IOs neueste Bericht zum Stand der Informationssicherheit Dies unterstreicht einen Sektor, der strukturell besonders anfällig ist und sich dessen sehr bewusst ist. Transport- und Reiseunternehmen befinden sich an der Schnittstelle von physischer Infrastruktur, digitalen Plattformen und eng verzahnten Lieferketten. Wenn etwas schiefgeht, sind die Auswirkungen unmittelbar und deutlich sichtbar: von stillgelegten Fahrzeugflotten und Produktionsstopps bis hin zu gestrandeten Kunden und weitreichenden Störungen bei den Zulieferern.

Die diesjährigen Ergebnisse zeigen, dass Sicherheitsverantwortliche im Transport- und Reisesektor daran arbeiten, mit KI-gesteuerten Bedrohungen, beschleunigten Regulierungen und der Fragilität der Lieferkette Schritt zu halten, während sie gleichzeitig mit Budgetbeschränkungen, Fachkräftemangel und ungleichmäßigem Engagement der Aufsichtsräte zu kämpfen haben.

Zu unseren Befragten gehörten leitende Vertreter der Cyber- und Informationssicherheit aus dem britischen und US-amerikanischen Transport- und Reisesektor. Ihre Antworten zeigen, wo der Druck am größten ist, wie sich Vorfälle in der Praxis auswirken und worauf sich die Branche konzentriert, um ihre Resilienz zu stärken.

Im Folgenden erläutern wir 11 wichtige Statistiken, die jeder Verantwortliche im Transport- und Reisesektor aus dem diesjährigen Bericht kennen sollte.

Wichtige Statistiken zur Informationssicherheit im Transport- und Reisesektor

  1. 57 % geben an, dass die Art der Transport- und Reisebranche die Umsetzung effektiver Informationssicherheitsmaßnahmen besonders schwierig macht.
  2. 46 % geben an, dass die oberste Führungsebene die Einhaltung der Informationssicherheitsbestimmungen immer noch als Nebensache behandelt – obwohl 86 % über eine klare Sicherheitsstrategie verfügen und 89 % die Verantwortung auf Vorstandsebene befürworten.
  3. Budgetbeschränkungen werden am häufigsten als Herausforderung genannt (48%), während 34% mit einem Mangel an IT-Sicherheitskenntnissen und 33% mit Personalfluktuation und -bindung zu kämpfen haben.
  4. 44 % geben an, dass mangelndes Bewusstsein der Mitarbeiter eine zentrale Herausforderung darstellt. Zu den häufigsten Fehlern zählen Phishing-Klicks (29 %), Schatten-IT (26 %) und die unsichere Nutzung privater Geräte (23 %).
  5. Über 74 % der Transport- und Reiseorganisationen berichteten, in den letzten 12 Monaten unter Sicherheitsvorfällen gelitten zu haben.
  6. 54 % gaben an, im vergangenen Jahr mindestens eine Geldstrafe wegen einer Datenschutzverletzung oder eines Verstoßes gegen den Datenschutz erhalten zu haben, wobei die meisten Strafen zwischen 101,000 und 250,000 Pfund lagen.
  7. 37 % waren in den letzten 12 Monaten von einem Vorfall im Zusammenhang mit einem Drittanbieter oder Lieferanten betroffen – 17 % mehrmals und 20 % einmal.
  8. 77 % haben neue Technologien wie KI, maschinelles Lernen oder Blockchain eingeführt – aber 54 % geben an, KI zu schnell eingeführt zu haben, und 33 % berichten, dass Aufgaben ohne menschliche Kontrollen durch KI ersetzt werden.
  9. 94 % fühlen sich auf KI-generierte Phishing- und Spoofing-Angriffe vorbereitet, 89 % auf Deepfakes und KI-gesteuerte Malware – dennoch berichten 20 % von einer nicht genehmigten Nutzung von GenAI-Tools durch Mitarbeiter.
  10. 40 % geben an, Schwierigkeiten zu haben, zu bestimmen, welche Sicherheitsprozesse sicher automatisiert werden können.
  11. 46 % nennen eine optimierte Sicherheitsinfrastruktur als größten Nutzen ihrer Informationssicherheitsbemühungen, gefolgt von besseren Geschäftsentscheidungen (43 %), größerer Attraktivität für Investoren (40 %) und gesteigerten Umsätzen oder neuen Geschäftsmöglichkeiten (37 %).

