prozess „Auftragsmanagement“ beinhaltet die Verwaltung von Kunden- und Auftragsinformationen zur fehlerfreien und termingerechten Ausführung. IKT-Risikoelemente • Customer Relationship Management (CRM) • Warehouse Management System (WMS) • Kommunikationswege für Datenfernübertragung • Schnittstellen zu Zollsystemen Tabelle 14: Betriebsinterner Prozess „Auftragsmanagement“ (DL2 PS1 BP2) Prozessbeschreibung Das Auftragsmanagement bildet die Schnittstelle zwischen Logistikdienstleister und Kunden. Für eine ausführliche Beschreibung siehe Abschnitt 3.1.1.1 „Auftragsmanagement (BP1)“. Bundesamt für Sicherheit in der Informationstechnik 73 Kritische Dienstleistungen 3.2.1.3 Yard Management (BP3) DL PS BP 2 1 3 Zusammenfassung Yard Management Der betriebsinterne Prozess „Yard Management“ beinhaltet die Verwaltung der bereitstehenden Transportmittel und deren Zuordnung zu Be- und Entladestellen. IKT-Risikoelemente • Warehouse Management System (WMS) • Yard Management System (YMS) • Slot Management System Tabelle 15: Betriebsinterner Prozess „Yard Management“ (DL2 PS1 BP3) Prozessbeschreibung Das Yard Management ist zeitlich dem betriebsinternen Prozess der Warenannahme vorgelagert. Es übernimmt die Funktion der Zuordnung der Transportmittel und -güter zu den entsprechenden Be- und Entladestellen. Ziel ist es, die zeitlichen und räumlichen Ressourcen für die Be- und Entladung optimiert einzusetzen, um Wartezeiten an den Rampen zu vermeiden und Kapazitäten optimal zu nutzen. Besonders für große Umschlagpunkte und Betriebsgelände mit starkem Lieferverkehr und vielen Verladestellen ist ein dediziertes Yard Management geeignet. Nach der Anmeldung des Transportfahrzeuges bei der Verwaltung des Umschlaggeländes wird der optimale Be- bzw. Entladeplatz softwarebasiert zugewiesen [VerkehrsRundschau 2015]. Dabei erfasst und verwaltet das Yard Management System (YMS) zur Be- und Entladung bereitstehende Lkw und weist sie bestimmten Ladetoren zu. Sind Ressourcen noch nicht frei oder der Lkw nicht bereit, wird er auf eine Parkposition verwiesen. Die entsprechenden Informationen können den Fahrern per SMS oder auf digitalen Anzeigen bereitgestellt werden. Bei entsprechenden technischen Voraussetzungen kann das Yard Management System Echtzeitinformationen zur Verfügung stellen. Hierzu empfiehlt sich die Nutzung von RFID-Technologie. Das Yard Management System ist meist mit dem Transportmanagementsystem oder dem Warehouse Management System des Logistikdienstleisters verknüpft [Inbound Logistics 2012]. 74 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.2.1.4 Warenerfassung (BP4) DL PS BP 2 1 4 Zusammenfassung Warenerfassung Der betriebsinterne Prozess „Warenerfassung“ beinhaltet die elektronische Erfassung der bei der Warenannahme erhobenen Daten. Diese werden in das Warehouse Management System bzw. das Transportmanagementsystem übertragen und bilden die Grundlage für nachfolgende Prozesse. IKT-Risikoelemente • Warehouse Management System (WMS) • Barcode-/RFID-Systeme • Schnittstellen zu Zollsystemen Tabelle 16: Betriebsinterner Prozess „Warenerfassung“ (DL2 PS1 BP4) Prozessbeschreibung Die bei der Warenannahme mit dem Lieferavis abgeglichenen Sendungsinformationen werden elektronisch im Verwaltungssystem erfasst. Dies betrifft Daten über die Art, die Menge, das Volumen und das Gewicht der einzulagernden Ware. Auch in diesem Prozessschritt kann Ware noch abgewiesen werden, z. B. wenn sich beim Abgleich mit dem Verwaltungssystem herausstellt, dass die Ware falsch verpackt oder nicht konform mit den Umschlagvorgaben ist [Logistik Know-how 2014a]. Die Erfassung der Daten kann manuell oder IT-gestützt erfolgen. Bei einer IT-basierten Erfassung wird in vielen Fällen ein Scanner mit Sensor (mechanisch, magnetisch, optisch oder elektronisch) eingesetzt, der die Informationen decodiert und über eine Schnittstelle an das Verwaltungssystem (LVS, TMS oder ERP) weitergibt. Zur Übertragung werden verschiedene Techniken wie Induktions-, Funk- oder Infrarottechnik genutzt. Als zukunftsweisende Technologie in diesem Bereich ist unter anderem radio-frequency identification (RFID) zu nennen. RFID-Systeme übermitteln per Funkübertragung automatisch Informationen über die Ware an das Verwaltungssystem [Gudehus 2010, S. 270, 271]. Je nach Kontext kann bei der Warenerfassung ein Datenaustausch mit Dritten notwendig sein, beispiels weise im Rahmen gefahrgutrechtlicher Meldevorschriften oder bei Zollmeldungen wegen eventueller Verladestopps oder Beschauanordnungen. Bei geplanter Verladung der Waren auf Seeschiffe kann eine Kontrolle der Masse sowie eine eventuelle Aktualisierung des Wiegeergebnisses und Weitergabe notwendig sein. Bundesamt für Sicherheit in der Informationstechnik 75 Kritische Dienstleistungen 3.2.2 Umschlag (PS2) Im Prozessschritt „Umschlag“ werden Sendungen nach verschiedenen Konzepten umgeschlagen. Hierfür werden die entladenen Sendungen physisch zu diversen Zielen innerhalb des Umschlagpunktes verbracht. Dies können Zwischenlagerplätze oder der Beladeort sein, aber auch Sortieranlagen, Kommissionier anlagen und -flächen, Verpackungsorte und weitere Orte, an denen die Sendung in sonstiger Form bearbeitet wird. Der Warenfluss innerhalb des Umschlagpunktes wird durch das Umschlagmanagement gelenkt. Der Umschlag von Waren erfolgt meist nach den Konzepten „Cross Docking“ oder „Transshipment“. Diese übernehmen die Funktion, lieferantenbezogene Sendungen in Menge, Art und Raum so zu verändern, dass verkaufsstätten- bzw. kundenorientierte Sendungen entstehen [Heiserich et al. 2011, S. 109]. Beim Cross Docking werden Sendungen umgeschlagen, die durch den Versender bereits für den Empfänger vor kommissioniert wurden. Es werden somit filialreine Ganz- oder Mischpaletten umgeschlagen, ohne dass am Umschlagpunkt weitere Kommissioniertätigkeiten notwendig sind. Beim Transshipment hingegen werden artikelreine Ganzpaletten während des Umschlagprozesses filial- bzw. kundenbezogen sortiert und in filialreine Mischpaletten zusammengefasst [Gudehus 2010, S. 893]. Die unterschiedlichen Tätigkeiten werden nachfolgend getrennt als sogenannte betriebsinterne Prozesse betrachtet, um insbesondere die jeweiligen prozessualen und technischen Gegebenheiten beim Umschlag zu berücksichtigen (siehe Abbildung 25). Für den Prozessschritt „Umschlag“ werden im weiteren Verlauf die folgenden betriebsinternen Prozesse betrachtet: • Verbringung (BP1): Transport der Güter innerhalb des Umschlagpunktes. • Zwischenlagerung (BP2): Überbrückung der Zeitdifferenz zwischen Warenannahme und -übergabe. • Kommissionierung (BP3): Zusammenstellung von Sendungen aus verschiedenen Einzelwaren je nach Auftrag sowie Verpackung und Sendungserstellung. • Umschlagmanagement (BP4): Informationstechnisch basierte Planung des Materialflusses innerhalb eines Umschlagpunktes. Abbildung 25: Prozessschritt „Umschlag“ der Dienstleistung „Umschlaglogistik“ Quelle: eigene Darstellung 76 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.2.2.1 Verbringung (BP1) DL PS BP 2 2 1 Zusammenfassung Verbringung Der betriebsinterne Prozess „Verbringung“ beinhaltet die Beförderung der Sendung von der Entladestelle zum Zwischenlagerplatz oder zur Beladestelle oder zu Sortieranlagen, Kommissionieranlagen und -flächen, Verpackungsorte und weiteren Orten, an denen die Sendung in sonstiger Form bearbeitet wird. IKT-Risikoelemente • Warehouse Management System (WMS) • Steuerungstechnik für Förder-/Sortieranlagen • Staplerleitsysteme und Steuerungstechnik für autonome Transportmittel • Barcode-/RFID-Systeme Tabelle 17: Betriebsinterner Prozess „Verbringung“ (DL2 PS2 BP1) Prozessbeschreibung Die Verbringung beschreibt Transport- und Fördervorgänge zwischen einzelnen Prozessorten innerhalb des Umschlagprozesses. Dazu zählen die Beförderung zwischen Entladestelle und Lagerplatz, Kommissionieranlage, Verpackungsplatz und der Beladestelle. Für die Verbringung werden unterschiedliche Transportmittel und Anlagen benutzt. Dies ist abhängig von der Art des Umschlagprozesses und des Form der Transportmittel bzw. -güter. In Häfen erfolgt der Umschlag von Containerware über Krananlagen und „Reachstacker“, einer speziellen Form von Greif- und Staplergeräten für das Containerhandling. Pumpen und Förderbänder werden ebenfalls für eine Transportmittelwechsel im Umschlagprozess genutzt. Besonders für die Verbringung von Containern in Häfen werden fahrerlose Transportsysteme genutzt. Innerhalb eines Umschlagprozesses in Verbindung mit Kommissionierprozessen kommen Stapler leitsysteme (SLS) und Förderanlagen zum Einsatz. Diese werden durch das Umschlagmanagement verwaltet. Bundesamt für Sicherheit in der Informationstechnik 77 Kritische Dienstleistungen 3.2.2.2 Zwischenlagerung (BP2) DL PS BP 2 2 2 Zusammenfassung Zwischenlagerung Der betriebsinterne Prozess „Zwischenlagerung“ kann von unterschiedlicher Dauer bestimmt sein. Die Waren werden an einem Ort gelagert, bis sie für anschließende Vorgänge benötigt werden. IKT-Risikoelemente • Warehouse Management System (WMS) • Steuerungstechnik für automatische Hochregallager und Regalbediengeräte Tabelle 18: Betriebsinterner Prozess „Zwischenlagerung“ (DL2 PS2 BP2) Prozessbeschreibung Der betriebsinterne Prozess „Zwischenlagerung“ beschreibt die Zeitüberbrückung zwischen verschiedenen Abläufen innerhalb des Umschlagprozesses (siehe auch Abschnitt 3.3.2 „Lagerung (PS2)“). Die Zwischenlagerung kann von unterschiedlicher Dauer sein, abhängig davon, wann die Waren für weitere Abläufe benötigt werden. Meist erfolgt eine Zwischenlagerung im Anschluss an Warenannahme und Verbringung zu einem Lagerort. Weiterhin können Waren nach Prozessen der Kommissionierung, Verpackung und sonstigen Serviceprozessen zwischengelagert werden. Nach der Verbringung der Sendung zum Beladeort kann in einigen Fällen ebenfalls eine kurze Zwischenlagerung erfolgen, bevor die Waren verladen werden. Generell ist die Dauer der Lagerung während des Umschlagprozesses eher kurz. Die Zwischenlagerung kann durch Systeme des Umschlagmanagements geplant und koordiniert werden. 78 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.2.2.3 Kommissionierung (BP3) DL PS BP 2 2 3 Zusammenfassung Kommissionierung Der betriebsinterne Prozess „Kommissionierung“ beinhaltet die Zusammenstellung von Sendungen aus verschiedenen Einzelwaren je nach Auftrag sowie die Verpackung und Sendungserstellung. IKT-Risikoelemente • Warehouse Management System (WMS) • Kommissioniersysteme • Pick-by-Light- oder Pick-by-Voice-Systeme • Barcode-/RFID-Systeme Tabelle 18: Betriebsinterner Prozess „Kommissionierung“ (DL2 PS2 BP3) Prozessbeschreibung19 Bei der Kommissionierung wird zunächst der Gesamtauftrag von der Lagerplatzverwaltung bzw. dem Transportmanagement ausgegeben und von der Kommissionierung aufgenommen. Anschließend werden die Standorte der Einzelwaren identifiziert und diese aus den Lagerorten entnommen. Danach werden die Einzelwaren je nach Auftrag zu Sendungen, sogenannten Kommissionen, zusammengefasst. Es werden grundsätzlich zwei Arten der Kommissionierung unterschieden. Bei der Mann-zur-Ware-Kommissionierung werden die Waren statisch bereitgestellt. Der Kommissionierer entnimmt dabei die notwendige Ware zu Fuß oder per Gabelstapler direkt am Lagerplatz. Vorteile sind ein geringer Investitionsaufwand und eine niedrige Abhängigkeit von Maschinen. Nachteile sind jedoch eine insgesamt geringere Kommissionierleistung, da lange Wegzeiten nötig sind. Die Standortidentifizierung kann über Papierlisten, Terminals oder mobile Datenerfassungssysteme wie Pick-by-Light und Pick-by-Voice erfolgen. Pick-by-Light ist ein Kommissioniersystem, bei dem eine Anzeige die zu entnehmenden Teile im Regal anzeigt. Bei Pick-by-Voice erfolgen die Anweisungen zum Entnehmen der Waren über Headsets an den Kommissionierer [Logistik Know-how 2013g]. Bei der Ware-zum-Mann-Kommissionierung werden verschiedene Lagertechniken wie Umlauf- oder Durchlaufregale eingesetzt. Bei Umlaufregalen wird die Ware auf Gestellen gelagert, die durch Ein- und Auslagerung zyklisch an die Bedienungsstation zum Kommissionierer transportiert werden. Bei Durchlaufregalen wird Ware von hinten eingelagert und schiebt bereits eingelagerte Ware nach vorne, wo diese wieder entnommen wird. Vorteile solcher dynamischen Systeme sind eine höhere Kommissionier leistung, da keine oder geringere Wegzeiten für den Kommissionierer anfallen. Nachteil sind die hohen Investitionskosten bei Anschaffung dieser Systeme und die Abhängigkeit der Lager- und Kommissioniervorgänge von den entsprechenden Systemen und Maschinen [Logistik Know-how 2013f]. Bei der Kommissioniermethode wird grundsätzlich unterschieden zwischen der einstufigen- und der mehrstufigen Kommissionierung. Bei der einstufigen Kommissionierung wird jeder Auftrag einzeln bearbeitet. Bei der mehrstufigen Kommissionierung wird z. B. in der ersten Stufe die gesamte Menge einer Ware für mehrere Aufträge aus dem Warenlager geholt. Dadurch sinkt insgesamt der Wege-Aufwand und die Geschwindigkeit der Kommissionierung wird erhöht [Logistik Know-how 2013b]. Erst in der zweiten 19 Eine Kommissionierung von Waren kann sowohl in der Umschlag- als auch in der Lagerlogistik erfolgen. Typischerweise nimmt die Kommissionierung in der Lagerlogistik eine wesentlichere Rolle ein, beispielsweise für Groß- und Versandhandel. Eine Beschreibung der Tätigkeiten erfolgt an dieser Stelle in der Umschlaglogistik, um den Lesefluss zu unterstützen. Bundesamt für Sicherheit in der Informationstechnik 79 Kritische Dienstleistungen Stufe werden die Artikel auf die einzelnen Kundenaufträge verteilt. Die zweite Stufe kann entweder durch manuelle Sortierung oder durch einen automatischen Sortierer erfolgen. Wurde die Ware gemäß des Kundenauftrages kommissioniert, erfolgt abschließend die Verpackung, die auch als Konfektionierung bezeichnet wird. Dabei werden die Warenspezifikationen und Kundenanforderungen berücksichtigt. Auch hier kommen verschiedene Strategien zum Einsatz mit dem Ziel, das Packvolumen optimal auszunutzen und eine maximale Befüllung unter Berücksichtigung von Packrestriktionen zu erreichen. 80 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.2.2.4 Umschlagmanagement (BP4) DL PS BP 2 2 4 Zusammenfassung Umschlagmanagement Der betriebsinterne Prozess „Umschlagmanagement“ beinhaltet die Verwaltung und Bereitstellung von Informationen und Status zu Sendungen, deren Be- und Entladeorten sowie internen Verbringungszielen. IKT-Risikoelemente • Warehouse Management System (WMS) Tabelle 19: Betriebsinterner Prozess „Umschlagmanagement“ (DL2 PS2 BP4) Prozessbeschreibung Mit Fokus auf die konkreten Umschlagtätigkeiten ergänzt das Umschlagmanagement das Yard Management (siehe Abschnitt 3.2.1.3 „Yard Management (BP3)“). Es beinhaltet alle Vorgänge, die auf informatorischer Ebene notwendig sind, um den physischen Umschlagprozess zu ermöglichen. Das betrifft die Verwaltung von Informationen zu Sendungen und Umschlagplätzen (wie Lagerplätze, Kommissionierplätze, Be- und Entladeplätze). So wird beispielsweise der veränderte Status einer Sendung (z. B. ein veränderter Lagerort oder eine Veränderung nach Menge und Art einer Sendung) dokumentiert. Auch allgemeine Informationen zur Sendung (Größe, Gewicht, Volumen, Stapelbarkeit) und zum Auftrag (Absender, Empfänger, Warenwert) sind für das Umschlagmanagement relevant. Diese Informationen werden meist im Transportmanagementsystem vorgehalten und sind aus verschiedenen Subsystemen abrufbar. Das Transportmanagementsystem ist meist mit dem Warehouse Management System verknüpft (oder beinhaltet dessen Funktionen), um Lagerplätze zu verwalten. Auch Systeme, welche die Kommissionierung unterstützen, sowie automatische Förder- und Sortieranlagen nutzen Informationen des Umschlagmanagements. Bundesamt für Sicherheit in der Informationstechnik 81 Kritische Dienstleistungen 3.2.3 Warenausgang (PS3) Im Prozessschritt „Warenausgang“ werden Waren für den Warenausgang vorbereitet und an den Transporteur übergeben. Optional können weitere Serviceleistungen (VAS) wie Umformung und Veredelung erbracht werden, die im Folgenden jedoch nicht betrachtet werden. Bei Verfügbarkeit der Transportmittel an den Beladestellen erfolgt im Anschluss die Warenübergabe, welche die Beladung sowie die Ladungssicherung einschließt. Auf informatorischer Ebene werden Transportdokumente erstellt und mit der physischen Sendung übergeben. Anschließend erfolgt der Prozess der „Fakturierung“, der jedoch als nicht KRITIS-relevant eingestuft wird. Die unterschiedlichen Tätigkeiten werden nachfolgend getrennt als sogenannte betriebsinterne Prozesse betrachtet, um insbesondere die jeweiligen prozessualen und technischen Gegebenheiten beim Warenausgang zu berücksichtigen (siehe Abbildung 26). Für den Prozessschritt „Warenübergabe“ werden im weiteren Verlauf die folgenden betriebsinternen Prozesse betrachtet: • Warenübergabe (BP1): Vorbereitung der Pakete für den Transport, Erstellung der notwendigen Papiere und Überführung der Sendung in das Transportfahrzeug sowie Ausbuchen der Ware aus dem Warehouse Management System. • Yard Management (BP2): Verwaltung der bereitstehenden Transportmittel und deren Zuordnung zu Beund Entladestellen. • Fakturierung (BP3): Abrechnung der erfolgten Dienstleistung gegenüber dem Auftraggeber (nicht KRITIS-relevant). Abbildung 26: Prozessschritt „Warenausgang“ der Dienstleistung „Umschlaglogistik“ Quelle: eigene Darstellung 82 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.2.3.1 Warenübergabe (BP1) DL PS BP 2 3 1 Zusammenfassung Warenübergabe Der betriebsinterne Prozess „Warenübergabe“ beinhaltet die Vorbereitung der Pakete für den Transport, die Erstellung der notwendigen Papiere und die Überführung der Sendung in das Transportfahrzeug. IKT-Risikoelemente • Warehouse Management System (WMS) • Barcode-/RFID-Systeme • Schnittstellen zu Zollsystemen Tabelle 20: Betriebsinterner Prozess „Warenübergabe“ (DL2 PS3 BP1) Prozessbeschreibung Im Warenausgang werden die verpackten Einheiten konsolidiert und die Transportdokumente für die Sendungen erstellt. Abschließend werden sie zur Versendung vorbereitet und an den Transporteur übergeben. Je nach Kontext kann bei der Warenübergabe analog zur Warenerfassung ein Datenaustausch mit Dritten notwendig sein, beispielsweise zur Information des Frachtführers über Gefahrgut, Kühlfracht etc. oder zur zollrechtlichen Erfassung von Waren. Zunächst werden die Versandeinheiten auf Paletten oder in Container verpackt und mit den entsprechenden Papieren versehen. Dazu gehören Lieferscheine, Zielpapiere und gegebenenfalls Rechnungen. Des Weiteren werden die Pakete mit der Nummer der Versandeinheit (NVE) bzw. dem Serial Shipping Container Code (SSCC) versehen, wodurch eine weltweit eindeutige Identifizierung der Versandeinheit (z. B. Palette, Container etc.) möglich ist. Für das jeweilige Transportfahrzeug werden Ladelisten erstellt. Auch hier werden die Versandeinheiten noch einmal auf Konformität mit dem Auftrag überprüft. Dazu findet ein Abgleich mit den Daten des Warehouse Management Systems statt. Wenn nötig, können letzte Veränderungen an der Zusammensetzung der Ware oder den Lieferscheinen vorgenommen werden [Logistik Know-how 2013h]. Abschließend wird die Ware auf Bereitstellflächen gebracht, wo sie für den Versand konsolidiert wird. Dabei können verschiedene Methoden zum Einsatz kommen. Unterschiedliche Bereitstellflächen können z. B. bestimmten Regionen oder Postleitzahlgebieten zugeordnet werden. Die Beladung der Transportmittel anhand der erzeugten Ladelisten kann durch automatische Beladungssysteme und autonome Transportmittel fahrerlose Staplersysteme unterstützt werden. Sowohl für See- als auch Luftfracht ist charakteristisch, dass die Umschlagbetriebe bis zum jeweiligen Transportmittel im Auftrag des Betreibers des Transportmittels agieren. Im Warenausgang wird üblicherweise Ware aus dem Zwischenlager abgefertigt. Allerdings ist es auch möglich, dass Ware direkt aus dem Wareneingang in den -ausgang weitergeleitet oder Fremdware in den Warenausgang integriert wird. Auch in diesen Fällen müssen vor der Verladung die Lieferscheine, NVE-Labels und Ladellisten erstellt werden. Zusätzlich wird die Sendungen mit einem Lieferavis versehen [Logistik Know-how 2013j]. Bundesamt für Sicherheit in der Informationstechnik 83 Kritische Dienstleistungen 3.2.3.2 Yard Management (BP2) DL PS BP 2 3 2 Zusammenfassung Yard Management Der betriebsinterne Prozess „Yard Management“ beinhaltet die Verwaltung der bereitstehenden Transportmittel und deren Zuordnung zu Be- und Entladestellen. IKT-Risikoelemente • Warehouse Management System (WMS) • Yard Management System (YMS) • Slot Management System Tabelle 21: Betriebsinterner Prozess „Yard Management“ (DL2 PS3 BP2) Prozessbeschreibung Das Yard Management übernimmt die Funktion der Zuordnung der Transportmittel und -güter zu den entsprechenden Be- und Entladestellen. Für eine ausführliche Beschreibung siehe Abschnitt 3.2.1.3 „Yard Management (BP3)“. 