Cybersicherheit in der Luftfahrt: Branche strebt Einheitlichkeit an

Eine neue Studie des Weltwirtschaftsforums (WEF) macht klar: die Luftfahrtindustrie muss ihren Ansatz zur Cybersicherheit vereinfachen. Nur so lassen sich in Zukunft wachsende Risiken mindern. Zu dieser Empfehlung kommen die Autoren der Publikation „Pathways Towards a Cyber Resilient Aviation Industry“ (Wege zu einer widerstandsfähigen Luftfahrtindustrie). Sie ermutigen die Verantwortlichen der Branche zur Definition einer gemeinsamen Sprache sowie zu kollektiven Praktiken und Initiativen. Auf diese Weise könnte sich die Widerstandsfähigkeit gegenüber Cyberangriffen im gesamten Ökosystem der Luftfahrt erhöhen.

Aktuell verfolgen Fluggesellschaften, Flughäfen und Flugzeughersteller unterschiedliche Ansätze, wenn es um die Bekämpfung von Cyberrisiken geht. Und dies trotz der Tatsache, dass es Initiativen wie die „Aviation Cybersecurity Strategy“ (Cybersicherheitsstrategie für die Luftfahrt) gibt. Ausgearbeitet 2019 von der Internationalen Zivilluftfahrt Organisation (ICAO), mündete die Initiative im November vergangenen Jahres in einem Cybersecurity Action Plan.

Die nun veröffentlichte Studie entstand in Kooperation mit Deloitte ist das Ergebnis der vom WED koordinierten Initiative „Cyber Resilience in Aviation“. Daran beteiligt sind verschiedene Organisationen und bis zu 50 Unternehmen der Luftfahrtbranche, darunter so wichtige Teilnehmer wie ICAO, NCSC, EASA, IATA, ACI, Eurocontrol und UK CAA.

Georges De Moura ist Leiter der Branchenlösungen am WEF-Zentrum für Cybersicherheit. Er erklärt: „Die Luftfahrtindustrie hat eine starke Tradition von Sicherheits-, Widerstandsfähigkeits- und Schutzpraktiken hervorgebracht. Diese befassen sich bisher aber vor allem mit physischen Bedrohungen. Wichtig ist nun, Cyberrisken in diese Kultur der Sicherheit und Widerstandsfähigkeit zu integrieren.“

Seit dem Beginn der Covid-19-Pandemie kam es zu einem beispiellosen Anstieg der weltweiten Cyberkriminalität. Phishing-Angriffe haben sich im Vergleich zu 2019 mehr als verdoppelt und mancherorts sogar versechsfacht. Auch gab es eine Reihe von Versuchen, kritische Infrastrukturen durch Cyberangriffe lahmzulegen. Unter anderem galten die Angriffe Flughäfen, Stromnetzen, Häfen sowie Wasser- und Abwasseranlagen. Auch Krankenhäuser, in denen Corona-Patienten behandelt wurden, standen im Visier der Angreifer. Und selbst die Weltgesundheitsorganisation WHO vermeldete einen nie dagewesenen Anstieg von Angriffen auf ihre Netzwerke.

Besorgniserregend ist vor allem die Tatsache, dass der Luftfahrtsektor nicht nur für den Transport von Menschen und Gütern eine entscheidende Rolle spielt. Er ist auch für die Verteilung von Impfstoffen zentral ¬¬¬– eine der größten Herausforderungen in seiner Geschichte. Das Risiko für Cyber-Angriffe auf Luftverkehrsnetze und andere Sektoren, die mit der Impfstoff-Lieferkette in Verbindung stehen, ist daher in den nächsten Monaten stark erhöht.

