IT-Sicherheit bei der Lufthansa

Wie Security by Design fliegen lernt

05.11.2020
Von 


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Für die Lufthansa Group ist IT-Sicherheit alles andere als Nebensache. Lesen Sie, wie der Luftfahrtkonzern Security by Design zum Differenzierungsmerkmal macht.
Die Lufthansa Group bringt das "Security by Design"-Prinzip im großen Stil zum Fliegen. Lesen Sie, wie.
Die Lufthansa Group bringt das "Security by Design"-Prinzip im großen Stil zum Fliegen. Lesen Sie, wie.
Foto: Volodymyr Kyrylyuk - shutterstock.com

Die Lufthansa Group möchte laut ihrer Unternehmensstrategie zu "einer der digitalsten Airlines der Welt" werden. Das dürfte den Konzern für kriminelle Hacker zu einem noch attraktiveren Ziel machen. Ein Umstand, dem man sich bei der Lufthansa bewusst ist - und dem man in Form einer konzernweiten Sicherheitsstrategie begegnet. Diese ist in die digitale Transformation des Konzerns eingebettet und hat der Lufthansa Group die Finalteilnahme am diesjährigen DIGITAL LEADER AWARD - dem deutschen Award für Digital Leadership - in der Kategorie CYBERSECURITY eingebracht.

Strategische Security-Grundlagenarbeit

In einem ersten Schritt erstellten die Verantwortlichen im Jahr 2018 eine Risikolandkarte, die die größten Cyber-Gefahren für die einzelnen Gesellschaften sowie deren Auswirkungen auf den Geschäftsbetrieb darstellt. Inhaltlich hat man die Cyber-Security-Strategie auf die spezifischen Herausforderungen der Lufthansa Group ausgerichtet: In erster Linie wurden Risiken und Schwachstellen in der Legacy-Umgebung behoben und parallellaufende Modernisierungsprojekte koordiniert.

Auf dieser Grundlage entstand eine Roadmap, die Ziele und Investitionsprioritäten für die kommenden drei Jahre beschreibt. Dabei legte man größten Wert auf Flexibilität, um sich jederzeit auch an veränderte Marktbedingungen anpassen oder Investments neu priorisieren zu können. Bei der Lufthansa Group spricht man nicht ohne Stolz von "einem der anspruchsvollsten Cyber-Security-Programme der Airline-Industrie", dessen Ziele unter anderem die flächendeckende Förderung von Sicherheitskultur sowie eine von Grund auf sichere Entwicklung von Software und Produkten umfassen.

Neue Organisationsstruktur entwickelt

Um das Projekt strategisch in die richtigen Bahnen zu lenken und maximale Transparenz für alle Stakeholder zu gewährleisten, entwickelte die Lufthansa Group unter anderem eine neue Organisationsstruktur, was wiederum dem prozessorientierten Transformationsgedanken zuträglich ist. Das Herzstück dieser neuen Struktur bildet der CISO in Person von Abdou-Naby Diaw, dessen Rolle mit weitreichenden Kompetenzen ausgestattet wurde, um Security-Abteilung und Fachbereiche enger miteinander zu verzahnen.

Nur so sei es möglich, so die Verantwortlichen, dass "Security by Design" für alle Beteiligten zur Selbstverständlichkeit wird. CISO Abdou-Naby Diaw verantwortet die Bereiche Cyber Security, IT-Strategie und -Governance sowie das technische IT-Providermanagement und berichtet direkt an den Lufthansa Group CIO, Roland Schütz.

Das Top Management sowie ein externes Advisory Board mit Vertretern der Cyber-Sicherheits-Community bewerten regelmäßig die aktuelle Sicherheitslage. Darauf aufbauend gibt das "Program Review Committee" als agiles Steuerungsgremium das Budget für den nächsten Sprint frei. So ist nach Aussage der Lufthansa Group gewährleistet, dass sich die Verantwortlichen aus IT und Fachbereichen kontinuierlich und konstruktiv mit den einzelnen Maßnahmen auseinandersetzen. Als Entscheidungsgrundlage dient den unterschiedlichen Akteuren und Gremien eine Risikolandkarte, die abstrakte Security-Informationen insbesondere für die Vertreter der Fachbereiche verständlicher macht.