84 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.3 Lagerlogistik (DL3) Die Lagerlogistik umfasst alle Prozesse und Abläufe, die nötig sind, um eigene oder unternehmensfremde Waren in einem Lager aufzubewahren, zu verwalten und für die Distribution vorzubereiten. Hierfür nutzt sie verschiedene Systeme für die Annahme von Waren, die Lagerung, die Kommissionierung und für den Warenausgang. Ziel der Lagerlogistik ist die effiziente Nutzung aller Lagerressourcen. Dazu sind die verschiedenen Stationen eines Lagers im Idealfall optimal aufeinander abgestimmt und arbeiten eng zusammen, um z. B. neu angelieferte Waren in die Lagerung zu überführen und bei Bedarf kurzfristig bereitzustellen und in den Ausgang zu transportieren. Die Waren und Güter eines Lagers müssen sowohl physisch als auch in IT-basierten Verwaltungssystemen schnell auffindbar sein. Warenlager sind ein elementarer Bestandteil von Logistiknetzwerken und werden zum Aufbau von mehrstufigen Transportnetzen benötigt. Sie können dabei verschiedene Funktionen wie Liefer- und Empfangspunkte oder Konzentrations- und Auflösungspunkte übernehmen. Ohne Zwischenlager mit funktionierender Verwaltung, die moderne Logistikketten als Knotenpunkte verbinden, wäre der Transport von Waren und Gütern, wie er im heutigem Umfang für die deutsche Wirtschaft und Gesellschaft nötig ist, nicht zu realisieren. Die Lagerlogistik wird typischerweise von Logistikdienstleistern der Kategorie 1PL bis 3PL übernommen. Die Bereitstellung der Infrastruktur für die Lagerlogistik besteht aus technisch und logisch komplexen Vorgängen, die diese Studie zur Analyse kritischer Zusammenhänge und Abhängigkeiten in logische Teilbereiche, sogenannte Prozessschritte, unterteilt (siehe Abbildung 27). Jeder Prozessschritt leistet einen wesentlichen Beitrag zur Erbringung der Dienstleistung und beeinträchtigt bei Störung oder Ausfall die gesamte Dienstleistung. Für die Dienstleistung „Lagerlogistik“ werden im weiteren Verlauf der Studie die folgenden Prozessschritte betrachtet: • Wareneingang (PS1): Beim Eintreffen von Gütern und Waren im Lager müssen diese zunächst angenommen werden. Dazu wird die Ware identifiziert, kontrolliert und im System erfasst. Nachdem die Ware entsprechend gekennzeichnet worden ist, wird sie zur Lagerung freigegeben. Die Warenannahme wird durch das Auftragsmanagement ergänzt, das die Schnittstelle zwischen Logistikdienstleister und Kunden darstellt. • Lagerung (PS2): Nach Eingang der Waren werden diese ihren Anforderungen entsprechend verräumt und gelagert. Die Lagerverwaltung steuert und koordiniert dazu die nötigen Abläufe innerhalb des Warenlagers. • Warenausgang (PS3): Sollen Waren das Lager verlassen, werden die entsprechenden Teile aus dem Lager zusammengestellt und kommissioniert. Nach der Verpackung folgt die Übergabe der Sendung an den Transporteur. Abschließend wird die Ware aus dem System ausgebucht. Bundesamt für Sicherheit in der Informationstechnik 85 Kritische Dienstleistungen Abbildung 27: Schematische Darstellung der kritischen Dienstleistung „Lagerlogistik“ Quelle: eigene Darstellung Ausfall der Lagerlogistik Ein Ausfall der Lagerlogistik kann verschiedene Ursachen haben: • Technisches Versagen: Ausfälle der Lagerlogistik, verursacht durch Ausfall oder technisches Fehlverhalten der eingesetzten Informations- und Kommunikationstechnologie. • Menschliches Versagen: Ausfälle der Lagerlogistik, verursacht durch menschliches Fehlverhalten, etwa bei großflächigen Konfigurationsänderungen der Informations- und Kommunikationstechnologie oder anderer kritischer Systeme. • Kriminelle oder terroristische Handlungen: Ausfälle der Lagerlogistik, verursacht durch absichtliche Manipulationen oder Cyber-Angriffe auf die eingesetzte Informations- und Kommunikationstechnologie oder anderer Infrastruktur. Unter dem Begriff „Ausfall“ werden im Folgenden ein vollständiger Ausfall der Dienstleistung, eine gravierende Störung der Dienstleistung mit konkreten Folgen oder die Zerstörung von Infrastrukturen (meist verbunden mit Ausfällen) verstanden. Exemplarisch seien an dieser Stelle zwei Ausfallszenarien aufgeführt: • Technisches Versagen gehört zu den häufigsten Gründen für Störungen innerhalb der Dienstleistung. Beispiel hierfür ist der Ausfall von Motoren eines Regalbediengerätes in einem Hochregallager. Je nach Kritikalität der eingesetzten Geräte kann dies potentiell zu erheblichen Verzögerungen in den nachgelagerten Prozessen führen. Durch Störungen eines kritischen Regalbediengerätes können aus dem Wareneingang nachrückende Waren nicht mehr im Lager verräumt werden. Dies kann schließlich dazu führen, dass keine weitere Waren im Eingang angenommen werden können. Ebenfalls können Waren nicht aus dem Warenlager in die Kommissionierung überführt werden, was einen Stillstand des Warenausganges zur Folge hat. Technischem Versagen kann mit präventiven Maßnahmen wie regel86 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen mäßiger Wartung entgegengewirkt werden. Zudem können die Störungseffekte durch eine effiziente Ersatzteillagerung abgemildert werden. • Auch externe Cyber-Angriffe auf die IT-Systeme eines Warenlagers können zu erheblichen Störungen der betriebsinternen Prozesse führen. Wie schwer solch ein Angriff wiegt, hängt von der Art des Cyber-Angriffes und der Kritikalität der betroffenen Anlage ab. Ein Komplettausfall des Warehouse Management Systems oder der Steuerungssysteme von Kommissioniergeräten ist mit einem Totalausfall des Warenlagers gleichzusetzen. Im Rahmen der Just-in-Time-Logistik bedeutet eine dies einen erheblichen finanziellen Verlust für betroffene Unternehmen. Folgen eines Ausfalls der Lagerlogistik Die Folgen eines Ausfalles der Lagerlogistik können nur in Zusammenhang mit dem jeweiligen Betreiber bzw. dessen Warenangebot sinnvoll beurteilt werden. So wiegt der Ausfall eines regionalen Baustofflagers in der Regel weniger schwer als der Ausfall eines zentralen Warenlagers für Arzneimittel. Grundsätzlich lässt sich für die einzelnen Teilen der Gesellschaft Folgendes festhalten: • Ein Ausfall der Lagerlogistik bedeutet für die Bevölkerung eine verspätete Bereitstellung oder Lieferung von Waren und Gütern. Da in der Regel jedoch mehrere Betreiber in einem Warensegment existieren, ist es wenig wahrscheinlich, dass die Versorgung der Bevölkerung mit kritischen Waren großflächig ausfällt. Nur in Fällen, in denen entweder ein Großteil der Betreiber einer Warengruppe oder ein Unternehmen mit herausragender Marktstellung ausfällt, ist mit nachhaltigen Versorgungsengpässen zu rechnen. • Für die Wirtschaft sind bei Störung oder Ausfall der Lagerlogistik zunächst bedeutende finanzielle Auswirkungen und eventuelle Reputationsverluste zu erwarten. Ähnlich wie in der Transport- und Umschlaglogistik können Ausfälle von einzelnen regionalen Warenlager in der Regel durch die vermaschten Logistikstrukturen kompensiert werden. Die Folgen sind dann Verzögerungen und daraus entstehende Engpässe bei der Warenauslieferung. Ein kritisches Niveau wird erst durch den großflächigen Ausfall eines Lagernetzwerkes erreicht. • Der Staat ist von einem Ausfall in der Lagerlogistik nicht direkt betroffen. Da er jedoch einen Versorgungsauftrag gegenüber der Bevölkerung hat, liegt es auch in seinem Verantwortungsbereich, das Risiko für Ausfälle in der Lagerlogistik angemessen zu behandeln. Bundesamt für Sicherheit in der Informationstechnik 87 Kritische Dienstleistungen 3.3.1 Wareneingang (PS1) Im Prozessschritt „Wareneingang“ werden Waren und Güter bei ihrer Ankunft im Lager identifiziert, entladen, sortiert und für die Überführung in das Warenlager bereitgestellt. Dabei erfolgt auch die Aufnahme der Wareninformationen in die Systeme des Auftragsmanagements und der Lagerverwaltung. Der Prozessschritt endet auf Materialflussebene mit der Bereitstellung der Waren für die Verräumung, auf Ebene des Informationsflusses mit der Aufnahme der Daten in die Stammdaten. Die unterschiedlichen Tätigkeiten werden nachfolgend getrennt als sogenannte betriebsinterne Prozesse betrachtet, um insbesondere die jeweiligen prozessualen und technischen Gegebenheiten beim Wareneingang zu berücksichtigen (siehe Abbildung 28). Für den Prozessschritt „Wareneingang“ werden im weiteren Verlauf der Studie die folgenden betriebsinternen Prozesse betrachtet: • Warenannahme (BP1): Identitätsprüfung, Entladung, Eingangskontrolle sowie ggf. Entpacken und Sortieren der gelieferten Waren. • Auftragsmanagement (BP2): Verwaltung von Kunden- und Auftragsinformationen zur fehlerfreien und termingerechten Ausführung. • Warenerfassung (BP3): Erfassung der bei der Warenannahme erhobener Daten. Die Daten werden dann in das Warehouse Management System übertragen, wo sie Grundlage für die Aufgaben der Lagerhaltung und -verwaltung sind. Abbildung 28: Prozessschritt „Wareneingang“ der Dienstleistung „Lagerlogistik“ Quelle: eigene Darstellung 88 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.3.1.1 Warenannahme (BP1) DL PS BP 3 1 1 Zusammenfassung Warenannahme Der betriebsinterne Prozess „Warenannahme“ beinhaltet die Tätigkeiten bei Anlieferung neuer Güter an einem Umschlag- bzw. Lagerpunkt. Er umfasst die Identitätsprüfung, die Entladung, die Eingangskontrolle, das Entpacken und Sortieren der gelieferten Waren. IKT-Risikoelemente • Warehouse Management System (WMS) Tabelle 22: Betriebsinterner Prozess „Warenannahme“ (DL3 PS1 BP1) Prozessbeschreibung Die Warenannahme umfasst alle Tätigkeiten bei Anlieferung neuer Güter an einem Umschlag- bzw. Lagerpunkt. Für eine ausführliche Beschreibung siehe Abschnitt 3.2.1.1 „Warenannahme (BP1)“. Bundesamt für Sicherheit in der Informationstechnik 89 Kritische Dienstleistungen 3.3.1.2 Auftragsmanagement (BP2) DL PS BP 3 1 2 Zusammenfassung Auftragsmanagement Der betriebsinterne Prozess „Auftragsmanagement“ beinhaltet die Verwaltung von Kunden- und Auftragsinformationen zur fehlerfreien und termingerechten Ausführung. IKT-Risikoelemente • Customer Relationship Management (CRM) • Warehouse Management System (WMS) • Kommunikationsverbindungen zur Datenfernübertragung • Schnittstellen zu Zollsystemen Tabelle 23: Betriebsinterner Prozess „Auftragsmanagement“ (DL3 PS1 BP2) Prozessbeschreibung Das Auftragsmanagement bildet die Schnittstelle zwischen Logistikdienstleister und Kunden. Es ist meist über das interne Warehouse Management System mit dem logistikübergreifenden Auftragsmanagement verbunden. Für eine ausführliche Beschreibung siehe Abschnitt 3.1.1.1 „Auftragsmanagement (BP1)“. 90 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.3.1.3 Warenerfassung (BP3) DL PS BP 3 1 3 Zusammenfassung Warenerfassung Der betriebsinterne Prozess „Warenerfassung“ beinhaltet die elektronische Erfassung der bei der Warenannahme erhobenen Daten. Diese werden in das Warehouse Management System bzw. das Transportmanagementsystem übertragen und bilden die Grundlage für nachfolgende Prozesse. IKT-Risikoelemente • Warehouse Management System (WMS) • Barcode-/RFID-Systeme • Schnittstellen zu Zollsystemen Tabelle 24: Betriebsinterner Prozess „Warenerfassung“ (DL3 PS1 BP3) Prozessbeschreibung Die Warenerfassung dient der meist IT-basierten Dokumentation der Sendungs- und Wareninformationen. Für eine ausführliche Beschreibung siehe Abschnitt 3.2.1.4 „Warenerfassung (BP4)“. Bundesamt für Sicherheit in der Informationstechnik 91 Kritische Dienstleistungen 3.3.2 Lagerung (PS2) Im Prozessschritt „Lagerung“ werden die angelieferten Waren aus dem Eingangsbereich in das Warenlager verräumt. Die eigentliche Lagerung erfolgt nach verschiedenen Belegungs- und Bewegungsstrategien, die abhängig von der Größe und Art des Lagers, der Güterart und den logistischen Anforderungen gewählt werden. Im Rahmen der Lagerung können auch Veredelungs- oder Umformungsprozesse als Value Added Services erbracht werden, z. B. Befüllung von Verkaufsdisplays mit Aktionsware, Konfektionierung von Bundles inkl. Einschweißen, Sortimentierung oder Etikettierung. Die unterschiedlichen Tätigkeiten werden nachfolgend getrennt als sogenannte betriebsinterne Prozesse betrachtet, um insbesondere die jeweiligen prozessualen und technischen Gegebenheiten bei der Lagerung zu berücksichtigen (siehe Abbildung 29). Für den Prozessschritt „Lagerung“ werden im weiteren Verlauf der Studie die folgenden betriebsinternen Prozesse betrachtet: • Verräumung (BP1): Transport der Waren vom Eingang in das eigentliche Lager. Hierzu wird die Ware zunächst identifiziert und dann manuell oder automatisch über Fördertechniken in das Warenlager gebracht. • Lagerung (BP2): Lagerung der Waren und Güter nach verschiedenen Bewegungs- und Belegungsstrategien zur Optimierung der Erreichbarkeit und Nutzung der Lagerflächen. • Lagerverwaltung (BP3): Koordination der Warenbewegungen über alle Prozessschritte hinweg sowie Auswahl der optimalen Bewegungs- und Belegungsstrategien für das Lager. Abbildung 29: Prozessschritt „Lagerung“ der Dienstleistung „Lagerlogistik“ Quelle: eigene Darstellung 92 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.3.2.1 Verräumung (BP1) DL PS BP 3 2 1 Zusammenfassung Verräumung Der betriebsinterne Prozess „Verräumung“ umfasst den Transport der Waren vom Eingang in das eigentliche Lager. Dazu wird die Ware zunächst identifiziert und dann manuell oder automatisch über Fördertechniken in das Warenlager gebracht. IKT-Risikoelemente • Warehouse Management System (WMS) • Barcode-/RFID-Systeme • Quittierungssysteme • Steuerungstechnik für automatische Hochregallager und Regalbediengeräte • Staplerleitsysteme und Steuerungstechnik für autonome Transportmittel Tabelle 25: Betriebsinterner Prozess „Verräumung“ (DL3 PS2 BP1) Prozessbeschreibung Nachdem die Warenannahme und -erfassung abgeschlossen ist, wird die Ware in die sogenannte Vorzone zur Verräumung weitergeleitet. Dies geschieht entweder manuell oder automatisch über Förderanlagen. Bei größeren Lagerhäusern wird dazu je Warengruppe ein Transportauftrag ausgestellt, der vom jeweiligen Lagerarbeiter angenommen wird. Die einzulagernden Waren werden in der Vorzone zunächst anhand ihrer Labels wie RFID-Transponder oder Barcodes identifiziert. Anschließend werden die Waren pauschal, einzeln oder online quittiert. Dies hängt vom eingesetzten System des jeweiligen Lagerhauses ab. Die Quittierung kann über automatische Regalbediengeräte, Schnittstellen an das Warehouse Management System oder über Funkterminals erfolgen. Anschließend erfolgt die Verräumung der Ware im Lager [Logistik Know-how 2013l]. Die Auswahl des Lagerorts hängt ebenfalls von den eingesetzten Systemen ab. Er kann manuell durch einen Lagerarbeiter gewählt werden oder durch das Warehouse Management System automatisch zugewiesen werden. Die Ware wird dann manuell aufgenommen oder automatisch über Fördertechnik zum Lagerort transportiert. Bei der Bestimmung des Lagerortes wird berücksichtigt, wann die Ware das Lager wieder verlässt, und mit dem Ein- und Ausgang anderer Waren abgestimmt, um eine optimale Ausnutzung des Lagervolumens zu erzielen. Zudem müssen physische Anforderungen der Ware sowie gesetzliche und sicherheitsrelevante Vorgaben beachtet werden, beispielsweise bei der Lagerung von Explosivstoffen [Logistik Know-how 2013a]. Bundesamt für Sicherheit in der Informationstechnik 93 Kritische Dienstleistungen 3.3.2.2 Lagerung (BP2) DL PS BP 3 2 2 Zusammenfassung Lagerung Der betriebsinterne Prozess „Lagerung“ beinhaltet die Lagerung von Waren und Gütern, wobei verschiedene Bewegungs- und Belegungsstrategien angewendet werden, um die Lagerung hinsichtlich Warenerreichbarkeit und Nutzung der Lagerflächen zu optimieren. IKT-Risikoelemente • Warehouse Management System (WMS) • Steuerungstechnik für automatische Hochregallager und Regalbediengeräte Tabelle 26: Betriebsinterner Prozess „Lagerung“ (DL3 PS2 BP2) Prozessbeschreibung Der Lagerungsprozess erfolgt vorrangig unter dem Ziel, die vorhandenen Lagerflächen optimal zu nutzen und eine schnelle Erreichbarkeit der Waren zu gewährleisten. Auch bei der Lagerung werden zur exakten Bestandsführung und zur Verwaltung der Lagerplätze kontinuierlich Daten an das Warehouse Management System gesendet [Heinrich 2011, S. 516]. Bei der Lagerung von Waren und Gütern werden Bewegungs- und Belegungsstrategien angewendet. Bei Belegungsstrategien wird das Lager in verschiedene Funktionsbereiche aufgeteilt. In welchem Bereich eine Einheit gelagert wird, hängt davon ab, ob bei der Organisation primär eine Transportoptimierung oder eine Flächenoptimierung der Waren im Vordergrund steht. Beispiele für Belegungsstrategien sind die artikelreine und artikelgemischte Belegung von Lagerplätzen. Bei einer artikelreinen Platzbelegung werden gleiche Artikel gemeinsam im selben Stellplatz gelagert. Der Vorteil dieser Belegungsstrategie ist, dass Waren schneller transportiert werden können. Die artikelgemischte Platzbelegung kommt eher als Notlösung zum Einsatz, wenn der Platz in einem Lager begrenzt ist. Vorteil ist, dass einzelne leere Stellflächen ausgefüllt werden können. Allerdings entstehen durch die Streuung der Waren im Lager zu höheren Transportaufwänden, wenn die Waren in den Warenausgang verschoben werden sollen oder auf andere Lagereinheiten zugegriffen werden muss. Daher erfordert die artikelgemischte Lagerung mehr Geräte und Personal [Logistik Know-how 2014b]. Das Ziel von Belegungsstrategien ist es, Richtlinien zum intralogistischen Transport von Waren festzulegen und dadurch eine bestmögliche Durchsatzleistung der Waren zu erreichen. Ein Beispiel für eine Belegungsstrategie ist die Doppelspielstrategie. Dabei werden die Ein- und Auslagerungen von Waren miteinander kombiniert: durch eine optimierte Anordnung der Lagereinheiten können z. B. Regalbediengeräte nach der Hinfahrt und Einlagerung von Waren direkt die Auslagerung von Waren bei der Rückfahrt vornehmen. Hierdurch lässt sich die Fahrzeit reduzieren. Nachteil der Strategie ist, dass die Lagerung von Waren und die Bewegungsabläufe im Vorfeld entsprechend kalkuliert werden müssen. Dagegen findet beim Einzelspiel nur eine Ein- oder Auslagerung pro Fahrt statt [Logistik Know-how 2013e]. Welche Strategien gewählt werden, hängt unter anderem davon ab, ob das vorrangige Ziel eine Transport optimierung oder Flächenminimierung ist. Dabei sind nicht alle Belegungsstrategien mit allen möglichen Bewegungsstrategien kombinierbar. 94 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.3.2.3 Lagerverwaltung (BP3) DL PS BP 3 2 3 Zusammenfassung Lagerverwaltung Der betriebsinterne Prozess „Lagerverwaltung“ beinhaltet die Koordination der Warenbewegungen über alle Prozessschritte hinweg sowie die Festlegung der optimalen Belegungs- und Bewegungsstrategien für das Lager. IKT-Risikoelemente • Warehouse Management System (WMS) Tabelle 27: Betriebsinterner Prozess „Lagerverwaltung“ (DL3 PS2 BP3) Prozessbeschreibung Die Lagerverwaltung stellt die Schnittstelle zwischen dem Materialfluss und dem Informationsfluss in einem Lagerhaus dar und koordiniert und verwaltet beide Flüsse [Heinrich 2011, S. 519]. Sie verwaltet die Lagerstammdaten und plant die Warenbewegungen für Ein-, Um- und Auslagerung. Weiterhin steuert sie den Wareneingang und Warenausgang im Lager. Die Lagerverwaltung legt zudem die Belegungs- und Bewegungsstrategien fest. Ziel ist es, eine optimale Flächennutzung und kurze Durchlaufzeiten bei der Ein- und Auslagerung realisieren. Dazu überwacht die Lagerplatzverwaltung die Prozesse der Verräumung und der Lagerung und kontrolliert unter anderem die Anzahl der Einlagerungen, die Lagerauslastung und die Anzahl und Entfernung der Lagerorte [Logistik Know-how 2013l]. In modernen Lagern mit größeren Warenmengen sind die notwendigen Prozesse ohne EDV-Unterstützung nicht mehr effektiv umsetzbar. Der Einsatz von dynamischen Lagerhaltungsstrategien (siehe Abschnitt 3.3.2.2 „Lagerung (BP2)“) ist nur mit dem Einsatz entsprechender Software zur Bestandsverwaltung realisierbar, da die notwendige Geschwindigkeit bei der Datenverarbeitung bei manueller Verwaltung nicht erreicht werden kann. In der Lagerverwaltung werden Warehouse Management Systeme eingesetzt. Frühere WMS waren beschränkt auf die Verwaltung des eigentlichen Lagers, erstrecken sich heute jedoch auf alle betriebs internen Prozesse von der Warenannahme bis zum Ausbuchen der Ware. Das Warehouse Management System verwaltet unter anderem Chargendaten und steuert Bestandsreservierungen. Um einen reibungslosen Übergang mit den anderen Logistikdienstleistungen zu erzielen, ist das Warehouse Management System in vielen Fällen entweder mit dem übergeordneten ERP-System verbunden oder in dieses integriert. In das WMS sind oft noch weitere Subsysteme integriert, wie Systeme zur Transportmitteloder Robotersteuerung. Ein Beispiel dafür ist das Staplerleitsystem, das Flurförderzeuge wie Gabelstapler steuert. Die Lagerverwaltung hält alle Lagerbewegungen fest und reserviert und bucht die entsprechenden Bestände in Abstimmung mit dem Auftragsmanagement. Informationen über Ein- und Verkauf aus dem Auftrags management werden optimalerweise direkt von der Lagerverwaltung berücksichtigt, sodass Lagerzonen und -plätze zeitnah gebucht werden. Die Lagerverwaltung kontrolliert und verwaltet den innerbetrieblichen Materialfluss des administrativ geschlossenen Lagers und bildet die Schnittstelle zur externen Logistikkette. Bundesamt für Sicherheit in der Informationstechnik 95 Kritische Dienstleistungen 3.3.3 Warenausgang (PS3) Im Prozessschritt „Warenausgang“ werden die Waren aus dem Lager entnommen, sortiert, verpackt und die entsprechenden Sendungen erstellt. Auch werden die notwendigen Lieferpapiere erzeugt. Abschließend werden die Pakete in die jeweiligen Transportfahrzeuge verladen und die Waren aus dem System ausgebucht. Der Prozessschritt endet mit Fakturierung der erbrachten Leistungen. Die unterschiedlichen vorbereitenden Tätigkeiten werden nachfolgend getrennt als sogenannte betriebsinterne Prozesse betrachtet, um insbesondere die jeweiligen prozessualen und technischen Gegebenheiten beim Warenausgang zu berücksichtigen (siehe Abbildung 30). Für den Prozessschritt „Warenausgang“ werden im weiteren Verlauf der Studie die folgenden betriebsinternen Prozesse betrachtet: • Kommissionierung (BP1): Zusammenstellung von Sendungen aus verschiedenen Einzelwaren je nach Auftrag sowie Verpackung und Sendungserstellung. • Warenübergabe (BP2): Vorbereitung der Pakete für den Transport, Erstellung der notwendigen Papiere und Überführung der Sendung in das Transportfahrzeug sowie Ausbuchen der Ware aus dem Warehouse Management System. • Fakturierung (BP3): Abrechnung der erfolgten Dienstleistung gegenüber dem Auftraggeber (nicht KRITIS-relevant). Abbildung 30: Prozessschritt „Warenausgang“ der Dienstleistung „Lagerlogistik“ Quelle: eigene Darstellung 96 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.3.3.1 Kommissionierung (BP1) DL PS BP 3 3 1 Zusammenfassung Kommissionierung Der betriebsinterne Prozess „Kommissionierung“ beinhaltet die Zusammenstellung von Sendungen aus verschiedenen Einzelwaren je nach Auftrag sowie die Verpackung und Sendungserstellung. IKT-Risikoelemente • Warehouse Management System (WMS) • Kommissioniersysteme • Pick-by-Light- oder Pick-by-Voice-Systeme • Barcode-/RFID-Systeme Tabelle 28: Betriebsinterner Prozess „Kommissionierung“ (DL3 PS3 BP1) Prozessbeschreibung Bei der Kommissionierung werden Sendungen aus verschiedenen Einzelwaren zusammengestellt und für den Transport vorbereitet. Für eine ausführliche Betrachtung siehe Abschnitt 3.2.2.3 „Kommissionierung (BP3)“. Bundesamt für Sicherheit in der Informationstechnik 97 Kritische Dienstleistungen 3.3.3.2 Warenübergabe (BP2) DL PS BP 3 3 2 Zusammenfassung Warenübergabe Der betriebsinterne Prozess „Warenübergabe“ beinhaltet die Vorbereitung der Pakete für den Transport, die Erstellung der notwendigen Papiere und die Überführung der Sendung in das Transportfahrzeug. IKT-Risikoelemente • Warehouse Management System (WMS) • Barcode-/RFID-Systeme • Schnittstellen zu Zollsystemen Tabelle 29: Betriebsinterner Prozess „Warenübergabe“ (DL3 PS3 BP2) Prozessbeschreibung Im Warenausgang werden die verpackten Einheiten konsolidiert und die Pakete mit den entsprechenden Zielpapieren angefertigt. Abschließend werden sie zur Versendung vorbereitet und an den Transport übergeben. Für eine ausführliche Beschreibung siehe 3.2.3.1 „Warenübergabe (BP1)“. 98 Bundesamt für Sicherheit in der Informationstechnik Logistik in anderen KRITIS-Sektoren 4 Logistik in anderen KRITIS-Sektoren Im folgenden Kapitel werden die Logistikanteile in den KRITIS-Sektoren Gesundheit, Ernährung, Energie und Finanzen dargestellt und in ihrer Ausprägung untersucht. Dies erfolgt unter Berufung auf die KRITIS-Sektorstudien für die jeweiligen Sektoren, in welchen die Logistikabhängigkeiten der einzelnen betriebsinternen Prozesse identifiziert und bewertet wurden.20 Die Erbringung der notwendigen logistischen Leistungen zur Durchführung der jeweiligen sektorspezifischen Aufgaben erfolgt durch die kritischen Dienstleistungen der Logistikbranche, nämlich Transportlogistik, Umschlaglogistik und Lagerlogistik. Aufgrund der abstrahierten Darstellung der kritischen Dienstleistungen (siehe Kapitel 3 „Kritische Dienstleistungen“) laufen diese auch in anderen KRITIS-Sektoren in ihren Grundzügen unverändert ab. Dabei beeinflussen die verschiedenen zu transportierenden Güterarten wie Bargeld, Heizöl oder Arzneimittel nicht grundsätzlich die generelle Ausgestaltung der Dienstleistung und ihrer Prozessschritte sowie betriebsinternen Prozesse. Gegebenenfalls müssen jedoch veränderte Rahmenbedingungen beachtet und Abläufe an diese angepasst werden. Diese Rahmenbedingungen werden im Folgenden analysiert und die konkrete Ausgestaltung der Dienstleistungen für die einzelnen Sektoren beschrieben, sofern Unterschiede zur abstrahierten Darstellung bestehen. 