Condor-CISO im Interview: “Ich sehe NIS2 insgesamt positiv”

Foto: Condor

Im vergangenen Jahr haben Hacker zahlreiche Flughäfen und Luftfahrtgesellschaften angegriffen. So führte eine Cyberattacke auf die Scandinavian Airlines nicht nur zu einem Ausfall der Website, sondern auch zu offengelegten Kundendaten. Wie beurteilen Sie die aktuelle Cyberbedrohungslage für den Flugverkehr?

Witerzens: Jede Branche hat ihre eigenen Komplexitäten und Risiken, das heißt, die Ausgangslage ist immer unterschiedlich. In der Flugbranche merkt man relativ schnell, wenn etwas nicht funktioniert. Doch die Bedrohungslage ist hier nicht anders als in anderen Industrien. Es kann jeden zu jeder Zeit treffen. Cyberangriffe sind ein äußerst lukratives Geschäft. Hackern geht es darum, Geld zu verdienen und auch entsprechend Aufmerksamkeit zu kriegen. Das ist natürlich bei so einer Airlines wie Skandinavien gegeben. Oder wenn der komplette Frankfurter Flughafen außer Gefecht gesetzt wird, dann ist das auch sehr präsent.

Was sind Ihre wichtigsten Ziele als CISO bei Condor?

Witerzens: Zu meinen wichtigsten Aufgaben zählt es, die Informationssicherheit so präsent zu machen, dass sie von allen Beteiligten als Teil der Arbeitsabläufe anerkannt wird. Wichtig ist für mich dabei, dass die Sicherheit nicht als Hindernis wahrgenommen wird.

Und wie sorgen Sie dafür, dass Sie am Ende nicht als Verhinderer dastehen?

Witerzens: Für mich bedeutet das erst einmal viel Werbung für das Thema zu machen. Zudem versuche ich, lösungsorientierte Ansätze zu liefern. Darüber hinaus muss ich vor allem das Geschäftsmodell und die jeweiligen Fachbereiche im Unternehmen verstehen, und wissen, was sie gerade machen und brauchen. So kann ich mir im Vorfeld schon überlegen, was eine passende Lösung wäre. Auch wenn manche Sicherheitslösungen nicht immer bequem sind – ich versuche gemeinsam mit meinem Team den Kollegen in den anderen Fachbereichen zu vermitteln, dass wir zur Unterstützung da sind.

Dazu erkläre ich zunächst die Hintergründe und welche Risiken bestehen. Wenn die Anwenderinnen und Anwender verstehen, warum wir etwas tun, sind sie auch eher bereit das zu akzeptieren.

“Lieferanten müssen mit einbezogen werden”

Wo sehen Sie derzeit die größten Herausforderungen?

Witerzens: In der Flugbranche sind wir daran gewöhnt, mit unwegsamen Situationen umzugehen. Dort kommt es alle Nase lang zu irgendeiner Störung. Im Vergleich zu anderen Industrien sind wir dadurch vielleicht sogar widerstandsfähiger. Allerdings sind der Betrieb und die Prozesse in unserem Bereich sehr komplex. Denn bis ein großes Flugzeug fliegen kann, müssen viele kleine Rädchen zusammenkommen. So haben wir es zum Beispiel auch mit vielen Dienstleistern zu tun. Nach meiner Erfahrung sind die besonders häufig betroffen, wenn es zu einem Datenleck kommt. Deshalb muss man sich überlegen, wie man Dienstleister in die eigenen Sicherheitskonzepte einbindet. Die Maßnahmen müssen dann regelmäßig überprüft und angepasst werden. Die Audits von Lieferanten bedeuten einen zusätzlichen Aufwand.

Die ständigen Veränderungen dürften die IT-Security sicher nicht gerade einfacher machen?

Witerzens: Eine weitere Herausforderung ist sicherlich, dass wir unsere Sicherheitsstrategie kontinuierlich an neue Bedrohungen anpassen müssen. Dabei ist es schwierig in der Masse an Sicherheits-Tools, das richtige auszuwählen. Entscheidend ist, dass die einzelnen Fähigkeiten der Werkzeuge ineinandergreifen und sich gegenseitig ergänzen. Auf der anderen Seite müssen sie einen mehrschichtigen Schutz liefern.

Cyberangriffe werden immer raffinierter. Deshalb ist es wichtig, die Aufmerksamkeit für die damit verbundenen Gefahren aufrecht zu erhalten. Das heißt, neben den technischen Maßnahmen spielen auch Schulungen zum Thema Cybersecurity und zum Umgang mit Informationen eine wichtige Rolle.

“NIS2 verbessert die Sicherheitsstruktur”

Darüber hinaus treibt die EU-Sicherheitsrichtlinie NIS2 die Luftfahrtbranche um. Ich sehe das Ganze positiv, weil wir dadurch noch formalisierter in Prozessen denken müssen. Schließlich steigern wir unsere Widerstandsfähigkeit gegen Cyberangriffe, wenn wir feste Security-Prozesse etabliert haben und genau wissen, wo wir stehen.

Doch viele Unternehmen klagen, dass sie mit der Umsetzung von NIS2 überfordert sind und diese nicht fristgerecht schaffen. Können Sie das nachvollziehen oder sagen Sie das ist machbar?

Witerzens: Meiner Meinung nach ist es machbar die Frist einzuhalten. Denn eigentlich hätten viele der darin geforderten Maßnahmen schon im Vorfeld umgesetzt werden müssen. Auf der anderen Seite bedeutet die Umsetzung natürlich einen gewissen formalen Aufwand und erfordert zusätzliche Ressourcen, die nicht jedes Unternehmen eingeplant hat. Trotzdem bin ich der Ansicht, dass nichts, was in der Richtlinie steht, unnötig ist.

Sie Interessieren sich für die CISO-Perspektive? Dann lesen Sie auch:

Interview mit Gernot Zauner, CISO bei KEB Automation

Das sagen CISOs und Experten aus Deutschland zur Anklage gegen Solarwinds-CISO

Häfele-CISO im Interview – “Es gibt keinen hundertprozentigen Schutz”