Cyber Security - Basics

  

 

Cyber Security

 

Die EU verpflichtet mit der Durchführungsverordnung (EU) 2015/1998, geändert durch DVO (EU) 2019/1583 alle Beteiligten der sicheren Lieferkette (Luftsicherheit) Cyber Security Massnahmen zu ergreifen.

FAQ

Allgemeine Themen Cyber Security

Schulungen Cyber Security

 

Cybersicherheit - Um was geht es?

Es geht darum Cyberangriffe zu verhindern, welche die Luftsicherheit gefährden könnten.

 

Allgemein

 

1. Welche Unternehmen sind verpflichtet, Cybersicherheitsmaßnahmen umzusetzen?

Flughafenbetreiber, Luftfahrtunternehmen und „Stellen“. Stellen sind Unternehmen wie reglementierte Beauftragte, reglementierte Lieferanten, bekannte Lieferanten und bekannte Versender. Diese Unternehmen  müssen ab dem 1. Januar 2025 spezifische Cybersicherheitsmaßnahmen implementieren. Diese Verpflichtung ergibt sich aus der EU-Durchführungsverordnung 2015/1998, geändert durch DVO (EU) 2019/1583.

2. Was sind die Anforderungen aus der EU DVO zu Cybersicherheit?

Im Wesentlichen kann man zusammenfassen, dass man

• ein Risikomanagement hinsichtlich IT Sicherheit betreiben muss
• Mitarbeiter zur Cybersicherheit schulen muss
• ein Cybersicherheitsprogramm erstellen muss (oder man hat schon eines)

Die Anforderungen hinsichtlich Cyber Security kann man grob wie folgt gliedern (siehe auch LBA Muster Cyber Sicherheitsprogramm):

• Risikomanagement
  • Ermittlung der kritischen Systeme und Daten
  • Risikobeurteilung
    • Gefährdungsübersicht
    • Risikoeinschätzung
    • Risikobewertung
  • Risikobehandlung - Schutzmaßnahmen
  • Überwachung
  • Reaktionsplan
• Personal
  • ZÜP
  • Eignung
  • Schulung

3. Ist die Verwendung des Muster-Cybersicherheitsprogramms des Luftfahrt-Bundesamts (LBA) verpflichtend?

Nein, die Nutzung des vom LBA bereitgestellten Muster-Cybersicherheitsprogramms ist nicht zwingend erforderlich. Unternehmen können auch eigene Programme erstellen, sofern diese den Anforderungen der EU-Verordnung entsprechen. Die Verwendung des LBA-Musters kann jedoch den Aufwand reduzieren.

4. Muss das Cybersicherheitsprogramm für jeden Standort separat erstellt werden oder gilt es konzernweit?

Das Cybersicherheitsprogramm muss standortspezifisch erstellt werden, da unterschiedliche Standorte unterschiedliche Risiken und IT-Infrastrukturen haben können. Ein einheitliches Programm für den gesamten Konzern ist nicht ausreichend.

5. Was sind kritische Informations- und Kommunikationssysteme (KIKS)?

KIKS sind IT-Systeme und Daten, die für die Aufrechterhaltung der Luftsicherheit von entscheidender Bedeutung sind. Dazu gehören IT Infrastruktur, wie Netzwerke, PCs, aber auch Kontrollgeräte am Flughafen. Wichtig ist auch der Schutz der luftsicherheitsrelevanten Daten. So dürfen zum Beispiel Schulungsbescheinigungen oder Bescheinigungen zur Zuverlässigkeitsüberprüfung nicht in falsche Hände gelangen. Die unbefugte Änderung des Sicherheitsstatus einer Sendung im Air Way Bill muss verhindert werden, usw.

6. Wie kann ich feststellen, ob meine IT-Systeme als KIKS eingestuft werden?

Sie müssen bewerten ob die eigenen IT-Systeme hinsichtlich der Luftsicherheit kritisch sind. Wenn das zutrifft werden die Systeme als KIKS eingestuft und Sie müssen die Systeme vor Mißbrauch schützen.

Das ist ein komplexer Prozess, den nur die IT Abteilungen der Unternehmen durchführen und bewerten können. In größeren Unternehmen ist das kein neues Thema, da Cyber Security nicht nur in der Luftsicherheit eine Rolle spielt sondern auch im Rahmen von Industriespionage oder Erpressung (durch Virus verschlüsselte Systeme). Deshalb ist das in großen Unternehmen meist ohnehin bereits geregelt.