4.1 Logistik im Sektor Gesundheit Der KRITIS-Sektor Gesundheit erbringt kritische Dienstleistungen zur Versorgung der Bevölkerung mit medizinischen Leistungen und Produkten. Aufgrund seiner Größe und gesellschaftlichen Bedeutung ist das Gesundheitswesen in Deutschland ein zentraler volkswirtschaftlicher und sozialer Faktor. Ziel ist es, medizinische und medizintechnische Güter bedarfsgerecht bereitzustellen und eine optimale Versorgungssicherheit aller Patienten und medizinischen Forschungseinrichtungen zu gewährleisten [Kertsen 2008]. Logistik im Gesundheitswesen wird auch als Healthcare-Logistik bezeichnet und dient als Oberbegriff für diverse logistische Teilaktivitäten im Bereich des Gesundheitswesens [Klaus 2012, S. 219]. Logistische Tätigkeiten umfassen die Planung, Steuerung, Durchführung und Kontrolle von Waren-, Informations- und Personenflüssen zwischen und innerhalb beteiligter Institutionen. Die Healthcare-Logistik basiert auf den in Kapitel 3 identifizierten kritischen Dienstleistungen der Transport-, Umschlag- und Lagerlogistik, die an den gut- und marktspezifischen Anforderungen des Gesundheitswesen ausgerichtet werden. Zusätzlich bedarf es Kompetenzen im Bereich der Beratung für Logistik und Supply Chain Management. Spezifische Güterarten unterliegen besonderen gesetzlichen Vorschriften, welche bei Transport, Lagerung und Umschlag eingehalten werden müssen. Weiterhin bestimmen Bestellzyklen, Liefermengen und die Händlerstruktur die Rahmenbedingungen logistischer Leistungen im Gesundheitssektor. Zunehmend finden auch in der Healthcare-Logistik die in Industrie und Handel bewährten logistischen Strategien und Konzepte wie beispielsweise das der Citylogistik Anwendung. Die Healthcare-Logistik weist starke, meist durch rechtliche Rahmenbedingungen vorgegebene Branchenspezifika auf [Klaus 2012, S. 218]. Healthcare-Logistik kann aus zwei Sichtweisen betrachtet werden (siehe Abbildung 31). Dies ist zum einen die Perspektive der herstellenden Industrie, welche Logistik im Bereich Gesundheitswesen hauptsächlich als Distributionslogistik auffasst. Dabei steht der Warenstrom ausgehend von der herstellenden Industrie zu medizinischem Groß- und Facheinzelhandel, niedergelassenen Ärzten sowie sonstigen Zielen im Home-Care-Bereich, d. h. der Versorgung von Privathaushalten und Pflegeheimen, im Fokus. Zum anderen können logistische Prozesse im Gesundheitswesen aus Perspektive der Krankenhäusern und sonstigen Gesundheitseinrichtungen betrachtet werden. Diese forciert insbesondere Prozesse der Beschaffung, externen und internen Lagerhaltung sowie der Inhouse-Logistik. 20 Zum Zeitpunkt der Studienerstellung lagen für den Gesundheits- und den Finanzsektor noch keine Bewertung der Logistikabhängigkeiten einzelner betriebsinterner Prozesse vor. Die Beschreibung der logistischen Leistungserbringung erfolgt daher ohne konkreten Bezug zu den spezifischen KRITIS-Sektorstudien für Gesundheit und Finanzen. Bundesamt für Sicherheit in der Informationstechnik 99 Logistik in anderen KRITIS-Sektoren Abbildung 31: Abgrenzung der Healthcare-Logistik Quelle: in Anlehnung an [Klaus 2012, S. 220] Distributionsperspektive Logistikdienstleister übernehmen die Distributionslogistik zwischen Herstellern von pharmazeutischen Erzeugnissen, Medizintechnik oder gesundheitsbasierten Verbrauchsgüter und den Empfängern im Gesundheitswesen. Als typische Warenempfänger gelten Handelsunternehmen in Groß- und Facheinzelhandel, z. B. Apotheken und Sanitätshäuser, sowie Krankenhäuser und Rehabilitationseinrichtungen, ambulante Einrichtungen, niedergelassene Ärzte, Forschungseinrichtungen oder einzelne Patienten. Aufgrund der zunehmenden Entwicklung des Internet-Versandhandels im Pharmabereich sowie der Online-Apotheken eröffnen sich weitere Geschäftsfelder für KEP-Dienstleister [Klaus 2012, S. 220]. Da Pharmaunternehmen mittlerweile mehr als 50 Prozent ihres Absatzes in ausländischen Märkten erzielen, müssen Logistikdienstleister im Healthcare-Bereich ebenso die internationale Versorgung sicherstellen. Zentrale Gütergruppen in der Healthcare-Logistik sind Medikamente, Ver- und Gebrauchsgüter für die Patientenversorgung wie Verbände, Reinigungsmittel, Pflege- und Büromaterial sowie Produkte der Medizintechnik. Je nach Güterart müssen bei der logistischen Abwicklung bestimmte gesetzliche Vorschriften zur Temperaturführung oder Verpackung beachtet werden. Insbesondere in der Pharma industrie sind die Gütergebinde oft klein und hochwertig. Sie unterliegen strengen Regulierungen und sind teilweise als Gefahrgut zu deklarieren. Vorrangig genutzte Verkehrsträger sind der Straßentransport, wobei im Rahmen von KEP-Dienstleistungen auch die Versorgung per Luftfracht eine wesentliche Rolle einnimmt [Kille/Schwemmer 2014, S. 192]. Je nach Art des Gutes kommen unterschiedliche Logistikdienstleister bzw. Geschäftsfelder eines Dienstleisters zum Einsatz. Tabelle 30 gibt einen Überblick über Güterarten, logistische Anforderungen und Dienstleister. 100 Bundesamt für Sicherheit in der Informationstechnik Logistik in anderen KRITIS-Sektoren Güterart Logistische Anforderung Marktbereich Dienstleistertyp Arzneimittel/ Ggf. Temperaturführung, Pharma-erzeugni spezielle Verpackung sse Stückgut, Gefahrgut Standardlogistik-dienstleist er, KEP-Dienstleister, Kontrakt-logistiker Medizintechnik Spezielle Verpackung (ggf. für stoßempfindliche Güter), ggf. Installations-service Stückgut, Gefahrgut Standardlogistik-dienstleist er, KEP-Dienstleister, Kontrakt-logistiker Verbrauchsgüter Ggf. Gefahrgut Stückgut, Gefahrgut Standardlogistik-dienstleist er, KEP-Dienstleister, Kontrakt-logistiker Patienten Personen-/Patienten-transp ort Staatliche Rettungsdienste Blut- und Temperaturführung, Organtransporte spezielle Verpackung Standardlogistik-dienstleist er, KEP-Dienstleister, Kontrakt-logistiker und Spezial-dienstleister Speisen, Wäsche Ggf. Temperaturführung, spezielle Behälter/ Verpackung Kreislauf-Logistiker, Spezialdienstleister, häufig als Kooperation Entsorgung Ggf. spezielle Behälter/ Verpackung Standardlogistik-dienstleist er und Spezial-dienstleister Tabelle 30: Güterarten, logistische Anforderungen und Dienstleistertypen im Gesundheitssektor Die ambulante Versorgung der Bevölkerung wird in der Regel von niedergelassenen Ärzten oder Ambulanz-zentren erbracht. Das Netz der ambulanten Versorgungsstellen ist stark regionalisiert und durch kleinste Funktionseinheiten wie Arztpraxen gekennzeichnet. Die Versorgung erfolgt durch regionale Händlerstrukturen. Empfänger der logistischen Güter der häuslichen Patientenversorgung sind in der Regel Haushalte oder Pflegeheime, welche ebenso durch regionale Händlerstrukturen bedient werden. Bei der Versorgung der Haushalte spielen insbesondere niedergelassene Apotheken und Sanitätshäuser eine bedeutende Rolle. Logistikgebiete für den Pharmabedarf sind mit ca. 10.000 Quadratmetern für eine komplette Sortimentsvorhaltung vergleichsweise klein und verteilen sich auf ein ballungsraumorientiertes Depotnetz [Kille/Schwemmer 2014, S. 193]. Beispiele für Großhandelsbetriebe, die regionale Apotheken oder Fachhändler versorgen, sind die PHOENIX Gruppe, die Apothekergenossenschaft NOWEDA und der Apothekenlieferant CELESIO. Allerdings werden die Großhandelsstrukturen zunehmend durch Konzepte wie Direct to Pharmacy (DTP) unter Druck gesetzt, wobei krankenhausversorgende Apotheken beispielsweise direkt vom Hersteller ohne weitere Zwischenhändlerstufen beliefert werden. Die Entwicklung solcher Modelle integriert Logistikdienstleister stärker in die Prozesse und fördert eine Spezialisierung der Dienstleister [Röcken/Rohrberg 2008, S. 18]. Arzneimittelhersteller setzen oftmals einen primären Logistikdienstleister ein, der auf die Belieferung der Gesundheitsbranche spezialisiert ist und entsprechende Kontrakte anbietet. Dieser unterstützt im Rahmen der Kontraktlogistik die Bedürfnisse der Gesundheitseinrichtungen und entwickelt Supply Chain Management- und Belieferungskonzepte, die optimalerweise gemeinsam mit den Gesundheitseinrichtungen in die Anwendung überführt werden. Damit einher geht die Entwicklung der Produktharmonisierung und die damit verbundene Reduktion der Lieferantenanzahl auf wenige Haupt- und Leitlieferanten [Klaus 2012, S. 221]. Individualisierte Konzern- und Branchenlogistikangebote werden gegenüber Standardlösungen verstärkt angeboten [Röcken/Rohrberg 2008, S. 17]. Bundesamt für Sicherheit in der Informationstechnik 101 Logistik in anderen KRITIS-Sektoren Beispiele für logistische Generalunternehmen, die einen Pharmabereich im Gesamtportfolio aufweisen, sind Deutsche Post DHL, Kühne + Nagel sowie Panalpina. Spezialisierte Dienstleister, die branchenspezifische Transportkonzepte für den Gesundheitssektor anbieten, sind z. B. Grieshaber Logistics, Transmed und Trans-O-Flex [Kille/Schwemmer 2014, S. 194]. Beschaffungsperspektive Aus Sicht der Krankenhäuser und medizinischen Einrichtungen beschreibt Logistik in erster Linie die Perspektive der Beschaffungslogistik zur nachgelagerten Versorgung der medizinischen Funktionsbereiche. Oft wird in diesem Zusammenhang auch von der Krankenhaus- oder Inhouse-Logistik der Krankenhäuser bzw. Gesundheitseinrichtungen gesprochen. Kliniken und Gesundheitsdienstleister haben erst vor wenigen Jahren das Potenzial für eine Effizienz- und Qualitätssteigerung sowie für Kosteneinsparungen in der Optimierung der eigenen logistischen Prozesse erkannt. Die Entwicklung logistischer Abläufe unterstützt Ärzte und Pflegekräfte dabei, sich auf ihr Kerngeschäft zu konzentrieren [Röcken/Rohrberg 2008, S. 12]. Der Aufbau und Betrieb effizienter logistischer Infrastrukturen stellt für die Krankenhäuser und Gesundheitseinrichtungen eine große Herausforderung dar, weshalb eine zunehmende Verlagerung logistischer Tätigkeiten in die Privatwirtschaft zu erkennen ist. In der durch staatliche Einrichtungen geprägten Krankenhauslandschaft in Deutschland gewinnen Private-Public-Partnership-Modelle mit gemeinschaftlichen Dienstleistungsgesellschaften zunehmend an Bedeutung [Klaus 2012, S. 219]. Logistikdienstleister werden somit teilweise zu Mitbetreibern von Gesundheitseinrichtungen. Tabelle 31 zeigt Bereiche der Logistik, die Potenzial für den Einsatz von Logistikdienstleistern bieten. Logistikbereich Auszulagernde Bestandteile Beschaffungslogistik Bedarfskontrolle, Angebotswesen, Bestellüberwachung, bedarfsgerechte Beschaffung von medizinischer Technik und Hilfsmitteln sowie Pharmazeutika Lagerlogistik Logistik in Zentrallagern, technische Lagerunterstützung Entsorgungslogistik Entsorgung von Medikamenten/Medikalprodukten Transportlogistik Eil- und Notfalllieferungen, Patienten-, Medikamenten- und Probentransporte Prozesslogistik Reinigung von Gebäuden und Operationsräumen, Sterilisation, Wäsche- und Speiseversorgung, Laborlogistik, Wartung von (medizin-)technischen Komponenten, Gebäudemanagement, technische Prozessunterstützung Dokumentenlogistik Archivhaltung, EDV-Instandhaltung Tabelle 31: Logistikbereiche des Gesundheitssektors mit Einsatz externer Logistikdienstleistern Die Beschaffungslogistik zusammen mit der Gestaltung der Einkaufsprozesse stellt eine große Herausforderung für die Verwaltung in Krankenhäusern dar. Eine Vielzahl von Lieferanten und Logistik dienstleistern verlangsamt die Beschaffungsprozesse. Eng mit der Beschaffung verbunden ist die Lagerhaltung, die krankenhausintern, in externen Lagern oder von externen Dienstleistern durchgeführt werden kann. Der Einsatz von Logistikdienstleistern kann in diesen Bereichen zu einer Effizienzsteigerung führen. Auch für die Gestaltung der intern ablaufenden Prozesse eines Krankenhauses oder einer Gesundheitseinrichtung können die Kompetenzen von Logistikdienstleistern in Form von Beratung, Umsetzungsunterstützung und Koordination der Prozesse genutzt werden. Dies betrifft beispielsweise Konzepte für eine interne Flächennutzung, Weg-Routenplanung und die Bestückung der Pufferläger oder für interne Kreislaufsysteme wie der Sterilisation, Wäsche- und Speiseversorgung. Auch die Planung von Entsorgungs- und Dokumenten logistik werden häufig von Logistikdienstleistern unterstützt, welche die genannten Teilbereiche der Inhouse-Logistik in ein einheitliches Prozessmodell überführen und als Betreiber auftreten. Die gemeinsame Konzeptionierung, Planung und Umsetzung logistischer Prozesse kann dabei helfen, 102 Bundesamt für Sicherheit in der Informationstechnik Logistik in anderen KRITIS-Sektoren Beschaffungsprozesse zu standardisieren, die Lagerhaltung zu optimieren und Umschlagprozesse zu minimieren. Im Rahmen der Beschaffung und Lagerhaltung gewinnen Konzepte zum Vendor Managed Inventory (VMI) zunehmend an Bedeutung. Hierbei rufen Krankenhäuser und Krankenhausapotheken Pharma- und Verbrauchsmittel nur nach Bedarf aus einem Lager ab, welches vom Lieferanten bzw. beauftragten Logistikdienstleister betrieben wird. Auch der Ausbau von Lieferantenlagern und Lieferanten-Kanban, d. h. Pufferläger, die vom Lieferanten bei einem gewissen Verbrauch wieder befüllt werden, verdeutlicht, dass sich die logistische Gesamtverantwortung von den Krankenhäusern auf die Lieferanten bzw. koordi nierenden Dienstleister verlagert. Weitere abzusehende Trends sind die Direktbelieferung von Krankenhauslagern durch die Hersteller sowie die Lieferung bis in den Stationärbereich durch Logistikdienstleister. Dabei werden krankenhausseitige Prozesse und Bestände vollständig aufgelöst und durch regionale bestandsführende Distributionsplattformen von Logistikdienstleistern übernommen. Branchenspezifika Die logistischen Anforderungen aus der Pharmaindustrie sind mit denen aus der Lebensmittelindustrie vergleichbar. In beiden Branchen werden von Logistikdienstleistern eine lückenlose Transparenz in der Lieferkette, geschlossene Kühlketten und ein Nachweis über die Qualitätseinhaltung gefordert. Die Anforderungen an logistische Dienstleistungen sind vornehmlich aus den Produktspezifika abzuleiten. Zu den Healthcare-Produkten zählen zeitkritische wie lebenserhaltende oder lebensnotwendige Produkte, Produkte mit speziellen Lager- und Transportvorschriften wie Sterilprodukte, Produkte, die eine geschlossene Kühlkette erfordern oder sicherheitskritische Produkte wie Gefahrstoffe oder Betäubungs mittel [Klaus 2012, S. 219]. Beim Arzneimitteltransport benötigen Pharmaunternehmen Nachweise, dass Logistikunternehmen Güter entsprechend der Bestimmungen an den Empfänger geliefert haben. Dafür muss IT-Kompetenz vorhanden sein und die Fähigkeit zur Integration der einzelnen Beteiligten [Kille/Schwemmer 2014, S. 193]. Bevor das Logistikunternehmen mit dem Transport beauftragt wird, muss gemäß EU Good Manufacturing Practice (GMP) sichergestellt sein, dass dieses die Vorschriften des Wirkstoffes kennt und befolgt. Viele Wirkstoffe sind gekühlt zu transportieren und zu lagern oder dürfen eine bestimmte Temperatur nicht überschreiten, um ihre Qualität nicht negativ zu beeinträchtigen. Die Kühlleistung muss unabhängig von der Außentemperatur erbracht werden und ist durch Systeme wie Datenlogger oder Telematiksysteme zu bestätigen. Bei Transportdienstleistungen sind Qualitätsstandards nach Safety and Quality Assesment System (SQAS), DIN EN ISO 9001 und ISO/IEC 14001 einzuhalten. Die Verordnung über die Anwendung der Guten Herstellungspraxis bei der Herstellung von Arzneimitteln und Wirkstoffen und über die Anwendung der Guten fachlichen Praxis bei der Herstellung von Produkten menschlicher Herkunft (AMWHV) sowie die Arzneimittelbetriebsordnung (AMBO) schreiben zudem vor, Lieferungen bei Annahme stets auf die kritischen Parameter zu überprüfen und dies aufzuzeichnen, um ihre Einhaltung zu garantieren [Frick 2010]. Alle Parteien der Wertschöpfungskette, auch die Auslieferer selbst, müssen hinsichtlich der zur Good Distribution Practice (GDP) konformen Ausübung der Tätigkeiten geschult sein. Für den Transport von Arzneimitteln dürfen ausschließlich Fahrzeuge eingesetzt werden, die zuvor pharmagerecht qualifiziert wurden [VerkehrsRundschau 2013]. Der Probentransport muss über temperierte Boxen bzw. temperaturgesteuert und mit Material zur Probenentnahme nach gefahrengutrechtlichen Vorschriften durchgeführt werden [DSLV 2014]. Für Lager ist ggf. eine Großhandelserlaubnis erforderlich, wenn diese ein Produkt länger als 24 Stunden lagern. Bei Kühlprodukten muss für die Zwischenlagerung ggf. eine Großhandelserlaubnis vorliegen, unabhängig von der Dauer der Lagerung. Die Dokumentenlogistik hat nach Good Laboratory Practice (GLP) zu erfolgen. Mit diesem Qualitätssicherungssystem werden nicht klinische gesundheits- und umweltrelevante Sicherheitsprüfungen geplant, durchgeführt und überwacht [BfR 2015]. Bundesamt für Sicherheit in der Informationstechnik 103 Logistik in anderen KRITIS-Sektoren Ausblick Die Healthcare-Logistik wird zukünftig in ihrer Bedeutung und Ausgeprägtheit wachsen und sich weiter als eigenes Segment im Logistikmarkt entwickeln. Gründe für eine zunehmende Bedeutung der Healthcare-Logistik sind zum einem das Wachstum des tatsächlichen logistischen Volumens, da der Materialeinsatz bei der medizinischen Behandelung steigen wird. Zum anderen werden die Ansprüche nach einer höheren Versorgungsgeschwindigkeit und einem höheren Qualitäts- und Serviceniveau bessere und detailliertere Logistikkonzepte verlangen [Klaus 2012, S. 224]. Auch die demografischen Entwicklungen zeigen zukünftig einen erhöhten Bedarf an Dienstleistungen im Bereich Healthcare-Logistik auf [Kille/Schwemmer 2014, S. 195]. Die Bedeutung von IT-Systemen wird zukünftig hinsichtlich zweier Aspekte eine besondere Bedeutung tragen: zum einen ist der lückenlose Nachweis über den regelkonformen Transport, den Umschlag und die Lagerung über die gesamte Supply Chain transparent darzustellen, zum anderen bildet die Integration von Prozessen in einheitliche Systeme die Grundlage für Effizienzsteigerungen in der Inhouse-Logistik. Gerade bei einer externen Lagerhaltung und bedarfsgerechten Versorgung an den Verbrauchsstellen, z. B. im Operationssaal, ist die Funktionsfähigkeit der logistischen Prozesse sowie der eingesetzten IT-Systeme essentiell. 4.2 Logistik im Sektor Ernährung Der Sektor Ernährung erbringt zur Versorgung der Bevölkerung die kritische Dienstleistung „Lebensmittel versorgung“. Die Gesellschaft hat ein erhebliches Interesse an der ausreichenden Qualität und Quantität von Lebensmitteln, da diese für die Bevölkerung lebensnotwendig sind. Hierbei spielt die Sicherstellung der kontinuierlichen Herstellung und Verteilung der Lebensmittel eine wesentliche Rolle, da durch den Ausfall von Prozessen innerhalb der Wertschöpfungskette flächendeckende Versorgungsengpässe entstehen können, die je nach Schwere des Ausfalls eine Beeinträchtigung des gesundheitlichen Zustands der Bevölkerung und der Stabilität der Volkswirtschaft zur Folge haben. Bei der Produktion von Lebensmitteln sowie der Bereitstellung in Lebensmittelgroß- und -einzelhandel bestehen in einigen betriebsinternen Prozessen wesentliche Abhängigkeiten von Logistikdienstleistungen. Diese wurden in der KRITIS-Sektorstudie Ernährung und Wasser identifiziert und begründet (vgl. hierzu [BSI 2014b]). Tabelle 32 zeigt jene betriebsinternen Prozesse, die wesentliche (KRITIS-relevante) Logistikabhängigkeiten aufweisen. 104 Bundesamt für Sicherheit in der Informationstechnik Logistik in anderen KRITIS-Sektoren Betriebsinterner Prozess (ID, Name)21 Ausgestaltung der Abhängigkeiten Kritische Dienstleistung „Lebensmittelversorgung“ Prozessschritt „Lebensmittelproduktion“ DL1 PS1 BP1 „Rohstoffgewinnung“ Die gelieferten Produktionsmaterialien und die produzierten Rohstoffe müssen durch interne und externe Logistikprozesse an Lagerorte der landwirtschaftlichen Betriebe oder der Lebensmittelproduzenten transportiert werden. DL1 PS1 BP2 „Verwaltung Es muss sichergestellt werden, dass die Lieferung von bestelltem des Produktionsmaterials“ Produktionsmaterial rechtzeitig, vollständig und in ausreichender Qualität erfolgt und diese im gesamten Produktionsprozess verfügbar ist. Des Weiteren muss sichergestellt werden, dass benötigte technische Geräte funktionsfähig sind. Die gelieferten Produktionsmaterialien müssen durch interne Logistikprozesse an vordefinierte Lagerorte transportiert werden. DL1 PS1 BP3 „Produktion“ Interne logistische Prozesse müssen die Lieferung von Produktionsmaterialien an unterschiedliche Produktionsstandorte sicherstellen. Hierbei sind Kühlketten und Hygienevorschriften einzuhalten. DL1 PS1 BP4 „Lagerung und Auslieferung“ Logistische Prozesse müssen die Auslieferung produzierter Lebensmittel an die Kunden unter Berücksichtigung unterschiedlicher Transportanforderungen sicherstellen. Interne logistische Prozesse müssen den Transport der Lebensmittel innerhalb der eigenen Lager regeln. Je nach Lebensmittel müssen besondere Anforderungen bei der Verpackung berücksichtigt werden. Prozessschritt „Lebensmittelgroßhandel“ DL1 PS2 BP1 „Organisation des Lagerbestands“ Es muss sichergestellt werden, dass die Anlieferung von Lebensmitteln, die durch die Händler bei den Lebensmittelproduzenten bestellt wurden, rechtzeitig, vollständig und in ausreichender Qualität erfolgt. DL1 PS2 BP3 „Tourenplanung und Auslieferung“ Logistische Prozesse müssen die Auslieferung produzierter Lebensmittel an die Kunden unter Berücksichtigung unterschiedlicher Transportanforderungen sicherstellen. Interne logistische Prozesse müssen den Transport der Lebensmittel innerhalb der eigenen Lager regeln. Prozessschritt „Lebensmitteleinzelhandel“ DL1 PS3 BP1 „Organisation der Waren“ Es bestehen Abhängigkeiten von internen und externen Logistikprozessen, welche die zeitnahe und vollständige Anlieferung der Waren sicherstellen. Tabelle 32: KRITIS-relevante Logistikabhängigkeiten im Sektor Ernährung Logistische Dienstleistungen werden primär bei der Transportorganisation und -durchführung in Anspruch genommen. Dabei müssen Produktionsmaterialien und Rohstoffe transportiert und sichergestellt werden, dass die Lieferung alle zeitlichen und qualitativen Anforderungen erfüllt. Die Erbringung der Logistikanteile übernehmen meist auf den Ernährungssektor spezialisierte Logistikdienstleister mit entsprechendem Know-how und operativen Ressourcen. Auch bei der Organisation und Ausrichtung betriebsinterner Logistikprozesse erbringen Logistikdienstleister Services für Unternehmen des Ernährungssektors. In der Lebensmittellogistik müssen spezielle Rahmenparameter wie Temperatur- und Hygienebestimmungen beachtet werden. Der Großteil der Transporte in der Lebensmittellogistik wird temperiert gefahren. Ausnahmen sind Teil- oder Kompletttransporte, die aufgrund der Temperaturunempfindlichkeit keiner Kühlung bedürfen. Bevorzugt temperaturgeführt abgewickelt werden plusgradige Lebensmittel wie 21 Die ID bezieht sich auf die Referenzierung in der KRITIS-Sektorstudie Ernährung und Wasser (2014). Bundesamt für Sicherheit in der Informationstechnik 105 Logistik in anderen KRITIS-Sektoren Fleisch, Fisch und Molkereiprodukte sowie Convenienceprodukte wie Fertiggerichte, Feinkost, schokoladeund sahnehaltige Konditorei- und Süßwaren, Obst und Gemüse. Hinzu kommen Transporte für klassische Tiefkühlprodukte. Hauptanforderungen in der Lebensmittellogistik sind Rückverfolgbarkeit, Qualität und Sicherheit. Diese werden ergänzt durch zahlreiche technische und organisatorische Anforderungen der Logistikkunden. Diese erwarten, dass die „ohnehin hohen gesetzlichen Anforderungen an das Equipment und an die Systeme eingehalten werden, so zum Beispiel für die Sicherstellung der Rückverfolgbarkeit, der Einhaltung der Temperaturhöchstgrenzen bei bestimmten Produkten, oder zur Temperaturdokumentation.“ [Maienschein 2007] Letztere erfordert den Nachweis der lückenlosen Temperaturkette über den gesamten Transport- und Lagervorgang hinweg. Auf organisatorischer Ebene wird zunehmend gefordert, dass „Lager, Kommissionierung und die Transporte für Beschaffung und Distribution aus einer Hand kommen, und zwar möglichst standortoptimal. Zudem gilt es, die gesetzlichen Mindest-Standards für Lebensmittel-Sicherheit tatsächlich einzuhalten. Hier sind vor allem zu nennen Rückverfolgbarkeit binnen kürzester Zeit, beispielsweise für Rückrufaktionen, dokumentierte Temperaturverläufe, Hygiene und HACCP.“ 22 [Maienschein 2007] Im Hinblick auf die strengen Hygienevorschriften sind sowohl spezielle Hygienemaßnahmen als auch dediziertes Equipment wie Behälter etc. notwendig. Dienstleister wie die DACHSER GmbH & Co. KG, welche das Geschäftsfeld DACHSER Food Logistics anbietet, bieten sowohl Standardservices für die schnelle, zuverlässige und lebensmittelgerechte Verteilung von Produkten an, als auch individuelle maßgeschneiderte Dienste, „weil Outsourcing von Logistikleistungen ein weiterhin anhaltender Trend ist. So zum Beispiel die Zusammenlegung von historisch gewachsenen Logistik-Standorten zu Zentrallagern, die dann von externen Dienstleistern betrieben werden.