Cyber Security - Basics

  

 

Cyber Security

 

Die EU verpflichtet mit der Durchführungsverordnung (EU) 2015/1998, geändert durch DVO (EU) 2019/1583 alle Beteiligten der sicheren Lieferkette (Luftsicherheit) Cyber Security Massnahmen zu ergreifen.

 

 

Cybersicherheit - Um was geht es?

Es geht darum Cyberangriffe zu verhindern, welche die Luftsicherheit gefährden könnten.

 

Allgemein

 

1. Welche Unternehmen sind verpflichtet, Cybersicherheitsmaßnahmen umzusetzen?

Flughafenbetreiber, Luftfahrtunternehmen und „Stellen“. Stellen sind Unternehmen wie reglementierte Beauftragte, reglementierte Lieferanten, bekannte Lieferanten und bekannte Versender. Diese Unternehmen  müssen ab dem 1. Januar 2025 spezifische Cybersicherheitsmaßnahmen implementieren. Diese Verpflichtung ergibt sich aus der EU-Durchführungsverordnung 2015/1998, geändert durch DVO (EU) 2019/1583.

2. Was sind die Anforderungen aus der EU DVO zu Cybersicherheit?

Im Wesentlichen kann man zusammenfassen, dass man

• ein Risikomanagement hinsichtlich IT Sicherheit betreiben muss
• Mitarbeiter zur Cybersicherheit schulen muss
• ein Cybersicherheitsprogramm erstellen muss (oder man hat schon eines)

Die Anforderungen hinsichtlich Cyber Security kann man grob wie folgt gliedern (siehe auch LBA Muster Cyber Sicherheitsprogramm):

• Risikomanagement
  • Ermittlung der kritischen Systeme und Daten
  • Risikobeurteilung
    • Gefährdungsübersicht
    • Risikoeinschätzung
    • Risikobewertung
  • Risikobehandlung - Schutzmaßnahmen
  • Überwachung
  • Reaktionsplan
• Personal
  • ZÜP
  • Eignung
  • Schulung

3. Ist die Verwendung des Muster-Cybersicherheitsprogramms des Luftfahrt-Bundesamts (LBA) verpflichtend?

Nein, die Nutzung des vom LBA bereitgestellten Muster-Cybersicherheitsprogramms ist nicht zwingend erforderlich. Unternehmen können auch eigene Programme erstellen, sofern diese den Anforderungen der EU-Verordnung entsprechen. Die Verwendung des LBA-Musters kann jedoch den Aufwand reduzieren.

4. Muss das Cybersicherheitsprogramm für jeden Standort separat erstellt werden oder gilt es konzernweit?

Das Cybersicherheitsprogramm muss standortspezifisch erstellt werden, da unterschiedliche Standorte unterschiedliche Risiken und IT-Infrastrukturen haben können. Ein einheitliches Programm für den gesamten Konzern ist nicht ausreichend.

5. Was sind kritische Informations- und Kommunikationssysteme (KIKS)?

KIKS sind IT-Systeme und Daten, die für die Aufrechterhaltung der Luftsicherheit von entscheidender Bedeutung sind. Dazu gehören IT Infrastruktur, wie Netzwerke, PCs, aber auch Kontrollgeräte am Flughafen. Wichtig ist auch der Schutz der luftsicherheitsrelevanten Daten. So dürfen zum Beispiel Schulungsbescheinigungen oder Bescheinigungen zur Zuverlässigkeitsüberprüfung nicht in falsche Hände gelangen. Die unbefugte Änderung des Sicherheitsstatus einer Sendung im Air Way Bill muss verhindert werden, usw.

6. Wie kann ich feststellen, ob meine IT-Systeme als KIKS eingestuft werden?

Sie müssen bewerten ob die eigenen IT-Systeme hinsichtlich der Luftsicherheit kritisch sind. Wenn das zutrifft werden die Systeme als KIKS eingestuft und Sie müssen die Systeme vor Mißbrauch schützen.

Das ist ein komplexer Prozess, den nur die IT Abteilungen der Unternehmen durchführen und bewerten können. In größeren Unternehmen ist das kein neues Thema, da Cyber Security nicht nur in der Luftsicherheit eine Rolle spielt sondern auch im Rahmen von Industriespionage oder Erpressung (durch Virus verschlüsselte Systeme). Deshalb ist das in großen Unternehmen meist ohnehin bereits geregelt.

Details finden Sie im Dokument „Grundsätze zur Anwendung der Cybersicherheitsmaßnahmen der

Verordnung (EU) 2015/1998 zur Festlegung detaillierter Maßnahmen für die Durchführung der gemeinsamen Grundstandards für die Luftsicherheit“ auf der Website des LBA unter der Rubrik „Luftsicherheit – Cybersecurity“.