Details finden Sie im Dokument „Grundsätze zur Anwendung der Cybersicherheitsmaßnahmen der

Verordnung (EU) 2015/1998 zur Festlegung detaillierter Maßnahmen für die Durchführung der gemeinsamen Grundstandards für die Luftsicherheit“ auf der Website des LBA unter der Rubrik „Luftsicherheit – Cybersecurity“.

7. Wie sollten Subunternehmer und externe Dienstleister in das Cybersicherheitsprogramm eingebunden werden?

Unternehmen müssen sicherstellen, dass auch Subunternehmer und externe Dienstleister, die Zugang zu KIKS haben oder diese unterstützen, die festgelegten Cybersicherheitsstandards einhalten. Dies kann durch vertragliche Vereinbarungen und regelmäßige Überprüfungen gewährleistet werden.

8. Gibt es eine offizielle Bestätigung oder Zertifizierung seitens des BSI oder LBA für die Erfüllung der Cybersicherheitsanforderungen?

Derzeit stellen weder das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch das Luftfahrt-Bundesamt (LBA) spezifische Zertifikate für die Erfüllung der Cybersicherheitsanforderungen aus. Unternehmen sind selbst verantwortlich für die Implementierung und Dokumentation der Maßnahmen.

9. Muss das Cybersicherheitsprogramm sofort beim LBA eingereicht werden?

Nein.

Die Cybersicherheitsmaßnahmen sind ab dem 01.01.2025 zu berücksichtigen und in dem Sicherheitsprogramm zu beschreiben.

Ab 01.01.2025 müssen anlässlich

• einer erstmaligen Zulassung,
• einer wiederholenden Zulassung für Unternehmen nach §9a LuftSiG,
• einer Überprüfung der Zulassungsvoraussetzungen für Unternehmen nach §9 LuftSiG sowie
• einer Änderung der Zulassung

Sicherheitsprogramme vorgelegt werden, in denen die Maßnahmen zur Gewährleistung der Cybersicherheit beschrieben sind.

Für Sicherheitsprogramme, die einzig aufgrund der in diesem Dokument genannten Cybersicherheitsmaßnahmen angepasst werden, besteht zunächst keine Pflicht zur Vorlage beim LBA.

Die eingeschränkte Vorlagepflicht entbindet Sie nicht von der Pflicht Cybersicherheitsmaßnahmen umzusetzen.

 

 10. Wann und wem müssen Änderungen am Cybersicherheitsprogramm mitgeteilt werden?

Wesentliche Änderungen am Cybersicherheitsprogramm oder an den KIKS müssen dem Luftfahrt-Bundesamt gemeldet werden. Dies betrifft insbesondere Änderungen, die die Sicherheit der IT-Systeme beeinflussen könnten.

11. Welche Regelungen gelten für ausländische IT-Dienstleister, die mit unseren KIKS arbeiten?

Gegenstand des Risikomanagementprozesses sind informations- und kommunikationstechnische Systeme und Daten, wenn diese

• aufgrund ihrer Bedeutung oder ihres Einflusses auf die Luftsicherheit als kritisch zu bewerten sind

und

• in der Bundesrepublik Deutschland einer Interaktion zugeführt werden oder unter der deutschen Gerichtsbarkeit oder Zugehörigkeit stehen.

D.h. für Daten, die außerhalb von Deutschland gespeichert werden und IT Systeme, die außerhalb von Deutschland ihren Standort haben, greift die DVO (EU) nicht. Aber wenn man aus Deutschland heraus auf diese Systeme und Daten zugreift gilt die DVO (EU) zumindest solange die Daten auf lokalen PCs verarbeitet werden. Dann sind die Daten auf deutschen Computer und können abgegriffen werden. D.h. man muss die Cybersicherheitsmaßnahmen zumindest lokal einhalten.

 

Fragen zur Schulung des Personals

 

12. Welche Unternehmen müssen ihr Personal in Cybersicherheit schulen?

Unternehmen wie Luftfahrtunternehmen, Flughafenbetreiber, reglementierte Beauftragte, reglementierte Lieferanten, bekannte Lieferante und bekannte Versender sind verpflichtet, ihr Personal in Cybersicherheit zu schulen. Dies dient dem Schutz der kritischen Informations- und Kommunikationssysteme.