“ [Maienschein 2007] Dabei setzen Logistikdienstleister vermehrt auf die Zertifizierung ihrer Angebote nach DIN EN ISO 9001, um die nationalen und europäischen gesetzlichen Bestimmungen zum Lebensmitteltransport in einem Qualitätsmanagement zu verankern. Auch streben verschiedene Dienstleister eine Zertifizierung nach dem Standard IFS Logistics an, welcher „der Auditierung von Logistikaktivitäten für Lebensmittel und Non-Food-Produkte“ dient [IFS 2015]. Dies umfasst Transport, Lagerung, Vertrieb, Be- und Entladen etc. „Der Standard ist auf alle Logistikbereiche anwendbar, z. B. Anlieferung per LKW, Bahn oder Schiff, und gilt für alle Arten von Produkten, egal, ob sie bei Gefriertemperaturen, gekühlt oder ungekühlt transportiert werden müssen.“ [IFS 2015] 4.3 Logistik im Sektor Energie Der Sektor Energie erbringt zur Versorgung der Bevölkerung die kritischen Dienstleistungen „Stromversorgung“, „Gasversorgung“ und „Treibstoff- und Heizölversorgung“. Diese umfassen die Erzeugung des jeweiligen Energieträgers, ggf. die Bearbeitung bzw. Veredelung, den Transport sowie die Bereitstellung der benötigten Leistung beim Verbraucher. Bei der Versorgung der Bevölkerung mit Strom, Gas, Treibstoff und Heizöl bestehen in einigen betriebsinternen Prozessen wesentliche Abhängigkeiten von Logistikdienstleistungen. Diese wurden in der KRITIS-Sektorstudie Energie identifiziert und begründet (vgl. hierzu [BSI 2014c]). Tabelle 33 zeigt jene betriebsinternen Prozesse, die wesentliche (KRITIS-relevante) Logistikabhängigkeiten aufweisen. 22 Das Hazard Analysis Critical Control Point-Konzept (dt. „Gefährdungsanalyse und kritische Lenkungspunkte“) hat das Ziel, Einflüssen bei Herstellung, Behandlung und Verarbeitung, Transport, Lagerung und Verkauf von Lebensmitteln vorzubeugen, die Erkrankungen des Menschen nach Verzehr eines Lebensmittels erwarten lassen. 106 Bundesamt für Sicherheit in der Informationstechnik Logistik in anderen KRITIS-Sektoren Betriebsinterner Prozess (ID, Name)23 Beschreibung der Abhängigkeiten Kritische Dienstleistung „Stromversorgung“ Prozessschritt „Stromerzeugung“ DL1 PS1 BP1 „Brennstoffversorgung“ Es bestehen hohe Abhängigkeiten beim Transport von Brennmaterial zu Kraftwerken (vor allem bei Braunkohle und Steinkohle über das Bahnnetz). DL1 PS1 BP5 „Entsorgung Für die Entsorgung von Rückständen aus den Kraftwerken sind meist von Rückständen“24 Logistikdienstleistungen notwendig (unter anderem bei Lkw, die Abfälle oder Rohstoffe abtransportieren). Sehr hohe Abhängigkeiten bestehen ferner beim Abtransport von abgebrannten Brennstäben aus Kernkraftwerken (CASTOR-Transporte). Kritische Dienstleistung „Gasversorgung“ Prozessschritt „Gasförderung“ DL2 PS1 BP1 „Exploration Es bestehen wesentliche Abhängigkeiten beim Transport der für die und Erschließung“ Erschließung nötigen Geräte (u. a. Lieferung der Rohre) und bei der Versorgung mit Ersatzteilen. Kritische Dienstleistung „Treibstoff- und Heizölversorgung“ Prozessschritt „Treibstoff- und Heizölverteilung“ DL3 PS2 BP2 „Öltransport“25 Große Mengen Mineralölprodukte werden auf der Straße, der Schiene oder durch die (Binnen-)Schifffahrt transportiert. Es bestehen hohe Logistikabhängigkeiten beim Transport. Prozessschritt „Treibstoff- und Heizölverteilung“ DL3 PS3 BP1 „Heizölvertrieb“ Es bestehen hohe Logistikabhängigkeiten aufgrund des Transports auf Schiene und Straße. DL3 PS3 BP2 „Kraftstoffvertrieb“ Es bestehen hohe Logistikabhängigkeiten aufgrund des Transports auf Schiene und Straße. Tabelle 33: KRITIS-relevante Logistikabhängigkeiten im Sektor Energie Für den Begriff der „Energielogistik“ existiert keine allgemein gültige Definition. Rüdiger Winkler, Geschäftsführer der EDNA-Initiative e.V., führt aus: „Der Begriff der Energielogistik ist noch sehr jung. [...] Hier geht es nicht um die materielle Zulieferung von Energie, sondern um die dafür erforderlichen Kommu nikationsprozesse zwischen den Marktpartnern.“ [ETA Energie 2009] Im Gegensatz dazu fokussiert das neue Forschungsfeld „Energielogistik“ der Abteilung Verkehrslogistik des Fraunhofer IML die strukturellen Energieflüsse sowie die notwendigen logistischen Methoden und Prozesse, die zur Erbringung von Dienstleistungen im Energiesektor notwendig sind. Dazu zählt die Planung und Optimierung von Flüssiggasdistributionssystemen und Tankstellenbelieferung, die Entwicklung multimodaler Transport23 Die ID bezieht sich auf die Referenzierung in der KRITIS-Sektorstudie Energie (2014). 24 Der Prozess „Entsorgung von Rückständen“ ist in Bezug auf die Verfügbarkeit der Kritischen Infrastrukturen nicht bedeutend, die Abhängigkeit von logistischen Dienstleistungen dennoch wesentlich. Daher wird er der Vollständigkeit halber aufgeführt. 25 Die Logistikabhängigkeit des betriebsinternen Prozesses „Öltransport“ wurde in der KRITIS-Sektorstudie Energie als unwesentlich bewertet. Dies bezog sich jedoch nur auf den Transport per Pipeline, bei dem keine Logistikleistungen notwendig sind. Wird zusätzlich der Transport per Lkw oder Schiff zugrunde gelegt, ergeben sich wesentliche Abhängigkeiten von logistischen Dienstleistungen. Fachlich abzugrenzen ist der Öltransport von der Produktabgabe, welche die Abgabe der Mineralölprodukte an die Verbraucher und Weiterverkäufer direkt oder durch Einspeisung in Pipelines umfasst. Dies betrifft jedoch nur die Bereitstellung der Ölprodukte und beinhaltet keine Transportleistungen. Bundesamt für Sicherheit in der Informationstechnik 107 Logistik in anderen KRITIS-Sektoren ketten zur Kraftwerksversorgung, die integrative Planung von Stromtransport- und -verteilnetzen sowie die Entwicklung von Prognosemodellen [Fraunhofer IML 2015, S. 4–5]. Für die weiteren Betrachtungen bezüglich der Erbringung von Logistikanteilen im Energiesektor wird der Ansatz des Fraunhofer IML zugrunde gelegt. Logistikabhängigkeiten bestehen dabei primär bei der Transportorganisation und -durchführung für Brennstoffe. Dabei ist zwischen chemischen Energieträgern und Elektrizität (elektrischer Strom) bzw. Wärme zu unterscheiden. Letztere werden leitungsgebunden über Verbundnetze bzw. Fern- und Nahwärmenetze transportiert und bedingen keine konkreten logistischen Dienstleistungen. Chemische Energieträger hingegen wie Kohle und andere feste Brennstoffe werden hauptsächlich per Schiff, Bahn und Lkw transportiert. 26 Hauptanforderungen an die Transporte erstehen insbesondere aus dem Bereich der Gefahrgutlogistik (siehe Kapitel 1.1 „Einführung in die Logistik“ und Kapitel 2.4 „Rolle der öffentlichen Hand“), da rohes Erdöl, Mineralölerzeugnisse und Kraftstoffe in die Gefahrenklasse 3 „Entzündbare flüssige Stoffe“ zählen. So müssen die Transporte vorschriftenkonform dokumentiert, die Verpackung kontrolliert und entsprechende Kennzeichnungsvorschriften beachtet werden; „die Fahrzeugausrüstung und -technik sowie letztlich die sichere Verladung, Beförderung und Lagerung gefährlicher Stoffe verlangen ein breites Fachwissen und große Kompetenz aller Beteiligten.“ [DSLV 2015a, S. 17] Zusätzlich dazu müssen die eingesetzten Transportmittel für den Transport gefährlicher Güter zugelassen sein sowie über geeignete und zugelassene Einrichtungen zur Ladungssicherung und über geeignete und geprüfte Ladehilfsmittel verfügen. Der DSLV-Branchenerhebung zufolge ist die Gefahrgutabwicklung für fast jedes dritte im Gefahrgutbereich tätige Unternehmen ein Leistungsschwerpunkt. „Es ist davon auszugehen, dass dies insbesondere im Geschäftsfeld der Tankwagenspedition zutrifft.“ [DSLV 2015a, S. 18] Zusätzlich zu den Anforderungen, die bei Gefahrguttransporten entstehen, stellen Kunden hohe Anforderungen an die Qualität der Dienstleistung, beispielsweise zum Schutz vor Verunreinigungen bei Öltransporten. Individualvereinbarungen werden häufig auch in Bezug auf Transportzeiten und Lieferfristen getroffen, z. B. zur Sicherstellung der Versorgung von Dieselaggregaten kritischer Betreiber. Dies sind jedoch keine Anforderungen, die ausschließlich bei der Leistungserbringung für den Energiesektor entstehen; daher nehmen diese keinen besonderen Einfluss auf die Ausgestaltung der angebotenen Logistikdienstleistungen im Vergleich zur Erbringung in anderen Sektoren. 4.4 Logistik im Sektor Finanzen Der Sektor Finanzen erbringt zur Versorgung der Bevölkerung wesentliche Dienstleistungen wie die Abwicklung des Zahlungsverkehrs durch die Bereitstellung und Verwaltung von Konten, die Abwicklung von Einlagen- und Kreditgeschäften, die Bargeldversorgung und den Wertpapier- und Derivatehandel. Die in Kapitel 3 identifizierten kritischen Logistikdienstleistungen dienen im Finanzsektor in erster Linie der Versorgung der Banken und Geldinstitute mit Bargeld sowie bei der Lagerung von Bargeld und sonstigen Wertgegenständen von besonderer Relevanz. Die Transport-, Umschlag- und Lageraktivitäten im Versorgungsprozess der Geldinstitute werden überwiegend von Spezialdienstleistern wie der Prosegur GmbH [Prosegur 2015] oder der Ziemann Gruppe [Ziemann Gruppe 2015] angeboten. Diese Dienstleister erfüllen die spezifischen logistischen Anforderungen der Branche. Dazu zählen die Einhaltung eines hohen Sicherheitsstandards sowie eine ständige Transportüberwachung. Um diese Anforderungen einzuhalten, bieten die Spezialdienstleister GPS-überwachte Fahrzeuge, in einigen Fällen auch die Zugriffsmöglichkeit auf ausgewählte Fahrzeuge per GPRS, z. B. für die funkbasierte Stilllegung von Fahrzeugen bei Bedarf. So kann ein durchgehendes Tracking und Tracing angeboten werden. Neben Bargeld werden auch Sorten, vertrauliche Daten(-träger), Verträge, eilbedürftige Schriftstücke und sonstige Werte in Transport- und Lagerdienstleistungen abgewickelt. Spezialdienstleister für Geld- und Werttransporte sind in der Regel mit gepanzerten Fahrzeugen und speziell geschützten Behältern ausgestattet. In einigen Fällen wird, sofern 26 Flüssige und gasförmige Energieträger wie Erdöl, Erdgas oder Flüssigerdgas können zusätzlich über Pipelines transportiert werden. Vgl. hierzu [BSI 2014c, S. 118-119,136]. 108 Bundesamt für Sicherheit in der Informationstechnik Logistik in anderen KRITIS-Sektoren gesetzlich erlaubt, bewaffnetes Personal für den sicheren Transport eingesetzt. Sicherheitsrelevante Vorschriften für Geld- und Werttransporte werden beispielsweise durch die Bundesvereinigung Deutscher Geld- und Wertdienste e.V. (BDGW) entwickelt. Speziallogistikdienstleister erbringen neben den kritischen logistischen Dienstleistungen weitere Services für ihre Kunden wie die Bestückung von Geldautomaten, die Abholung von Bargeld und das Zählen, Bündeln und die Einzahlung von Bargeld auf die entsprechenden Konten. Für die Abwicklung der Prozesse im Finanzgeschäft ist häufig Individualsoftware im Einsatz, um die Spezifität der Prozesse abzubilden und die Sicherheit bei der Prozessabwicklung zu erhöhen [Prosegur 2015]. Ein weiterer Bereich, der durch spezifische Logistikdienstleister der Branche abgedeckt wird, ist die Lagerhaltung für Bargeld und sonstige Wertgegenstände. Dazu werden Hochsicherheitslager sowie Zollfreilager betrieben. Standarddienstleister der Logistikbranche tragen innerhalb des Finanzgeschäfts eine geringe Bedeutung. Sie übernehmen jedoch hinsichtlich der internen Prozessgestaltung von Banken und weiteren Institutionen des Finanzwesen im Rahmen der Beratungsdienstleistung eine bedeutende Funktion, was auf die Bekanntheit die Logistik als wichtiger Erfolgsfaktor in der Sachleistungsindustrie zurückzuführen ist. Damit auch Dienstleistungsunternehmen von logistischen Optimierungen hinsichtlich Zeit, Kosten und Servicequalität profitieren können, muss der logistische Denkansatz auf die Immaterialität der Finanzdienstleitung übertragen werden [Britsch 2003, S. 1]. Die Bedeutung der Logistik im Banksektor nimmt hinsichtlich der Prozesseffizienz zu, da in Folge der Bankenkrise Einsparmaßnahmen erforderlich waren und der Kosten- sowie Wettbewerbsdruck gestiegen sind. Logistischen Dienstleistern kommt die Aufgabe zu, die Banken hinsichtlich bekannter Logistik- und Supply Chain Management-Konzepte zu beraten und diese gemeinsam zu entwickeln und umzusetzen. Das erfordert die Koordination und Steuerung betrieblicher Teilprozesse sowie eine ganzheitliche Optimierung von Schnittstellen im Auftragsprozess [Pfohl 2005, S. 371]. Neben der internen Prozessgestaltung gilt es, ebenso die Informations-, Dokumenten- und Entsorgungslogistik zu integrieren [Pfohl 2005, S. 367]. Bundesamt für Sicherheit in der Informationstechnik 109 Vorfallsammlung 5 Vorfallsammlung Die Logistikbranche erfährt eine steigende Zahl von Sicherheitsvorfällen im Bereich IT. In diesem Kapitel werden in der Vergangenheit aufgetretene Vorfälle aufgeführt, die durch IT-Versagen oder IT-Angriffe hervorgerufen wurden. Dabei handelt es sich sowohl um Vorfälle nationaler als auch internationaler Bedeutung. Die aufgeführten Sicherheitsvorfälle stellen eine Auswahl von bekannten Fällen dar; dabei erfolgt je nach Datenlage ggf. auch ein Rückgriff auf Vorfälle aus dem Personenverkehr, die analog auf den Güterverkehr repliziert werden könnten. Dadurch sollen die Auswirkungen auf kritische Dienstleistungen verdeutlicht und die Sensibilität für die Wichtigkeit wirksamer Cybersicherheitsmaßnahmen erhöht werden. Methodik Die einzelnen Vorfälle werden im Folgenden in Tabellenform beschrieben, um eine Vergleichbarkeit zu ermöglichen (siehe Tabelle 34). Jeder Vorfall wird mit einem individuellen Titel bezeichnet und mit einer Identifikationsnummer (ID) versehen. Die Vorfälle werden, sofern dies konkret möglich ist, der jeweiligen vom Vorfall betroffenen kritischen Dienstleistung (DL) aus der Branche, dem jeweiligen Prozessschritt (PS) und dem jeweiligen betriebsinternen Prozess (BP) zugeordnet. Die Auswirkungen der Sicherheitsvorfälle werden mit unterschiedlichen Schweregraden bewertet. Hierzu dienen die folgenden Kategorien: • Hohe Auswirkungen Ein Vorfall, bei dem offiziellen Angaben zufolge ein großer Schaden oder Ausfall der Dienstleistungen eingetreten ist.27 • Mittlere Auswirkungen Ein Vorfall, bei dem offiziellen Angaben zufolge kein schwerwiegender Schaden eingetreten ist, der jedoch zu einem Schaden mit hohen Auswirkungen hätte führen können. • Geringe Auswirkungen Ein Vorfall, bei dem offiziellen Angaben zufolge kein oder geringer Schaden eingetreten ist. Bei den gesammelten Vorfällen sind in vielen Fällen konkrete Anlagen bzw. IKT-Risikoelemente im Zusammenhang mit dem betriebsinternen Prozess der kritischen Dienstleistung betroffen. Diese werden benannt, sofern eine solche Zuordnung möglich ist. 28 Auch werden je nach Datenlage die Reaktion der betroffenen Betreiber sowie sonstige Reaktionen innerhalb der Branche beschrieben. In einigen Fällen reagierten auch beteiligte Behörden durch organisatorische oder regulatorische Maßnahmen, unter anderem in Form von Veröffentlichungen von Handlungsempfehlungen oder gar Gesetzen und Verordnungen. Die Beschreibung der Vorfälle erfolgt anhand öffentlich zugänglicher Daten und Informationen. Unter schiede hinsichtlich des Detailgrades sind darauf zurückzuführen. 27 Aufgrund des redundanten Aufbaus der nationalen und globalen Logistikketten und der dadurch entstehenden ausgeprägten Substituierbarkeit in der Branche ist ein vollständiger Ausfall der Dienstleistungen, beispielsweise der Transportlogistik, nahezu unmöglich. 28 In einigen Fällen ist eine klare Abgrenzung der Anlagen und IKT-Risikoelemente der Logistikbranche von jenen des übergeordneten TuV-Sektors nicht möglich. So kann ein IT-Angriff auf Steuerungssysteme von Flugzeugen, die als Infrastrukturkomponenten dem TuV-Sektor zugeordnet wurden, direkte Auswirkungen auf Logistikdienstleister im Transportgewerbe haben. Die entsprechenden Stellen werden kursiv vermerkt. 110 Bundesamt für Sicherheit in der Informationstechnik Vorfallsammlung ID < ID > < Titel des Vorfalls > DL x Aktualität < Datierung der Quelle des Vorfalls > PS y Herkunft < Nationaler oder internationaler Ursprung des Vorfalls > BP z Grad der Auswirkung < Kategorisierung der Auswirkung des Vorfalls auf die Verfügbarkeit der kritischen Dienstleistung des Betreibers auf die kritische DL anhand der Kategorien „Hohe Auswirkungen“, „Mittlere Auswirkungen“ und „Niedrige Auswirkungen“ > Betroffene Anlagen < Gegebenenfalls Abbildung der betroffenen Anlagen der Prozessschritte der kritischen Dienstleistung > Betroffene IKT-Risikoelemente < Gegebenenfalls Darlegung der betroffenen IKT-Risikoelemente des betriebsinternen Prozess der Prozessschritte > Vorfallkurzbeschreibung < Kurze Darstellung des Hergangs und Kontextes des beschriebenen Vorfalls > Einfluss auf Versorgungsdienstleistung < Darstellung des Einflusses des Vorfalls auf die betroffene kritische Dienstleistung > Reaktion Betreiber < Darstellung der Reaktionen des Betreibers auf den konkreten Sachverhalt des Vorfalls > Reaktion beteiligte Behörde < Darstellung der Reaktionen von Behörden bzw. Institutionen aufgrund des konkreten Sachverhalts des Vorfalls > Auswirkungen Sektor/Branche < Darstellung der Auswirkungen auf den Sektor bzw. die Branche des Betreibers aufgrund des konkreten Sachverhalts des Vorfalls > Quellen < Angabe der Recherchequelle(n) > Tabelle 34: Überblick der Eigenschaften der gesammelten Vorfälle Generelle Bewertung von IT-Sicherheitsvorfällen Die IT-Durchdringung der Supply Chains und globalen Logistikketten führt zu einer stetig steigenden Komplexität von Systemen, Schnittstellen und Kommunikationsverbindungen. Dieser Effekt wird verstärkt durch zahlreiche logische Links zwischen beteiligten Institutionen, wechselnde Transportwege und ver schiedene Modelle und Ebenen von Outsourcing. Hieraus ergibt sich die Problematik, dass Systeme und Subsysteme sowohl einzeln als auch in Summe immer schwieriger zu verstehen und transparent zu gestalten sind. Diese Problematik manifestiert sich auf Ebene der IT-Systeme in zwei grundsätzlichen Gefährdungen. Zum einen sind Hardware- und Softwarekomponenten vor dem Hintergrund der komplexen Anforderungen schwieriger auf ihre Compliance zu testen; zum anderen bietet die Vielzahl der Systeme neue Angriffsflächen für Schadcode [Supply Chain 24/7 2014]. Logistikunternehmen haben ein klares Verständnis für die Auswirkungen jeglicher Art von Unterbrechung in Logistikketten – verspätete Lieferungen resultieren in Vertragsstrafen und -auflösung, leere Lkw ver ursachen Mehrkosten. Nichtsdestotrotz müssen die Unternehmen berücksichtigen, dass diese Geschäftsrisiken zunehmend durch IT-Angriffe ausgelöst werden können [PwC 2015]. Während der letzten Jahre ist die Anzahl der Cyberangriffe auf Unternehmen aus Logistik und Spedition, die vormals eher selten im Fokus der Angreifer standen, stetig angestiegen [K2 Intelligence 2015] Die im Bundesamt für Sicherheit in der Informationstechnik 111 Vorfallsammlung Folgenden aufgeführten Vorfälle zeigen, dass dabei in erster Linie Infrastrukturkomponenten wie das Bahnnetz oder Flughäfen und Verkehrsmittel wie Züge, Schiffe und Flugzeuge beein trächtigt wurden.29 Da in diesem Bereichen die Sichtbarkeit von Störungen am größten ist, sind sie ein bevorzugtes Ziel für kriminelle Angriffe gegen Unternehmen. Konkrete IT-Angriffe gegen IT-Systeme zur Steuerung von Supply Chains sind aktuell im Verhältnis eher selten, jedoch nicht ungewöhnlich. Daher entwickeln immer mehr Unternehmen Strategien, um versteckte Angriffe zu erkennen und zu behandeln. Die Motive für IT-Angriffe sind unterschiedlich und reichen über finanzielle Beweggründe und Neugierde hin zu Streben nach Aufmerksamkeit und Anerkennung. Häufig dienen Logistikunternehmen als Einfallstor, ohne jedoch das eigentliche Ziel der Angriffe zu sein. Ein Beispiel hierfür ist die Automobilindustrie, die eine starke Abhängigkeit von Logistikdienstleistern aufweist. Angriffe auf Logistikdienstleister, die zu Verzögerungen in Lieferketten führen, könnten so die Markteinführung eines neuen Automodels verhindern und zu Reputations- und Umsatzverlusten des Automobilherstellers führen [K2 Intelligence 2015]. Ein anderes Beispiel sind Logistiker im Bereich der Militärlogistik, die häufig Angriffe aus Motiven der Spionage verzeichnet. So ist es um ein vielfaches leichter, die vergleichsweise schlecht abgesicherten Informationssysteme der Logistiker anzugreifen und Informationen über Lebensmittellieferungen zu sammeln, um daraus mögliche geplante Truppenstützpunkte abzuleiten, als die direkten Militärsysteme anzugreifen. Die Systeme von Hafenbetreibern und Logistikern für Seefracht werden häufig vor dem Hintergedanken angegriffen, Frachtgut umzuleiten und so illegalen Handel und Diebstahl zu vertuschen. Ungesicherte IT-Systeme zur Steuerung von Frachtwegen innerhalb von Häfen bieten Angreifern die Möglichkeit, Container in offene Lagerbereiche umzuleiten und Zollkontrollen zu umgehen, um die Container nachts zu öffnen und die Fracht zu entwenden. Ein Beispiel hierfür ist der Cyberangriff auf den Antwerpener Hafen zwischen 2011 und 2013, bei dem Drogenhändler Hacker angeworben hatten, um in die IT-Systeme einzubrechen und die Bewegung von Containern zu manipulieren [BBC 2013]. 29 Weitere Sicherheitsvorfälle durch IT-Versagen oder IT-Angriffe, die primär TuV-Infrastrukturen betreffen, finden sich in der KRITIS-Sektorstudie Transport und Verkehr (vgl. hierzu [BSI 2014a, S. 197–208]). 