Unternehmen der sicheren Lieferkette gem. §9a Luftsicherheitsgesetz sind ab dem 01.01.2025 verpflichtet, Cybersicherheitskonzepte gem. den Anforderungen der DVO (EU) 2015/1998 umzusetzen.
Wir haben Ihnen im folgenden einige Fragen und Antworten zum Thema zusammengestellt.
Fragen und Antworten:
F: Welche Unternehmen sind betroffen
A: Im Geltungsbereich des §9a LuftSig müssen alle Reglementierten Beauftragten und bekannten Versender die Cybersicherheitsmaßnahmen umsetzen.
Transporteure sind derzeit nicht betroffen.
F: Was genau muss gemacht werden
A: Gemäß den Umsetzungsgrundsätzen müssen alle reglementierte Beauftragte und bekannte Versender 4 wesentliche Dinge umsetzen:
- Informations- und Meldewesen
Die Unternehmen müssen sich bei der Allianz für Cybersicherheit registrieren. Durch die Registrierung erhalten die Unternehmen Zugang zu aktuellen Warnmeldungen und der Bedrohungslage durch das BSI, sowie zum Meldeportal über das schwerwiegende Angriffe gemeldet werden müssen.
- Einführung eines Risikomanagement Systems
In einem Prozessorientierten Ansatz müssen Systeme ermittelt werden, die Relevant für die Luftsicherheit sind.
Dabei müssen folgende Fragen gestellt werden:
Führt ein Verlust der
a) Verfügbarkeit (also ein System fällt aus)
b) Vertraulichkeit (also in einem System geführten Daten werden unbefugten zugänglich)
c) Integrität (also in einem System geführten Daten werden verändert)
zu einer Gefährdung des Luftverkehrs.
Wenn diese Frage mit „Ja“ beantwortet ist, ist das entsprechende System als KIKS (Kritisches Informations- oder Kommunikationssystem) einzustufen.
Für alle identifizierten KIKS ist dann eine Risikoanalyse, z.B. nach dem BSI Standard 200-3 durchzuführen.
Das Ergebnis der Risikoanalyse ist zu dokumentieren. Sollte ein Risikoschwellenwert von 60% überschritten werden, müssen weitere Maßnahmen umgesetzt und im Anschluss eine weitere Risikoanalyse durchgeführt werden.
- Schulung und Überprüfung des Personals
Das Personal, das Zugang zu den als KIKS definierten Systemen hat, muss gem. Kapitel 11.2.8. der DVO (EU) 2015/1998 geschult werden.
Dazu wurden 3 Personalkategorien definiert:
a) Mitarbeiter, die nicht mit KIKS arbeiten, aber Zutritt zu KIKS haben, und daher eine Manipulation erkennen können.
Ein Beispiel könnte Reinigungspersonal sein, das Zugang zu Büroräumen hat in dem kritische Systeme aufgestellt sind.
b) Mitarbeiter, die mit KIKS arbeiten
c) Administratoren, Sicherheitsbeauftragte, ggf. Geschäftsleitung
Zusätzlich muss sichergestellt werden, dass Personen die unbeaufsichtigten Zugang zu KIKS haben, nach §7 Luftsicherheitsgesetz überprüft wurden.
- Erstellung eines Cyberreaktionsplans, z.B. nach dem BSI Standard 200-4
In dem Cyberreaktionsplan muss beschrieben werden, wie
a) Cyberangriffe erkannt werden
b) auf Cyberangriffe reagiert wird
c) Cyberangriffe bewältigt werden
F: Bis wann muss das umgesetzt werden?
A: Laut den Umsetzungsgrundsätzen muss ab dem 01.01.2025 bei der nächsten Änderung des Luftsicherheitsprogrammes das Cybersicherheitsprogramm eingereicht werden. Unabhängig von der Einreichung muss ab dem 01.01.2025 das Cybersicherheitsprogramm im Unternehmen vorliegen und kann im Rahmen eines Audits auch überprüft werden.
Praktisch ist dies nicht möglich, da konkrete Vorgaben des LBA erst im Dezember 2024 bekanntgegeben wurden.
Wir empfehlen Ihnen, aber auf jeden Fall die Registrierung Ihres Unternehmens bei der Allianz für Cybersicherheit so schnell wie möglich umzusetzen, einen Cybersicherheitsbeauftragten zu benennen und die Schulungen nach Kapitel 11.2.8. durchzuführen.
Gleichzeitig empfehlen wir, mit einer Bestandsaufnahme der KIKS zu beginnen.
F: Wer muss alles nach §7 Luftsicherheitsgesetz überprüft werden?
A: Gemäß den Umsetzungsgrundsätzen müssen alle Personen, die unbeaufsichtigten Zugang zu KIKS haben eine Zuverlässigkeitsüberprüfung nach §7 LuftSig erhalten.
