Post-, Kurier- und Expressdienste (KEP) sind die digitale Lebensader des modernen E-Commerce. Täglich werden in Deutschland allein rund 9 Millionen Pakete zugestellt – gesteuert von automatisierten Sortieranlagen, Echtzeit-Track-and-Trace-Systemen und KI-gestützter Routenoptimierung. Diese hochgradige Digitalisierung macht KEP-Dienste zu einem attraktiven Ziel für Cyberkriminelle – wie der NotPetya-Angriff auf TNT/FedEx 2017 eindrücklich bewies.
Die NIS2-Richtlinie (EU) 2022/2555 erkennt dieses Risiko: Post- und Kurierdienste sind in Anhang II der Richtlinie explizit als wichtiger Sektor eingestuft. Mittlere und große Unternehmen aus dieser Branche sind damit verpflichtet, verhältnismäßige Cybersicherheitsmaßnahmen einzuführen, Sicherheitsvorfälle zu melden und ihre IT-Systeme systematisch zu schützen.
Dieser Leitfaden erläutert, welche Unternehmen konkret betroffen sind, wie sich Post- und Kurierdienste von Transportunternehmen abgrenzen, welche IT-Systeme im Fokus der NIS2 stehen und was bei Verstößen droht.
Post- und Kurierdienste als wichtiger Sektor nach Anhang II NIS2
Die NIS2-Richtlinie unterscheidet zwischen zwei Sektorkategorien mit unterschiedlicher Aufsichtsintensität:
Anhang I – Sektoren hoher Kritikalität: Energie, Trinkwasser, Bankwesen, Gesundheitswesen, digitale Infrastruktur, Weltraum und – entscheidend für die Abgrenzung – Transport und Verkehr. Einrichtungen hier werden proaktiv und anlassunabhängig vom BSI beaufsichtigt.
Anhang II – Sonstige wichtige Sektoren: Hier sind Post- und Kurierdienste eingeordnet, neben Abfallwirtschaft, Chemie, Lebensmittelproduktion und digitalen Anbietern. Wichtige Einrichtungen werden reaktiv überwacht – das BSI greift bei gemeldeten Vorfällen oder begründetem Verdacht auf Verstöße ein.
Was gilt als Post- oder Kurierdienst im Sinne der NIS2?
Die Richtlinie bezieht sich auf Anbieter von Postdiensten im Sinne der Postdienste-Richtlinie (97/67/EG). Konkret erfasst sind:
- Anbieter, die Postsendungen einsammeln, sortieren, transportieren und zustellen
- Kurier- und Expressdienste, die Pakete und Dokumente innerhalb definierter Zeitfenster befördern
- Betreiber von Postinfrastrukturen einschließlich Sortierzentren und Postnetzwerken
Nicht automatisch erfasst sind reine Frachtführer (ohne Postzulassung nach Postgesetz), reine Lagerdienstleister ohne externe Zustellkomponente oder innerlogistische Transportdienstleister. Bei diesen Unternehmen ist eine individuelle Prüfung des Anwendungsbereichs erforderlich.
Welche Unternehmen fallen unter NIS2? Größenschwellen für KEP-Dienste
Die NIS2 gilt nicht für jedes Paketunternehmen. Ausschlaggebend sind die EU-Unternehmensklassifizierungen:
| Unternehmensgröße | Schwellenwerte | NIS2-Einstufung |
|---|---|---|
| Großes Unternehmen | ≥ 250 Beschäftigte ODER > 50 Mio. € Umsatz UND > 43 Mio. € Bilanzsumme | Wichtige Einrichtung (Anhang II) |
| Mittleres Unternehmen | ≥ 50 Beschäftigte ODER > 10 Mio. € Jahresumsatz | Wichtige Einrichtung (Anhang II) |
| Kleines Unternehmen | < 50 Beschäftigte, < 10 Mio. € Umsatz | In der Regel nicht erfasst |
In der Praxis bedeutet dies: Große KEP-Dienstleister wie DHL Paket, UPS Deutschland, FedEx, DPD und Hermes sind eindeutig NIS2-pflichtig. Auch mittelgroße regionale Paket- und Kurierdienste mit mindestens 50 Mitarbeitern oder mehr als 10 Millionen Euro Umsatz unterliegen den Anforderungen.
Für Deutschland gilt das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Zuständige nationale Aufsichtsbehörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Ob Ihr Unternehmen im Anwendungsbereich der Richtlinie liegt, lässt sich systematisch über den Leitfaden zum Anwendungsbereich der NIS2 prüfen.