Mit Hilfe der neuen Rollenstruktur, den veränderten Verantwortlichkeiten sowie den Awareness-Maßnahmen des Programms wurden die Veränderungen von der Belegschaft auf breiter Basis akzeptiert. Positive Effekte konnte der Konzern in Sachen Nutzerzufriedenheit und Effizienzsteigerung bei applikationsgestützten Prozessen und dem Einsatz mobiler Devices erzielen.

IT-Sicherheit auf allen Ebenen

Da die Lufthansa Group zahlreiche Technologien in diversen Bereichen einsetzt, erstreckt sich die umfassende Adoption des "Security by Design"-Prinzips auf diverse Bereiche:

  • Predictive Analytics: Netz- und Kapazitätsplanung, Vertriebssteuerung;

  • Künstliche Intelligenz und Cognitive Computing: automatisierte Betreuung von Passagieren und Mitarbeitern, beispielsweise per Chatbot;

  • Blockchain (Pilotprojekte): Ticket-Vertrieb, Kundenbindung, Ersatzteilverfolgung;

  • Payment-Verfahren: moderne, mobile Bezahlverfahren;

  • 5G-Campusnetz für Lufthansa Technik (Pilotprojekt): unter anderem die Ausstattung von Flugzeugen mit Virtual Reality;

Durch ergänzende Maßnahmen wird der Security-Fokus der Lufthansa Group programmatisch abgerundet: Die derzeit gültigen Security Policies wurden verschlankt und orientieren sich nun an internationalen Standards. In Kooperation mit den entsprechenden Providern erarbeitete der Konzern zudem eine Cloud-Security-Strategie, die auf dem DevSecOps-Ansatz fußt.

Darüber hinaus wird das Sicherheitsniveau aller business-kritischen Applikationen und Prozesse der Lufthansa Group im Rahmen regelmäßiger Penetrations- und Red-Teaming-Tests auf den Prüfstand gestellt, um eine gleichbleibend hohe Resilienz zu gewährleisten. Ein Bug-Bounty-Programm, ein umfassendes Security-Awareness-Programm sowie verpflichtende Sicherheitstrainings für die weltweit 135.000 Mitarbeiter und Führungskräfte sind ebenfalls Bestandteil des umfangreichen Maßnahmenkatalogs.

Daneben hält "Security by Design" auch im Lufthansa Innovation Hub in Berlin Einzug, der Technologien aus der Startup-Welt in die Konzernrealität überführt.

"Security by Design" als USP

Im Jahr 2019 wurde die erste Phase des Programms abgeschlossen - aktuell soll es noch bis zum Jahr 2022 laufen. Das Investitionsvolumen im ersten Jahr belief sich vor der Coronakrise auf einen mittleren, zweistelligen Millionenbetrag. Für die Lufthansa ist das eine mehr als sinnvolle Investition - schließlich sei die Antizipation und Abwehr von Cyber-Risiken heute und in der Zukunft relevant für den wirtschaftlichen Erfolg von Unternehmen, so die Verantwortlichen.

Nach Abschluss des Programms will die Lufthansa Group eine umfassend ausgestaltete Struktur für Informationssicherheit, die Verankerung von Cyber Security in allen Produkten und Prozessen sowie die Etablierung kompetenter Security-Ansprechpartner in den jeweiligen Fachbereichen umgesetzt haben. Die Priorisierung der IT-Sicherheit dient dabei nicht nur der Absicherung von (Kunden-)Daten und Systemen, sondern auch der Entwicklung von neuen, grundlegend abgesicherten Geschäftsmodellen und fungiert gleichzeitig als Differenzierungsmerkmal gegenüber den Wettbewerbern.