7. Wie sollten Subunternehmer und externe Dienstleister in das Cybersicherheitsprogramm eingebunden werden?

Unternehmen müssen sicherstellen, dass auch Subunternehmer und externe Dienstleister, die Zugang zu KIKS haben oder diese unterstützen, die festgelegten Cybersicherheitsstandards einhalten. Dies kann durch vertragliche Vereinbarungen und regelmäßige Überprüfungen gewährleistet werden.

8. Gibt es eine offizielle Bestätigung oder Zertifizierung seitens des BSI oder LBA für die Erfüllung der Cybersicherheitsanforderungen?

Derzeit stellen weder das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch das Luftfahrt-Bundesamt (LBA) spezifische Zertifikate für die Erfüllung der Cybersicherheitsanforderungen aus. Unternehmen sind selbst verantwortlich für die Implementierung und Dokumentation der Maßnahmen.

9. Muss das Cybersicherheitsprogramm sofort beim LBA eingereicht werden?

Nein.

Die Cybersicherheitsmaßnahmen sind ab dem 01.01.2025 zu berücksichtigen und in dem Sicherheitsprogramm zu beschreiben.

Ab 01.01.2025 müssen anlässlich

• einer erstmaligen Zulassung,
• einer wiederholenden Zulassung für Unternehmen nach §9a LuftSiG,
• einer Überprüfung der Zulassungsvoraussetzungen für Unternehmen nach §9 LuftSiG sowie
• einer Änderung der Zulassung

Sicherheitsprogramme vorgelegt werden, in denen die Maßnahmen zur Gewährleistung der Cybersicherheit beschrieben sind.

Für Sicherheitsprogramme, die einzig aufgrund der in diesem Dokument genannten Cybersicherheitsmaßnahmen angepasst werden, besteht zunächst keine Pflicht zur Vorlage beim LBA.

Die eingeschränkte Vorlagepflicht entbindet Sie nicht von der Pflicht Cybersicherheitsmaßnahmen umzusetzen.

 

 10. Wann und wem müssen Änderungen am Cybersicherheitsprogramm mitgeteilt werden?

Wesentliche Änderungen am Cybersicherheitsprogramm oder an den KIKS müssen dem Luftfahrt-Bundesamt gemeldet werden. Dies betrifft insbesondere Änderungen, die die Sicherheit der IT-Systeme beeinflussen könnten.

11. Welche Regelungen gelten für ausländische IT-Dienstleister, die mit unseren KIKS arbeiten?

Gegenstand des Risikomanagementprozesses sind informations- und kommunikationstechnische Systeme und Daten, wenn diese

• aufgrund ihrer Bedeutung oder ihres Einflusses auf die Luftsicherheit als kritisch zu bewerten sind

und

• in der Bundesrepublik Deutschland einer Interaktion zugeführt werden oder unter der deutschen Gerichtsbarkeit oder Zugehörigkeit stehen.

D.h. für Daten, die außerhalb von Deutschland gespeichert werden und IT Systeme, die außerhalb von Deutschland ihren Standort haben, greift die DVO (EU) nicht. Aber wenn man aus Deutschland heraus auf diese Systeme und Daten zugreift gilt die DVO (EU) zumindest solange die Daten auf lokalen PCs verarbeitet werden. Dann sind die Daten auf deutschen Computer und können abgegriffen werden. D.h. man muss die Cybersicherheitsmaßnahmen zumindest lokal einhalten.

 

Fragen zur Schulung des Personals

 

12. Welche Unternehmen müssen ihr Personal in Cybersicherheit schulen?

Unternehmen wie Luftfahrtunternehmen, Flughafenbetreiber, reglementierte Beauftragte, reglementierte Lieferanten, bekannte Lieferante und bekannte Versender sind verpflichtet, ihr Personal in Cybersicherheit zu schulen. Dies dient dem Schutz der kritischen Informations- und Kommunikationssysteme.

13. Welche Mitarbeiter müssen an Cybersicherheitsschulungen teilnehmen?

Wer, wie geschult werden muss, ist in Personengruppen aufgeteilt:

 

A. Personen, die indirekten Einfluss auf kritische informations- und kommunikationstechnische

Systeme und Daten haben.

 

Personengruppe a)

Personen, die keine (kritischen) Systeme betreiben oder Daten nutzen, in Ihrer Position jedoch Verletzungen der Cybersicherheit beobachten oder verursachen können, z. B. physische Manipulation der Geräte.

