Ein unrühmliches Kapitel beim Luftfahrt-Bundesamt geht in eine neue Phase. Nach einer Periode des Wartens, die fast fünf Jahre andauerte, hat das Luftfahrt-Bundesamt (LBA) nun detaillierte Vorgaben zum Thema Cyber Security veröffentlicht. Die EU-Verordnung zu diesem Thema wurde bereits im September 2019 verabschiedet.
Nach Abschluss des Verbändegesprächs im LBA (nähere Informationen s. u.) wurden die finalen Vorgaben für die Umsetzung der EU-Vorgaben in Deutschland auf der LBA-Homepage veröffentlicht. Sie sollten daher eine E-Mail des LBA am 19.12.2024 erhalten haben.
Auch wenn noch nicht alle Fragen abschließend beantwortet wurden, finden Sie hier bereits die wichtigsten Informationen.
Die Umsetzung der Maßnahmen, also das Inkrafttreten der Vorgaben, wurde auf den 01.01.2025 festgelegt. (Anmerkung: Ja, das LBA hat sich 5 Jahre Zeit gelassen und erwartet von der Industrie, dass diese innerhalb von 12 Tagen umgesetzt werden. Dass in diesem Zeitraum die Weihnachtsfeiertage liegen, trägt nicht zur Nachvollziehbarkeit des Vorgehens der Behörde bei.)
Das LBA verlangt nicht, dass zum 01.01.2025 die Änderungen in den Sicherheitsprogrammen an das LBA übermittelt werden.
Die Mitarbeiter des LBA werden zu Beginn vor Ort nicht prüfen, ob die beschriebenen Maßnahmen umgesetzt wurden, sondern lediglich das Vorhandensein des Sicherheitsprogramms bzw. der Anlage zum Sicherheitsprogramm prüfen. (Anmerkung: Dem LBA mangelt es an Fachkenntnissen zum Thema Cyber Security, um dies zu prüfen).
Wir empfehlen folgende Vorgehensweise:
Übermitteln Sie den für IT-Sicherheit zuständigen Mitarbeiter folgende Dokumente zur Evaluierung (viele der geforderten Maßnahmen wurden in Unternehmen bereits implementiert, ohne dass Luftsicherheit der Motivator hierfür ist):
Zusätzliche Informationen können angefragt werden, indem Sie eine E-Mail von einem personalisierten Postfach (nicht info@, Abfertigung@ oder IT-Helpdesk@) an CyberSec-AbtS@lba.de senden. Bitte geben Sie als Betreff "Interessenbekundung an Zusatzinformationen zu Anwendungsgrundsätzen" an und erbitten Sie Zugang zur BSCW-Groupware/Kollaborationsplattform des Bundes, um zusätzliche Erläuterungen zum AVSEC Doc 10504 zu erhalten.
Vor Erhalt des Zugangs müssen Sie bestätigen, dass Sie die "gemäß TLP 2.0 eingestuften Dokumente entsprechend behandeln".
Das Traffic Light Protocol, kurz "TLP", wurde entwickelt, um den Austausch von potenziell sensiblen Informationen und eine effektivere Zusammenarbeit zu erleichtern. Der Informationsaustausch erfolgt von einer Informationsquelle zu einem oder mehreren Empfängern. Das TLP besteht aus vier Kennzeichnungen, die die von den Empfängern anzuwendenden Grenzen der gemeinsamen Nutzung angeben.
Nachdem die vorliegenden Unterlagen gesichtet wurden, können Sie oder der IT-Verantwortliche mit den im Cyber-Sicherheitsprogramm beschriebenen Maßnahmen beginnen.
Sprechen Sie uns gerne bei Fragen hierzu an.