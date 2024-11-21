Da die meisten Prozesse in der Luftfahrt mittlerweile digitalisiert sind, müssen Fluggesellschaften und die Luftfahrtindustrie insgesamt der Cybersicherheit Priorität einräumen. Sollte ein Cyberkrimineller einen Angriff auf ein System starten, das mit der Luftfahrt in Verbindung steht – sei es das System einer Fluggesellschaft oder eines Drittanbieters –, könnte dies Auswirkungen auf den gesamten Prozess haben, von der Sicherheit bis hin zum Komfort der Passagiere.
Um die Sicherheit in der Luftfahrtbranche zu verbessern, hat die FAA kürzlich neue Vorschriften vorgeschlagen, um die Cybersicherheit in Flugzeugen zu verschärfen. Diese Vorschriften würden „die Ausrüstung, Systeme und Netzwerke von Flugzeugen, Triebwerken und Propellern der Transportkategorie vor unbefugten elektronischen Interaktionen (IUEI) schützen, die Sicherheitsrisiken verursachen könnten“. Sollten die Änderungen endgültig beschlossen werden, werden sie Auswirkungen auf die gesamte Branche haben, einschließlich der Fluggesellschaften, Drittanbieter und Passagiere.
Cybersicherheitsangriffe und Datenverstöße haben in den letzten Jahrzehnten alle Bereiche der Luftfahrtindustrie betroffen. Zu den bemerkenswerten Vorfällen gehören der Verstoß bei Cathay Pacific, von dem die persönlichen Daten von mehr als 9 Millionen Passagieren betroffen waren, und der SITA-Verstoß 2021 gegen Vielfliegermitglieder, hauptsächlich Star Alliance- und OneWorld-Mitglieder. Die Website des Flughafens von Los Angeles wurde Opfer eines DDoS-Angriffs, der dazu führte, dass die Website für mehrere Stunden nicht erreichbar war.
„Die Realität ist krass: Unsere Luftfahrtbranche ist ständig von Cyberangriffen bedroht, ein Anstieg von 74 % seit 2020. Angesichts der Tatsache, dass der Luftverkehrssektor mehr als 5 % zu unserem BIP beiträgt, eine Gesamtwirtschaftsleistung von 1,9 Billionen USD erbringt und 11 Millionen Arbeitsplätze sichert, müssen wir aufwachen und diese Cyber-Bedrohungen für die Luftfahrt ernst nehmen“, erklärte die US-Senatorin Maria Cantwell bei einer Anhörung im Kongress am 18. September 2024.
Insgesamt erhält die Luftfahrtbranche derzeit die Note „B“, so der Bericht The Cyber Risk Landscape of the Global Aviation Industry, 2024. Forscher haben festgestellt, dass Organisationen mit der Bewertung „B“ 2,9-mal häufiger Opfer von Datenverstößen werden als solche mit der Bewertung „A“, was verdeutlicht, wie groß die Auswirkungen scheinbar kleiner Unterschiede sein können. Ransomware-Angriffe sind nach wie vor eine der größten Bedrohungen. Jüngste Forschung von Bridewell haben ergeben, dass 55 % der Cyber-Entscheidungsträger in der zivilen Luftfahrt zugegeben haben, in den letzten 12 Monaten Opfer eines Ransomware-Angriffs geworden zu sein. Auf die Frage nach den Auswirkungen berichteten 38 % von Betriebsunterbrechungen und 41 % von Datenverlusten in ihrem Unternehmen.
Ted Theisen, Geschäftsführer im Bereich Cybersicherheit bei FTI Consulting, erklärte, dass die in der Luftfahrtindustrie weit verbreiteten älteren Geräte und Systeme nicht über die erforderlichen Schutzfunktionen verfügen, wie beispielsweise die Installation wichtiger Updates und die Kompatibilität mit neuen Protokollen. Da die Luftfahrtindustrie häufig Dienstleistungen an Dritte auslagert, können die Anbieter auf Systeme und Netzwerke zugreifen, wodurch Schwachstellen entstehen können.
„Die verteilte Belegschaft und die verteilten Systeme vergrößern die Angriffsfläche und erhöhen die Anzahl der Zugriffspunkte, die von Angreifern ausgenutzt werden können“, sagt Theisen. „Diese dezentrale Struktur erschwert die Sicherung von Systemen, die Überwachung auf Cybersicherheitsbedrohungen und die Eindämmung unberechtigter Zugriffe.“
Während sich die Cybersicherheit in der Luftfahrt auf Schwachstellen und Angriffe auf alle an der Luftfahrt beteiligten Systeme konzentriert, liegt der Fokus der neuen Regeln auf der Cybersicherheit des Flugzeugs selbst. Jedes Mal, wenn Daten – von Flugpositionen bis hin zu Warnmeldungen zu Wartungsproblemen – von einem Flugzeug an ein Netzwerk gesendet werden, besteht das Risiko, dass diese von Dritten abgefangen werden.
Da Daten kontinuierlich von jedem Flugzeug im Flug gesendet werden, ist täglich eine hohe Menge entscheidender Daten gefährdet. Die National Business Aviation Association berichtete, dass der Router in Flugzeugen, der die Besatzung und Passagiere mit dem Internet verbindet, eine erhebliche Sicherheitslücke darstellt, insbesondere wenn das Passwort des Routers nicht regelmäßig geändert wird.