112 Bundesamt für Sicherheit in der Informationstechnik Vorfallsammlung 5.1 Nationale Vorfälle Nachfolgend werden in Deutschland aufgetretene Sicherheitsvorfälle aufgeführt. ID 1 Sicherheitslücke in Sendungsverfolgung von DHL DL 1 Aktualität September 2014 PS 2 Herkunft national BP 4 Grad der Auswirkung Geringe Auswirkungen auf die kritische DL Betroffene Anlagen Logistikzentrum Betroffene IKT-Risikoelemente • Transportmanagementsystem • Portal zur Sendungsverfolgung Vorfallkurzbeschreibung Ein Softwarefehler in der Sendungsverfolgung von DHL führte im September 2014 zu einer Sicherheitslücke. Wer den Zustellungsweg seines Pakets online über die mobile Webseite verfolgen wollte, bekam Daten fremder Lieferungen angezeigt, darunter fremde Paketnummern und E-Mail-Adressen. Nach Aussagen der BILD-Zeitung sollen auch Zustellorte, Empfängernamen und Absender ersichtlich gewesen sein. Einfluss auf Versorgungsdienstleistung Der Vorfall hatte keinen Einfluss auf die Versorgungsdienstleistung. Reaktion Betreiber DHL schaltete die Webseite zur Sendungsverfolgung vier Stunden nach Bekanntwerden der Sicherheitslücke bis zu ihrer Behebung ab. Dem Betreiber zufolge handelte es sich um eine fehlerhafte Konfiguration des Webservers. Das Postgeheimnis sei nicht verletzt worden, da Zieladressen und Absender nicht einsehbar gewesen seien. Reaktion beteiligte Behörde Es sind keine Reaktionen von Behörden bekannt. Auswirkungen Sektor/Branche Es sind keine Auswirkungen bekannt. Quellen [Golem.de 2014a] Bundesamt für Sicherheit in der Informationstechnik 113 Vorfallsammlung 5.2 Internationale Vorfälle Nachfolgend werden Sicherheitsvorfälle aufgeführt, die außerhalb Deutschland aufgetreten sind. ID 2 Cyberattacke „Zombie Zero“ gegen Supply Chains von Logistik- und Transportunternehmen DL - Aktualität Juli 2014 PS - Herkunft international BP - Grad der Auswirkung Geringe Auswirkungen auf die kritische DL Betroffene Anlagen Logistikzentren Betroffene IKT-Risikoelemente • Barcode-/RFID-Systeme • ERP-Systeme Vorfallkurzbeschreibung Laut Untersuchungsberichten der Firma TrapX stammt die Zero-Day-Attacke „Zombie Zero“ von einem chinesischen Hard- und Softwarehersteller, der proprietäre Scannersysteme und -applikationen anbietet, die von diversen Unternehmen weltweit genutzt werden. Ziel der Attacke waren Unternehmen aus der Logistik, der Transportindustrie und der Produktion. Der Hersteller installierte Malware auf den Windows-XP-Betriebssystemen der Handscanner, welche an verschiedene Kunden verschickt wurden. Die Malware wurde ebenfalls über die Support-Webseite des Herstellers verteilt. So konnten Logistiknetzwerke von intern kompromittiert und finanzielle und operative Informationen gesammelt werden. Die gesammelten Informationen wurden an einen Command-and-Control-Server der Lanxiang Vocational School in China übermittelt, deren Gebäude neben denen des Herstellers angesiedelt ist. Über in einem zweiten Schritt nachgeladene Malware konnten außerdem die ERP-Systeme der Unternehmen übernommen und Sendungsinformationen modifiziert bzw. Sendungen gelöscht oder hinzugefügt werden. „Zombie Zero“ wurde bewusst konzipiert und auf einzelne Unternehmen zugeschnitten. Zwischen Mai 2013 und Juli 2014 wurden mindestens acht Unternehmen im Bereich der Robotik und Logistik kompromittiert. Einfluss auf Versorgungsdienstleistung Der Angriff hatte keinen Einfluss auf die Versorgungsdienstleistung. Reaktion Betreiber Nach Identifizierung der ersten infizierten Scanner wurden weitere Kunden des Herstellers kontaktiert und überprüft. Der Hersteller der Geräte hat jede Schuld abgewiesen. Reaktion beteiligte Behörde Es sind keine Reaktionen von Behörden bekannt. Auswirkungen Sektor/Branche Es sind keine Auswirkungen bekannt. Quellen 114 [TrapX 2015] [SecurityWeek 2014] Bundesamt für Sicherheit in der Informationstechnik Vorfallsammlung ID 3 Cyberangriffe auf Signalsteuerungsanlagen der Northwest Rail Company DL 1 Aktualität Dezember 2011 PS 2 Herkunft international BP 2, 3 Grad der Auswirkung Mittlere Auswirkungen auf die kritische DL Betroffene Anlagen Schienennetz inkl. Verkehrssteuerungs- und -beeinflussungsanlagen Betroffene IKT-Risikoelemente • Stellwerksanlagen • Spezielle Systeme zur Steuerung von Weichen/Signalen Vorfallkurzbeschreibung Im Dezember 2011 verschafften sich Hacker Zugriff auf Signalsteuerungsanlagen der Northwest Rail Company (USA) und setzten die Signale auf einem Streckenabschnitt für zwei Tage außer Betrieb. Da die Strecke nahezu lahmgelegt war, entstand ein großes Chaos, was zu hohen Kosten für die betroffenen Transportunternehmen führte. Einfluss auf Versorgungsdienstleistung Ein Einfluss auf die Versorgungsdienstleistung ist nicht direkt bekannt, da wichtige Güter auf andere Verkehrsträger umgeladen werden konnten. Reaktion Betreiber Es ist keine Reaktion des Betreibers bekannt. Reaktion beteiligte Behörde Es sind keine Reaktionen von Behörden bekannt. Auswirkungen Sektor/Branche Es sind keine Auswirkungen bekannt. Quellen [KPMG 2015] [Nextgov 2012] Bundesamt für Sicherheit in der Informationstechnik 115 Vorfallsammlung ID 4 Cyberattacke gegen das Bodencomputersystem der polnischen Airline LOT DL 1 Aktualität Juni 2015 PS 1 Herkunft international BP 3 Grad der Auswirkung auf die kritische DL Geringe Auswirkungen Betroffene Anlagen Flughafen Betroffene IKT-Risikoelemente • Flughafeninformationssystem/Airport Operational Database • Bodencomputersystem Vorfallkurzbeschreibung Am 21. Juni 2015 drangen Hacker in das Bodencomputersystem der polnischen Airline LOT am Flughafen Warschau ein, welches dazu dient, Flugpläne zu koordinieren und herauszugeben. Das Computersystem wurde gegen Nachmittag gehackt und war für circa fünf Stunden außer Betrieb. Wie der Sprecher Adrian Kubicki mitteilte, mussten in dieser Zeit zehn nationale und internationale Flüge gestrichen und ein Dutzend mehr verschoben werden. Die Sicherheit der laufenden Flüge sowie Flüge, die in Warschau landeten, waren nicht betroffen. Auch wurden keine anderen Flughäfen beeinträchtigt. Der Betreiber gab an, Computersysteme zu nutzen, die dem aktuellen Stand der Technik entsprechen, weshalb ähnliche Angriffe auch andere Unternehmen in der Branche treffen könnten. Einfluss auf Versorgungsdienstleistung Ein Einfluss auf die Versorgungsdienstleistung ist nicht bekannt. Reaktion Betreiber Es ist keine Reaktion des Betreibers bekannt. Reaktion beteiligte Behörde Es sind keine Reaktionen von Behörden bekannt. Auswirkungen Sektor/Branche Es sind keine Auswirkungen bekannt. Quellen 116 [Thomson Reuters 2015] [CSO Online 2015] Bundesamt für Sicherheit in der Informationstechnik Vorfallsammlung ID 5 Simulation: Wissenschaftler leiten Yacht mit gefälschtem GPS-Signal irre DL 1 Aktualität Juli 2013 PS 2 Herkunft international BP 2, 3 Grad der Auswirkung Geringe Auswirkungen auf die kritische DL Betroffene Anlagen Transportmittelflotte Betroffene IKT-Risikoelemente • Navigationssysteme Vorfallkurzbeschreibung Im Juli 2013 untersuchte ein Forschungsteam der University of Texas at Austin, inwiefern unter Nutzung eines selbstgebauten GPS-Senders der Kurs einer Yacht unbemerkt manipuliert werden könne. Hierfür entwickelten sie ein Gerät zum Spoofing von GPS-Signalen, welches falsche Signale aussendet und so den GPS-Empfänger des Zielobjekts täuscht. Ziel des Experiments war es, die Schwierigkeit einer solchen Spoofing-Attacke auf See zu bewerten und zu evaluieren, ob Sensoren der Kommandozentrale die Täuschung erkennen könnten. Im Gegensatz zu GPS Blocking oder Jamming, bei dem die GPS-Signale gestört werden, löste das GPS Spoofing keinen Alarm in den Navigationssystemen der Kommandozentrale aus. Eine Unterscheidung zwischen authentischen Signalen und den gefälschten Signalen des Forschungsteams war nicht möglich, wodurch die Spoofing-Attacke erfolgreich durchgeführt und der Kurs des Schiffes um einige Grad verändert werden konnte. Ohne zusätzliche Informationen des Schiffsradars oder klassischer Seekarten fällt eine Kursänderung auf offener See ohne Sichtkontakt zum Land nicht auf. Einfluss auf Versorgungsdienstleistung Die Simulation hatte keinen Einfluss auf die Versorgungsdienstleistung. Reaktion Betreiber Es ist keine Reaktion des Betreibers bekannt. Reaktion beteiligte Behörde Es sind keine Reaktionen von Behörden bekannt. Auswirkungen Sektor/Branche Es sind keine Auswirkungen bekannt. Quellen [UT Austin 2013] Bundesamt für Sicherheit in der Informationstechnik 117 Vorfallsammlung ID 6 FBI beschuldigt Sicherheitsexperten, ein Flugzeug gehackt zu haben DL 1 Aktualität Mai 2015 PS 2 Herkunft international BP 2, 3 Grad der Auswirkung Geringe Auswirkungen auf die kritische DL Betroffene Anlagen Transportmittelflotte Betroffene IKT-Risikoelemente • keine Vorfallkurzbeschreibung Am 15. April 2015 hatte der Sicherheitsexperte Chris Roberts auf einem Flug mit United Airlines von Chicago nach New York per Tweet gescherzt, dass er das Netzwerk des Flugzeugs hacken und die Notfallsauerstoffmasken aktivieren könne. Nach der Landung wurde er am Flughafen verhört und vom FBI beschuldigt , sich während des Flugs in das Leitsystem des Flugzeugs gehackt und es vorübergehend gesteuert zu haben. Laut FBI habe Roberts bereits im Februar und März Verhören zugegeben, sich während 2011 und 2014 über fünfzehnmal Zugang zu Inflight-Entertainment-Systemen von Thales und Panasonic in Boeing- oder Airbus-Flugzeugen verschafft und einmal sogar kurzzeitig den Kurs des Flugzeugs verändert zu haben. Roberts weist von sich, jemals real in den Kurs eines Flugzeugs eingegriffen zu haben, und behauptet lediglich, dass ihm dies möglich sei. Bislang wurde keine Anklage erhoben, doch das FBI geht davon aus, dass seine Behauptungen nicht nur zutreffen, sondern dass er tatsächlich bereits die Tat begangen hat. Einfluss auf Versorgungsdienstleistung Der Angriff hatte keinen Einfluss auf die Versorgungsdienstleistung. Reaktion Betreiber United Airlines hat Chris Roberts untersagt, zukünftig mit der Airline zu fliegen. Boeing gab an, dass das Entertainment-System von den Steuerungs- und Navigationssystemen isoliert und Änderungen an Flugplänen nur mit Prüfung und Genehmigung des Piloten möglich wären. Designmerkmale der Flugzeuge würden jedoch nicht generell im Hinblick auf Sicherheitsaspekte geprüft werden. Reaktion beteiligte Behörde Das FBI und die Transportation Security Administration hatten nach dem Verhör eine Warnung an die Fluglinien ausgegeben, auf Passagiere zu achten, die versuchen könnten, sich in das WiFi-Netz oder das IFE zu hacken. Auswirkungen Sektor/Branche Es sind keine Auswirkungen bekannt. Quellen 118 [CNN 2015] [Computerworld 2015] [Telepolis 2015] Bundesamt für Sicherheit in der Informationstechnik Vorfallsammlung ID 7 800.000 Daten von Kunden und Beschäftigten bei U.S. Postal Service gestohlen DL - Aktualität Oktober 2014 PS - Herkunft international BP - Grad der Auswirkung Geringe Auswirkungen auf die kritische DL Betroffene Anlagen Logistikzentren Betroffene Risikoelemente • ERP-Systeme • Customer Relationship Management Vorfallkurzbeschreibung Der staatliche „U.S. Postal Service“ wurde Opfer eines Hacker-Angriffs, bei welchem ca. 800.000 persönliche Daten von Mitarbeitern und Kunden gestohlen wurden. Der entstandene Schaden war auf bestimmte Bereiche begrenzt und alle Geschäftsprozesse im Unternehmen konnten normal durchgeführt werden. Entwendet wurden Mitarbeiterinformationen wie Namen, Adressen und Sozialversicherungsnummern. Weiterhin wurden persönliche Daten von Kunden gestohlen, welche den U.S. Postal Service über den Kundendienst per Mail oder Telefon kontaktiert hatten. Nicht betroffen waren Kreditkarten-Daten, die im Rahmen des Online-Angebots der Post genutzt wurden. Einfluss auf Versorgungsdienstleistung Der Angriff hatte keinen Einfluss auf die Versorgungsdienstleistung. Reaktion Betreiber Es ist keine Reaktion des Betreibers bekannt. Reaktion beteiligte Behörde Es sind keine Reaktionen von Behörden bekannt. Auswirkungen Sektor/Branche Es sind keine Auswirkungen bekannt. Quellen [Katersky 2014] Bundesamt für Sicherheit in der Informationstechnik 119 ID 8 Cyberattacke gegen Antwerpener Hafen ermöglicht unbemerkten Drogenhandel DL 2 Aktualität Juni 2011 bis 2013 PS 2 Herkunft international BP 1, 2 Grad der Auswirkung Mittlere Auswirkungen auf die kritische DL Betroffene Anlagen Hafen Betroffene Risikoelemente • Warehouse Management System • Port Management Information System Vorfallkurzbeschreibung Im Juni 2011 waren Hacker in die IT-Systeme des Antwerpener Hafens eingedrungen, welche die Bewegung von Containern und die Zuweisung der Lagerorte verwalten. Die Hacker waren von einem Drogenkartell beauftragt worden und infiltrierten zunächst die Computernetzwerke von mindestens zwei Unternehmen, die als Containerreedereien im Hafen tätig waren. Hierfür verschickten sie Schadsoftware per E-Mail an die Angestellten der Unternehmen und richteten einen Remotezugang ein. Als dieser bemerkt und durch Einrichtung einer Firewall blockiert wurde, brachen die Hacker in die Gebäude ein und installierten Key-Logger in den Computern der Angestellten. So erhielten sie Zugang zu sensiblen Daten über Standort und Sicherheitsdetails von Containern, wodurch Kokain und Heroin in Containern aus Südamerika mit legalen Gütern wie Holz und Lebensmitteln versteckt werden konnten. Die Drogenhändler beauftragten anschließend Lkw-Fahrer, die Fracht abzuholen, bevor der eigentliche Empfänger informiert werden und die Fracht abholen konnte. Einfluss auf Versorgungsdienstleistung Der Angriff hatte keinen Einfluss auf die Versorgungsdienstleistung. Reaktion Betreiber Die Containerreedereien gaben an, ihre IT-Sicherheitsmaßnahmen verstärkt zu haben, um ähnliche Vorfälle in Zukunft abzuwehren. Reaktion beteiligte Behörde Es sind keine Reaktionen von Behörden bekannt. Auswirkungen Sektor/Branche Es sind keine Auswirkungen bekannt. Quellen 120 [BBC 2013] Bundesamt für Sicherheit in der Informationstechnik ID 9 Cyberattacke gegen die Islamic Republic of Iran Shipping Lines DL 1 Aktualität August 2011 PS 1 Herkunft international BP 2, 3 Grad der Auswirkung Mittlere Auswirkungen auf die kritische DL Betroffene Anlagen Logistikzentren Betroffene Risikoelemente • Transportmanagementsystem • ERP-System Vorfallkurzbeschreibung Im August 2011 drangen Hacker in die IT-Systeme der Islamic Republic of Iran Shipping Lines (IRISL) ein und manipulierten Daten zu Preisen, Ladungen, Frachtnummern, Lieferterminen und Lieferorten. In Folge konnten Standorte der Container sowie der aktuelle Status der Beladung nicht bestimmt werden. Obwohl die Daten letztendlich wiederhergestellt werden konnten, führte der Angriff zu signifikanten Unterbrechungen in Betriebsabläufen; eine große Menge Fracht wurde an falsche Zielorte geliefert, was zu hohen finanziellen Verlusten führte. Darüber hinaus ging eine erhebliche Menge an Fracht vollständig verloren. Einfluss auf Versorgungsdienstleistung Der Angriff hatte keinen Einfluss auf die Versorgungsdienstleistung. Reaktion Betreiber Der Betreiber gab an, im Anschluss an den Angriff einen anonymen Hinweis erhalten zu haben. Dieser nannte als Ziel der Attacke Güter, die für das iranische Nuklearprogramm bestimmt gewesen wären. Reaktion beteiligte Behörde Es sind keine Reaktionen von Behörden bekannt. Auswirkungen Sektor/Branche Es sind keine Auswirkungen bekannt. Quellen [CyberKeel 2014, S. 6, 18] Bundesamt für Sicherheit in der Informationstechnik 121 Cyber-Sicherheit 6 Cyber-Sicherheit Das Kapitel „Cyber-Sicherheit“ beschreibt die branchenüblichen Maßnahmen zur IT- und Informations sicherheit in der Logistikbranche in Deutschland. Dabei wird der derzeit umgesetzte Stand der Technik betrachtet. Abschnitt 6.1 „Standards und Best Practices“ erläutert die generelle IKT-Sicherheit in der Logistikbranche unter Betrachtung vorhandener Standards für Informationssicherheit. Abschnitt 6.2 „Gesetzliche Anforderungen“ betrachtet Anforderungen an die IKT-Sicherheit hinsichtlich Normen, Gesetzen und weiterer spezifischer Regularien. Abschnitt 6.3 „Umsetzungsgrad der Cyber-Sicherheit“ beschreibt die praktische Darstellung des Umsetzungsgrads von Standards und Best Practices in der Logistikbranche. Da diesbezüglich keine signifikanten Unterschiede zwischen den verschiedenen kritischen Dienstleistungen zu beobachten sind, erfolgt die Darstellung dienstleistungsübergreifend. Sie basiert insbesondere auf der Auswertung der Betreiberbefragung. Dabei werden Prozesse zur Identifikation, Analyse und Behandlung von Risiken beschrieben. Ferner behandelt der Abschnitt die aktuellen Trends und Entwicklungen bezüglich Reaktionsfähigkeit, Sensibilisierung und Cyber-Sicherheitsstrategie. Dies berücksichtigt auch die daraus resultierenden bzw. aktuellen Probleme. Entwicklungen und Herausforderungen, die aktuell oder zukünftig absehbaren Einfluss auf die Cyber-Sicherheit in der Logistikbranche nehmen, werden in Abschnitt 6.4 „Herausforderungen und Trends“ dargestellt. Die Aufbereitung erfolgt aus verschiedenen Perspektiven und wird in den Kategorien „Organisatorisch“, „Technisch“, „Regulatorisch“ und „Marktbezogen“ zusammengefasst. 6.1 Standards und Best Practices Die folgende Aufzählung von Standards und bewährten Vorgehensweisen – sogenannten Best Practices – stellt aufgrund ihrer Vielzahl und den international unterschiedlichen Ausprägungen einen Auszug der besonders relevanten Elemente dar. Es erfolgt lediglich die Aufführung von Standards, die für Deutschland bedeutend sind und direkt auf die IKT-Sicherheit bezogen werden können. Zum Teil sind diese Standards auch für andere KRITIS-Sektoren oder IKT-Systeme ohne KRITIS-Bezug anwendbar. Die Standards und Best Practices besitzen innerhalb der Logistikbranche einen unterschiedlichen Verbreitungsgrad. Diese Studie nimmt eine Einteilung der Standards und Best Practices hinsichtlich verschiedener Aspekte vor (siehe Abbildung 32). Dabei wird einerseits zwischen nationalem und internationalem Ursprung unterschieden; andererseits hinsichtlich der technischen und organisatorischen Ausrichtung der jeweiligen Veröffentlichung. 122 Bundesamt für Sicherheit in der Informationstechnik Cyber-Sicherheit Abbildung 32: Standards und Best Practices für die Cyber-Sicherheit in der Logistikbranche in Deutschland Quelle: eigene Darstellung Nachfolgende werden die einzelnen Standards auf und deren Zielstellung vorgestellt. Die Nummerierung erfolgt analog zu Abbildung 32. Nationaler Ursprung 1. BSI-Grundschutzstandards 100-1 bis 100-4 Die BSI-Standards enthalten methodische, prozessuale, vorgehens- und verfahrenstechnische Empfehlungen für die Sicherheit von Informationssystemen. Der BSI-Standard 100-1 enthält Empfehlungen zum Informationssicherheitsmanagement-System, 100-2 beschreibt das Vorgehen zum IT-Grundschutz, 100-3 gibt Empfehlungen zum Risiko-Assessment und 100-4 enthält Empfehlungen zum Notfallmanagement. 2. BSI IT-Grundschutzkataloge Die BSI IT-Grundschutzkataloge stellen ein bausteinorientiertes Handbuch auf Grundlage der BSI-Grundschutzstandards 100-1 bis 100-4 zur Erkennung und Bekämpfung sicherheitsrelevanter Schwachstellen in IKT-Umgebungen dar. Die Grundschutzkataloge B1 bis B4 umfassen verschiedene Ebenen der gesamten Organisation, von übergreifenden bis hin zu technischen Empfehlungen. Zusätzlich existieren Kataloge zu Gefährdungen, Schutzmaßnahmen und geeigneten Hilfsmitteln. Die BSI IT-Grundschutzkataloge sind mit den Best Practices aus der IEC/ISO 27002 vergleichbar, geben allerdings weitergehende Handlungsempfehlungen sowie Konfigurationsvorschläge. Internationaler Ursprung 3. Common Criteria Schutzprofil(e) (bspw. SM_PP) Die Schutzprofile nach Common Criteria (CC) für IT-Produkte legen generische Anforderungen an eine Produktkategorie fest. Sie umfassen Anforderungen an die Funktionalität sowie an die Vertrauenswürdigkeit einer Produktkategorie und decken eine bestimmte Menge von Sicherheitszielen vollständig ab. Die Schutzprofile setzen somit Mindeststandards für bestimmte Produktgruppen. Sie können durch daraus ableitbare Sicherheitsvorgaben auf einen konkreten Gegenstand angepasst werden, sind generell aber implementierungsunabhängig. Bundesamt für Sicherheit in der Informationstechnik 123 Cyber-Sicherheit 4. ISO/IEC 20000 Die Norm legt Anforderungen an ein professionelles IT Service Management (ITSM) fest. Sie kann in Verbindung mit dem ITIL- und COBIT-Framework auch für Best Practices im Rahmen des ITSM herangezogen werden. 5. ISO/IEC 27001 und ISO/IEC 27002 Die Norm ISO/IEC 27001 spezifiziert in Verbindung mit der ISO/IEC 27002 Umsetzungsmaßnahmen zur Etablierung eines ganzheitlichen Informationssicherheitsmanagementsystems (ISMS), unter anderem für die Sicherheit von Rechenzentren. ISO/IEC 27001 kann in Verbindung mit BSI Standard 100-1 und ISO/IEC 27002 als Best Practice für die Implementierung eines ISMS dienen. 6. ISO/IEC 27011 Die Norm ISO/IEC 27011 deckt den ordnungsgemäßen Betrieb von IKT-Systemen im Sinne von Richtlinien für ein ISMS ab. Sie berücksichtigt speziell die Besonderheiten von IKT-Systemen. 7. ISO/IEC 27032 Die Norm ISO/IEC 27032 enthält Leitlinien für Cyber-Sicherheit und die speziellen Anforderungen aus Internet-/Netzwerkverbundenen Anlagen und Systemen. Der Fokus liegt auf Informationssicherheit, Netzwerksicherheit, Internetsicherheit und Sicherheit in kritischen Infrastrukturen (CIP). Die Norm beschreibt zusammenfassend Cyber-Sicherheit, besondere Anforderungen und Bedrohungen und will ein Rahmenwerk vorgeben, wie Aspekte der Cyber-Sicherheit von Betreibern adressiert werden können. 8. ISO/IEC 27033 Die Normen ISO/IEC 27033-1, ISO/IEC 27033-2 und ISO/IEC 27033-1 enthalten Empfehlungen, Definitionen und Best Practices für Netzwerksicherheit. Die Empfehlungen betreffen Hinweise auf Architekturen für Netzwerke, relevante und angemessene technische und nicht-technische Kontrollen sowie deren Implementierung und Umsetzung. 9. ISO/IEC 22301 Die Normen ISO/IEC 27001 und ISO/IEC 27002 sowie der BSI-Standard 100-1 haben in Verbindung mit der ISO/IEC 22301 die Aufrechterhaltung des Geschäftsbetriebes durch ein Business Continuity Management zum Gegenstand. Dafür werden Anforderungen an ein Managementsystem zur Prävention von den Geschäftsbetrieb unterbrechenden Ereignissen sowie die Reaktion und Vorbereitung auf solche Ereignisse beschrieben. 10. IETF-Standards und Best Practices Die Internet Engineering Task Force (IETF) gibt es neben technischen Standards und Normen eine Vielzahl an Best Practices und Guidelines für IT-Sicherheit heraus, speziell für Internetprotokolle. Ohne Anspruch auf Vollständigkeit umfasst dies verschiedenste Standards und Protokolle wie IPSec, VoIP-Security, Kryptographie, betriebliche Best Practices u. v. m. Ein Versuch der IETF, ein übergreifendes, deskriptives Dokument zu schaffen, das aktuelle und relevante Security Best Practices auflistet (Security Best Practices Efforts and Documents IETF 2013), wurde nicht zum Standard gewählt. 6.2 Gesetzliche Anforderungen Der folgende Abschnitt greift die verschiedenen Anforderungen an die IKT-Sicherheit in Form von Gesetzen und Verordnungen in der Logistikbranche auf und erläutert diese. Hierzu werden die einschlägigen, in Deutschland anwendbaren Gesetze erfasst. Dabei werden lediglich jene Gesetze erfasst, die einen direkten Bezug zur Cyber-Sicherheit im Rahmen des Einsatzes von IKT in den kritischen Dienstleistungen besitzen. Allerdings ist zu berücksichtigen, dass eine scharfe Abgrenzung zwischen unmittelbarem und mittelbarem Bezug zur IKT-Sicherheit nicht immer möglich ist. Aus diesem Grund betrachtet diese Studie weitere gesetzliche Normen und Verordnungen mit 124 Bundesamt für Sicherheit in der Informationstechnik Cyber-Sicherheit verhältnismäßig mittelbarem Bezug zur Cyber-Sicherheit nicht weiter. Eine vollständige Aufzählung aller Normen würde den Rahmen dieser Studie überschreiten. 30 Das Bundesdatenschutzgesetz (BDSG) regelt auf Bundesebene den Umgang von personenbezogenen Daten, die in Informations- und Kommunikationssystemen oder manuell verarbeitet werden. Dies umfasst nach § 1 BDSG den Schutz des Einzelnen vor der Verletzung des Persönlichkeitsrechts durch den Umgang mit personenbezogenen Daten. Gemäß § 9 BDSG sind öffentliche Stellen, sofern sie manuell personenbezogene Daten verarbeiten, und nicht-öffentliche Stellen, sofern sie Daten unter Einsatz von Datenverarbeitungs anlagen verarbeiten, dazu verpflichtet, technische und organisatorische Maßnahmen zu treffen, die erforderlich sind, um die Ausführung und Vorschriften dieses Gesetzes (und die Anforderungen der Anlage zum Gesetz) zu gewährleisten. Die Erforderlichkeit von Maßnahmen muss dabei in angemessenem Verhältnis zu dem angestrebten Schutzzweck stehen. Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, auch IT-Sicherheitsgesetz (ITSiG) genannt, verpflichtet Betreiber Kritischer Infrastrukturen, ihre IKT-Systeme besser vor Störungen in Bezug auf Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der Daten und Systeme zu schützen. Neben der Meldung von IT-Sicherheitsvorfällen werden allgemeine und branchenspezifische Mindeststandards für die IT-Sicherheit der KRITIS-Betreiber gefordert. In regelmäßigen Abständen von 2 Jahren müssen Betreiber nachweisen, dass sie die Anforderungen erfüllen. Bei Verstößen gegen die aus dem Gesetz entstehenden Anforderungen drohen Bußgelder von bis zu 100.000 Euro. Die Richtlinien 2008/43/EG und 2012/4/EU der Europäischen Kommission fordern ein Verfahren zur Kennzeichnung und Rückverfolgung von Explosivstoffen; ferner verankert die EU-Verordnung (EG) Nr. 178/2002 die Pflicht der Rückverfolgbarkeit von Lebensmitteln (siehe Abschnitt 2.4.1 „Beteiligte Organe und Regulierung“). Dies bedingt implizit geeignete Datenverarbeitungs- und speichersysteme sowie angemessene Sicherheitsmaßnahmen, um die Systeme gegen Datenverlust oder bewusste/unbewusste Manipulation zu schützen. 6.3 Umsetzungsgrad der Cyber-Sicherheit Der Umsetzungsgrad der Maßnahmen zur Cyber-Sicherheit wird in diesem Kapitel anhand der folgenden Kategorien betrachtet: 1. Sicherheitsorganisation und -management: Prozesse, Managementsysteme und Sicherheitsorganisation bei Betreibern, um das Sicherheitsniveau zu erhöhen, Sicherheitsvorfälle und -angriffe zu erkennen und abzuwehren. 2. Technische IT-Sicherheit: Vorkehrungen an einzelnen Anlagen oder Risikoelementen, um deren Schutz gegen Ausfälle, Manipulationen oder Angriffe zu erhöhen (Prävention). 3. Überwachung und Monitoring: Fähigkeiten, Angriffe und Unregelmäßigkeiten zu erkennen und darauf angemessen reagieren zu können (Detektion und Reaktion). 4. Externe Abhängigkeiten: Vorkehrungen für externe Verträge und Schnittstellen zu anderen Organisationen und Betreibern. 5. Notfallmanagement: Etablierte Organisationen und Maßnahmen zur Bewältigung von Notfällen und Krisen. 