13. Welche Mitarbeiter müssen an Cybersicherheitsschulungen teilnehmen und welche Inhalte sind erforderlich?

Alle internen und externen Mitarbeitenden, die im Rahmen der Erledigung ihrer Aufgaben
• die Auswirkungen von Cyberangriffen auf KIKS feststellen oder
• einen solchen Cyberangriff auf KIKS beobachten könnten,
müssen eine Cyber Security Awareness Schulung absolviert haben, welche einen Mindestumfang von 2 Unterrichtseinheiten zu jeweils 45 Minuten hat.

Inhalte einer solchen Schulung können sein:
• Internetsicherheit
• Phishing
• Social Engineering
• Clean Desk
• Passwörter
• Verhalten bei einem Sicherheitsvorfall
Die Ausgestaltung der Inhalte der Schulung sind an die jeweiligen Aufgaben der Mitarbeitenden
anzupassen und mit dem Fokus auf die Luftsicherheit und die durchgeführte Risikobewertung

 

Darüber hinaus sind unternehmensinterne Richtlinien und Verfahren zum Schutz vor und
Verhalten bei Cyberangriffen zu vermitteln. Dabei können u. a. Inhalte wie beispielsweise
• Erkennen und Melden von verdächtigen Gegenständen,
• Verhalten bei verdächtigen Situationen und
• Meldewege und Notfallkontakte
Berücksichtigung finden.
Ist keine Integration in die Schulung vorgesehen, sind die unternehmensinternen Richtlinien und
Verfahren gesondert zu vermitteln.
Bei Aktualisierung der unternehmensinternen Richtlinien und Verfahren sind die Mitarbeitenden
umgehend darüber zu informieren.

 

Optionale Schulungen

Für Personen mit spezifischen Aufgaben hinsichtlich KIKS, wie beispielsweise
• Personen, die im Rahmen der Erledigung ihrer Aufgaben KIKS nutzen,
• Personen, für die Cybersicherheit zum Tätigkeitsprofil gehört,
• Personen, die Administrator-Rechte haben 70 , und
• Personen, die hauptsächlich mit Cybersicherheitsaufgaben betraut sind,
können neben der Cyber Security Awareness Schulung weitere aufgabenbezogene
Schulungen sinnvoll sein. Der Bedarf dieser ergänzenden Schulungen wird durch die Akteure
ermittelt.

 

14. Warum sind bereits vorhandene Cyber Security Awareness Schulungen oft nicht ausreichend? 

Viele Unternehmen schulen Ihren Mitarbeiter bereits, unabhängig vom Thema Luftsicherheit, in Sachen Cyber Security Awareness. Unabhängig von der Qualität der Schulungen, die oft sehr hoch in den Unternehmen ist, kann häufig nicht der Nachweis erbracht werden, dass gemäß der DVO (EU) 2015/1998 geschult wurde. Folgende Anforderungen sind zu erfüllen:

a) Die in den Grundsätzen genannten Schulungsthemen sind nachweislich zu schulen

b) Die Schulung muss mindestens zwei Unterrichtseinheiten umfassen

c) Es ist ein Schulungsnachweis für jeden Teilnehmer zu führen, aus dem Teilnehmernamen, Schulungsthemen, das Schulungsdatum, Zeitumfang hervorgehen. 

d) Fokus auf Luftsicherheit.

Viele Unternehmen schulen zum Beispiel regelmäßig mit kleinen interaktiven Schulungsmodulen, die 10 Minuten dauern. Oft werden die Mitarbeiter durch Fake e-mails getestet, usw.. Das sind sinnvolle Awarenessschulungen. Aber diese decken oft  die Themen in ihrer Gesamtheit nicht ab oder es ist nicht nachvollziehbar. Auch der Zeitumfang und das Abschlussdatum der Gesamtheit der Schulung ist so meist nicht sichtbar. Der größte Schwachpunkt dieser firmeninternen Schulungen ist aber, dass der Bezug zur Luftsicherheit fehlt, der gemäß den "Grundsätzen zur Anwendung derCybersicherheitsmaßnahmen der Verordnung (EU) 2015/1998" erforderlich ist. 

Sie können bei uns die wichtigsten Schulungen als Web based Training (Online Schulung) buchen. Hier geht es zur Buchung.