Sicherheit von Drittanbietern und der Lieferkette

Kaum eine Branche spürt die Auswirkungen von Lieferkettenunterbrechungen so stark wie der Transport- und Reisesektor. Jaguar Landrover (JLR) Ein Cyberangriff machte dies deutlich: Ein einziger Vorfall legte die Produktion lahm, setzte IT-Systeme außer Gefecht und löste einen Schock aus, der sich auf Tausende von Zulieferern und die lokale Wirtschaft auswirkte.

Unsere Daten zeigen, dass dies kein Einzelfall ist. Mehr als ein Drittel der Unternehmen war im letzten Jahr von Vorfällen mit Drittanbietern betroffen. In diesen Fällen reichen die Folgen weit über den ursprünglichen Angriffspunkt hinaus: Datendiebstahl, der Kunden, Mitarbeiter oder Partner betrifft, ist ebenso häufig wie ungeplante finanzielle Kosten, Verzögerungen in der Lieferkette, vorübergehende Ausfälle und in manchen Fällen der Verlust wichtiger Partnerschaften oder Verträge.

Als Reaktion darauf steigen die Erwartungen der Lieferanten. Viele Organisationen fordern nun: ISO 27001 , ISO 27701 und / oder ISO 42001 von Partnern, neben Rahmenwerken wie Cyber ​​Essentials, SOC 2, NIST und Vorschriften wie NIS 2 und TISAX. Nur eine kleine Minderheit benötigt überhaupt keine Sicherheitsstandards.

Die Ausgabenpläne unterstreichen diesen Wandel. Fast die Hälfte der Unternehmen plant, die Investitionen in die Lieferketten- und Drittanbietersicherheit in den nächsten zwölf Monaten zu erhöhen, keines plant Kürzungen. Der Trend geht weg von einmaligen Fragebögen und stichprobenartigen Audits hin zu einer kontinuierlichen, strukturierten und faktenbasierten Lieferantenüberwachung, die sich an den intern verwendeten Rahmenbedingungen und Berichtssystemen orientiert.

Die sich verändernde Bedrohungslandschaft

Die Bedrohungslage im Transport- und Reisesektor ist breit gefächert und anhaltend. Traditionelle Gefahren wie Phishing, Malware und Netzwerkangriffe sind weiterhin weit verbreitet. Rund ein Drittel der Unternehmen meldet Phishing- oder Vishing-Vorfälle, fast ebenso viele berichten von Malware-Infektionen. Ein kleinerer, aber dennoch signifikanter Anteil meldet Ransomware, DDoS-Angriffe, Sicherheitslücken im IoT- und Mobilfunkbereich, Datenmanipulationen im KI-Bereich, Deepfakes und die Kompromittierung von Lieferketten.

Datenpannen sind kein abstraktes Phänomen. Kundendaten, Mitarbeiterdaten, Finanzdaten, Forschungsdaten, Produktdaten und geistiges Eigentum wurden in erheblichem Umfang kompromittiert. Insbesondere bei personenbezogenen Daten sind die Folgen gravierend: Die meisten betroffenen Unternehmen berichten von Bußgeldern, und die Hälfte gibt an, dass Datenschutzverletzungen zur Geschäftsaufgabe oder strategischen Neuausrichtung beigetragen haben.