Es ist der Behörde aber bewusst, dass dies insbesondere bei Cloudsystemen (Microsoft Office 365, Exchange 365 u.Ä.) und Systeme die aus dem Ausland administriert werden nicht möglich sein wird. Daher gehen wir davon aus, dass es hier von Seiten der Behörde noch Konkretisierung geben wird.
F: Welche Anforderungen gibt es an Ausbilder für die Schulungen nach Kapitel 11.2.8
A: Gemäß den Umsetzungsgrundsätzen müssen die Ausbilder keine besondere Zulassung des LBA haben, sondern lediglich über ausreichende Fachkenntnisse verfügen.
Das LBA nennt die Personenqualifikation zum BSI IT Grundschutzpraktiker oder ISO27001 Information Security Officer als Beispiele einer ausreichenden Qualifikation.
Wir empfehlen Ihnen, eine interne Cyber Awareness Unterweisung durch Ihren IT Administrator durchführen zu lassen und dies durch ein Schulungszertifikat nach Kapitel 11.2.8. zu bestätigen.
Wir würden gegenüber der Behörde argumentieren, dass jeder ausgebildete IT Administrator über ausreichende Fachkenntnisse verfügt.
Sollten Sie Bedarf haben, können auch wir gerne die Unterweisung für ihre Mitarbeiter übernehmen.
Beratungsangebot durch die CargoFox Software und Consulting
Gerne stehen wir Ihnen bei der Umsetzung der Anforderungen der DVO (EU) 2015/1998 beratend zur Verfügung.
Wir verfügen über umfangreiche Kenntnisse in allen Bereichen der Luftfracht und Luftsicherheit sowie der IT Sicherheit – daher wir sprechen die Sprache der Luftfracht und der IT.
Unser Beratungsschwerpunkt liegt dabei in folgenden Punkten:
- In Zusammenarbeit mit Ihrer IT und Ihrem Sicherheitsbeauftragten die Bestandsaufnahme Ihrer Systeme und Identifikation Ihrer KIKS
- Unterstützung bei der Durchführung der Risikoanalyse und ggf. in Zusammenarbeit mit Ihrer IT die Ausarbeitung weiterer notwendiger Maßnahmen
- Erstellung und Pflege des Cybersicherheitsprogrammes gem. den Vorgaben der Umsetzungsgrundsätze des LBA
- Dabei können wir uns auf die Minimalanforderungen des LBA begrenzen, aber auch den Grundstein für ein übergreifendes Sicherheitskonzept legen.
Dabei gehen wir wie folgt vor:
- Unverbindliches und kostenloses Beratungsgespräch
In dem ersten Schritt versuchen wir anhand der Größe und Struktur Ihres Unternehmens den Aufwand, und damit auch die Kosten und den Zeitplan abzuschätzen.
Bei diesem ersten Gespräch sollte unbedingt der Luftsicherheitsbeauftragte und Ihr Systemadministrator / IT Leiter anwesend sein.
- Abfrage Ihrer Systeme
Über einen standardisierten Fragebogen, der durch den Kunden vorab ausgefüllt werden muss schaffen wir uns einen Überblick über die verwendeten Systeme.
Im Anschluss erfolgt die gemeinsame Komplettierung des Fragebogens in Form eines Interview Gespräches, bestenfalls „Vor Ort“ alternativ über Teams.
- Visualisierung des Informationsverbundes und Risikoanalyse
Aufbauend auf Punkt 2 wird der Informationsverbund durch uns in einer Software visualisiert und eine Vorab Risikoanalyse durchgeführt.
Diese Risikoanalyse wird dann mit dem Kunden besprochen und finalisiert.
Falls notwendig werden notwendige Verbesserungsmaßnahmen aufgezeigt, die dann vom Kunden umgesetzt werden müssen.
Im Anschluss wird durch uns die notwendige Dokumentation zur Einreichung bei LBA erstellt.
- Leistung des Kunden
Der Kunde muss uns für dieses Projekt Ansprechpartner bereitstellen, die ausreichende Kenntnisse über die internen Prozesse als auch über den Aufbau der IT Infrastruktur haben.
Diese Ansprechpartner müssen auch über ausreichende zeitliche Ressourcen verfügen.
- Kosten
Wir rechnen unsere Beratungsdienstleistung nach geleistetem Aufwand ab. Wir orientieren uns an den marktüblichen Stundensätzen von Beratungsunternehmen im Bereich der Luftsicherheit.
Bestandskunden unseres Unternehmens bzw. unseres Schwesterunternehmens K-Logistik Aviation Services GmbH bieten wir einen reduzierten Stundensatz.
Unter bestimmten Voraussetzungen können wir auch einen Pauschalpreis vereinbaren.
Gerne können wir Ihnen auch einen Cybersicherheitsbeauftragten als Ansprechpartner für die Behörde stellen.
Sprechen Sie uns an, gerne unterbreiten wir Ihnen ein individuelles Angebot.
Kontaktieren Sie uns:
CargoFox Software & Consulting
Oberdorfstrasse 64
D-70794 Filderstadt
T: 0711 – 400 539 -90
Mail: grundschutz@cargofox-software.de