 

15. Wie setzt man die geforderten unternehmensspezifischen Schulungen um? 

Neben der allgemeinen Cyber Security Awareness Schulung müssen auch unternehmensinterne Richtlinien und Verfahrensanweisungen zum Schutz vor Cyberangriffen sowie zum Verhalten im Schadensfall vermittelt und dokumentiert werden.Grundsätzlich können Unternehmen diese Inhalte separat schulen. In diesem Fall wird die Schulung jedoch in zwei Teile aufgeteilt:

• allgemeine CSA-Schulung
• separate Schulung zu unternehmensinternen Richtlinien

Beide Schulungsteile müssen eigenständig dokumentiert und nachgewiesen werden, was die Organisation und Überwachung der Schulungen deutlich aufwendiger macht.

Wir bieten Ihnen daher an, Ihre unternehmensspezifischen Inhalte direkt in unsere CSA-Schulung zu integrieren. So erhalten Sie eine einheitliche, maßgeschneiderte Schulung mit klarer Nachweisführung und reduziertem administrativem Aufwand.

➡️ Effizient, konform und individuell auf Ihr Unternehmen zugeschnitten.

 👉 Sprechen Sie uns gerne an – wir beraten Sie individuell und erstellen ein passendes Schulungskonzept für Ihr Unternehmen.

 

16. Wer ist berechtigt, Cybersicherheitsschulungen durchzuführen?

Cybersicherheitsschulungen können von internen oder externen Fachkräften durchgeführt werden, die über entsprechendes Wissen und Erfahrung im Bereich der Cybersicherheit verfügen. Es ist sicherzustellen, dass die Schulungsinhalte den aktuellen gesetzlichen Vorgaben sowie den Anforderungen der EU-Durchführungsverordnung und des BSI entsprechen. Die Schulungen sollten regelmäßig aktualisiert werden, um neue Bedrohungsszenarien und Entwicklungen im Bereich der IT-Sicherheit zu berücksichtigen.

Sie können bei uns die wichtigsten Schulungen als Web based Training (Online Schulung) buchen. Hier geht es zur Buchung.

 

17. Wie oft muss geschult werden?

Genau wie bei den anderen Luftsicherheitsschulungen.

Nummer 11.4.3 der DVO (EU) 2015/1998 in Verbindung mit der Luftsicherheitsschulungsverordnung (LuftSiSchulV) verpflichtet zu einer regelmäßigen Fortbildung alle 5 Jahre, bei 6-monatiger Nichtanwendung der Kompetenz oder anlassbezogen bei neuen Bedrohungslagen.

 

18. Schulung von IT Administratoren

Wenn durch einen Cyberangriff die Luftsicherheit gefährdet werden könnte, müssen die Administratoren, die das Netzwerk oder die Software (Server-, Anwendersoftware, etc) betreuen, geschult werden.

D.h. auch ein Netzwerkadministrator der nur Zugriff auf die Hardwarekomponenten (Server, Firewall, Routet, etc.) hat muss geschult werden, wenn die Luftsicherheit durch Cyberangriffe gefährdet werden könnte.

 

19. Welche Personen brauchen im Rahmen der Cyber Security eine Zuverlässigkeitsüberprüfung nach § 7 LuftSiG?

A) Die folgenden Personengruppen sind zusätzlich einer luftsicherheitsrechtlichen Zuverlässigkeitsüberprüfung nach § 7 Absatz 1 Nummer 2 des LuftSiG zu unterziehen:

• Personen, die Administrator-Rechte zu den ermittelten KIKS haben.
• Personen, die unbeaufsichtigten und unbeschränkten Zugang zu den oder Zugriff auf die
ermittelten KIKS haben.
• Personen, die im Rahmen der Risikobewertung ermittelt wurden.

Können diese Personen aus rechtlichen Gründen keine erweiterte Zuverlässigkeitsüberprüfung
gemäß § 7 Absatz 1 Nummer 2 des LuftSiG absolvieren, müssen die daraus entstehenden Risiken im
Rahmen der Risikobewertung Betrachtung finden.

B) Externes Personal, das nur

• unregelmäßig,
• kurzfristig oder
• nicht durchgängig

Zugang zu oder Zugriff auf KIKS hat, benötigt keine Zuverlässigkeitsüberprüfung, wenn es durch eine

• ihr zumindest gleichgestellte interne Person,
• mit abgeschlossener Zuverlässigkeitsüberprüfung und
• entsprechender IT-Qualifikation

durchgängig begleitet wird.