6. Security Awareness: Sensibilität der Betreiber und Akteure in der Branche für die Risiken, Bedrohungen und Auswirkungen beim Einsatz von IKT. In diesem Abschnitt werden zunächst allgemeine Beobachtungen zum Umsetzungsgrad der Cyber-Sicherheit in der Logistikbranche beschrieben, die durch dedizierte Feststellungen für die einzelnen Themenschwerpunkte der Informationssicherheit in den Abschnitten 6.3.1 bis 6.3.4 genauer erläutert und 30 Gesetze und Regularien, welche die operativen TuV-Branchen Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr und Straßenverkehr betreffen, finden sich in [BSI 2014a, S. 212–214]. Bundesamt für Sicherheit in der Informationstechnik 125 Cyber-Sicherheit bewertet werden. Die Einschätzung zum Umsetzungsgrad der Cyber-Sicherheit in der Logistikbranche wird anhand des bestehenden Expertenwissens und der Erkenntnisse aus den Betreiberbefragung einschließlich der Einschätzung weiterer Experten und Verbände vorgenommen. Dabei ist es zum Teil erforderlich, die Informationen aufgrund der Anonymität der Betreiberbefragung soweit zu abstrahieren, dass keine Zuordnung zu den befragten Betreibern und Verbänden erfolgen kann. Vor dem Hintergrund, dass die Aussagen im folgenden Kapitel weitgehend auf Basis von Wissen über einzelne Unternehmen getroffen werden, können nicht alle Aussagen auf alle Unternehmen der Branche bezogen werden. Je nach Unternehmensgröße und Tätigkeitsschwerpunkt sind hier erhebliche Variation möglich. Bei der Evaluierung des Umsetzungsgrads der Cyber-Sicherheit stechen folgende Punkte besonders heraus: • In der gesamten Branche ist ein hohes Bewusstsein für die Relevanz von IT-Systemen zur Erbringung kritischer Dienstleistungen zu beobachten. Über die vergangenen Jahre hinweg nimmt linear damit auch das Bewusstsein für die Notwendigkeit angemessener IT-Sicherheitsmaßnahmen zu, jedoch ist zu beobachten, dass potenzielle Bedrohungen und Angriffe auf Logistiker immer noch eher unterschätzt werden. So sehen Betreiber die reine Logistikbranche nicht direkt im Fokus von Cyberangriffen, da Angriffe gegen Logistiker ohne TuV-Infrastrukturen nur geringe Aufmerksamkeit erregen und quasi nahtlos durch andere Betreiber substituiert werden können. • Logistikbetreiber sind sich bewusst, dass in der Vergangenheit diverse Sicherheitsvorfälle mit teils erheblichen Auswirkungen auf die erbrachten Dienstleistungen aufgetreten sind (siehe Kapitel 5 „Vorfallsammlung“). Der Großteil dieser Vorfälle wurde jedoch auf internationaler Ebene beobachtet. Betreiber räumen ein, dass die Dunkelziffer von Vorfällen, auch in Deutschland, deutlich höher sein kann als die Zahl der aktuell bekannten Vorfälle. • Es wird erwartet, dass die Bedrohungslage für die IT-Infrastruktur in den kommenden Jahren zunehmen wird. Herausforderungen liegen insbesondere in der Komplexität der IT-Syteme, der Vernetzung der an den logistischen Prozessen beteiligten Parteien und dem Datenaustausch zwischen diesen, technologischen Neuerungen wie autonomen Transportsystemen und Lieferketten sowie der weiteren Konsolidierung der Branche, auch auf globaler Ebene. • Organisatorische und technische Sicherheitsstandards werden primär von größeren Betreibern umgesetzt. Hierbei erfolgt in den meisten Fällen bisher lediglich eine Anlehnung interner Maßnahmen an die Standards; nur wenige Betreiber sind nach Standards wie ISO/IEC 27001 zertifiziert. In Summe wird der Umsetzungsgrad der Cyber-Sicherheit als durchschnittlich bewertet, wenngleich dies bei Betreibern unterschiedlich ausgeprägt ist und unterschiedlicher Handlungsbedarf zu verzeichnen ist. Insbesondere größere Unternehmen konnten in der Betreiberbefragung ein hoch ausgeprägtes Schutzniveau sowie ein professionelles Sicherheitsmanagement vorweisen, welches auch Vorkehrungen beinhaltet, um die Sicherheitsvorkehrungen regelmäßig auf Aktualität zu überprüfen und ggf. anzupassen. Dabei ist jedoch zu beobachten, dass nur wenige der befragten Betreiber ihr Informationssicherheitsmanagementsystem (ISMS) einer Zertifizierung unterziehen. Defizite in der Cyber-Sicherheit wurden vor allem im Bereich der Detektion und Reaktion auf Vorfälle verzeichnet sowie beim Betrieb eines Notfallmanagements und der Etablierung einer angemessenen Security Awareness. 6.3.1 Sicherheitsorganisation und -management Viele Betreiber, insbesondere größere Unternehmen, verfügen über ein ISMS, um Themen der Informationssicherheit angemessen im Unternehmen zu behandeln und zu lenken. Dabei lehnen die meisten Betreiber ihr ISMS an Standards an, wobei größtenteils ISO/IEC 27001 genutzt wird. Für die Umsetzung einzelner technischer Maßnahmen dienen auch entsprechende Empfehlungen des BSI IT-Grundschutzes. Eine Zertifizierung ihres ISMS haben bislang nur wenige Betreiber erlangt, was darauf zurückzuführen ist, dass diese bislang keinen konkreten Mehrwert für die Betreiber schafft, beispielsweise als Wettbewerbsvorteil. Ein 126 Bundesamt für Sicherheit in der Informationstechnik Cyber-Sicherheit Großteil der Betreiber erwägt jedoch insbesondere vor dem Hintergedanken des in Kraft getretenen IT-Sicherheitsgesetzes eine Zertifizierung. Dedizierte Computer Emergency Response Teams (CERT) sind bislang nur bei wenigen Betreibern etabliert. Es existieren einzelne Konzepte und Maßnahmen, um auf neue Sicherheitslücken und -vorfälle zu reagieren, jedoch werden diese nicht übergreifend durch ein Managementsystem koordiniert und gelenkt. Ein Großteil der Betreiber plant aktuell die Einführung eines CERT bzw. ist mit der Umsetzung beschäftigt. Nahezu alle Betreiber, insbesondere größere Unternehmen, verfügen über eine Risikomanagement-Strategie sowie ein bestehendes Risikomanagementsystem, das kontinuierlich und regelmäßig überprüft und bei Bedarf an die aktuelle Bedrohungslage angepasst wird. Dies ist in erster Linie auf operative Risiken zurückzuführen, die aufgrund des Leistungs- und Kostendrucks in der Branche leicht schwerwiegende Folgen haben können. Konkrete Cyber-Sicherheitsrisiken werden aktuell nicht notwendigerweise heruntergebrochen und für alle Geschäftsprozesse identifiziert. Kritikalitätsabwägungen und Risikoeinschätzungen werden in regelmäßigen Intervallen durchgeführt. Dies umfasst eine regelmäßige Prüfung der Bedrohungslage sowie der potenziellen Verwundbarkeit, wobei in vielen Fällen auch Informationen aus externen Quellen genutzt werden. Regelmäßige Sicherheitstests, insbesondere Penetrationstests, werden hauptsächlich von größeren Betreibern durchgeführt. 6.3.2 Technische IT-Sicherheit Bezüglich präventiver Sicherheitsmaßnahmen ist in der Logistikbranche ein hohes Schutzniveau zu beobachten. Alle befragten Betreiber setzen Komponenten wie Firewalls, Application Level Gateways und Intrusion-Prevention-Systeme (IPS) ein, um technische Angriffe zu erkennen und abzuwehren. Auch Zugangskontrollen, VPN-Strukturen und der Einsatz digitaler Zertifikate ist verbreitet. Generell ist eine Fokussierung insbesondere auf die Filterung von Internet-Traffic und E-Mails sowie auf Maßnahmen gegen Malware zu beobachten. Einige Betreiber orientieren sich bei der Ausrichtung von Sicherheitsmaßnahmen an den SANS Top 20 Critical Security Controls. Betreiber, die eigene Rechenzentren betreiben, haben angemessene physische und technische Schutzmaßnahmen ergriffen. So werden die Kommunikationsverbindungen fast immer redundant und teils knotendisjunkt ausgelegt, redundante Router eingesetzt sowie Internetanschlüsse über getrennte Internet Service Provider realisiert. Serverstrukturen sind vor allem beim größeren Betreibern hochverfügbar ausgelegt. Tendenziell lässt sich beobachten, dass Redundanzen und Backup-Strukturen mit abnehmender Unternehmensgröße weniger ausgeprägt sind. Einige Betreiber handhaben Zugang und Zugriff auf kritische IT-Systeme äußerst restriktiv und genehmigen diese erst nach einer Prüfung auf Notwendigkeit. Berechtigungen werden überprüft und auch entfernt, wenn sie nicht mehr aktuell sind, wobei Prozesse für ein ganzheitliches Berechtigungsmanagement nach wie vor eine Herausforderung darstellen. Technische Maßnahmen zum Schutz der Vertraulichkeit werden zunehmend auch im operativen Geschäft als notwendig bewertet, beispielsweise bei der Warenannahme und -übergabe, bei der die relevanten Informationen zu großen Teilen RFID-gestützt erhoben und übertragen werden. Jedoch ist die Implementierung beispielsweise von Verschlüsselungsmaßnahmen aufgrund des vermaschten Aufbaus und der Vernetzung der einzelnen Komponenten nur schwer umzusetzen. 6.3.3 Überwachung und Monitoring Hinsichtlich detektiver und reaktiver Sicherheitsmaßnahmen wird das Schutzniveau in der Logistikbranche als eher mittelmäßig eingestuft. Nur wenige, hauptsächlich große Betreiber setzen Intrusion-Detection-Systeme (IDS) zur Anomalieerkennung ein. Auch die Korrelation von Logfiles und die Bundesamt für Sicherheit in der Informationstechnik 127 Cyber-Sicherheit gebündelte Auswertung dieser durch ein Security Information and Event Management (SIEM) ist aktuell nur selten etabliert. Nur wenige Betreiber verfügen über ein Security Operations Center (SOC). Insbesondere global agierende Betreiber haben jedoch die Notwendigkeit für ein solches erkannt und sind derzeit mit der Implemen tierung beschäftigt bzw. erwägen, inwieweit der Betrieb eines SOCs, teils gemeinsam mit einem SIEM, durch externe Dienstleister erbracht werden kann. 6.3.4 Externe Abhängigkeiten Generell verzeichnen Logistikunternehmen eine hohe Abhängigkeit von externen Parteien. Dies ergibt sich fast zwangsläufig durch die starke Vernetzung innerhalb der Branche sowie die große Anzahl an Betreibern, die an einer Logistikkette beteiligt sind. Bei Outsourcing von Leistungen fließen Sicherheitsanforderungen fast immer auch in die Ausgestaltung von Serviceverträgen ein. Häufig existieren unternehmensweite Blueprints für Verträge, welche die generell vereinbarten Anforderungen an IT-Sicherheit bereits enthalten. Auch Auftraggeber stellen in vielen Fällen dedizierte Anforderungen an IT-Sicherheitsmaßnahmen, insbesondere im Bereich des Datenschutzes. 6.3.5 Notfallmanagement Nur wenige Betreiber haben ein umfassendes Notfallmanagementsystem bzw. Business Continuity Management (BCM) etabliert. Einzelne Konzepte und Maßnahmen sind bei fast allen Betreibern vorhanden, werden jedoch nicht immer übergreifend koordiniert und gelenkt. Je nach Dienstleistungsspektrum richten Betreiber unternehmensinterne und teils -übergreifende Arbeitskreise ein, um Notfallmaßnahmen zu entwickeln, beispielsweise zur Kompensation von Ausfällen im Mobilfunknetz bei der Steuerung von Transporten, die im Normalfall via GSM erfolgt. Trotz gut ausgeprägter technischer Redundanzen und Backup-Strukturen (siehe Abschnitt 6.3.2 „Technische IT-Sicherheit“) erfolgt im Rahmen eines umfassenden Notfallmanagements nur selten ein Test von Leitungen, Servern oder Rechenzentren. Dies begründet sich vor allem nicht oder nur selten vorhandenen Wartungsfenstern, da aufgrund der starken Vernetzung in der Branche und der hohen zeitlichen Kritikalität von Transporten nur schwierig prozesskettenübergreifende Wartungsfenster abgestimmt werden können. 6.3.6 Security Awareness Viele Betreiber führen regelmäßige Trainings zur Sensibilisierung ihrer Mitarbeiter für Bedrohungen und Schutzmaßnahmen hinsichtlich der Sicherheit ihrer IT-Systeme durch. Damit wird bewusst dem in den letzten Monaten zu beobachtenden Trend von Social Engineering und Phishing-Angriffen entgegengewirkt. Dennoch weist die Logistikbranche insgesamt ein eher mittelmäßiges Bewusstsein für Cyberangriffe auf; viele Betreiber und auch Verbände sehen die Logistik selbst nicht im direkten Fokus von gezielten Angriffen wie Advanced Persistent Threats (APT) und verweisen auf aus ihrer Sicht deutlich betroffeneren Branchen und Sektoren wie den Finanz-, Gesundheits-, Energie- oder IKT-Sektor. So geben Betreiber an, dass Angriffe mit kritischen Auswirkungen über andere Wege, beispielsweise Strom- oder Informationsnetze, signifikant einfacher zu realisieren sind, als zahlreiche Logistiker gleichzeitig anzugreifen, da in diesen Bereichen der Verteilfaktor deutlich höher ist. 6.4 Herausforderungen und Trends Die Herausforderungen und Trends in der Logistikbranche lassen sich aus verschiedenen Perspektiven betrachten. Als Zusammenfassung und Ergänzung insbesondere von Kapitel 3 „Kritische Dienstleistungen“ befasst sich dieser Abschnitt mit den aktuellen Trends und Herausforderungen in Bezug auf 128 Bundesamt für Sicherheit in der Informationstechnik Cyber-Sicherheit Cyber-Sicherheit. Dabei werden Trends und Herausforderungen jeweils zusammengefasst in den folgenden Kategorien beschrieben: 1. Organisatorisch: Herausforderungen und Trends, welche die interne Struktur der Betreiber und deren Sicherheitsorganisation betreffen. 2. Technisch: Änderungen und Entwicklungen eingesetzter Technologien in Bezug auf Betrieb, Produktion oder Schutz von IKT. 3. Regulatorisch: Auswirkungen und Herausforderungen an und durch nationale Regulierung. 4. Marktbezogen: Entwicklungen und Marktbewegungen, die Auswirkungen auf eingesetzte Technologien, Verfahren und Schutzniveaus der Dienstleistungen haben. Teilweise können einzelne Feststellungen mehr als einer Kategorie zugeordnet werden; in diesem Fall erfolgt die Zuordnung zu der am stärksten betroffenen Kategorie. Organisatorisch Eine zentrale organisatorische Herausforderung für Betreiber in der Logistikbranche liegt darin, effektive organisatorische Strukturen zur Sicherstellung eines angemessenen IT-Sicherheitsniveaus aufzubauen. Konkret manifestiert sich dies nach Aussagen der Betreiber sowohl bei der Gewinnung von qualifiziertem Personal als auch in den dadurch stark gestiegenen Kosten, welche die Unternehmen bewältigen müssen. Insbesondere kleinere und mittelständische Unternehmen sind davon in besonderem Maße betroffen. Bei der Analyse der Betreiber in der Logistikbranche kann beobachtet werden, dass nicht nur große Unternehmen auf globaler Ebene agieren, sondern auch zahlreiche mittelständische Unternehmen. Dies stellt die Unternehmen vor die Herausforderung, im internationalen Wettbewerb zu bestehen. Das IT-Sicherheitsgesetz wird diesbezüglich von vielen Betreibern als möglicher Wettbewerbsnachteil bewertet, da den zusätzlich entstehenden Kosten für Sicherheitsorganisation und -management keine Wettbewerbs vorteile im Markt gegenüberstehen. Einige Betreiber verfügen zudem bereits über hierarchische und zentralisierte Sicherheitsorganisationen, die relevante Funktionen überwachen und steuern. Diese Organisationen sind teilweise nicht in Deutschland angesiedelt und steuern Sicherheitsbelange der deutschen Konzernteile, Tochterfirmen oder Infrastrukturen aus dem Ausland. Speziell im Rahmen des IT-Sicherheitsgesetzes kann dies bedeuten, dass Sicherheitsstrukturen, Prozesse und Meldewege in Deutsch land dupliziert oder abgebildet werden müssten. Auch dass Meldungen an das BSI in deutscher Sprache erfolgen müssen, führt häufig zu Mehraufwänden in Unternehmen, in denen Englisch allgemeine Kom munikationssprache ist. Technisch Die bereits vorhandene starke Vernetzung von Betreibern, Verbänden und Institutionen der öffentlichen Hand sowie die damit verbundene hohe Zahl technischer Schnittstellen nimmt weiter zu. Damit einhergehend ist eine zunehmende technische Komplexität der bestehenden Systeme zu beobachten, welche die Grundlage für weitere IKT-Abhängigkeiten bildet und neue Risiko- und Angriffsszenarien schafft. Kooperationen zwischen Logistikern sind dabei wesentliche Treiber für Cloud Computing, „denn die Partner wollen jederzeit und standortunabhängig den Überblick über und den Zugriff auf den aktuellen Datenbestand haben. […] Die Vision ist eine vollständige elektronische Akte. So sollen digitalisierte Frachtbriefe sowie Verpackungs- und Versandformulare papierbasierte Ablagesysteme in Zukunft vollständig überflüssig machen.“ [PwC 2014, S. 3] Weitere technische Trends wie Big Data, Bring Your Own Device (BYOD), Business Intelligence und mobile Endgeräte und Apps stellen die Logistikbranche vor die Herausforderung, neue Prozesse zu etablieren bzw. bestehende Prozesse entsprechend umzugestalten. Damit einhergehend müssen Infrastrukturen erweitert oder ausgetauscht und im Rahmen dessen erweiterte Schutzmaßnahmen implementiert werden. Dies wird durch prozessbezogene technologische Trends wie autonome Transportsysteme und Lieferketten ergänzt, Bundesamt für Sicherheit in der Informationstechnik 129 Cyber-Sicherheit die sowohl den Einsatz neuer technischer Infrastrukturen und Systeme als auch Veränderungen in der aktuellen Prozesslandschaft von Betreibern verlangen. Soziale Netzwerke, Wiki-Systeme und branchen- oder funktionsspezifische Community-Plattformen werden in der Logistikbranche zunehmend häufiger genutzt. Dies schafft in vielen Bereichen einen Mehr wert, birgt jedoch auch die Gefahr des Preisgebens interner Unternehmensdetails, mit der sich Logistiker künftig vermehrt auseinandersetzen müssen [PwC 2014, S. 4]. Insgesamt stellt die digitale Transformation Logistiker vor die Herausforderung, Geschäftsmodelle zu überdenken und so die Zukunftsfähigkeit ihres Unternehmens zu sichern. Dafür müssen sie schnell und flexibel reagieren, um die Potenziale der digitalen Transformation optimal auszuschöpfen und Risiken für ihre bestehenden Geschäftsmodelle zu vermeiden. Regulatorisch Die bestehenden gesetzlichen Regelungen definieren derzeit überwiegend allgemeine Anforderungen an die IT-Sicherheit bei Logistikbetreibern. Das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz beinhaltet verschärfte Regelungen und Anforderungen zur Sicherstellung von IT-Sicherheit. Dies wird von einigen Betreibern durchaus kritisch bewertet, da unklar ist, wie weit die Konsequenzen des Gesetzes reichen. So ist bislang nicht geregelt, wie Mindeststandards konkret ausgestaltet werden und wie das IT-Sicherheitsgesetz sinnvoll, wirtschaftlich und vor allem greifbar umgesetzt werden kann. Marktabhängig Der zunehmende Kostendruck im Sektor Transport und Verkehr schlägt sich auch auf die Logistikbranche nieder. Dies ist unter anderem auf erhöhte Rohstoffpreise und Abgaben sowie gestiegene Anforderungen der Kunden zurückzuführen, wobei erwartet wird, dass der Kostendruck in Zukunft weiter steigen wird. Dem entgegen stehen zusätzliche Kosten, die durch ggf. zwingend erforderliche Sicherheitsmaßnahmen im Rahmen des IT-Sicherheitsgesetzes entstehen, was nach Aussage von Betreibern sowohl national als auch international zu Wettbewerbsnachteilen führen kann. Der zunehmende Wettbewerb zeigt sich auch an sich verändernden Betreiberkonstellationen. So wird nach Aussage von Betreibern die Marktkonsolidierung weiter zunehmen. Es wird erwartet, dass in Zukunft das logistische Kerngeschäft von wenigen großen Logistikern bedient wird und operative Tätigkeiten zunehmend durch kleinere Subunternehmer ausgeführt werden. Neue Kundenanforderungen und Trends wie Green Logistics und Just-in-Time-Logistik lassen nachhaltige Logistikkonzepte, neue Lieferstrategien und Prozessketten entstehen. Dies wird sich in veränderten Pro zessen und Schnittstellen zwischen an der Logistikkette beteiligten Parteien auswirken, wodurch neue Herausforderungen für die IT-Sicherheit in der Logistikbranche entstehen. 130 Bundesamt für Sicherheit in der Informationstechnik Schlussfolgerungen und Ausblick 7 Schlussfolgerungen und Ausblick Die vorliegende Studie betrachtet die Logistikbranche als Teil des KRITIS-Sektors Transport und Verkehr. 31 Dabei ist die KRITIS-Branche Logistik vor allem Mikrologistik mit Fokus auf Unternehmen, die im Kerngeschäft als Logistikdienstleister fungieren. Logistikanteile in Unternehmen anderer Sektoren und Branchen waren nicht Teil dieser Studie, da sie sich jeweils nur auf einzelne Unternehmen erstrecken. Innerhalb dieser KRITIS-Branche wurden in dieser Studie die folgenden sogenannten kritischen Dienstleistungen untersucht: – Transportlogistik (DL1) – Umschlaglogistik (DL2) – Lagerlogistik (DL3) Im Gegensatz zu anderen KRITIS-Sektoren wie z. B. dem IKT-Sektor besteht die Besonderheit der Logistikbranche in ihrer Heterogenität durch eine große Anzahl von Dienstleistern. Die Logistikbranche ist geprägt von zahlreichen, überwiegend mittelständischen Unternehmen, die verschiedene Marktbereiche wie Stück-, Massen- oder Sammelgut sowie die unterschiedlichen Verkehrsträger Schiene, Straße, Luft und See bedienen. Dadurch entsteht ein komplexes, vermaschtes Logistiknetzwerk, das durch strukturelle und operative Redundanzen darauf ausgerichtet ist, Ausfälle zu kompensieren und Störungen in der Leistungserbringung zu vermeiden. Grundsätzlich muss bei Ausfällen einzelner Betreiber jedoch berücksichtigt werden, dass die Möglichkeit zur Kompensation abhängig von der geographischen Reichweite eines Logistikers sowie den von ihm fokussierten Marktbereichen wie z. B. Stück-, Massen- oder Gefahrgut ist. Die Auswirkungen einer Störung oder eines Ausfalls eines Betreibers sind dabei in erster Linie von seiner Größe abhängig sowie davon, welche kritischen Güter der Betreiber für die Bevölkerung oder andere KRITIS-Sektoren bedient. Die Logistikbranche weist diverse branchen- und sektorübergreifende Schnittstellen auf. Zum einen bestehen innerhalb der Branche horizontale Beziehungen zwischen verschiedenen Logistikdienstleistern bzw. vertikale Beziehungen zwischen Dienstleistern und Unternehmen, beispielsweise bei der Integration von vor- und nachgelagerten Produktionsprozessen in der Wertschöpfungskette. Zum anderen stellt die Logistikbranche als Querschnittsdisziplin Waren für die anderen KRITIS-Sektoren bereit, die zur Dienstleistungserbringung in diesen Sektoren benötigt werden. Im Gegenzug besteht eine umgekehrte Abhängigkeit des Sektors von den durch die Sektoren Energie und IKT erbrachten Dienstleistungen. Bei der Dienstleistungserbringung bestehen in allen Prozessen wesentliche Abhängig keiten von IKT-Systemen, insbesondere durch den Einsatz von Managementsystemen für Transporte, Lagerhäuser und Warenbestände. Dabei ist in vielen Prozessen bereits eine hohe IKT-Durchdringung zu verzeichnen, wo durch eine gleichbleibende Entwicklung der Abhängigkeiten erwartet wird. Für betriebsinterne Prozesse der Warenübernahme und -übergabe, Transport und Transportsteuerung, Yard Management, Verbringung und Lagerung wird vor dem Hintergrund fortschreitender Entwicklungen eine Zunahme der IKT-Abhängigkeiten erwartet, was auf Entwicklungen im Bereich autonomer Transportmittel, Lagersysteme und cyberphysische Systeme sowie die fortschreitende Digitalisierung von Prozessen zurückzuführen ist. Innerhalb der Logistikunternehmen ist eine zunehmende Zentralisierung der IKT-Systeme zu verzeichnen, branchenweit betrachtet gibt es jedoch nur wenig zentralisierte IT-Systeme, die von allen Beteiligten genutzt werden.32 Logistikunternehmen haben generell ein klares Verständnis und Vertragswerke für die Auswirkungen von Unterbrechung in Logistikketten. Nichtsdestotrotz müssen die Unternehmen berücksichtigen, dass diese Geschäftsrisiken zunehmend durch IT-Angriffe ausgelöst werden können. Wie die zweite Ausgabe des Technology Risk Radars von KPMG UK zeigt, zählen Cybercrime und unautorisierter Systemzugang, eine 31 Die generelle Frage, inwieweit Logistikbetreiber in Deutschland als Betreiber Kritischer Infrastrukturen zu bewerten sind, ist nicht Gegenstand dieser Studie. 