Die Veranstaltung zur Vorstellung des Berichts fand am 14. April virtuell statt. ICAO-Generalsekretärin Fang Liu ging dabei auf die Top-Prioritäten für die Cyber-Resilienz in der Luftfahrt ein. Sie stellte fest, dass mit der fortschreitenden Modernisierung und Digitalisierung im Luftverkehrssektor die Cyber-Sicherheitsrisiken generell ansteigen – sowohl für Flughäfen, Fluggesellschaften und Flugsicherungsdienstleister als auch für andere Dienstleister der Branche.

Für Chris Verdonck von Deloitte sticht dabei vor allem ein Vorfall heraus: der SolarWinds-Hack. Für ihn zeigt dieser deutlich, dass der Schutz vor unsichtbaren, virtuellen Bedrohungen dieselbe Priorität haben sollte, wie die physische Sicherheit von Flughäfen. „Im logischen, aber schwierigen nächsten Schritt stehen die Einführung einer kooperativen Cyber-Resilienz und der Aufbau von Vertrauen zwischen sektorübergreifenden Organisationen, nationalen und supranationalen Behörden an“, so Verdonck.

Das Ziel: Cyber-Resilienz der gesamten Industrie

Nach WEF-Angaben stellt der Bericht einen Aufruf zum Handeln dar – für Wirtschaftsführer, Regulierungsbehörden und politische Entscheidungsträger ebenso wie für Cybersicherheitsexperten und Technologieanbieter. Man habe das Ziel, die Cyber-Resilienz im gesamten Ökosystem zu erhöhen, so der WEF.

Für die Organisatoren ist Cyber-Resilienz „die Fähigkeit von Systemen, die Cyber-Ressourcen nutzen, ungünstigen Bedingungen, Belastungen, Angriffen oder Kompromittierungen zu widerstehen, sich von ihnen zu erholen und sich an sie anzupassen“.

Die Organisatoren erkennen an, dass jedes Unternehmen der Luftfahrtbranche entschlossen ist, ein höheres Maß an Cyber-Resilienz zu erreichen. Dennoch warnen sie davor, dass ihren Bemühungen verschiedene technische und regulatorische Hindernisse im Weg stehen – jetzt und in der Zukunft. Die Überwindung dieser Hindernisse erfordere einen ganzheitlichen, systematischen und kooperativen Ansatz aller Akteure des öffentlichen und privaten Sektors.

Die Luftfahrtindustrie hat bekanntermaßen ein ausgeprägtes Cyber-Risikoprofil. Für einen sicheren und effizienten Flugverkehr sind persönliche Daten und Zahlungsinformationen von Kunden unabdingbar. Gleichzeitig machen diese die Branche zu einem bevorzugten Ziel für Hacker. Hinzu kommt, dass in der gesamten Betriebskette Computer kritische Funktionen steuern, beispielsweise die Flugzeugnavigation, Flugverkehrskontrollsysteme, Passagierbuchungen, den Check-in und das Liefermanagement.

Genau aus diesem Grund müssen sich Fluggesellschaften unbedingt des potenziellen physischen und finanziellen Schadens bewusst sein, der durch Cyberangriffe entsteht. Bereits kurze Ausfallzeiten können zu schwerwiegenden Problemen führen, die sich weltweit auswirken. In den letzten zehn Jahren hat eine Reihe von Angriffen gezeigt, dass die Beeinträchtigung von Computersystemen erhebliche Verluste an Sachwerten mit sich bringt.

Angesichts der großen Anzahl von Kunden, die die Luftfahrtindustrie täglich bedient, und der Verantwortung für die Sicherheit der Passagiere würde ein Cybervorfall mit großer Sicherheit die Aufmerksamkeit von Regierung und Medien auf sich ziehen.

Unabhängig von dem durch einen Cybervorfall verursachten Schaden wird schließlich auch der Ruf des Unternehmens in Mitleidenschaft gezogen. Damit verbunden sind erhebliche Kosten für IT-Fachwissen und die Behebung des Schadens ¬– sowie die Kosten für die anschließend notwendige Öffentlichkeitsarbeit.