Abgrenzung: Post- und Kurierdienste vs. Transport und Verkehr
Eine häufige Frage in der Praxis: Was ist der Unterschied zwischen einem Post-/Kurierdienst nach Anhang II und einem Transportunternehmen nach Anhang I? Die Einordnung hat erhebliche Konsequenzen für Aufsichtsintensität und Bußgeldrahmen.
| Merkmal | Transport und Verkehr (Anhang I) | Post- und Kurierdienste (Anhang II) |
|---|---|---|
| Einrichtungskategorie | Besonders wichtige oder wichtige Einrichtung | Wichtige Einrichtung |
| Aufsicht durch BSI | Proaktiv (anlassunabhängig) | Reaktiv (bei Vorfällen oder Verstößen) |
| Bußgeldrahmen | Bis 10 Mio. € oder 2 % Jahresumsatz | Bis 7 Mio. € oder 1,4 % Jahresumsatz |
| Typische Unternehmen | Flughäfen, Eisenbahninfrastruktur, Seehäfen, Mautbetreiber | DHL, UPS, DPD, Hermes, regionale KEP-Dienste |
| Sicherheitsmaßnahmen | 10 Kategorien nach Art. 21 NIS2 | Identisch – 10 Kategorien nach Art. 21 NIS2 |
Die entscheidende Abgrenzung in der Praxis: Ein Transportunternehmen, das als Subunternehmer Pakete für DHL fährt, ist primär Transportunternehmen nach Anhang I. DHL selbst als KEP-Dienstleister mit Postlizenz ist Post- und Kurierdienst nach Anhang II.
Integrierte Logistikkonzerne wie DB Schenker oder Kühne+Nagel, die sowohl Frachtführerdienste als auch KEP-Aktivitäten betreiben, können unter mehrere Sektoren fallen. In solchen Fällen gilt grundsätzlich die strengere Einstufung: Fällt auch nur eine Tätigkeit unter Anhang I, wird das Unternehmen als besonders wichtige oder wichtige Einrichtung im Sinne des Transportsektors behandelt. Die spezifischen Anforderungen für Unternehmen des Transportsektors beschreibt unser Leitfaden zu NIS2 für Transport und Logistik.
Die inhaltlichen Pflichten nach Art. 21 NIS2 sind für beide Kategorien identisch. Der Unterschied liegt ausschließlich in Aufsichtsintensität und Bußgeldrahmen.
Kritische IT-Systeme: Wo die Cyberrisiken im KEP-Bereich liegen
Post- und Kurierdienste sind eine der am stärksten digitalisierten Branchen. Ihre operative Leistungsfähigkeit hängt vollständig von vernetzten IT-Systemen ab – und genau diese Abhängigkeit macht sie zum Angriffsziel.
Sortieranlagen und ihre Steuerungssysteme
Automatische Paketsortieranlagen sortieren bis zu 50.000 Pakete pro Stunde – gesteuert durch SCADA-ähnliche Leittechnik, Barcode- und QR-Scanner-Netzwerke sowie Beförderungssteuerungssysteme. Ein Ransomware-Angriff auf das Leitsystem legt die gesamte Sortierung lahm. Der NotPetya-Angriff auf TNT/FedEx im Jahr 2017 führte zu weltweiten Betriebsunterbrechungen über mehrere Wochen und Schäden von über 400 Millionen US-Dollar – ein reales Beispiel für das Ausmaß solcher Vorfälle.
Track-and-Trace-Systeme
Echtzeit-Sendungsverfolgungssysteme verarbeiten kontinuierlich Positionsdaten, Scannerereignisse und API-Calls von Millionen Sendungen gleichzeitig. Diese Systeme sind über APIs mit Online-Händlern, Empfängern und internen Systemen verbunden. Angriffsvektoren umfassen die Manipulation von Sendungsstatus-Daten, die Exfiltration personenbezogener Empfängerdaten sowie Angriffe auf API-Schnittstellen zu E-Commerce-Plattformen.
Depot-Management-Systeme (DMS)
Die digitale Steuerung von Zustellzentren – Lagerplatzverwaltung, Touren- und Personalplanung, Fahrzeugzuweisung – ist oft cloudbasiert und damit von Drittanbieterdiensten abhängig. Aus NIS2-Perspektive ist die Abhängigkeit von Cloud-Providern eine explizite Lieferkettenpflicht: Anbieter dieser Systeme müssen auf ihre Cybersicherheit hin bewertet werden.
Routenoptimierungssoftware
KI-gestützte Systeme zur Berechnung optimaler Zustellrouten verarbeiten Echtzeit-Daten zu Verkehr, Paketvolumen und Fahrerverfugbarkeit. Viele dieser Systeme sind als SaaS-Lösungen konzipiert und bringen Drittanbieterrisiken mit sich, die unter die Lieferkettenpflicht nach Art. 21 Abs. 2d NIS2 fallen.