32 Ein Beispiel hierfür ist das deutsche Zollsystem ATLAS. Bundesamt für Sicherheit in der Informationstechnik 131 Schlussfolgerungen und Ausblick mangelnde Ausrichtung von IT-Investitionen und -Projekten sowie die Komplexität von IT-Systemen zu den Top-5-Risiken im Transport-und Logistiksektor. Die aktuelle Relevanz dieser Studie lässt sich anhand von Vorfällen in der Logistikbranche ablesen, die in Kapitel 5 „Vorfallsammlung“ beschrieben wurden. Während der letzten Jahre ist die Anzahl der Cyberangriffe auf Unternehmen aus Logistik und Spedition stetig angestiegen. Die aufgeführten Vorfälle zeigen, dass dabei in erster Linie Infrastrukturkomponenten wie das Bahnnetz oder Flughäfen und Verkehrsmittel wie Züge, Schiffe und Flugzeuge beeinträchtigt wurden. Da in diesem Bereichen die Sichtbarkeit von Störungen am größten ist, sind sie ein bevorzugtes Ziel für kriminelle Angriffe gegen Unternehmen. Konkrete IT-Angriffe gegen IT-Systeme zur Steuerung von Supply Chains sind aktuell im Verhältnis eher selten, jedoch nicht ungewöhnlich. Daher entwickeln immer mehr Unternehmen Strategien, um versteckte Angriffe zu erkennen und zu behandeln. In der gesamten Logistikbranche ist ein hohes Bewusstsein für die Relevanz von IT-Systemen zur Er bringung kritischer Dienstleistungen zu beobachten. Über die vergangenen Jahre hinweg nimmt linear damit auch das Bewusstsein für die Notwendigkeit angemessener IT-Sicherheitsmaßnahmen zu, wobei eine Verschärfung der Bedrohungslage für die IT-Infrastruktur in den kommenden Jahren erwartet wird. Herausforderungen liegen insbesondere in der Komplexität der IT-Syteme, der Vernetzung der an den logis tischen Prozessen beteiligten Parteien und dem Datenaustausch zwischen diesen, technologischen Neuerungen wie autonomen Transportsystemen und Lieferketten sowie der weiteren Konsolidierung der Branche auch auf globaler Ebene. Die Umsetzung der Cyber-Sicherheit als Reaktion auf diese Bedrohungen ist in der Logistikbranche teil weise unterschiedlich, generell aber auf einem angemessenen Niveau. Die im Zuge dieser Studie durch geführte Betreiberbefragung zeigt, dass organisatorische und technische Sicherheitsstandards primär von größeren Betreibern umgesetzt werden. Hierbei erfolgt in den meisten Fällen bisher lediglich eine Anlehnung interner Maßnahmen an Sicherheitsstandards; nur wenige Betreiber sind nach ISO/IEC 27001 o. ä. zertifiziert. Eine direkte Regulierung der Cyber-Sicherheit für logistische Infrastrukturen erfolgt zurzeit noch nicht; je nach Güterart entstehen implizite Anforderungen an IKT-Systeme und deren Sicherheit, beispielsweise durch die Verpflichtung von Logistikern zur Nachverfolgbarkeit von Lebensmitteln und Gefahrstoffen. Durch die weiter ansteigende Vernetzung fast sämtlicher Wirtschaftsbereiche bestehen auch in Zukunft große Abhängigkeiten der Wirtschaft von der Dienstleistungserbringung der Logistikbranche. Hier ist es insbesondere wichtig, dass staatliche Stellen Rahmenbedingungen schaffen, die den Betreibern dabei helfen, ihre Infrastrukturen angemessen zu schützen und weitere Untersuchungen und Anstrengungen unter nehmen. Dies bedingt im Gegenzug ein hohes freiwilliges Engagement der Betreiber im Rahmen des UP KRITIS. Förderung des Austausches bezüglich Cyber-Sicherheit: Derzeit werden Aktivitäten im Rahmen von Forschungsarbeiten zur Cyber-Sicherheit eher isoliert durch Unternehmen oder teilweise auch durch Branchenverbände durchgeführt. Hierbei kann eine sinnvolle Maßnahme sein, Aktivitäten hinsichtlich der Informationssicherheit weiter auszubauen und den Austausch mit externen Experten zu stärken. Dabei könnten erhebliche Synergien genutzt werden, z. B. durch eine zentrale Einrichtung oder eine Plattform, über die Betreiber ein gemeinsames Vorgehen abstimmen könnten. Auch die verbesserte Kommunikation der Betreiber untereinander, ggf. branchen- und sektorübergreifend, könnte weitere Synergieeffekte haben. So könnten Cyber-Angriffe auf Betreiber schneller erkannt werden, wenn diese bestimmte Angriffsmuster untereinander austauschen können. Die Einrichtung eines solchen zentralen Kompetenzzentrums oder einer Plattform sollte daher im Idealfall von den Betreibern vorangetrieben und durch die öffentliche Hand unterstützt werden. Eine Erweiterung der bestehenden Aktivitäten der Allianz für Cyber-Sicherheit wäre an dieser Stelle denkbar. Förderung der Forschung im Bereich IKT in autonomen Transportmitteln: Die Entwicklung autonomer Transportmittel sowie die zunehmende Vernetzung von Transportmitteln untereinander und mit zentralen Stellen schafft potentiell neue Angriffsmöglichkeiten auf Logistiksysteme. IT-Sicherheitsbedenken in diesem Zusammenhang sollten bereits zum Zeitpunkt der Spezifikation von IT-Systemen einbezogen werden, um „Security by Design“ zu implementieren. Diesbezüglich sind verpflichtende Standards für die Hersteller 132 Bundesamt für Sicherheit in der Informationstechnik Schlussfolgerungen und Ausblick autonomer Systeme denkbar; alternativ können finanzielle oder sonstige Anreize geschaffen werden, um die Sicherheit der betroffenen Systeme zu erhöhen. Untersuchung der Möglichkeiten zur Kompensation bei Ausfallszenarien: In der Logistikbranche agieren eine Vielzahl von Unternehmen, die gleiche oder ähnliche Dienstleistungen anbieten. Durch die Zersplitterung des Marktes und durch Maßnahmen bei Logistikern zur Sicherung ihrer Leistungen entsteht eine Vielzahl von strukturellen und operativen Redundanzen, wodurch die Transport-, Umschlag- und Lagerdienstleistungen auch bei einem größeren Ausfall voraussichtlich nicht komplett zum Erliegen kommen. Dies steht im Gegensatz zu anderen Branchen und Sektoren, in denen sich Ausfälle nicht in gleichem Maße kurzfristig substituieren lässt. Die hohe Möglichkeit zur Kompensation von Ausfällen in der Logistikbranche sollte bei der Bewertung der Kritikalität und infolgedessen bei der Ableitung von Sicherheitsmaßnahmen berücksichtigt werden. Betrachtung komplexer, branchenübergreifender Ausfallszenarien: Die Logistikbranche ist insbesondere von den Sektoren Energie und IKT abhängig, wodurch das Szenario eines sektorübergreifenden Ausfalls an Bedeutung gewinnt. Besonders im Hinblick auf die wachsende physische Vernetzung und Komplexität der Strom- und IKT-Netze steigt die Eintrittswahrscheinlichkeit für solche Szenarien. Aktuell finden diese jedoch nur wenig Beachtung, auch aufgrund der Vielzahl der zu betrachtenden Parameter. Es ist daher notwendig, dass Betreiber ggf. in Kooperation mit wissenschaftlichen Einrichtungen derartige übergreifende Ausfallszenario betrachten oder simulieren, um die Folgen solcher Vorfälle abzuschätzen und Maßnahmen zur Vermeidung einleiten zu können. Untersuchung der Bedeutung zentraler IT-Dienstleister: Logistikunternehmen nutzen zunehmend zentrale IT-Dienstleister zur Unterstützung von Tätigkeiten, die zum Betrieb der informations verarbeitenden Systeme und Infrastrukturen notwendig sind. Beispiele hierfür sind Anwendungsentwicklung, Customizing oder Betrieb und Wartung von Systemen und Infrastrukturen. Dadurch sind IT-Dienstleister immer öfter an der logistischen Leistungserbringung beteiligt bzw. wirken auf diese ein. Es sollte untersucht werden, welche Bedeutung zentrale IT-Dienstleister für die Erbringung der kritischen Dienstleistungen durch Logistiker haben und inwieweit sie im KRITIS-Kontext erfasst werden bzw. erfasst werden sollten. Bundesamt für Sicherheit in der Informationstechnik 133 Anhänge Anhänge Abkürzungsverzeichnis Abkürzung Begriff Beschreibung 1PL First Party Logistics Provider Logistikdienstleister, welche die operative Ausführung der grundlegenden Logistikfunktionen Transport, Umschlag und Lagerung (TUL) übernehmen. 2PL Second Party Logistics Provider Logistikdienstleister, welche die Organisation und Koordination der TUL-Prozesse übernehmen und diese ausführen. 3PL Third Party Logistics Provider Logistikdienstleister, die als Systemdienstleister agieren und alle im Rahmen logistischer Prozesse anfallenden Tätigkeiten organisieren und koordinieren. Dies beinhaltet insbesondere auch Value Added Services (siehe "VAS). 4PL Fourth Party Logistics Provider Logistikdienstleister, welche die Rolle eines Logistikmanagers innerhalb eines Unternehmens übernehmen und ohne eigene operative Assets als Systemintegrator zwischen Kunde und anderen Logistikdienstleistern (1PL bis 3PL) vermitteln. 5PL Fifth Party Logistics Provider Logistikdienstleister, die als Lead Logistics Provider agieren und die Rolle eines Führungslogistikers in einem Geflecht aus unterschiedlichsten Logistikdienstleistern einnehmen. AR Augmented Reality Technologien, die computergestützt eine erweiterte Realitätswahrnehmung ermöglichen. Insbesondere in der Logistik betrifft dies die visuelle Darstellung von Informationen, beispielsweise durch die Nutzung von Datenbrillen, die computergenerierte Zusatzinformationen für Mitarbeiter in Kommissionier- oder Lagertätigkeiten bereitstellen ATLAS Automatisiertes Tarif- und lokales Zollabwicklungssystem IT-basiertes Zollsystem, das von Deutschland zur Realisierung des NCTS genutzt wird. B2B Business to Business 134 Bundesamt für Sicherheit in der Informationstechnik Anhänge Abkürzung Begriff Beschreibung B2C Business to Customer BAG Bundesamt für Güterverkehr BAM Bundesanstalt für Materialforschung und -prüfung BCM Business Continuity Management BMF Bundesministerium der Finanzen BMI Bundesministerium des Innern BP Betriebsinterner Prozess BSI Bundesamt für Sicherheit in der Informationstechnik BYOD Bring Your Own Device Trend, dass Mitarbeiter ihre eigenen technischen Geräte in das Netzwerk von Institutionen integrieren und nutzen. CERT Computer Emergency Response Team Team von Fachleuten, die Lösungen für konkrete IT-Sicherheitsvorfälle, Schwachstellen etc. erarbeiten und im Unternehmen etablieren. CRM Customer Relationship Management Ausrichtung und Strategie des Unternehmens zur Gestaltung und Pflege von Kundenbeziehungen und Interaktion durch Dokumentation und Verwaltung dieser mit dem Ziel, nachhaltige Kundenbeziehungen zu etablieren. DEKRA Deutscher Kraftfahrzeug-Überwachungs-Verein DFKI Deutsches Forschungsinstitut für künstliche Intelligenz DFÜ Datenfernübertragung DHL DHL International GmbH Bundesamt für Sicherheit in der Informationstechnik Strategien, Pläne und Maßnahmen, um betriebsinterne Tätigkeiten oder Prozesse, deren Unterbrechung der Organisation ernsthafte Schäden oder Verluste zufügen würde, zu schützen und alternative Abläufe zur Aufrechterhaltung des Geschäftsbetriebs zu ermöglichen. 135 Anhänge Abkürzung Begriff Beschreibung DIN Deutsche Industrienorm DL Dienstleistung DLR Deutsches Zentrum für Luft- und Raumfahrtechnik DLP Direct to Pharmacy Logistikkonzept, bei denen krankenhausversorgende Apotheken z.B. direkt vom Hersteller ohne weitere Zwischenhändlerstufen beliefert werden. EAN Europäische Artikelnummer Globale Artikelidentifikationsnummer; seit 2009 als "Global Trade Item Number" (GTIN) bezeichnet. EDI Electronic Data Interchange Verfahren zum elektronischen Austausch von Geschäftsdokumenten. EDIFOR EDI for the Forwarding Community Subset des EDIFACT-Standards für speditionelle und logistische Abwicklungen; enthält nur die Datensegmente und Datenelemente für die branchentypischen Geschäftsprozesse. EDV Elektronische Datenverarbeitung EMCS Exercize Movement and Control System IT-basiertes Beförderungs- und Kontrollsystem für verbrauchsteuerpflichtige Waren. EORI Economic Operators' Registration and Identification Nummer für Registrierung und Identifizierung als Wirtschaftsbeteiligter bei der Zollabwicklung. ERP Enterprise Resource Management Bedarfsgerechte Planung und Steuerung von Unternehmensressourcen zur Erreichung effizienter betrieblicher Wertschöpfungsprozesse und einer stetig optimierten Steuerung der unternehmerischen Prozesse. EU Europäische Union e-VD elektronisches Verwaltungsdokument Elektronisches Verwaltungsdokument im Rahmen des Verfahrens zur Beförderung verbrauchssteuerpflichtiger Waren. FCL Full Container Load Warensendungen, bei denen Container vollständig von einem Versender beladen 136 Bundesamt für Sicherheit in der Informationstechnik Anhänge Abkürzung Begriff Beschreibung werden. FTS Fahrerloses Transportsystem GDP Good Distribution Practice GDV Gesamtverband der deutschen Versicherungswirtschaft GLP Good Laboratory Practice Leitlinien für die Durchführung von Sicherheitsprüfungen an chemischen Produkten; in Deutschland im Chemikaliengesetz (ChemG) Anhang 1 verankert. GMP Good Manufacturing Practice Leitlinien zur Qualitätssicherung der Produktionsabläufe und -umgebung bei der Produktion von Arzneimitteln und Wirkstoffen. Der GMP-Leitfaden konkretisiert die Richtlinie 2003/94/EG zur Festlegung der Grundsätze und Leitlinien der Guten Herstellungspraxis für Humanarzneimittel und für zur Anwendung beim Menschen bestimmte Prüfpräparate sowie die Richtlinie 1991/412/EWG zur Festlegung der Grundsätze und Leitlinien der Guten Herstellungspraxis für Tierarzneimittel. GPS Global Positioning System Offiziell "NAVSTAR GPS", ein globales Navigationssatellitensystem zur Positionsbestimmung. GSM Global System for Mobile Communications Übertragungsstandard für volldigitale Mobilfunknetze. GSM wird primär für die Sprachübertragung (Telefonie) genutzt, aber auch zur leitungs- und paketvermittelten Datenübertragung. HR Human Resources Personalabteilung; unternehmensinterne Funktion mit den Kernaufgaben der Bereitstellung und des zielorientierten Personaleinsatzes. ICS Import Control System System zur Zollanmeldung bei Import. ID Identifikationsnummer Bundesamt für Sicherheit in der Informationstechnik Leitlinien der Europäischen Kommission zur Sicherstellung der Kontrolle der Vertriebskette und Aufrechterhaltung der Qualität und Unversehrtheit von Arzneimitteln. 137 Anhänge Abkürzung Begriff Beschreibung IDS Intrusion Detection System IKT Informationstechnik und Telekommunikation IPS Intrusion Prevention System IRISL Islamic Republic of Iran Shipping Lines IT Informationstechnik KEP Kurier-, Express- und Paketdienste KPMG KPMG AG Wirtschaftsprüfungsgesellschaft KRITIS Kritische Infrastrukturen KT Kommunikationstechnologie LCL Less than Container Load Kleinsendungen unterschiedlicher Versender, die vor der Verschiffung an Container Fright Stations (Packschuppen) in Sammelcontainer verpackt und an unterschiedlichen Zielorten für unterschiedliche Empfänger entladen werden. LE Ladeeinheit Gebündelte Fülleinheiten in einem Behälter, auf einer Palette oder in einem anderen Ladehilfsmittel zum Zweck der Lagerung. Lkw Lastkraftwagen LTE Long Term Evolution Mobilfunkstandard der vierten Generation mit Übertragungsraten von ca. 300 Mbit/s. LVS Lagerverwaltungssystem Siehe „WMS“. 138 Technische Komponente zur Erkennung von Anomalien und Sicherheitsverstößen. Technische Komponente zur Prävention und Behandlung von Anomalien und Sicherheitsverstößen. Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Bundesamt für Sicherheit in der Informationstechnik Anhänge Abkürzung Begriff Beschreibung MIKI Methode zur Identifikation Kritischer Infrastrukturen NCTS New Computerized Transit System IT-basiertes Zollsystem innerhalb der EU. NVE Nummer der Versandeinheit Eine weltweit eindeutige 18-stellige Identnummer zum Tracking und Tracing von Sendungen. PETN Pentaerythrityltetranitrat PS Prozessschritt PwC PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft RFID Radio-Frequency Identification Technologie zur automatischen, kontaktlosen Identifizierung und Lokalisierung von Objekten per elektromagnetischer Wellen. SCM Supply Chain Management Prozessorientierter Managementansatz zur Steuerung aller Abläufe und Ressourcen entlang der Wertschöpfungs- bzw. Lieferkette (Supply Chain) mit dem Ziel der Ressourcenoptimierung. SIEM Security Information and Event Management System zur Korrelation und Auswertung von Sicherheitsvorfällen und Anomalien anhand von Logfiles, Sicherheitsmeldungen etc. SLS Staplerleitsystem Logistiksystem, das den Einsatz von Flurfördergeräten steuert, insbesondere von Gabelstaplern. SMS Short Message Service SOC Security Operations Center Team von Fachleuten, dass Hinweise und Verfahren zur Vorbeugung und Behandlung von Sicherheitsverstößen und -vorfällen bereitstellt. SPS Speicherprogrammierbare Steuerung Komponente zur Steuerung oder Regelung einer Maschine oder Anlage. Die Programmierung erfolgt im Gegensatz zur verbindungsprogrammierten Steuerung auf digitaler Basis. SSCC Serial Shipping Container Code siehe „NVE“. Bundesamt für Sicherheit in der Informationstechnik 139 Anhänge Abkürzung Begriff Beschreibung StVO Straßenverkehrsordnung T&T Tracking und Tracing TCP Transit Computerization Project Dachprojekt der Europäischen Kommission zur Entwicklung eines IT-basierten Zollsystems. TMC Traffic Message Channel Nichthörbarer Bereich des UKW-Signals, über den Verkehrsbeeinträchtigungen gesendet werden. TMS Transportmanagementsystem System zur Verwaltung, Kontrolle, Durchführung und Abrechnung von Transportprozessen entlang der Lieferkette. Dies beinhaltet auch Vorgänge zum Umschlag und zur Lagerung. TUL Transport, Umschlag, Lagerung TuV Transport und Verkehr TÜV Technischer Überwachungsverein UMTS Universal Mobile Telecommunications System Mobilfunkstandard der dritten Generation (3G) mit Übertragungsraten von ca 384 kbit/s. UN/ EDIFACT United Nations EDI For Administration, Commerce and Transport Unter Federführung der UN entstandene Umsetzung von EDI in ein anwendbares Protokoll. UPS United Parcel Service of America, Inc. VAS Value Added Services VDI Verein Deutscher Ingenieure VMI Vendor Managed Inventory Logistisches Konzept zur Verbesserung der Performance in der Lieferkette, bei dem der Lieferant auf die Lagerbestands- und Nachfragedaten des Kunden zugreift und den Bestand eigenverantwortlich steuert. WLAN Wireless Local Area Network Lokales Funknetz, meist auf Basis eines Standards der IEEE-802.11-Familie. WMS Warehouse Management System System zur Erfassung, Verwaltung und 140 Zusätzliche Leistungen, die Basisdienste oder -produkte ergänzen mit dem Ziel, ihren Wert oder Nutzen zu erhöhen. Bundesamt für Sicherheit in der Informationstechnik Anhänge Abkürzung Begriff Beschreibung Kontrolle von ein- und ausgehenden Warenlieferungen und Lagerbeständen sowie zur Abrechnung der erbrachten Lagerleistungen. WZ Wirtschaftszweig YMS Yard Management System Bundesamt für Sicherheit in der Informationstechnik System zur Erfassung und Verwaltung der bereitstehenden Transportmittel deren Zuweisung zu entsprechenden Be- und Entladeflächen in einem Umschlag- oder Lagerpunkt. 141 Anhänge Abbildungen Abbildung 33: Einfach gebrochene, intramodale Logistikkette Quelle: eigene Darstellung Abbildung 34: Funktionsbezogene Anwendungen in der IT-gestützten Logistik (Technologiestand 2015) Quelle: in Anlehnung an [Hausladen 2014, S. 52] Abbildung 35: Mehrfach gebrochene, intermodale Logistikkette Quelle: eigene Darstellung 142 Bundesamt für Sicherheit in der Informationstechnik Literaturverzeichnis Literaturverzeichnis active logistics AG 2015 o.V.: Automatische Disposition für schnellere Entscheidungen: IT-Systeme können dazu beitragen, den Ertrag von Speditionen zu vergrößern. 2015. http://www.pressebox.de/pressemitteilung/active-logistics-gmbh/Automat ische-Disposition-fuer-schnellere-Entscheidungen/boxid/732381 (30.07.2015) Arnold et al. 2008 Arnold, Dieter; Isermann, Heinz; Kuhn, Axel et al.: Handbuch Logistik. Dordrecht: Springer 2008. BBC 2013 Bateman, Tom: Police warning after drug traffickers' cyber-attack. 2013. http://www.bbc.com/news/world-europe-24539417 (28.08.2015) BdKEP 2014 Bundesverband der Kurier-Express-Post-Dienste e.V.: Der BdKEP. 2014. http://www.bdkep.de/index.php?id=uebdkep (23.03.2015) BfR 2015 Bundesinstitut für Risikobewertung: Gute Laborpraxis (GLP). 2015. http://www.bfr.bund.de/de/gute_laborpraxis__glp_-258.html (14.10.2015) BGL 2014 Bundesverband Güterkraftverkehr Logistik und Entsorgung e.V.: Güteraufkommen der Verkehrsträger im Bundesgebiet 1950 - 2012. 2014. http://www.bgl-ev.de/images/daten/verkehr/gueteraufkommen_tabelle.pdf (18.05.2015) BGL o.J.a Bundesverband Güterkraftverkehr Logistik und Entsorgung e.V.: Der BGL: Bundesverband Güterkraftverkehr Logistik und Entsorgung (BGL) e.V. - der Spitzenverband. o.J. http://www.bgl-ev.de/web/ueber/index.htm (23.03.2015) BGL o.J.b Bundesverband Güterkraftverkehr Logistik und Entsorgung e.V.: BGL Daten & Fakten: Der gewerbliche Güterkraftverkehr - eine Branche in Zahlen. o.J. http://www.bgl-ev.de/web/daten/index.htm (23.03.2015) BIEK o.J. Bundesverband Paket und Expresslogistik e.V.: Über uns. o.J. http://www.biek.de/index.php/ueber_uns.html (23.03.2015) BME 2008 Bundesverband Materialwirtschaft Einkauf und Logistik e.V.: Verband: Wir über uns. 2008. http://www.bme.de/Wir-ueber-uns.85.0.html (23.03.2015) BMF o.J.a Bundesministerium der Finanzen: Warenverkehr. o.J. http://www.zoll.de/DE/Unternehmen/Warenverkehr/warenverkehr_node. html (08.06.2015) BMF o.J.b Bundesministerium der Finanzen: Zollanmeldung: Allgemeines. o.J. http://www.zoll.de/DE/Fachthemen/Zoelle/Zollanmeldung/Allgemeines/al lgemeines_node.html (17.05.2015) BMI 2014 Bundesministerium des Innern: Bundesregierung beschließt IT-Sicherheitsgesetz: Die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen zu den sichersten weltweit werden. 2014. https://www.bmi.bund.de/SharedDocs/Kurzmeldungen/DE/2014/12/bund eskabinett-beschlie%C3%9Ft-it-sicherheitsgesetz.html (23.03.2015) BMI 2011 Bundesministerium des Innern: Schutz Kritischer Infrastrukturen – Risikound Krisenmanagement: Leitfaden für Unternehmen und Behörden. 2011. http://www.bmi.bund.de/SharedDocs/Downloads/DE/Broschueren/2008/L eitfaden_Schutz_kritischer_Infrastrukturen.html (20.03.2015) Bundesamt für Sicherheit in der Informationstechnik 143 Literaturverzeichnis BMI 2009 Bundesministerium des Innern: Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie). 2009. http://www.bmi.bund.de/SharedDocs/Downloads/DE/Broschueren/2009/k ritis.html (10.06.2014) BMVI 2015 Bundesministerium für Verkehr und digitale Infrastruktur: Sicherheitsstrategie für die Güterverkehrs- und Logistikwirtschaft: Schutz kritischer Infrastrukturen und verkehrsträgerübergreifende Gefahrenabwehr. 2015. (23.03.2015) BMVI 2014a Bundesministerium für Verkehr und digitale Infrastruktur: Beförderung gefährlicher Güter: Informationen und Sicherheitsbestimmungen für Gefahrguttransporte. 2014. http://www.bmvi.de/SharedDocs/DE/Artikel/UI/Gefahrgut/befoerderunggefaehrlicher-gueter.html (24.03.2015) BMVI 2014b Bundesministerium für Verkehr und digitale Infrastruktur: Verkehr und Mobilität: Güterverkehr und Logistik. 2014. http://www.bmvi.de/SharedDocs/DE/Artikel/IR/gueterverkehr-und-logisti k.html (20.03.2015) BMVI 2010 Bundesministerium für Verkehr, Bau und Stadtentwicklung: Aktionsplan Güterverkehr und Logistik – Logistikinitiative für Deutschland. 2010. (23.03.2015) BNetzA 2015 Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen: Post: Über unsere Aufgaben. 2015. http://www.bundesnetzagentur.de/cln_1431/DE/Sachgebiete/Post/Ueberu nsereAufgaben/ueberunsereaufgaben-node.html; (20.03.2015) Britsch 2003 Britsch, Frank Jochen: Banklogistik - Lösungsansätze für interne und externe Dienstleister. Berlin: Schmidt 2003. BSI 2014a Bundesamt für Sicherheit in der Informationstechnik: KRITIS-Sektorstudie Transport und Verkehr. 2014. (17.05.2015) BSI 2014b Bundesamt für Sicherheit in der Informationstechnik: KRITIS-Sektorstudie Ernährung und Wasser. 2014. (27.07.2015) BSI 2014c Bundesamt für Sicherheit in der Informationstechnik: KRITIS-Sektorstudie Energie. 2014. (27.07.2015) BSI 2014d Bundesamt für Sicherheit in der Informationstechnik: KRITIS-Sektorstudie Informationstechnik und Telekommunikation (IKT). 2014. (29.06.2015) BVL 2015a Bundesvereinigung Logistik e.V.: Über die BVL. 2015. http://www.bvl.de/ueber-die-bvl (23.03.2015) BVL 2015b Bundesvereinigung Logistik e.V.: Wirtschaftsbereich Logistik ist wesentlicher Hebel für mehr Energieeffizienz und Nachhaltigkeit. 2015. http://www.bvl.de/energieeffizienz (27.03.2015) BVL 2015c Bundesvereinigung Logistik e.V.: Bundesvereinigung Logistik (BVL): Logistik-Bereiche. 2015. http://www.bvl.de/wissen/logistik-bereiche (20.03.2015) BVL 2015d Bundesvereinigung Logistik e.V.: Bundesvereinigung Logistik (BVL): Bedeutung für Deutschland. 2015. http://www.bvl.de/wissen/bedeutung-fuer-deutschland (09.03.2015) 144 Bundesamt für Sicherheit in der Informationstechnik Literaturverzeichnis BVL 2014 ten Hompel, Michael; Rehof, Jakob; Heistermann, Frauke: Logistik und IT als Innovationstreiber für den Wirtschaftsstandort Deutschland: Die neue Führungsrolle der Logistik in der Informationstechnologie. 2014. http://www.bvl.de/files/441/500/BVL14_Positionspapier_Logistik_IT.pdf (03.08.2015) BVT 2009 Wäscher, Dagmar: Berufs- und Beschäftigungsguide Logistik: Die Logistikbranche. 