Die FAA erklärte, dass die zunehmende Vernetzung von Flugzeugen, ihren Triebwerken und Propellersystemen mit internen oder externen Datennetzwerken und Diensten ein wesentlicher Faktor für die neuen Vorschriften sei. Die miteinander verbundenen Designs ermöglichen es, dass eine Schwachstelle aus einer Reihe neuer Quellen stammen kann, darunter Wartungs-Laptops, öffentliche Netzwerke und Mobiltelefone. Infolgedessen müssen Regulierungsbehörden und Branchenexperten die Systeme genauer auf Cybersicherheitsbedrohungen überwachen.
Seit 2009 erlässt die FAA zunehmend „Sonderbedingungen“ im Zusammenhang mit Cybersicherheit. Dies sind vorübergehende Vorschriften für einen bestimmten Fall, um diese neuen Schwachstellen zu adressieren. Wesley Mooty, Exekutivdirektor des Flugzeugzertifizierungsdienstes der FAA, erklärte, dass jede dieser Unterbrechungen die Komplexität, die Kosten und den Zeitaufwand für die Zertifizierung sowohl für den Antragsteller als auch für die Aufsichtsbehörden erhöht. Infolgedessen hat die FAA ein Regelwerk vorgeschlagen, das die gängigsten besonderen Bedingungen für die Cybersicherheit abdeckt, um die Kriterien für den Umgang mit Cybersicherheitsbedrohungen zu standardisieren, wodurch sich die Zertifizierungskosten und der Zeitaufwand reduzieren werden.
Die neuen vorgeschlagenen Vorschriften besagen, dass Antragsteller für Produktzertifizierungen sicherstellen müssen, dass die Ausrüstung, Systeme und Netzwerke jedes Flugzeugs vor IUEIs geschützt sind, die sich nachteilig auf die Sicherheit des Flugzeugs auswirken könnten.
Nachfolgend sind die Anforderungen zum Schutz der Assets aufgeführt, wie sie in der offiziellen FFA-Dokumentation beschrieben sind:
Das Ziel der neuen Vorschriften ist zwar die Vereinheitlichung der Cybersicherheitskriterien, es wird jedoch erwartet, dass sie auch zusätzliche Auswirkungen haben werden. Sofern ein Produkt nicht aktualisiert wird und neu zertifiziert werden muss, gelten die neuen Vorschriften nur für neue Produkte – nicht für Produkte, die bereits auf dem Markt sind. Da jedes Produkt nicht mehr auf eine gesonderte Prüfung hinsichtlich Cybersicherheitsfragen warten muss, werden Genehmigungen voraussichtlich schneller erteilt, was bedeutet, dass neue Produkte schneller auf den Markt kommen.
Darüber hinaus könnten sich die vorgeschlagenen Regelungen indirekt auf die Passagiererfahrung auswirken. Wenn ein Cybersicherheitsvorfall auftritt, werden die Fluggesellschaft, der Flughafen oder Drittanbieter in der Regel offline geschaltet, was zu Verzögerungen führt. Durch standardisierte Cybersicherheitsprozesse und reduzierte Schwachstellen ist es weniger wahrscheinlich, dass Passagiere von Cybervorfällen betroffen sind.
„Die Einführung strengerer Cybersicherheitsvorschriften könnte auch zu höheren Betriebskosten für Fluggesellschaften führen, was sich wiederum auf die Flugpreise auswirken könnte“, erklärt Itay Glick, Vizepräsident bei OPSWAT, einem Anbieter von Cybersicherheitslösungen. „Auch wenn die Passagiere aufgrund der Weitergabe der Compliance-Kosten durch die Fluggesellschaften möglicherweise mit etwas höheren Ticketpreisen konfrontiert werden, besteht der Hauptvorteil dieser neuen Vorschriften in einer erhöhten Sicherheit.“
Während die vorgeschlagenen Vorschriften den Kommentierungs- und Genehmigungsprozess durchlaufen, sollten Luftfahrtorganisationen, darunter Flughäfen, Drittanbieter und Fluggesellschaften, mit der Planung für die neuen Richtlinien beginnen. Da die neuen Vorschriften strengere Standards vorsehen, müssen sich Unternehmen laut Glick auf ihre Cybersicherheitsprotokolle, Sicherheitsbewertungen und Strategien zur Reaktion auf Vorfälle konzentrieren.
„Um sich auf diese Veränderungen vorzubereiten, sollten Fluggesellschaften umfassende Risikobewertungen durchführen, um Schwachstellen zu identifizieren, und in Cybersicherheitsschulungen für Mitarbeiter investieren, um deren Bewusstsein und Reaktionsfähigkeit zu verbessern“, erklärt Glick. „Darüber hinaus sind Anforderungen an fortschrittliche Technologien wie Bedrohungserkennung und Endpunktschutz von entscheidender Bedeutung. Um jegliche Notwendigkeit einer Reaktion auf Vorfälle zu vermeiden, müssten Fluggesellschaften ihren Sicherheitsstatus proaktiv verbessern, um erfolgreiche Angriffe zu verhindern.“