Fahrzeugtelematik und mobile Geräte
Scannersysteme der Zusteller, mobile Endgeräte für die Unterschriftenerfassung und Fahrzeugtelematik kommunizieren direkt mit Backend-Systemen. Diese Endpunkte werden in klassischen IT-Sicherheitskonzepten häufig vernachlässigt, obwohl sie einen direkten Zugangspfad in die Unternehmens-IT bieten können.
Die zehn NIS2-Anforderungen nach Art. 21 – branchenspezifisch für KEP-Dienste
Artikel 21 der NIS2-Richtlinie, in Deutschland umgesetzt in §30 NIS2UmsuCG, verpflichtet alle betroffenen Einrichtungen zu verhältnismäßigen Risikomanagementmaßnahmen. Für Post- und Kurierdienste bedeuten die zehn Kategorien konkret:
1. Risikoanalyse und Sicherheitsrichtlinien
Systematische Identifikation und Bewertung aller Cyberrisiken – mit besonderem Fokus auf Sortierleitsysteme, Track-and-Trace-Backends und Depot-Management-Systeme. Basis kann ISO 27001 oder der BSI IT-Grundschutz sein.
2. Vorfallmanagement (Art. 23 NIS2)
Einführung eines Incident-Response-Prozesses mit klaren Eskalationswegen. Meldepflicht bei erheblichen Vorfällen: Frühwarnung an das BSI innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden, Abschlussbericht nach spätestens einem Monat.
3. Business Continuity und Krisenmanagement
Notfallpläne für den Ausfall zentraler IT-Systeme. Für KEP-Dienste besonders kritisch: manuelle Rückfallverfahren für Sortierung und Zustellung bei vollständigem IT-Ausfall.
4. Lieferkettensicherheit
Bewertung der Cybersicherheit aller relevanten Lieferanten: Sortieranlage-Software-Anbieter, Fahrzeugtelematik-Dienstleister, Cloud-Provider für DMS und Routenoptimierung, SaaS-Anbieter. Verträge müssen explizite Sicherheitsklauseln enthalten.
5. Sicherheit bei Erwerb und Wartung von Systemen
Sicherheitsanforderungen bei der Beschaffung neuer Sortieranlage-Software, Track-and-Trace-Systeme oder mobiler Endgeräte. Security by Design als Vergabekriterium.
6. Wirksamkeit der Sicherheitsmaßnahmen
Regelmäßige Überprüfung durch interne Audits, Penetrationstests oder Zertifizierungen. Penetrationstests für Track-and-Trace-APIs und Sortier-Leitsysteme sind besonders empfehlenswert.
7. Cyberhygiene und Schulungen
Sensibilisierungsschulungen für alle Mitarbeiter, besonders für Depot-Personal – ein häufiges Ziel von Phishing-Angriffen über gefälschte Paketverfolgungsbenachrichtigungen. Schulungen müssen regelmäßig wiederholt werden.
8. Kryptographie und Verschlüsselung
Verschlüsselung von Sendungsdaten und Empfängerinformationen in Transit und at rest. Besonders relevant für Track-and-Trace-Datenbanken mit personenbezogenen Daten.
9. Personalmanagement und Zugriffskontrollen
Rollenbasierte Zugriffsrechte für Depot- und IT-Personal nach dem Least-Privilege-Prinzip. Strikte Trennung von administrativen und operativen Zugriffsrechten.
10. Mehrfaktor-Authentifizierung (MFA)
MFA als Mindestanforderung für alle administrativen Zugänge zu kritischen Systemen – Sortieranlage-Leitsysteme, Track-and-Trace-Backend, Depot-DMS, Cloud-Portale.
Eine vollständige Erläuterung der zehn Maßnahmenkategorien und der konkreten Umsetzungsanforderungen nach deutschem Recht findet sich im Leitfaden zu den NIS2-Anforderungen nach Art. 21.
