Deutsche Unternehmen erleiden pro Jahr wirtschaftliche Schäden von bis zu 203 Mrd. Euro pro Jahr lt. Bitkom. Ein Großteil der Angreifer stammt dabei aus Ländern wie Russland und China. So spricht der BSI-Lagebericht 2022 von der derzeit höchsten Gefährdungslage im Cyber-Raum.
„Spätestens mit dem russischen Angriffskrieg gegen die Ukraine und einer hybriden Kriegsführung auch im digitalen Raum ist die Bedrohung durch Cyberattacken für die Wirtschaft in den Fokus von Unternehmen und Politik gerückt. Die Bedrohungslage ist aber auch unabhängig davon hoch.“
(Achim Berg, Bitkom-Präsident – Quelle: https://www.bmi.bund.de/…)
Am meisten gefährdet sind dabei KRITIS-Infrastrukturen, da Hacker hier auch den größten Schaden anrichten können. Hierzu zählen auch Airports mit einem Passagieraufkommen von mehr als 20 Mio. Fluggästen oder einem Gütervolumen von mehr als 750.000 t pro Jahr. Die Folgen spüren die meisten Airports jetzt schon: Vermehrt werden DDOS-Angriffe auf Webseiten von Flughäfen registriert – und das ist erst der Anfang. Cyber-Kriminelle versuchen in alle möglichen Netzwerke am Airport einzudringen. Auch die Supply-Chain gerät dabei immer öfter in den Fokus der Hacker. Doch wie kann man sich effektiv dagegen schützen?
Mit der Durchführungsverordnung (EU) 2019/ 1583 der Kommission hat die EU die Anforderungen an die IT-Sicherheit für alle Airports unabhängig der KRITIS-Klassifizierung erhöht. Angesichts des hochgradig vernetzten Luftfahrtsystems kommt es im Rahmen der Verordnung (EU) 2022/1645 zu einer Ausweitung der Anforderungen und Spezifizierung auf die Besonderheiten der Luftfahrt. Die Verordnung gilt für alle Bereiche der Luftfahrt u.a. Flughäfen und bezieht sich zusätzlich zu den Risiken im Cyberraum auf Bedrohungen hinsichtlich der Prozesse und Verfahren sowie die menschliche Leistungsfähigkeit.
Was bedeutet die Verordnung (EU) 2019/1583 für Airports?
Die Umsetzung der Cybersicherheitsmaßnahmen nach der DVO (EU) 2019/1583 gilt für alle Flughäfen, die die europäischen Grundstandards befolgen und Sicherheitsmaßnahmen gemäß Verordnung (EG) 300/2008 i.V.m. DVO (EU) 2015/1998 umsetzen. Die neuen Regelungen sind am 31. Dezember 2021 in Kraft getreten.
Die des Bundesministerium des Innern und für Heimat beinhalten hierzu die wichtigsten Maßnahmen, die getroffen werden müssen, um die IT-Sicherheit zu verbessern. Eine der ersten Maßnahmen besteht z. B. darin, die „kritischen Informations- und Kommunikationstechnischen-Systeme“ (KIKS) zu ermitteln.
KIKS sind z. B. alle Systeme und Daten, die bei Verlust ihrer Vertraulichkeit, Integrität oder Verfügbarkeit das Sicherheitsniveau der Zivilluftfahrt absenken können. Darüber hinaus wird eine eigenständige Risikobewertung der eingesetzten KIKS gefordert.
Welche Sicherheitsmaßnahmen verlangt die Verordnung (EU) 2019/1583 für Airports?
Bei der Festlegung der Schutzmaßnahmen sind die IT-Grundschutz-Bausteine des IT-Grundschutz-Kompendiums oder vergleichbare internationale Standards (wie z. B. ISO 2700X) anzuwenden. Hierzu müssen jedoch die speziellen Anforderungen an die Luftsicherheit ergänzt und dabei alle relevanten KIKS abgedeckt werden.