Darüber hinaus entwickelt sich eine ständig wachsende, KI-gesteuerte Bedrohungslandschaft. KI-generiertes Phishing ist aktuell die größte neue Sorge, gefolgt von Fehlinformationen und Desinformationen, Deepfake-Imitationen in virtuellen Meetings und Schatten-KI. Lieferkettenkompromittierung und Ransomware spielen weiterhin eine Rolle, doch der Schwerpunkt hat sich hin zu Angriffen verlagert, die KI nutzen, um traditionelle Techniken zu skalieren und zu personalisieren.

Das Risiko besteht nicht nur in der Raffinesse dieser Angriffe, sondern auch in der betrieblichen Realität, dass kleine Nachlässigkeiten bei einem Auftragnehmer, Logistikpartner oder Nischensoftwareanbieter sich schnell über miteinander verbundene Netzwerke ausbreiten können.

Kompetenzen, Burnout und operative Überlastung

Der Bericht hebt zudem einen Sektor hervor, der unter anhaltendem operativem Druck steht. Budgetbeschränkungen treffen auf einen fortwährenden Fachkräftemangel und Schwierigkeiten bei der Mitarbeiterbindung. Selbst dort, wo Burnout nicht explizit gemeldet wird, führen wachsende Verantwortlichkeiten, neue Technologien, neue Vorschriften und komplexe Lieferketten dazu, dass die Kapazitäten ständig Anlass zur Sorge geben.

Dieser Druck betrifft nicht nur Spezialisten. Teams kämpfen mit einer Vielzahl an Tools, sich überschneidenden Dashboards und inkonsistenten Arbeitsabläufen. Viele planen, die Konsolidierung zu priorisieren, und ein erheblicher Anteil tut sich schwer zu entscheiden, welche Prozesse sicher automatisiert werden können. Zu viele Tools, unzureichende Integration und Unsicherheit bezüglich der Automatisierungsgrenzen erschweren es, eine einheitliche und verlässliche Sicht auf Risiken und Compliance zu gewährleisten.

In einem zeit- und sicherheitskritischen Umfeld kann dieser Mangel an Kohärenz zu Überwachungslücken, unvollständigen Erkenntnissen und einer starken Abhängigkeit von individuellem Fachwissen führen. Langfristig ist dies kein tragfähiges Betriebsmodell.

Regulatorischer Druck und Komplexität der Compliance

Die regulatorischen Anforderungen an Datenschutz, KI-Governance, operative Resilienz und Lieferkettensicherheit steigen. Sechs von zehn Führungskräften im Transport- und Reisesektor geben an, dass das Tempo und der Umfang der Veränderungen die Einhaltung der Vorschriften erschweren.

Die Kompetenzen sind jedoch uneinheitlich. Rund ein Drittel fühlt sich vollständig gerüstet, um Rahmenbedingungen und Vorschriften wie DSGVO, NIS 2 und DORA intern zu verwalten, ein weiteres Drittel fühlt sich größtenteils gerüstet, ist aber weiterhin auf externe Unterstützung angewiesen. Die übrigen berichten von Zeitmangel, fehlenden Fachkenntnissen oder mangelnder Unterstützung durch den Vorstand.

Die Ergebnisse bestätigen dies: Mehr als die Hälfte der Organisationen in diesem Sektor haben im vergangenen Jahr Datenschutzstrafen erhalten, viele davon in sechsstelliger Höhe.

Wenn Compliance gut umgesetzt wird, liegen die Vorteile auf der Hand. Führungskräfte heben eine optimierte Infrastruktur, bessere Entscheidungsfindung, eine höhere Attraktivität für Investoren, einen verbesserten Ruf und neue Geschäftsmöglichkeiten als konkrete Ergebnisse hervor. Die Daten belegen einen Mentalitätswandel: Für viele Organisationen wird Compliance zu einem Weg zu diszipliniertem Wachstum und Resilienz anstatt zu einer reaktiven Maßnahme gegenüber Regulierungsbehörden.

