Cybersecurity für Logistik und Transport Schweiz

Q: Red Teaming versus Penetrationstest: Was braucht die Logistik?

See section: Red Teaming versus Penetrationstest: Was braucht die Logistik?

Wenn die Lieferkette zum Angriffsziel wird

Die Schweizer Logistik- und Transportbranche ist das Nervensystem der Wirtschaft: Jeden Tag koordinieren Speditionen, Transportunternehmen und Lagerdienstleister den Waren- und Güterfluss durch eines der meistbefahrenen Transitländer Europas. Genau diese zentrale Rolle macht die Branche zu einem hochattraktiven Ziel für Cyberkriminelle.

Ein erfolgreicher Cyberangriff auf einen Logistikdienstleister trifft nicht nur das Unternehmen selbst, sondern potenziell Dutzende oder Hunderte von Kunden, deren Lieferketten unterbrochen werden. Der NotPetya-Angriff von 2017, der den dänischen Logistikgiganten Maersk traf, verursachte einen Schaden von rund 300 Millionen US-Dollar und legte weltweite Lieferketten für Wochen lahm. Was damals als Ausnahme galt, ist heute Normalität: Laut dem Weltwirtschaftsforum gehört die Unterbrechung von Lieferketten durch Cyberangriffe zu den fünf grössten globalen Wirtschaftsrisiken 2025.

Schweizer Logistikunternehmen stehen vor spezifischen Herausforderungen: Internationale Vernetzung, Zoll- und Grenzschnittstellen, heterogene IT-Umgebungen und eine wachsende Zahl vernetzter Fahrzeuge und Geräte (IoT) erhöhen die Angriffsfläche erheblich.

Hauptbedrohungen für Logistik und Transport

1. Flottenmanagement und GPS-Spoofing

Moderne Logistikflotten sind vollständig digitalisiert: GPS-Tracking, Telematik-Systeme, digitale Fahrtenbücher und Over-the-Air-Updates für Fahrzeugsoftware sind Standard. Diese Vernetzung schafft neue Angriffsflächen.

GPS-Spoofing ist eine zunehmend verbreitete Bedrohung, bei der Angreifer gefälschte GPS-Signale aussenden, um Fahrzeugpositionen zu manipulieren. Mögliche Szenarien:

Wertvolle Frachttransporte werden auf falsche Routen gelenkt
Fahrzeugpositionen werden verschleiert, um Diebstahl zu erleichtern
Telematikdaten werden verfälscht, um Flottenmanagement-Entscheidungen zu manipulieren

In der Schweiz wurden 2024 erste dokumentierte GPS-Spoofing-Vorfälle in der Nähe kritischer Infrastruktur gemeldet. Während diese primär auf militärische oder geheimdienstliche Aktivitäten zurückgeführt wurden, zeigt sich, dass die Technologie zunehmend auch für kriminelle Zwecke eingesetzt wird.

Telematik-Hacking ist ebenfalls ein wachsendes Problem. Telematik-Einheiten in LKW und Transportfahrzeugen kommunizieren über Mobilfunknetze und können bei unzureichender Absicherung als Einfallstor ins Unternehmensnetz dienen.

Massnahmen: GPS-Anomalieerkennung einführen, Telematik-Systeme segmentiert betreiben, Over-the-Air-Updates mit kryptografischer Signierung absichern, Fahrzeugnetz vom Büronetz trennen.

2. Warehouse-Management-Systeme (WMS) unter Beschuss

Lagerverwaltungssysteme sind das operative Herzstück jedes Logistikunternehmens. Sie koordinieren Warenein- und -ausgänge, Lagerplatzverwaltung, Kommissionierung und Inventar. Ein Ausfall oder eine Kompromittierung des WMS kann den Betrieb vollständig lahmlegen.

