Das Cyber-Sicherheitsgambit in der Praxis

Wie hat sich die Bedeutung der Cybersecurity nach deiner Erfahrung in den letzten Jahren allgemein und speziell in der Luftfahrtindustrie entwickelt?

Maximilian: Die Bedeutung der Cybersecurity hat in den letzten Jahren sowohl allgemein als auch speziell in der Luftfahrtindustrie stark zugenommen. Ein Grund hierfür ist die steigende Gefahr von Cyberangriffen auf Unternehmen, sowohl in Bezug auf Häufigkeit als auch Komplexität. Cyberangriffe verursachen – ähnlich wie auch während der Coronazeit – Produktionseinbußen und Standzeiten, die sich in der Regel kein Unternehmen gerne leisten möchte.

Hinzukommt, dass sich derartige Situationen nicht nur innerhalb des eigenen Unternehmens auswirken, sondern womöglich auf die gesamte Lieferkette. Daher erwarten inzwischen auch vermehrt Lieferanten entsprechend Schutz vor Ausfällen bei den kritischen Systemen ihrer Abnehmer.

Ein weiterer Faktor ist die fortschreitende Digitalisierung, durch die sich die Angriffsflächen für Cyberkriminelle erweitert. Unternehmen und Einzelpersonen sind zunehmend auf digitale Dienste und Online-Plattformen angewiesen, was die Notwendigkeit eines robusten Cybersecurity Managements verstärkt. Zusätzlich zwingen Regulierungen wie die Datenschutz-Grundverordnung (DSGVO) in Europa und ähnliche Gesetze weltweit Unternehmen dazu, ihre Sicherheitsmaßnahmen zu verschärfen.

Besonders in der Luft- und Raumfahrtindustrie ist die Gewährleistung der Cybersecurity kritisch, da sie direkte Auswirkungen auf die öffentliche Sicherheit und den reibungslosen Betrieb des Luftverkehrs hat. Die Digitalisierung und die zunehmende Vernetzung erhöhen zusätzlich das Risiko von Cyberangriffen auf Flugzeugsysteme und -infrastrukturen.

Glücklicherweise ist die Luft- und Raumfahrtindustrie aber ohnehin schon sehr auf Sicherheit bedacht und dementsprechend von verschiedenen Behörden reglementiert. So haben internationale Organisationen wie die International Civil Aviation Organization (ICAO) und nationale Luftfahrtbehörden Richtlinien und Standards entwickelt, um die Cybersecurity in der Luftfahrtindustrie zu verbessern.

All diese Entwicklungen sind letztlich Treiber für Projekte in Unternehmen, den steigenden Sicherheitsanforderungen gerecht zu werden.

Welche Strategien und Tools setzt du beim Kunden ein, um Cyber-Risiken zu minimieren?

Maximilian: In meinem vergangenen Projekt haben wir vor allem mit einem Active Risk Manager (ARM) sowie Business Impact-Analysen pro kritischer Aktivität gearbeitet.

Diese Tools bewerten vor allem immer zwei Dinge: Zum einen die Eintrittswahrscheinlichkeit eines Risikos und zum anderen die jeweilige Auswirkung (von niedrig bis hoch) für einen bestimmten Bereich oder eine bestimmte Dimension. Die Auswirkung eines Risikos kann dabei zum Beispiel finanziell, gesundheitlich oder regulatorisch sein. Allgemeine Strategien zur Minimierung von Cyber-Risiken in Unternehmen sind:

• Die regelmäßige Durchführung von Risikobewertungen, um potenzielle Bedrohungen und deren Auswirkungen zu identifizieren.
• Die Entwicklung eines umfassenden Risikomanagementplans, der Maßnahmen zur Risikominderung beschreibt.
• Die Erstellung, Implementierung und regelmäßige Überprüfung klarer Sicherheitsrichtlinien und -verfahren, die von allen Mitarbeitenden befolgt werden müssen.
• Regelmäßige Schulungen und Sensibilisierungsprogramme, um das Bewusstsein der Mitarbeitenden für Cyberbedrohungen zu schärfen und ihnen beizubringen, wie sie sicher handeln.
• Die Entwicklung eines Incident Response-Plans, der detaillierte Schritte zur Reaktion auf Cyberangriffe enthält.

Welche Schulungsprogramme werden den Mitarbeitenden angeboten, um das Bewusstsein für Cyber-Sicherheit zu erhöhen?

Maximilian: Im vergangenen Projekt haben wir zum Ende hin beispielsweise an einem E-Learning-Modul in verschiedenen Sprachen gearbeitet, sodass bei allen Mitarbeitenden eine Grund-Awareness geschaffen und die gleiche Sprache in Bezug auf Risiken gesprochen wird. Geschult wurde dabei auf Fragen wie „Welche Risiken gibt es?“, „Was sollte ich beachten?“ und „Was ist zu tun, wenn…?“.