Umsetzungsfahrplan für Post- und Kurierdienste
Angesichts der Vielzahl an Anforderungen empfiehlt sich eine strukturierte Priorisierung über drei Phasen:
Phase 1 (0–3 Monate): Grundlagen schaffen
- Registrierung beim BSI als wichtige Einrichtung nach NIS2UmsuCG
- Benennung eines IT-Sicherheitsverantwortlichen (CISO oder vergleichbare Rolle)
- Inventarisierung aller kritischen IT-Systeme: Sortierung, Tracking, DMS, Telematik
- MFA für alle privilegierten Zugänge sofort aktivieren
Phase 2 (3–6 Monate): Risikoanalyse und Prozesse
- Formale Risikoanalyse gemäß ISO 27001 oder BSI IT-Grundschutz
- Incident-Response-Plan erstellen und Meldestruktur an BSI aufbauen
- Vertragliche Sicherheitsklauseln mit IT-Lieferanten und Cloud-Providern einführen
- Notfallhandbuch für IT-Ausfall in Sortierzentren erstellen
Phase 3 (6–12 Monate): ISMS und Nachweise
- Implementierung eines vollständigen Informationssicherheitsmanagementsystems (ISMS)
- Mitarbeiterschulungen für alle Hierarchieebenen
- Penetrationstest für Track-and-Trace-API und Depot-Management-Systeme
- Lieferantenaudits für alle kritischen IT-Dienstleister
Sanktionen: Was bei Nichteinhaltung droht
Als wichtige Einrichtungen nach Anhang II sind Post- und Kurierdienste folgendem Bußgeldrahmen ausgesetzt:
- Geldbuße: Bis zu 7.000.000 EUR oder bis zu 1,4 % des weltweiten Jahresumsatzes – der jeweils höhere Betrag gilt
- Persönliche Haftung: Geschäftsführer und Vorstände können persönlich für die Nichteinhaltung von NIS2-Pflichten haftbar gemacht werden
- Behördliche Maßnahmen: Das BSI kann bei schwerwiegenden Verstößen einstweilige Anordnungen erteilen und die Aussetzung von Führungsfunktionen anordnen
Zum Vergleich: Transportunternehmen als besonders wichtige Einrichtungen (Anhang I) riskieren höhere Bußgelder von bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes. Die inhaltlichen Sicherheitspflichten sind jedoch identisch.
Häufige Fragen zu NIS2 für Post- und Kurierdienste
Gilt NIS2 auch für Amazon Logistics und vergleichbare Fulfillment-Dienste?
Fulfillment-Dienste fallen unter NIS2, sofern sie Postdienstleistungen im Sinne der Postdienste-Richtlinie erbringen – also Sendungen Dritter einsammeln, sortieren und zustellen – und die Größenschwellen überschreiten. Reine Lagerhaltung und Intralogistik ohne externe Zustellkomponente sind dagegen nicht erfasst. Ob ein konkretes Unternehmen betroffen ist, hängt von seiner Haupttätigkeit und der nationalen Umsetzung des NIS2UmsuCG ab.
Muss ein regionaler Paketdienst mit 80 Mitarbeitern NIS2 einhalten?
Ja. Ein Unternehmen mit mindestens 50 Beschäftigten oder mehr als 10 Millionen Euro Jahresumsatz im Post- und Kurierdienst gilt als wichtige Einrichtung und unterliegt den NIS2-Pflichten – unabhängig davon, ob es bundesweit oder nur regional tätig ist.
Sind Subunternehmer, die für große KEP-Dienste Pakete ausfahren, auch NIS2-pflichtig?
Kleine Subunternehmer mit weniger als 50 Mitarbeitern sind in der Regel nicht direkt NIS2-pflichtig. Allerdings sind die beauftragenden großen KEP-Dienste verpflichtet, ihre Lieferkette abzusichern – was indirekt zu vertraglichen Sicherheitsanforderungen an Subunternehmer führt, auch wenn diese selbst nicht direkt reguliert sind.
Welche Behörde ist in Deutschland zuständig?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zuständige Aufsichtsbehörde für NIS2-regulierte Unternehmen in Deutschland. Betroffene Einrichtungen müssen sich dort registrieren, Ansprechpartner melden und Sicherheitsvorfälle an das BSI melden. Das BSI hat Prüf- und Anordnungsbefugnisse gegenüber wichtigen Einrichtungen.
Wie hängen NIS2 und DSGVO für Post- und Kurierdienste zusammen?
NIS2 regelt die Cybersicherheit operativer IT-Systeme und Infrastrukturen; die DSGVO schützt personenbezogene Daten. Bei Track-and-Trace-Systemen, die Empfängeradressen, Zustellnachweise und GPS-Daten verarbeiten, gelten beide Rechtsrahmen parallel. Ein Datenleck aus einem Track-and-Trace-Backend kann sowohl NIS2-Meldepflichten (erheblicher Sicherheitsvorfall) als auch DSGVO-Meldepflichten (Datenpanne nach Art. 33 DSGVO) gleichzeitig auslösen.
Quellen
- NIS2-Richtlinie (EU) 2022/2555, Anhang I und II, Artikel 21 und 23 – EUR-Lex, Amt für Veröffentlichungen der EU
- BSI: NIS-2-regulierte Unternehmen im Sektor Post und Kurier – Bundesamt für Sicherheit in der Informationstechnik
- ENISA Threat Landscape für den Transportsektor 2023 – Europäische Agentur für Cybersicherheit