Angreifer, die Zugang zu einem WMS erhalten, können:

Inventardaten manipulieren oder löschen
Auslieferungsaufträge umleiten oder stornieren
Wareneingänge falsch verbuchen und so Diebstahl verschleiern
Ransomware einschleusen und das System verschlüsseln

Besonders gefährdet sind ältere WMS-Installationen, die noch auf veralteten Betriebssystemen (Windows Server 2008, Windows 7) laufen und keine Sicherheitsupdates mehr erhalten. In einem Schweizer Audit von Logistikbetrieben 2024 liefen 34 Prozent der WMS-Systeme auf Betriebssystemen ohne aktiven Herstellersupport.

Massnahmen: WMS-Systeme aktualisieren oder migrieren, kritische Systeme segmentieren, Zugriffsrechte nach Minimalprinzip vergeben, regelmässige Backups mit Wiederherstellungstests.

3. Supply-Chain-Angriffe: Das schwächste Glied entscheidet

Supply-Chain-Angriffe zielen nicht direkt auf das Opfer, sondern auf seine Lieferanten, Softwareanbieter oder Dienstleister. Für Logistikunternehmen ist dies besonders relevant, weil sie in komplexe Netzwerke aus Subunternehmern, Speditionspartnern, Zollagenten und IT-Dienstleistern eingebettet sind.

Ein typisches Angriffsszenario: Ein kleiner Subunternehmer hat schwache IT-Sicherheit. Angreifer kompromittieren dessen Systeme und nutzen die bestehende Vertrauensbeziehung zum Hauptunternehmen, um dort einzudringen. Dies kann über kompromittierte EDI-Schnittstellen (Electronic Data Interchange), infizierte Software-Updates oder manipulierte E-Mails von einem bekannten Absender erfolgen.

Laut einer Studie des Schweizer BACS wurden 2024 rund 28 Prozent aller Cyberangriffe auf KMU über die Lieferkette eingeleitet – eine Verdopplung gegenüber 2022. Die Cybersecurity-Checkliste für KMU enthält spezifische Anforderungen für das Management von Drittanbieterrisiken.

Massnahmen: Sicherheitsanforderungen in Lieferantenverträge aufnehmen, EDI-Verbindungen absichern, Zero-Trust-Architektur für Partnerverbindungen einführen, regelmässige Audits von kritischen Lieferanten.

4. Zoll- und Grenzsysteme: Digitale Schnittstellen mit hohem Risiko

Die Schweiz als Nicht-EU-Mitglied ist auf reibungslose Zollprozesse angewiesen. Spediteure und Transportunternehmen arbeiten täglich mit e-dec (elektronische Zollanmeldung), dem ATLAS-System (Deutschland) und verschiedenen EU-Zollplattformen. Diese Systeme sind kritische Infrastruktur – und damit Ziel staatlich geförderter Angreifer.

Risiken im Zollbereich:

Manipulation von Zollanmeldungen (Warenwerte, Ursprungsländer, Inhalte)
Diebstahl von Wirtschaftsdaten mit strategischem Wert
Sabotage zur Unterbrechung von Warenströmen
Phishing gegen Zollspezialisten für initiale Zugangsdaten

Phishing-Angriffe gegen Sachbearbeitende in der Zollabteilung sind besonders gefährlich, weil diese Mitarbeitenden direkten Zugang zu Behördensystemen haben.

Massnahmen: Mehrstufige Authentifizierung für alle Zollsystem-Zugänge, E-Mail-Sicherheitsfilter, Schulung von Zollspezialisten zu Phishing-Erkennung, separate Netzwerksegmentierung für Zoll-Workstations.

5. IoT und vernetzte Lagerinfrastruktur

Moderne Logistikzentren setzen zunehmend auf IoT-Technologie: automatisierte Förderbänder, RFID-Scanner, Temperatursensoren für Kühlketten, automatische Staplerflotten und Lagerverwaltungsroboter. Diese Geräte sind oft schlecht gesichert und bieten Angreifern vielfältige Einstiegspunkte.

