Gemäß den Vorschriften sind alle Unternehmen ab dem 1. Januar 2025, die an der Luftsicherheit beteiligt sind, verpflichtet, umfassende Cybersecurity-Maßnahmen zu entwickeln und anzuwenden. Ziel dieser Regelung ist es, sicherzustellen, dass von diesen Unternehmen keine Bedrohungen für die Luftfahrt ausgehen und mögliche Angriffe effektiv verhindert werden können.
Das Luftfahrt-Bundesamt hatte für die Unternehmen der sicheren Lieferkette Ende Dezember 2024 Informationen und Unterlagen zur Verfügung gestellt. Alle Maßnahmen der Unternehmen sind dort einzureichen.
In den Grundsätzen sind folgende Formulierungen vorhanden:
… Die folgenden Informationen werden im vorzulegenden (Luft-)Sicherheitsprogramm oder in einem darin referenzierten und bereitzustellenden Dokument hinterlegt.
- Beschreibung der angewandten Methodik und einbezogenen Gruppen von Mitarbeitenden zur Ermittlung der kritischen informations- und kommunikationstechnischen Systeme und Daten.
- Auflistung der ermittelten kritischen informations- und kommunikationstechnischen Systeme und Daten. Dabei sind auch Systeme von Drittanbietern zu berücksichtigen und aufzuführen oder auf das entsprechende Sicherheitsprogramm des Drittanbieters zu verweisen…
Weiter heißt es:
… Die folgenden Informationen werden im vorzulegenden (Luft-)Sicherheitsprogramm oder in einem darin referenzierten und bereitzustellenden Dokument hinterlegt:
Beschreibung der getroffenen Maßnahmen und deren Zusammenhang mit den Ergebnissen der durchgeführten Risikobewertung.
Im Detail werden hierzu die
- Maßnahmen,
- Instrumente,
- Hilfsmittel,
- Verfahren,
- Protokolle,
- Ressourcen und
- Verteilung von Verantwortlichkeiten und Rollen
- etc.
festgehalten und der jeweilige Einfluss auf die genannten Schutzziele
- Vertraulichkeit,
- Verfügbarkeit und
- Integrität
präzisiert…
Erfüllen wir das Geforderte, stehen wir alle „nackt im Hemd“, insbesondere, wenn wir unsere KIKS und Maßnahmen offenlegen. U.E. ist diese Forderung extrem sicherheitskritisch zu betrachten?
Nach verschiedenen Gesprächen und Diskussionen mit fachkundigen Menschen, sind wir zu dem Schluss gekommen, dass noch wesentliche Informationen und Versicherungen seitens des LBA fehlen. Das Vertrauen in die Cybersecuritymaßnahmen der Behörde wird natürlich durch deren Hinweise auf den Internetseiten nicht unbedingt gefördert. Dort heißt es:
Bitte beachten Sie, dass die Kommunikation mit dem LBA per E-Mail bzw. Fax derzeit unverschlüsselt erfolgt. Aus datenschutzrechtlichen Gründen empfehlen wir Ihnen daher bei Anfragen, die personenbezogene Daten enthalten, die Nutzung des Postwegs.
Generell gilt für die Zentralisierung sensibler Daten
Das Sammeln und Speichern detaillierter Informationen über die kritische Infrastruktur von Unternehmen an einer zentralen Stelle macht diese zu einem attraktiven Ziel für Cyberangriffe. Sollte ein solcher Angriff erfolgreich sein, könnten Angreifer Zugang zu einer Vielzahl von sensiblen Daten erhalten.
Möglicher Missbrauch durch Insider oder Angreifer
Falls die Behörde oder ihre Systeme kompromittiert werden, könnten diese Informationen genutzt werden, um gezielte Angriffe auf die Luftfahrt oder ihre Zulieferer zu planen. Hier muss auch die Frage gestattet sein, wie das Thema Innentäter im LBA behandelt wird, was ja bei den Unternehmen durch die EU-Verordnungen immer im Blick zu behalten ist.
Unzureichender Schutz der Daten
Selbst bei strengen Sicherheitsvorkehrungen bleibt ein Restrisiko, dass Daten aufgrund von menschlichen Fehlern, Insider-Bedrohungen oder unentdeckten Schwachstellen in IT-Systemen gefährdet sind.
Fazit ist, dass die zentrale Sammlung solcher Informationen sicherheitskritisch ist und sollte nur unter strengsten Voraussetzungen erfolgen:
Die Datenübermittlung und -speicherung muss nach höchsten Sicherheitsstandards erfolgen, einschließlich Verschlüsselung und Zugriffsbeschränkungen. Es sollten Mindestanforderungen an die Cybersecurity-Maßnahmen bei Behörden selbst etabliert und regelmäßig auditiert werden. Eine dezentrale oder pseudonymisierte Datenverarbeitung könnte das Risiko eines erfolgreichen Cyberangriffs auf die zentrale Datenbank mindern.
Und: Unternehmen sollten nur so viele Details wie nötig offenlegen müssen, um den Zweck der Sicherheitsprüfung zu erfüllen.
Erwähnenswert sind auch die völlig unterschiedlichen Aussagen einzelner LBA M, wie es mit der Prüfung der Unterlagen weitergeht. Hier ein paar Beispiele:
- Bis zur nächsten Rezertifizierung wird nicht geprüft.
- Im Laufe des Jahres 2025 wird geprüft.
- Entspannt bleiben, man weiß selber nicht, wie man damit umgehen soll.
- Innerhalb von 2 Wochen muss es vorgelegt werden.
- Es wird überhaupt nicht angesprochen.
- Es werden noch Fristen veröffentlicht, bis wann was einzureichen ist.
Sie haben Fragen zu diesem Thema?
Rufen Sie uns einfach an oder schreiben Sie uns eine Mail:
Telefon 0531-180538-0
Mail info@awias.com
Teilen Sie diese News via
Mehr Neuigkeiten
Notfallmedizin für Zwei- und Vierbeiner – Spezialkurs mit Marc Zierden
Sicherheit für Hund und Hundeführer – mit Marc Zierden beim 3-tägigen Spürhunde-Workshop Wer mit [...]
Bekannte Versender und reglementierte Beauftragte aufgepasst
Waren, die von einem bekannten Versender an einen reglementierten Beauftragten gegeben werden, müssen manipulationssicher [...]
Agenda Highlights – AWiAS Aviation Days 2025
Nur noch 70 mal schlafen und es geht los Wir freuen uns sehr auf [...]
Bürokratie-Wahnsinn in der Luftsicherheit: Wenn 35 Behörden mitreden
Ein Gespräch zwischen Annette Wiedemann und Rechtsanwältin Nina Naske über Systemfehler, Behördenversagen und Wege [...]
Immer die Nummer 1.
Erhalten Sie aktuelle Nachrichten zum Thema Luftsicherheit als Erstes!