Beispiele: Wachpersonal, Reinigungskräfte, Lagerpersonal ohne Zugriff auf PCs

 

B. Personen, die direkten Einfluss auf kritische informations- und kommunikationstechnische

Systeme und Daten haben

 

Personengruppe b)

Personen, die kritische informations- und kommunikationstechnische Systeme und Daten nutzen und

kontrollieren. Hierzu zählen u. a. Personen, 

• die Sicherheitskontrollen durchführen
• welche diejenigen unmittelbar überwachen, die eine Sicherheitskontrolle durchführen
• die vernetzte Technologien nutzen, jedoch nicht über Administratorrechte zur Änderung

(kritischer) informations- und kommunikationstechnische Systeme und Daten verfügen

Beispiele: Im Prinzip jeder der einen PC, Laptop, Smartphone etc nutzt und auf Firmendaten Zugriff hat. Aber auch Sicherheitspersonal, das Kontrollgeräte (Röntgengeräte, Sprengstoffspurendetektoren, etc) nutzt.

 

Personengruppe c)

Personen, für die Cybersicherheit zum Tätigkeitsprofil gehört. Hierzu zählen u. a. Personen,

• deren Tätigkeitsprofil dem eines Sicherheitsmanagers entspricht
• die Administrator-Rechte haben

Personen, die hauptsächlich mit Cybersicherheitsaufgaben betraut sind.

Beispiel: IT Administratoren. Unter Umständen die Geschäftsführung, wenn erforderlich.

 

14. Welche Themen müssen bei welchen Personengruppen geschult werden?

 

15. Wer ist berechtigt, Cybersicherheitsschulungen durchzuführen?

Cybersicherheitsschulungen können von internen oder externen Fachkräften durchgeführt werden, die über entsprechendes Wissen und Erfahrung im Bereich der Cybersicherheit verfügen. Es ist sicherzustellen, dass die Schulungsinhalte den aktuellen gesetzlichen Vorgaben sowie den Anforderungen der EU-Durchführungsverordnung und des BSI entsprechen. Die Schulungen sollten regelmäßig aktualisiert werden, um neue Bedrohungsszenarien und Entwicklungen im Bereich der IT-Sicherheit zu berücksichtigen.

Sie können bei uns die wichtigsten Schulungen als Web based Training (Online Schulung) buchen. Hier geht es zur Buchung.

 

16. Wie oft muss geschult werden?

Genau wie bei den anderen Luftsicherheitsschulungen.

Nummer 11.4.3 der DVO (EU) 2015/1998 in Verbindung mit der Luftsicherheitsschulungsverordnung (LuftSiSchulV) verpflichtet zu einer regelmäßigen Fortbildung alle 5 Jahre, bei 6-monatiger Nichtanwendung der Kompetenz oder anlassbezogen bei neuen Bedrohungslagen.

 

17. Schulung von IT Administratoren

Wenn durch einen Cyberangriff die Luftsicherheit gefährdet werden könnte, müssen die Administratoren, die das Netzwerk oder die Software (Server-, Anwendersoftware, etc) betreuen, geschult werden.

D.h. auch ein Netzwerkadministrator der nur Zugriff auf die Hardwarekomponenten (Server, Firewall, Routet, etc.) hat muss geschult werden, wenn die Luftsicherheit durch Cyberangriffe gefährdet werden könnte.

 

18. Welche Personen brauchen im Rahmen der Cyber Security eine Zuverlässigkeitsüberprüfung nach § 7 LuftSiG?

(1) Die folgenden Personengruppen sind zusätzlich einer luftsicherheitsrechtlichen Zuverlässigkeitsüberprüfung nach § 7 LuftSiG zu unterziehen:

(a) Personen, die Administrator-Rechte zu den ermittelten, für die Zivilluftfahrt genutzten, kritischen informations- und kommunikationstechnischen Systemen und Daten haben.

(b) Personen, die unbeaufsichtigten und unbeschränkten Zugang zu den ermittelten, für die Zivilluftfahrt genutzten, kritischen informations- und kommunikationstechnischen Systemen und Daten haben.

(c) Personen, die im Rahmen der Risikobewertung ermittelt wurden.

(2) Externes Personal, das nur 

• unregelmäßig,
• kurzfristig oder
• nicht durchgängig

Zugriff auf die kritischen informations- und kommunikationstechnischen Systeme und Daten hat, benötigt keine Zuverlässigkeitsüberprüfung, wenn es durch eine 

• ihr zumindest gleichgestellte interne Person,
• mit abgeschlossener Zuverlässigkeitsüberprüfung und
• entsprechender IT-Qualifikation

durchgängig begleitet wird.