Typische Schwachstellen in Logistik-IoT:

Standardpasswörter auf Industriegeräten, die nie geändert werden
Veraltete Firmware ohne Sicherheitsupdates
Unverschlüsselte Kommunikation zwischen Geräten
Fehlendes Netzwerk-Segmenting zwischen OT und IT

Besonders heikel ist die Vermischung von Operational Technology (OT) – die Steuerung physischer Anlagen – mit der klassischen IT. Was in der Industrie als OT/IT-Konvergenz bekannt ist, schafft im Logistikbereich neue Angriffsflächen: Ein Hacker, der ins IT-Netz eindringt, kann potenziell auch automatisierte Lagertechnik steuern.

“In Logistikzentren sehen wir regelmässig RFID-Scanner und Förderbandsteuerungen, die direkt im selben Netz wie die Büro-PCs hängen. Ein Angreifer, der einen schlecht gesicherten RFID-Scanner kompromittiert, hat damit oft ungehinderten Zugang zu Warehouse-Management-Systemen.” – OT-Sicherheitsspezialist, Zürich

Massnahmen: OT-Netz strikt von IT-Netz trennen, IoT-Asset-Inventar führen, Firmware regelmässig aktualisieren, Industrielle Sicherheitsstandards (IEC 62443) anwenden.

Ransomware in der Logistik: Wenn die Zeit drückt

Ransomware ist für Logistikunternehmen eine besonders destruktive Bedrohung, weil die Branche von Lieferterminen und -fristen abhängig ist. Ein Ransomware-Angriff mitten in der Weihnachtssaison, während einer Messelieferung oder bei verderblichen Waren kann katastrophale Folgen haben.

Schweizer Logistikunternehmen wurden 2024 besonders häufig von der Ransomware-Gruppe Black Basta und von LockBit-Nachfolgeorganisationen angegriffen. Der durchschnittliche Systemausfall nach einem erfolgreichen Ransomware-Angriff auf ein Logistikunternehmen beträgt laut einer europäischen Studie 18 Tage.

Für Speditionen und Transportunternehmen bedeutet das:

Vollständiger Ausfall der Auftragsabwicklung
Unmöglichkeit, Kunden über Lieferstatus zu informieren
Ausfall von Fahrzeugdisposition und Routenplanung
Potenzielle Vertragsstrafen wegen nicht eingehaltener Liefertermine

Schutzmassnahmen:

Offline-Backups aller kritischen Systeme (WMS, TMS, ERP)
Segmentierung, die laterale Ausbreitung von Ransomware verhindert
Detektionssysteme, die Verschlüsselungsaktivitäten frühzeitig erkennen
Incident-Response-Plan mit klaren Kommunikationswegen zu Kunden und Behörden

Datenschutz (nDSG) in der Logistik

Logistikunternehmen verarbeiten umfangreiche Personendaten: Empfängeradressen, Sendungsdetails, Unterschriften bei der Zustellung, Fahrerdaten, Mitarbeitende-Zeiterfassungen und oft auch sensible Geschäftsdaten ihrer Kunden. Das nDSG verpflichtet auch Logistikunternehmen zu einem verantwortungsvollen Umgang mit diesen Daten.

Besonders relevant:

Auftragsverarbeitungsverträge: Wenn Logistikunternehmen Personendaten im Auftrag ihrer Kunden verarbeiten (z.B. Empfängerdaten für Paketzustellung), braucht es klare vertragliche Regelungen.

Datensicherheit bei Subunternehmen: Die Weitergabe von Lieferdaten an Subfrächter muss vertraglich abgesichert sein. Der Hauptfrächter bleibt gegenüber seinen Kunden verantwortlich.

Telematikdaten von Fahrern: GPS-Tracking und Fahrzeugsensoren erzeugen Daten über das Verhalten von Fahrern. Die Erhebung solcher Daten unterliegt strengen nDSG-Anforderungen und arbeitsrechtlichen Regelungen.

