Nachdem der erste Schritt getan ist und e die systemischen und organisatorischen Grundlagen für ein Informationssicherheitsmanagementsystem (ISMS) geschaffen wurden, stellen sich für Luftfahrtorganisationen oft die nächsten Fragen:
Wie lässt sich dieses ISMS effizient in bereits bestehende Managementsysteme integrieren? Wie lassen sich die zahlreichen Dokumentationsanforderungen der EASA effizient bewältigen? Wie halte ich einem Audit stand, ohne den Überblick über die diversen Nachweisdokumente zu verlieren?
Abhilfe kann hier ein gut strukturiertes Handbuch zum ISMS schaffen, das sog. Information Security Management Manual (ISMM).
Warum ein ISMS ohne übergreifende Struktur an Grenzen stößt
Mit wachsender regulatorischer Breite & Tiefe wird das Bild komplexer. Im Luftfahrtbereich existieren zahlreiche Vorgaben zur (Cyber-)Security, Safety sowie zu Managementsystemen und organisatorischen Verantwortlichkeiten. In der Theorie klar abgegrenzt, im Alltag oft durch einen pragmatischen und übergreifenden Ansatz adressiert.
Aber: Ist dies auch so dokumentiert, dass es im Audit auf Anhieb nachvollziehbar ist?
Was ein Information Security Management Manual (ISMM) leistet
Zunächst werden weitere Dokumentationsanforderungen oft als eine zusätzliche unnötige Belastung empfunden, die wertvolle Ressourcen kostet. Investitionen in die Sicherheit bzw. deren Gegenwert sind in der Regel nicht sofort sichtbar bzw. die Gefahr nicht direkt quantifizierbar.
Mit Hilfe eines ISMM bzw. eines gut dokumentierten ISMS lassen sich in der Praxis Sicherheitslücken in Form von unvollständigen oder nicht vorhandenen Prozessen, Verantwortlichkeiten, Meldewegen etc. erkennen und in der Folge schließen. Auf diese Weise kann ein ISMM maßgeblich zur Erhöhung der Informationssicherheit in ihrem Unternehmen beitragen.
Ein ISMM stellt das zentrale (Nachweis-)Dokument eines ISMS gem. EASA Part-IS dar und verweist an den entsprechenden Stellen auf die themenspezifisch relevante mitgeltende Schlüsseldokumentation.
Das ISMM beschreibt, wie Ihr ISMS organisiert ist: Scope und Abgrenzung, Verantwortlichkeiten, Einbettung in bestehende Managementsysteme, Schnittstellen zu Dienstleistern und Behörden sowie den Prozess zur Kontinuierlichen Verbesserung des ISMS.
EASA Part-IS: Was die Verordnung vom ISMM fordert
Mit der Verordnung (EU) 2022/1645 hat die EASA Informationssicherheit nun als integralen Bestandteil der Aviation Safety definiert.
Die Anforderungen der o.g. Verordnung gehen über die der einschlägigen Frameworks – wie ISO/IEC 27001 – hinaus. So adressiert ISO/IEC 27001eher klassische Schutzziele wie Vertraulichkeit, Integrität und Verfügbarkeit, wohingegen EASA Part-IS eine zusätzliche Frage stellt: Welche Bedrohungsszenarien haben möglicherweise Auswirkungen auf die Aviation Safety, stellen also ein Risiko für die flugbetriebliche Sicherheit dar?
Dabei geht es nicht um klassische technische Defekte ohne bewusste menschliche Einwirkung, sondern um die gezielte mutwillige Beeinflussung dieser Systeme.
Beispiele dafür an Flughäfen sind manipulierte Wartungsdaten, blockierte ATC-Informationen oder kompromittierte Bodenabfertigungssysteme. Derlei Safety-Risiken sollten durch einen im ISMM dokumentierten Prozess identifiziert, bewertet und behandelt werden. Neben dem Risikomanagement sind darin auch weitere Verantwortlichkeiten, Prozesse und Verfahren zu dokumentieren, bspw. zu den Themen Training & Qualifikation, Behandlung von Informationssicherheitsvorfällen und -schwachstellen sowie zur kontinuierlichen Verbesserung.
Was die Entwicklung eines ISMM erfordert
Eines vorab: Ein ISMM lässt sich nicht ohne weiteren Aufwand als Standarddokument erstellen. Es sollte die gelebten Verantwortlichkeiten, Prozesse und die Struktur des ISMM detailliert beschreiben sowie an die Komplexität der Organisation angepasst sein. So erfordert bspw. ein internationaler Großflughafen in puncto Schutzbedarf und bzgl. der Menge an Daten- und Informationsflüsse ein wesentlich komplexeres ISMS als ein kleiner Wartungsbetrieb – entsprechend umfangreicher gestalten sich somit auch die Inhalte des ISMM.
Neben der Frage, welche Prozesse und Systeme in den ISMS-Scope fallen, ist es auch wichtig zu analysieren, wie externe Schnittstellen zu Dienstleistern definiert sind und inwiefern Informationssicherheitsrisiken möglicherweise einen Einfluss auf die flugbetriebliche Sicherheit haben.
Dies erfordert eine abteilungsübergreifende Abstimmung zwischen IT, operativen Einheiten, Safety Management und Compliance. Und es erfordert Kenntnis der Part-IS-Anforderungen und eine effiziente Vorgehensweise, wie sich dabei ggf. auf bestehende Strukturen aufbauen lässt. AviaCert begleitet Flughäfen und Luftfahrtorganisationen bei genau diesem Schritt — von der Analyse vorhandener Strukturen über die Zuordnung regulatorischer Anforderungen bis hin zur vollständigen auditfähigen Dokumentationsbasis.