Zu den aufgeführten Sicherheitsmaßnahmen zählen beispielsweise:
[*]technische, bauliche und personelle Maßnahmen
[*]Firewalls
[*]Zutrittskontrollsysteme (Zuko)
[*]Maßnahmen, die das Erkennen von Cyberangriffen gewährleisten
[*]Geeignete Reaktionen auf Cyberangriffe wie z. B. Audits, Notfallmanagement, Beseitigung der Sicherheitsvorfälle usw.
[*]Schulungen und Fortbildungen des Personals sowie Dienstleister im Bereich Cyber-Bedrohungen
[*]Zuverlässigkeitsüberprüfungen für Personen mit Zugriff auf Systeme oder Daten
[*]uvm.
Darüber hinaus sind die Airport-Betreiber, Luftfahrtunternehmen und Stellen verpflichtet, sich für das Warn- und Meldewesen des BSI zu registrieren und diesem auftretende IT-Störungen sofort zu melden.
Welche Sicherheitsmaßnahmen verlangt die Verordnung (EU) 2022/1645 für Airports?
Die Ausweitung des Fokus von KIKS auf alle Prozesse und Verfahren sowie die menschliche Leistungsfähigkeit und genutzten Services, deren Beeinträchtigung eine potenzielle Bedrohung für die Flugsicherheit darstellen.
Zu den aufgeführten Sicherheitsmaßnahmen zählen beispielsweise:
[*]Richtlinien zum Informationssicherheitsmanagement
[*]Schutz von Informationen Dritter
[*]Bewertung von Informationssicherheitsrisiken
[*]Umgang mit Informationssicherheitsrisiken
[*]Erfassung von internen und externen Meldungen
[*]Sicherheitsplan zum Umgang mit Störungen der Informationssicherheit von der Erkennung bis zur Widerherstellung
[*]Dokumentation ihrer ISMS-Tätigkeiten zur kontinuierlichen Verbesserung
Wie können Airports die Verordnungen (EU) 2019/1583 und 2022/1645 umsetzen?
Alle Flughäfen, die diese Verordnung umsetzen müssen, wird geraten, sich einen IT-Dienstleister zu suchen, der sich mit IT Security am Airport und Hochsicherheits-Lösungen bei kritischen Infrastrukturen bestens auskennt. IT-Sicherheitsgesetz (IT-SiG), Europäische Datenschutz-Grundverordnung (EU-DSGVO), IT-Grundschutz (BSI), KRITIS oder ISO 27001 sind zudem weitere Beispiele für Verordnungen, die berücksichtigt werden müssen. Eine Aufgabe für das erfahrene IT-Experten gefragt sind.
Die ersten Schritte: Beratung und ISMS einführen
Es gibt viele Fragen, die im Vorfeld beantwortet werden müssen, bevor man die IT-Sicherheit am Flughafen optimieren kann. So sollte der Ist-Zustand erst einmal strategisch betrachtet werden. Welche Sicherheitslösungen sind bereits im Einsatz? Welche können erweitert werden? Und müssen neue Technologien und Verfahren eingeführt werden?
Aus diesem Grund steht bei AirIT-ONE immer zuerst die Beratung im Vordergrund. Statt „Flicken-Lösungen“ erhalten Sie von uns eine ganzheitliche Sicherheits-Strategie, die nahtlos zusammenarbeitet und sich sinnvoll ergänzt.
Daher empfehlen wir als erstes ein Informations-Sicherheits-Management-System (ISMS), um darüber Klarheit zu erhalten, wie die Verordnungen, Sicherheitsregeln und Compliance-Bestimmungen eingehalten werden. Hierzu haben wir eine eigene Software-Lösung entwickelt:
ISMS Software AirIT-ONE.