Praxismassnahmen für Logistik-KMU

Eine vollständige Cybersecurity-Checkliste für KMU bietet die Basis. Branchenspezifisch kommen hinzu:

Flotte und Telematik:

Telematik-Systeme segmentiert und aktuell gehalten
GPS-Anomalieerkennung implementiert
Fahrzeugnetz vom Büronetz getrennt
Zugang zu Fahrzeugsoftware mit MFA abgesichert

Warehouse und Betrieb:

WMS auf aktuellem Betriebssystem und Softwarestand
OT-Netz vom IT-Netz getrennt
IoT-Asset-Inventar geführt und gewartet
Backup-Test für WMS und TMS dokumentiert

Lieferkette und Partner:

Sicherheitsanforderungen in Subunternehmer-Verträgen
EDI-Verbindungen verschlüsselt und authentifiziert
Regelmässiges Review von Partnerberechtigungen
Incident-Response-Prozess für Lieferkettenunterbrechungen

Red Teaming versus Penetrationstest: Was braucht die Logistik?

Viele Logistikunternehmen fragen sich, welche Art von Sicherheitstest am sinnvollsten ist. Red Teaming versus Penetrationstest unterscheiden sich wesentlich in Tiefe und Ansatz.

Während ein Penetrationstest systematisch bekannte Schwachstellen in definierten Systemen sucht, simuliert Red Teaming einen vollständigen, realistischen Angriff – inklusive Social Engineering, physischem Zugang (etwa ins Lager) und Ausnutzung von Kombinationen aus technischen und menschlichen Schwachstellen.

Für Logistikunternehmen ist Red Teaming besonders wertvoll, weil:

Die Kombination aus IT, OT, IoT und physischem Zugang eine komplexe Angriffsfläche darstellt
Supply-Chain-Szenarien realistisch simuliert werden können
Schwachstellen in Prozessen (nicht nur in Systemen) aufgedeckt werden
Das Ergebnis ein vollständiges Lagebild liefert, das auch Führungskräften verständlich ist

Die Kosten für Red Teaming variieren je nach Scope und Unternehmensgrösse. Für ein mittelgrosses Schweizer Logistikunternehmen ist mit einem Investment ab CHF 11’900 zu rechnen.

Branchenspezifische Statistiken

Die Bedrohungslage in der Logistik ist ernst:

67 Prozent der Schweizer Logistikunternehmen haben laut einer ZHAW-Studie 2024 keinen dokumentierten Incident-Response-Plan
Die durchschnittliche Verweildauer eines Angreifers im Netz eines Logistikunternehmens beträgt 94 Tage, bevor der Einbruch entdeckt wird
Supply-Chain-Angriffe haben sich zwischen 2022 und 2025 europaweit vervierfacht
41 Prozent der Schweizer Transportunternehmen nutzen noch Telematik-Systeme ohne Verschlüsselung der Datenübertragung

Fazit

Die Schweizer Logistik- und Transportbranche ist systemrelevant – und genau das macht sie zum bevorzugten Ziel für Angreifer, die maximalen Schaden anrichten oder maximale Erpressungsmacht erzielen wollen. Vernetzte Flotten, komplexe Lieferketten, ältere WMS-Installationen und IoT-Infrastruktur schaffen eine Angriffsfläche, die weit über das klassische Büro-IT-Risiko hinausgeht.

Der Schlüssel zur Widerstandsfähigkeit liegt in drei Bereichen: Netzwerksegmentierung (insbesondere OT/IT), konsequentem Drittanbieter-Risikomanagement und regelmässigen Tests der eigenen Sicherheitsmassnahmen unter realen Bedingungen.

Wollen Sie wissen, ob ein Angreifer Ihre Flotte, Ihr Lager oder Ihre Lieferkette kompromittieren könnte? Unsere Red-Teaming-Spezialisten simulieren genau solche Szenarien – und zeigen Ihnen, wo Ihre kritischen Schwachstellen liegen, bevor es ein Angreifer tut.

Jetzt Red Teaming anfragen – ab CHF 11’900 – und sichern Sie die Widerstandsfähigkeit Ihrer Lieferkette. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.