2009. http://www.logistik-berufe.de/downloads/Kap_01_Logistik.pdf (18.05.2015) BVT o.J. Bundesverband der Transportunternehmen e.V.: Verband: Aufgaben. o.J. http://www.bvtev.de/aufgaben.html (23.03.2015) BWVL o.J. Bundesverband Wirtschaft, Verkehr und Logistik e.V.: Verband: Unsere Aufgaben und Ziele. o.J. http://www.bwvl.de/verband-1299329.html (23.03.2015) CNN 2015 Perez, Evan: FBI: Hacker claimed to have taken over flight's engine controls. 2015. http://edition.cnn.com/2015/05/17/us/fbi-hacker-flight-computer-systems / (26.08.2015) Computerwoche 2014 Quack, Karin: Wie Hellmann seine komplexen Logistikprozesse mit IT unterstützt. 2014. http://www.computerwoche.de/a/wie-hellmann-seine-komplexen-logistik prozesse-mit-it-unterstuetzt,3071647 (02.06.2015) Computerworld 2015 Kirk, Jeremy: Security researcher's hack caused airplane to climb, FBI asserts. 2015. http://www.computerworld.com/article/2922769/security0/security-resear chers-hack-caused-airplane-to-climb-fbi-asserts.html (26.08.2015) CSO Online 2015 Mingis, Ken: Security Short Take: Was the Polish LOT airline really hacked? 2015. http://www.csoonline.com/article/2938763/cyber-attacks-espionage/the-ta keaway-was-the-polish-lot-airline-really-hacked.html (25.08.2015) CyberKeel 2014 Cyberkeel: Maritime Cyber-Risks: Virtual pirates at large on the cyber seas. 2014. http://www.cyberkeel.com/images/pdf-files/Whitepaper.pdf (28.08.2015) DACHSER 2014 DACHSER GMBH & Co. KG: Mit Yard-Management alles im Griff. 2014. http://www.dachser.com/de/de/Yardmanagement_1568.htm (14.08.2015) DAKOSY 2014 DAKOSY Datenkommunikationssystem AG: Informationsveranstaltung "EU-Richtlinie 2010/65". 2014. http://www.dakosy.de/fileadmin/user_upload/Unternehmen/Veranstaltun gen/Praesentation150414.pdf (08.06.2015) Dangelmeier et al. 2004 Dangelmeier, Wilhelm; Pape, Ulrich; Rüther, Michael: Agentensysteme für das Supply Chain Management: Grundlagen, Konzepte, Anwendungen. Wiesbaden: Dt. Univ.-Verl. 2004. Das Wirtschaftslexikon 2013 Baghwathi, Miriam: Logistikdienstleister. 2013. http://www.daswirtschaftslexikon.com/d/logistikdienstleister/logistikdiens tleister.htm (12.03.2015) DB Schenker 2015 Deutsche Bahn AG: DB Schenker in Zahlen: Umsätze für das Geschäftsjahr 2014. 2015. Bundesamt für Sicherheit in der Informationstechnik 145 Literaturverzeichnis http://www.logistics.dbschenker.de/log-de-de/unternehmen/kennzahlen.h tml (30.10.2015) DB Schenker 2013 Schenker Deutschland AG: DB Schenker Logistics setzt verstärkt auf Shared Logistics Center. 2013. http://www.logistics.dbschenker.de/log-de-de/news/shared-logistics-cente rs.html (27.03.2015) destatis 2015 Statisches Bundesamt: Dienstleistungen: Strukturerhebung im Dienstleistungsbereich Verkehr und Lagerei. 2015. https://www.destatis.de/DE/Publikationen/Thematisch/DienstleistungenFi nanzdienstleistungen/Struktur/VerkehrLagerei.html (19.08.2015) destatis 2012 Thomas, Joachim: Umweltökonomische Analyse des Güterverkehrs 1995 bis 2010. 2012. https://www.destatis.de/DE/Publikationen/WirtschaftStatistik/UGR/Umw eltoekonomischeAnalyse_62012.pdf?__blob=publicationFile (18.05.2015) destatis 2008 Statisches Bundesamt: Verkehr: NST 2007. 2008. https://www.destatis.de/DE/ZahlenFakten/Wirtschaftsbereiche/TransportV erkehr/Gueterverkehr/Tabellen/NST2007.pdf?__blob=publicationFile (19.10.2015) Deutsche Post 2010 Deutsche Post AG: Delivering tomorrow: Zukunftstrend Nachhaltige Logistik Wie Innovation und „grüne“ Nachfrage eine CO2-effiziente Branche schaffen. 2010. http://www.dpdhl.com/content/dam/dpdhl/logistik_populaer/trends/Stud ieSustainableLogistics/dpdhl_delivering_tomorrow_studie.pdf (27.03.014) Deutsche Post 2008 Deutsche Post AG: Globalisierung. 2008. http://www.dhl-discoverlogistics.com/cms/de/course/trends/influences/gl obalization.jsp (31.03.2015) DHL 2015 Deutsche Post AG: Intelligent unterwegs. 2015. http://www.dpdhl.com/de/logistik_populaer/aus_den_unternehmensbereic hen/dhl_smarttrucks.html (21.04.2015) DHL 2014 Bubner, Nedialka; Bubner, Nikolaus; Helbig, P. RalfD et al.: Logistics Trend Radar 2014: Delivering insight today. Creating value tomorrow! 2014. http://www.dhl.com/en/about_us/logistics_insights/dhl_trend_research/tre ndradar.html (27.03.2015) DHL 2008 Deutsche Post AG: Definition der Logistik: Bedeutung und Herkunft der Logistik. 2008. https://www.dhl-discoverlogistics.com/cms/de/course/origin/defintion.jsp (30.03.2015) Die Welt 2014 WeltN24 GmbH: Mit diesem Polen-Trick umgeht Amazon den Streik. 2014. http://www.welt.de/wirtschaft/article135384635/Mit-diesem-Polen-Trick-u mgeht-Amazon-den-Streik.html (07.05.2015) Die Welt 2013a WeltN24 GmbH: Ein entscheidender Wirtschaftsfaktor mit großem Potenzial. 2013. http://www.welt.de/print/die_welt/article120472692/Ein-entscheidenderWirtschaftsfaktor-mit-grossem-Potenzial.html (09.03.2015) Die Welt 2013b WeltN24 GmbH: Eine Milliarde Pakete an Privatkunden verschickt. 2013. http://www.welt.de/wirtschaft/article118717924/Eine-Milliarde-Pakete-anPrivatkunden-verschickt.html (30.03.2015) 146 Bundesamt für Sicherheit in der Informationstechnik Literaturverzeichnis Die Welt 2011 WeltN24 GmbH: In Hamburg bewegen Roboter mit Ökostrom-Antrieb die Container. 2011. http://www.welt.de/print/die_welt/wirtschaft/article13428313/In-Hambur g-bewegen-Roboter-mit-Oekostrom-Antrieb-die-Container.html (07.05.2015) DSLV 2015a DSLV Deutscher Speditions- und Logistikverband e.V.: Zahlen - Daten - Fakten aus Spedition und Logistik. 2015. http://www.dslv.org/dslv/web.nsf/gfx/6CFE028FC9D5A06BC1257E5B003C 8189/$file/DSLV_Zahlen-Daten-Fakten_2015-Downloadversion.pdf (28.07.2015) DSLV 2015b Deutscher Speditions- und Logistikverband e.V.: Der DSLV: Unter einem Dach in die Zukunft. 2015. http://www.dslv.org/dslv/web.nsf/id/pa_fdih9bwcke.html (23.03.2015) DSLV 2014 Roth, Jörg: ADR 2015: Die wichtigsten Änderungen der Vorschriften für die Beförderung gefährlicher Güter auf der Straße im Überblick. 2014. http://www.dslv.org/dslv/web.nsf/gfx/65C98CB0CA61ACA0C1257D720044 A10C/$file/ADR%202015%20Leitfaden%20Stand%20Oktober%202014.pdf (14.10.2015) ETA Energie 2009 Winkler, Rüdiger: Energielogistik: Die Basis für das Funktionieren des Energiemarkts. 2009. http://www.ifed.de/uploads/conn_71_xx-xx_Winkler_eta0409.pdf (28.07.2015) Europäische Kommission 2015 European Commission DG Internal Market, Industry, Entrepreneurship and SMEs: EU-Rechtsvorschriften für den Postsektor. 2015. http://ec.europa.eu/growth/single-market/services/post/legislation/index_ de.htm (23.03.2015) eurotransport 2013 Nallinger, Carsten: Mit Sicherheit gefährdet. 2013. http://www.eurotransport.de/news/die-logistikbranche-mit-sicherheit-gef aehrdet-6484173.html (07.03.2015) FAA 2015 U.S. Department of Transportation, Federal Aviation Administration: Amazon Gets Experimental Airworthiness Certificate. 2015. http://www.faa.gov/news/updates/?newsId=82225 (30.03.2015) Fraunhofer IML 2015 Fraunhofer-Institut für Materialfluss und Logistik IML: Zellulare Transportsysteme: Autonome FTF-Schwärme erweitern traditionelle Lagerund Fördertechnik. 2015. http://www.iml.fraunhofer.de/de/themengebiete/automation_eingebettete _systeme/Forschung/multishuttle_move1.html (27.03.2015) Fraunhofer IML 2014 Fraunhofer-Institut für Materialfluss und Logistik IML: Kletterkünstler im Regal: Fraunhofer IML präsentiert revolutionäre Shuttle-Technologie auf der CeMAT 2014. 2014. http://www.iml.fraunhofer.de/de/presse_medien/pressemitteilungen/rackr acer.html (04.08.2015) Fraunhofer SCS 2013 Nehm, Alexander; Veres-Homm, Uwe; Kübler, Annemarie et al.: Logistikimmobilien - Markt und Standorte 2013: Deutschland, Österreich, Schweiz, Belgien und Niederlande. Stuttgart: Fraunhofer IRB 2013. Frick 2010 Frick, Christoph: Regulatorische Anforderungen an Lagerung und Transport. 2010. Bundesamt für Sicherheit in der Informationstechnik 147 Literaturverzeichnis http://www.gmp-verlag.de/media/files/leitartikel_2010/Leitartikel-10-2010 -Reg-Anf-LagerTransport.pdf (14.10.2015) Gabler o.J.a Krieger, Winfried: Gabler Wirtschaftslexikon: Stichwort: Kontraktlogistik. o.J. http://wirtschaftslexikon.gabler.de/Archiv/83329/kontraktlogistik-v7.html (12.03.2015) Gabler o.J.b Krieger, Winfried; Lackes, Richard; Siepermann, Markus et al.: Gabler Wirtschaftslexikon: Stichwort: Supply Chain Management (SCM). o.J. http://wirtschaftslexikon.gabler.de/Archiv/56470/supply-chain-manageme nt-scm-v12.html (11.03.2015) Gabler o.J.c Krieger, Winfried: Gabler Wirtschaftslexikon: Stichwort: Third Party Logistics. o.J. http://wirtschaftslexikon.gabler.de/Archiv/83323/third-party-logistics-v9.h tml (12.03.2015) Gleißner/Femerling 2008 Gleißner, Harald; Femerling, Christian: Logistik: Grundlagen - Übungen Fallbeispiele. Wiesbaden: Gabler 2008. Golem.de 2014a Sawall, Achim: Sicherheitslücke in Sendungsverfolgung von DHL. 2014. http://www.golem.de/news/deutsche-post-sicherheitsluecke-in-sendungsv erfolgung-von-dhl-1409-109382.html (26.08.2015) Golem.de 2014b Donath, Andreas: Amazon will Pakete ohne Bestellung verschicken. 2014. http://www.golem.de/news/vorausschauender-versand-amazon-will-paket e-ohne-bestellung-verschicken-1401-104006.html (27.03.2015) Gudehus 2010 Gudehus, Timm: Logistik: Grundlagen - Strategien - Anwendungen. Berlin, Heidelberg: Springer 2010. Günthner/ten Hompel 2010 Günthner, Willibald; ten Hompel, Michael: Internet der Dinge in der Intralogistik. Berlin, Heidelberg: Springer-Verlag 2010. Hausladen 2014 Hausladen, Iris: IT-gestützte Logistik: Systeme - Prozesse - Anwendungen. Wiesbaden: Springer Gabler 2014. Heinrich 2011 Martin, Heinrich: Transport- und Lagerlogistik: Planung, Struktur, Steuerung und Kosten von Systemen der Intralogistik. Wiesbaden: Vieweg+Teubner 2011. Heiserich et al. 2011 Heiserich, Otto-Ernst; Helbig, Klaus; Ullmann, Werner: Logistik: Eine praxisorientierte Einführung. Wiesbaden: Gabler 2011. IFS 2015 IFS Management GmbH: IFS International Featured Standards: IFS Logistics. 2015. http://www.ifs-certification.com/index.php/de/retailers-de/ifs-standards/if s-logistics (27.07.2015) Inbound Logistics 2012 Brown, Justine: The Illuminating Power of Yard Management Systems. 2012. http://www.inboundlogistics.com/cms/article/the-illuminating-power-ofyard-management-systems/ (18.05.2015) IPCSA 2014 International Port Community Systems Association: The International Port Community Systems Association (IPCSA): Company overview. 2014. http://ipcsa.international/about/company-overview (07.05.2015) IT-Zoom 2014 Sommerhäuser, Lea: Einsatz von Datenbrillen: Augmented Reality: Interview mit Christian Erb, Salt Solutions. 2014. 148 Bundesamt für Sicherheit in der Informationstechnik Literaturverzeichnis http://www.it-zoom.de/it-director/e/einsatz-von-datenbrillen-9639/ (10.08.2015) K2 Intelligence 2015 o.V.: Increased Cyber Attacks on Shipping and Logistics Highlight the Need for Preventative Strategy. 2015. https://www.k2intelligence.com/increased-cyber-attacks-on-shipping-and -logistics-highlight-the-need-for-preventative-strategy/ (28.08.2015) Katersky 2014 Katersky, Aaron: USPS Hacked: Postal Service Hit By Cyber Attack. 2014. http://abcnews.go.com/US/usps-hacked-postal-service-hit-cyber-attack/st ory?id=26810621 (26.08.2015) Kertsen 2008 Kertsen, Wolfgang: Logistik im Gesundheitswesen. 2008. http://www.forschungsinformationssystem.de/servlet/is/251070/ (14.10.2015) Kille/Schwemmer 2014 Kille, Christian; Schwemmer, Martin: Die Top 100 der Logistik: Marktgrößen, Marktsegmente und Marktführer. Eine Studie der Fraunhofer Arbeitsgruppe für Supply Chain Services SCS. Hamburg: DVV Media Group 2014. Klaus 2012 Klaus, Peter: Gabler-Lexikon Logistik: Management logistischer Netzwerke und Flüsse. Wiesbaden: Gabler 2012. KPMG 2015 Wagner, Steffen: Cyber-Security: Logistikbranche im Visier von Hackern. 2015. http://news.kpmg.de/cyber-security-logistikbranche-im-visier-von-hacker n/ (07.04.2015) LAG 2015 LNC LogisticNetwork Consultants GmbH: Logistik in Deutschland: Innovativ, persönlich und kompetent. 2015. http://www.logistics-alliance-germany.de/de/startseite.html (23.03.2015) Logistik Know-how 2015a DR. THOMAS + PARTNER GmbH & Co. KG: Host-System. 2015. http://logistikknowhow.com/host-system-host/ (02.09.2015) Logistik Know-how 2015b DR. THOMAS + PARTNER GmbH & Co. KG: Die moderne Materialflusssteuerung. 2015. http://logistikknowhow.com/die-moderne-materialflusssteuerung/ (02.09.2015) Logistik Know-how 2014a DR. THOMAS + PARTNER GmbH & Co. KG – Materialflussplanung und Automatisierungstechnik: Identifikationspunkt (I-Punkt). 2014. http://logistikknowhow.com/identifikationspunkt-i-punkt/ (02.04.2015) Logistik Know-how 2014b DR. THOMAS + PARTNER GmbH & Co. KG – Materialflussplanung und Automatisierungstechnik: Belegungsstrategie: Artikelreine vs. Artikelgemischte Platzbelegung. 2014. http://logistikknowhow.com/belegungsstrategie-artikelreine-vs-artikelgem ischte-platzbelegung/ (10.04.2015) Logistik Know-how 2013a DR. THOMAS + PARTNER GmbH & Co. KG – Materialflussplanung und Automatisierungstechnik: Einlagerung - Grundlagen. 2013. http://logistikknowhow.com/einlagerung-grundlagen/ (02.04.2015) Logistik Know-how 2013b DR. THOMAS + PARTNER GmbH & Co. KG – Materialflussplanung und Automatisierungstechnik: Kommissionierung – Grundlagen. 2013. http://logistikknowhow.com/kommissionierung-grundlagen/ (10.04.2015) Bundesamt für Sicherheit in der Informationstechnik 149 Literaturverzeichnis Logistik Know-how 2013c DR. THOMAS + PARTNER GmbH & Co. KG – Materialflussplanung und Automatisierungstechnik: Wareneingang - Grundlagen. 2013. http://logistikknowhow.com/wareneingang-grundlagen-2/ (02.04.2015) Logistik Know-how 2013d DR. THOMAS + PARTNER GmbH & Co. KG: Middleware. 2013. http://logistikknowhow.com/middleware/ (02.09.2015) Logistik Know-how 2013e DR. THOMAS + PARTNER GmbH & Co. KG – Materialflussplanung und Automatisierungstechnik: Bewegungsstrategien: Einzelspiel. 2013. http://logistikknowhow.com/bewegungsstrategien-einzelspiel/ (10.04.2015) Logistik Know-how 2013f DR. THOMAS + PARTNER GmbH & Co. KG – Materialflussplanung und Automatisierungstechnik: Ware-zum-Mann Kommissionierung. 2013. http://logistikknowhow.com/ware-zum-mann-kommissionierung/ (18.05.2015) Logistik Know-how 2013g DR. THOMAS + PARTNER GmbH & Co. KG – Materialflussplanung und Automatisierungstechnik: Mann-zur-Ware Kommissionierung. 2013. http://logistikknowhow.com/mann-zur-ware-kommissionierung/ (18.05.2015) Logistik Know-how 2013h DR. THOMAS + PARTNER GmbH & Co. KG – Materialflussplanung und Automatisierungstechnik: Warenausgang - Prozessschritte. 2013. http://logistikknowhow.com/warenausgang-prozessschritte/ (20.04.2015) Logistik Know-how 2013i DR. THOMAS + PARTNER GmbH & Co. KG: Idee der modularen Software. 2013. http://logistikknowhow.com/die-idee-der-modularen-software/ (02.09.2015) Logistik Know-how 2013j DR. THOMAS + PARTNER GmbH & Co. KG – Materialflussplanung und Automatisierungstechnik: Warenausgang - Grundlagen. 2013. http://logistikknowhow.com/warenausgang-grundlagen/ (20.04.2015) Logistik Know-how 2013k DR. THOMAS + PARTNER GmbH & Co. KG: Sensoren und Aktoren. 2013. http://logistikknowhow.com/sensoren-und-aktoren/ (02.09.2015) Logistik Know-how 2013l DR. THOMAS + PARTNER GmbH & Co. KG – Materialflussplanung und Automatisierungstechnik: Einlagerung – Vorzone. 2013. http://logistikknowhow.com/einlagerung-vorzone/ (10.04.2015) Logistik-Initiative HH 2015 Logistik-Initiative Hamburg e.V.: Logistik-Initiative Hamburg: Logistik ist Problem-Löser, nicht Problem-Auslöser. 2015. http://www.hamburg-logistik.net/veranstaltungen/fruehlingsforum/2015-i mage-der-logistik.html (30.03.2015) Lünendonk 2013 Lünendonk GmbH - Gesellschaft für Information und Kommunikation: Next Generation Fleet Management: Professionelles Management der Fahrzeugflotte zur Steigerung der Unternehmenseffizienz. 2013. http://luenendonk-shop.de/out/pictures/0/lue_tomtom_wp_fleetmgt_f260 213_ms_fl.pdf (11.08.2015) Maienschein 2007 Maienschein, Bernd: Anforderungen und Trends in der Lebensmittellogistik. 2007. http://www.process.vogel.de/logistik_verpackung/articles/135785/ (27.07.2015) Mercedes-Benz 2014 Mercedes-Benz Österreich Vertriebsgesellschaft mbH: Mercedes-Benz Future Truck 2025: Weltpremiere der spektakulären Studie des Lkw von morgen – autonome Fahrt in eine faszinierende Zukunft. 2014. 150 Bundesamt für Sicherheit in der Informationstechnik Literaturverzeichnis http://media.daimler.com/dcmedia-at/0-1071-1087645-49-1741739-1-0-10-0-0-0-0-0-1-0-0-0-0-0.html (27.03.2015) Nextgov 2012 Sternstein, Aliya: Hackers Manipulated Railway Computers, TSA Memo Says. 2012. http://www.nextgov.com/cybersecurity/2012/01/hackers-manipulated-rail way-computers-tsa-memo-says/50498/ (07.04.2015) Pfohl, Hans Christian (2005): Logistik in der deutschen Finanzbranche. In: Zbynek Sokolovsky (Hg.): Handbuch Industrialisierung der Finanzwirtschaft. Strategien, Management und Methoden für die Bank der Zukunft. 1. Aufl. Wiesbaden: Gabler (21.10.2015) (21.10.2015) Prosegur 2015 Prosegur GmbH: Services für Banken. 2015. http://www.prosegur.de/deu/Services-Banken/index.htm (14.10.2015) PwC 2015 Stevens, Dan: Transport & logistics companies – cyber security is relevant to you too! 2015. http://pwc.blogs.com/cyber_security_updates/2015/04/transport-logisticscompanies-cyber-security-is-relevant-to-you-too.html (26.08.2015) PwC 2014 Bauer, Ingo; Fischer, Derk: Transport & Logistik Kompass: Transporteure und Logistiker im digitalen Zeitalter. 2014. https://www.pwc.de/de/transport-und-logistik/assets/logistiker-unterscha etzen-risiken-der-digitalisierung.pdf (23.09.2015) PwC 2012 PricewaterhouseCoopers AG WPG: Neue PwC-Studie: Transport und Logistik gehen die Fachkräfte aus. 2012. http://www.pwc.de/de/transport-und-logistik/neues-delphi-panel-transpo rt-und-logistik-gehen-die-fachkraefte-aus.jhtml (07.04.2015) PwC 2011 PricewaterhouseCoopers AG WPG: Transportation & Logistics 2030: Volume 4: Securing the supply chain. 2011. http://www.pwc.de/de_DE/de/transport-und-logistik/assets/t-und-l-2030v4.pdf (07.04.2015) Röcken/Rohrberg 2008 Röcken, Bernd; Rohrberg, Andrea: Gesundheitslogistik für Mittel- und Osteuropa: Kompetenzen & Potenziale. 2008. http://www.logistiknetz-bb.de/fileadmin/login/bilder/eigene_veroeffentlic hungen/Studie_Gesundheitslogistik_03_04_2008.pdf (14.10.2015) SecurityWeek 2014 Kovacs, Eduard: Hackers Attack Shipping and Logistics Firms Using Malware-Laden Handheld Scanners. 2014. http://www.securityweek.com/hackers-attack-shipping-and-logistics-firms -using-malware-laden-handheld-scanners (21.08.2015) Siebrandt 2010 Siebrandt, Michael: Professionelles Risikomanagement in der Logistik: Praxishandbuch mit Arbeitshilfen und Beispielen. Hamburg: DVV Media Group 2010. Spiegel Online 2010 Gebauer, Matthias: Bomben in Luftfracht: Getarnte Paketbomben alarmieren deutsche Terrorfahnder. 2010. http://www.spiegel.de/politik/deutschland/bomben-in-luftfracht-getarntepaketbomben-alarmieren-deutsche-terrorfahnder-a-726556.html (07.04.2015) statista 2015a Statista GmbH: Umsatz der Logistikbranche in Deutschland von 1995 bis 2013 (in Milliarden Euro). 2015. Bundesamt für Sicherheit in der Informationstechnik 151 Literaturverzeichnis http://de.statista.com/statistik/daten/studie/166970/umfrage/umsatz-der-l ogistikbranche-in-deutschland/ (09.03.2015) statista 2015b Statista GmbH: Gesamtes Güteraufkommen in Deutschland im Zeitraum von 1950 bis 2014 (in Millionen Tonnen). 2015. http://de.statista.com/statistik/daten/studie/7041/umfrage/gesamtes-guete raufkommen-in-deutschland/ (09.03.2015) statista 2015c Statista GmbH: Güteraufkommen je Verkehrsträger in Deutschland in den Jahren 2011 bis 2014 (in Millionen Tonnen). 2015. http://de.statista.com/statistik/daten/studie/12240/umfrage/gueteraufkom men-in-deutschland-je-verkehrstraeger/ (09.03.2015) statista 2015d Statista GmbH: Anzahl der Sendungen von Kurier-, Express- und Paketdiensten (KEP) in Deutschland in den Jahren 2000 bis 2013 (in Millionen). 2015. http://de.statista.com/statistik/daten/studie/154829/umfrage/sendungsme nge-von-paket-und-kurierdiensten-in-deutschland/ (30.03.2015) statista 2015e Statista GmbH: Durchschnittlicher Preis für Dieselkraftstoff in Deutschland in den Jahren 1950 bis 2015 (Cent pro Liter). 2015. http://de.statista.com/statistik/daten/studie/779/umfrage/durchschnittspre is-fuer-dieselkraftstoff-seit-dem-jahr-1950/ (18.05.2015) statista 2015f Statista GmbH: Anteile der Standard- und Express-/Kuriersendungen an der Gesamtzahl der Sendungen der Kurier-, Express- und Paketbranche in Deutschland im Jahr 2013. 2015. http://de.statista.com/statistik/daten/studie/219459/umfrage/verteilung-d er-sendungsarten-im-kep-markt/ (30.03.2015) statista 2014 Statista GmbH: Treibhausgas-Emissionen nach Wirtschaftsbereich. 2014. http://de.statista.com/infografik/2140/anteil-der-wirtschaftsbereiche-an-de n-menschlich-bedingten-treibhausgas-emissionen/ (18.05.2015) Supply Chain 24/7 2014 Ram, Levi; Rojkes-Dombe, Ami: The Supply Chain Silent Threat – Cyber Attack. 2014. http://www.supplychain247.com/article/the_supply_chain_silent_threat_cy ber_attack/security (26.08.2015) Supply Chain Quarterly 2011 Cooke, James A.: Sharing supply chains for mutual gain. 2011. http://www.supplychainquarterly.com/topics/Global/scq201102kimberly/ (27.03.2015) TecChannel 2007 Manhart, Klaus: IT in der Logistik - Aktuelle Technologien: Tracking & Tracing. 2007. http://www.tecchannel.de/kommunikation/handy_pda/1709514/it_in_der_ logistik_aktuelle_technologien/index19.html (21.04.2015) Telepolis 2015 Rötzer, Florian: FBI beschuldigt Sicherheitsexperten, ein Flugzeug gehackt zu haben. 2015. http://www.heise.de/tp/artikel/44/44953/1.html (26.08.2015) ten Hompel 2013 ten Hompel, Michael: IT in der Logistik 2013/2014 - Marktübersicht & Funktionsumfang: Enterprise-Resource-Planning, Warehouse-Management, Transport-Management & Supply-Chain-Management-Systeme. Stuttgart: 2013 Thomson Reuters 2015 Szary, Wiktor; Heneghan, Tom: Hackers ground 1,400 passengers at Warsaw Airport. 2015. 152 Bundesamt für Sicherheit in der Informationstechnik Literaturverzeichnis http://uk.reuters.com/article/2015/06/21/uk-poland-lot-cybercrime-idUK KBN0P10WY20150621 (25.08.2015) TrapX 2015 Malachi, Yuval: Anatomy of An Attack – Zombie Zero. 2015. https://trapx.com/anatomy-of-an-attack-1/ (21.08.2015) Ullrich 2014 Ullrich, Günter: Fahrerlose Transportsysteme: Ein Leitfaden - mit Praxisanwendungen - zur Technik - für die Planung. Wiesbaden: Springer Fachmedien Wiesbaden GmbH 2014. UT Austin 2013 o.V.: UT Austin Researchers Spoof Superyacht at Sea. 2013. http://www.engr.utexas.edu/features/superyacht-gps-spoofing (25.08.2015) VerkehrsRundschau 2015 Springer Fachmedien München GmbH: Yard Management. 2015. http://www.verkehrsrundschau.de/yard-management-694401-vkr_lexikon. html (18.05.2015) VerkehrsRundschau 2013 Eva Hassa: Interview: Was ändert sich mit der neuen GDP? 2013. http://www.verkehrsrundschau.de/interview-was-aendert-sich-mit-der-ne uen-gdp-1233030.html (14.10.2015) Werner 2008 Werner, Hartmut: Supply Chain Management: Grundlagen, Strategien, Instrumente und Controlling. Wiesbaden: Gabler 2008. WSD Südwest 2013 Unfalluntersuchungskommission TMS „Waldhof": Bericht über den Ablauf und die Ursachen der Havarie des Tankmotorschiffes „Waldhof“ am 13. Januar 2011 auf dem Mittelrhein (Rhein‐km 553,75): Zusammenfassung. 2013. https://www.elwis.de/Service/TMS-Waldhof/Zusammenfassung.pdf (07.04.2015) ZDS o.J. Zentralverband der deutschen Seehafenbetriebe e.V.: Der Verband. o.J. http://www.zds-seehaefen.de/verband.html (07.05.2015) ZEIT ONLINE 2015 Azubel, Diega: Hilfsflieger beschädigen Landebahn in Kathmandu. 2015. http://www.zeit.de/gesellschaft/zeitgeschehen/2015-05/nepal-erdbeben-hil fe-kathmandu-flughafen (18.05.2015) ZEIT ONLINE 2014 Breitinger, Matthias: Wenn der Computer lenkt. 2014. http://www.zeit.de/mobilitaet/2014-08/autonomes-fahren (27.03.2015) Ziemann Gruppe 2015 ZIEMANN SICHERHEIT Holding GmbH: Geld- und Wertdienste. 2015. http://www.ziemann-gruppe.de/geld-und-wertdienste.html (14.10.2015) Bundesamt für Sicherheit in der Informationstechnik 153
© Copyright 2024 ExpyDoc