Wie arbeitet dein Kunde mit anderen Akteuren der Branche (z.B. Zulieferer, Regulierungsbehörden) zusammen, um Cyber-Risiken zu managen?

Maximilian: Ein vollständiges End-to-End Risk Management zwischen einem Unternehmen und allen anderen beteiligten Akteuren ist sozusagen schon die Kirsche auf Torte. Alle internen Risiken hinreichend zu berücksichtigen und zu bearbeiten, stellt ein Unternehmen bereits vor viele neue und unbekannte Aufgaben.

Dennoch kommt man eben auch mit ausschließlich unternehmensinternen Sicherheitslösungen manchmal nicht zum Ziel. Wenn also beispielsweise externe Service-Dienstleister an einem internen Prozess beteiligt sind, müssen diese entsprechend auch in die Sicherheitsstrategie eingebunden werden, damit der Prozess am Ende funktioniert.

Das heißt letztendlich so viel wie: Anforderungen an Lieferanten stellen, diese möglicherweise in ein (Sicherheits-)Projekt onboarden und gegebenenfalls Verträge anpassen.

Wie sieht der Notfallmanagementplan bei deinem Kunden bei einem Cyberangriff aus?

Maximilian: Ohne hier zu viel zu verraten, zeichnen sich für mich vor allem drei Instanzen ab, die im Falle des Falls auf Angriffe oder Störfälle reagieren können:

• Business-seitig oder in jeder Abteilung können Kontinuitätspläne für kritische Aktivitäten geschrieben werden. Ein Kontinuitätsplan umfasst dabei Strategien, Maßnahmen und Ressourcen, die notwendig sind, um den Geschäftsbetrieb nach einem Cyberangriff aufrechtzuerhalten oder schnell wiederherzustellen.
• IT-seitig kann und muss gegebenenfalls auf Außeneinwirkungen reagiert werden, um beispielsweise die Ausbreitung von Schadsoftware im Unternehmen zu minimieren.
• Zuletzt gibt es in der Regel noch Krisenmanagement-Teams, die in solchen Fällen oft eine koordinatorische Rolle spielen.

Maximilian, welche Maßnahmen ergreift dein Kunde, um die Resilienz Ihrer IT-Infrastruktur zu erhöhen, Stichwort „Business Continuity Management“?

Maximilian: Zuletzt wurden vor allem zwei dedizierte Projekte ins Leben gerufen, die gemeinsam für mehr Resilienz sorgen sollen. Auf der einen Seite von den operativen Abteilungen selbst, in Form von eben genannten Kontinuitätsplänen. Auf der anderen Seite durch ein eigenes IT-Projekt.

Die beiden Projekte sind dabei eng verzahnt und profitieren voneinander. So liefert ein Business Continuity-Projekt wichtige Prioritäten aus den Abteilungen an die Kollegen in der IT, die wiederum nach alternativen IT-Betriebsmöglichkeiten suchen – Stichwort „Cloudbasierte Anwendungen“ und „redundante Datenhaltung“.

Welche zukünftigen Herausforderungen und Trends siehst du im Bereich Cyber-Sicherheit?

Maximilian: Ich kann mir vorstellen, dass steigende Lieferanten- und Behördenanforderungen die Unternehmen vor enorme Ressourcen-Aufwendungen für solche Resilienz-Projekte stellen werden. Glücklicherweise steigt aber nicht nur die Zahl der Cyberangriffe, sondern auch die Zahl der beteiligten Personen an Resilienz-Projekten und die Awareness für solche Gefahren im Unternehmen selbst.

Durch die zunehmende Digitalisierung von Unternehmensdaten und -abläufen wird die Gefahr an Cyberangriffen weiter steigen und so entstehen immer neue Sicherheitsanforderungen, auf die Unternehmen reagieren müssen.

Darüber hinaus werden Cyberangriffe immer ausgefeilter und komplexer. Während Künstliche Intelligenz und maschinelles Lernen zur Verbesserung der Cyber-Sicherheit eingesetzt werden können, nutzen auch Angreifer diese Technologien, um Sicherheitsmaßnahmen zu umgehen und ihre Angriffe zu optimieren.

Welche Ratschläge hast du für andere Unternehmen, um ihre Cyber-Sicherheitsstrategien zu verbessern?

Maximilian: Es gibt bereits viele Normen und EU-Richtlinien, an denen man sich orientieren kann, selbst wenn es noch nicht aktiv von Lieferanten oder Kunden gefordert wird. Bei solchen Themen nicht erst zu reagieren, sondern bereits vorzusorgen, erhöht nicht nur die Sicherheit, sondern auch die Wettbewerbsfähigkeit und schont ein Unternehmen vor möglichen Kosten.

Vielen Dank für diese spannenden Einblicke!