Die Vorteile von ISMS Software AirIT-ONE:
- Plattform, Beratung und Support aus einer Hand und sofort einsetzbar
- Datenschutz-, Qualitäts- und Risikomanagement in einer Lösung
- Zeitsparendes und zielführendes Kontrollsystem (IKS)
- Mehr Planbarkeit in den Kosten
- Nachvollziehbare und revisionierbare Prozessschritte
- Umfassende, standardisierte Templates
- AirIT-ONE | ISMS als schlüsselfertige Lösung as a Service
- Individuelle Anpassungsmöglichkeiten
- Geringer Schulungsaufwand
- Workflow-Automatisierung: standardisierte und automatisierte Prozesse, Datenerhebung
- uvm.
Was ist AirIT-ONE?
AirIT-ONE ist eine von AirITSystems entwickelte Software-Plattform zum Aufbau und Betrieb von Managementsystemen und internen Kontrollsystemen. Die technologische Basis unserer Lösung ist unsere cloudbasierte AWARO-Technologie, die als Projekt- und Datenraumlösung verwendet wird. AirIT-ONE schafft den Überblick über Prozesse und Abhängigkeiten – effizient und mit Methode.
IT-Sicherheit am Airport – natürlich von AirITSystems
Vom ganzheitlichen Sicherheitskonzept bis zum Krisenmanagement – profitieren Sie von unserer langjährigen Erfahrung in sicherheitsbewussten Branchen: Als Dienstleister für Flughäfen, Krankenhäuser und Banken verfügen wir über umfassendes Know-how in der Informations-und Kommunikationssicherheit. Unsere Experten berücksichtigen zudem Ihre IT- und Digitalisierungs-Anforderungen von Anfang an und integrieren sie in eine für Ihr Unternehmen maßgeschneiderte Lösung – vom IT-Consulting über die Integration bis zum Betrieb.
Ihre Vorteile mit AirITSystems:
- Höchste Ende-zu-Ende-Sicherheit in allen Bereichen
- Langjährige Expertise in Airport- und KRITIS-Lösungen
- Transparente Kostenstrukturen und Planungssicherheit
- Individuelle Sicherheitslösungen je nach Anforderungen – vom ISMS, über SOC bis zur Zutrittskontrolle
- Ausführliche Beratung und Sicherheits-Audits
- Reibungslose Abläufe dank Prozess-Optimierung
- Kosteneinsparungen durch innovative Technologien und IT-Automatisierung
- 24/7-Support und Security Operations Center (SOC)
- Langjährige Erfahrung und zahlreiche Zertifizierungen in den Branchen Airport, Finanzen und Automobil
- Zertifizierung nach ISO 27001 (KRITIS, TISAX)
Das Besondere: Alle unsere IT-Sicherheitsexperten für den Airport-Bereich haben die Zuverlässigkeitsüberprüfung (ZÜP) nach § 7 Abs. 1 Nr. 2 LuftSiG bestanden. Profitieren Sie von der Herkunft und Expertise aus unserer täglichen Arbeit am Hannover Airport um die speziellen Anforderungen über ein klassisches ISMS gem. ISO27001 oder BSI IT-Grundschutz gerecht zu werden.
Sie haben noch Fragen zum Thema EU-Verordnung 2019/1583 und welche IT-Sicherheitsmaßnahmen hierfür notwendig sind? Gerne beraten wir Sie hierzu ausführlich. Kontaktieren Sie uns einfach.
Wir sind ein Gemeinschaftsunternehmen der Flughäfen Hannover und Frankfurt. Unsere Herkunft ist der Flughafen. Damit sind Sicherheit und das Zusammenspiel zahlreicher Komponenten in einem komplexen System unser tägliches Geschäft: eine Vielzahl von Transaktionen, kritische Verfügbarkeit und als klare Anforderung höchste Sicherheit. Diese einzigartige Flughafenerfahrung übertragen wir und unsere zertifizierten Spezialisten mit derselben Sorgfalt auch auf alle anderen Branchen.
AirITSystems GmbH
Benkendorffstr. 6
30855 Langenhagen
Telefon: +49 (511) 977-4000
Telefax: +49 (511) 977-4100
http://www.airitsystems.de
Telefon: +49 (511) 977-4011
Fax: +49 (511) 9774100
E-Mail: airitmarketing@airitsystems.de