Mitarbeiterverhalten und interne Risiken

Die Sicherheitskultur bleibt ein wiederkehrendes Schwachpunkt. Obwohl einige Organisationen keine häufigen Fehler ihrer Mitarbeiter melden, beobachten viele andere ein wiederkehrendes Muster: Klicks auf Phishing-Seiten, die Nutzung öffentlicher WLAN-Netze für die Arbeit, Schatten-IT, unkontrollierte private Geräte und ungesicherte Dateiübertragung. Auch die Nichteinhaltung von Vorschriften und schwache Passwortpraktiken kommen vor.

Diese Verhaltensweisen sind besonders im Transport- und Reisesektor riskant, da Mitarbeiter Zugriff auf operative Systeme, Kundendaten, Logistikplattformen oder Lieferantenportale haben können. Sind Prozesse unklar, umständlich oder über mehrere Tools verteilt, greifen Mitarbeiter naturgemäß zu vermeintlich schnelleren Umgehungslösungen, selbst wenn dadurch neue Risiken entstehen.

Die Herausforderung für Sicherheitsverantwortliche besteht nicht nur in der Sensibilisierung, sondern auch in der Entwicklung und Durchsetzung von Prozessen, die den sicheren Weg zum Standard machen und in die Systeme integriert werden, die die Menschen bereits nutzen.

Führung und strategische Ausrichtung

Es gibt ermutigende Anzeichen dafür, dass das Thema Sicherheit an Bedeutung gewinnt. Die meisten Organisationen berichten von einer klaren und gut kommunizierten Sicherheitsstrategie, und fast neun von zehn sind der Meinung, dass jedes Unternehmen eine Person auf Vorstandsebene haben sollte, die für Informationssicherheit verantwortlich ist.

Fast die Hälfte der Befragten hat jedoch nach wie vor den Eindruck, dass die Führungsebene Compliance nur stiefmütterlich behandelt. Diese Diskrepanz ist von Bedeutung. Wo die Signale der Führungsebene widersprüchlich sind, müssen die Teams ambitionierte Sicherheits- und Compliance-Ziele mit begrenzten Budgets und Kapazitäten in Einklang bringen.

In einem Sektor, in dem operationelle Risiken eng mit Sicherheit, Servicekontinuität und Markenvertrauen verknüpft sind, werden diejenigen Organisationen die besten Erfolgsaussichten haben, deren Vorstände Informationssicherheit als eine zentrale Geschäftsabhängigkeit und nicht als eine bloße Pflichterfüllung betrachten.

Durch strukturierte Resilienz die Nase vorn behalten

Der Transport- und Reisesektor muss sich in globalen Lieferketten, KI-gestützten Bedrohungen, verschärften Regulierungen und begrenzten internen Kapazitäten zurechtfinden. Dennoch ist die Richtung klar. Unternehmen investieren verstärkt in KI-Abwehr, Reaktion auf Sicherheitsvorfälle, Lieferkettensicherheit und Compliance. Sie planen die Konsolidierung ihrer Tools, verschärfen die Anforderungen an Lieferanten und formalisieren ihre Governance.

Die diesjährigen Ergebnisse zeigen deutlich, dass manuelle, fragmentierte und personenbezogene Ansätze an ihre Grenzen stoßen. Die Organisationen, die für die nächsten zwölf Monate am besten aufgestellt sind, sind diejenigen, die integrierte, wiederholbare Systeme für das Management von Sicherheit und Compliance einführen und so Mitarbeiter, Prozesse, Kontrollen und Lieferantendaten in einem einheitlichen Betriebsmodell zusammenführen.

Dadurch können Transport- und Reiseorganisationen Risiken reduzieren, ihre Fähigkeit zur Bewältigung und Erholung von Zwischenfällen verbessern und eine stabilere Grundlage für die Innovation und Vernetzung schaffen, die ihre Kunden heute als Standard erwarten.

Lesen Sie den vollständigen Bericht zum Stand der Informationssicherheit.