News - SCSC International GmbH

Cyber Security

Posted on 23.01.2519.01.25 by Mathias Kugler

Ein unrühmliches Kapitel beim Luftfahrt-Bundesamt geht in eine neue Phase. Nach einer Periode des Wartens, die fast fünf Jahre andauerte, hat das Luftfahrt-Bundesamt (LBA) nun detaillierte Vorgaben zum Thema Cyber Security veröffentlicht. Die EU-Verordnung zu diesem Thema wurde bereits im September 2019 verabschiedet.

Nach Abschluss des Verbändegesprächs im LBA (nähere Informationen s. u.) wurden die finalen Vorgaben für die Umsetzung der EU-Vorgaben in Deutschland auf der LBA-Homepage veröffentlicht. Sie sollten daher eine E-Mail des LBA am 19.12.2024 erhalten haben.

Auch wenn noch nicht alle Fragen abschließend beantwortet wurden, finden Sie hier bereits die wichtigsten Informationen.

Die Umsetzung der Maßnahmen, also das Inkrafttreten der Vorgaben, wurde auf den 01.01.2025 festgelegt. (Anmerkung: Ja, das LBA hat sich 5 Jahre Zeit gelassen und erwartet von der Industrie, dass diese innerhalb von 12 Tagen umgesetzt werden. Dass in diesem Zeitraum die Weihnachtsfeiertage liegen, trägt nicht zur Nachvollziehbarkeit des Vorgehens der Behörde bei.)

Das LBA verlangt nicht, dass zum 01.01.2025 die Änderungen in den Sicherheitsprogrammen an das LBA übermittelt werden.

Die Mitarbeiter des LBA werden zu Beginn vor Ort nicht prüfen, ob die beschriebenen Maßnahmen umgesetzt wurden, sondern lediglich das Vorhandensein des Sicherheitsprogramms bzw. der Anlage zum Sicherheitsprogramm prüfen. (Anmerkung: Dem LBA mangelt es an Fachkenntnissen zum Thema Cyber Security, um dies zu prüfen).

Wir empfehlen folgende Vorgehensweise:

Übermitteln Sie den für IT-Sicherheit zuständigen Mitarbeiter folgende Dokumente zur Evaluierung (viele der geforderten Maßnahmen wurden in Unternehmen bereits implementiert, ohne dass Luftsicherheit der Motivator hierfür ist):

Zusätzliche Informationen können angefragt werden, indem Sie eine E-Mail von einem personalisierten Postfach (nicht info@, Abfertigung@ oder IT-Helpdesk@) an CyberSec-AbtS@lba.de senden. Bitte geben Sie als Betreff "Interessenbekundung an Zusatzinformationen zu Anwendungsgrundsätzen" an und erbitten Sie Zugang zur BSCW-Groupware/Kollaborationsplattform des Bundes, um zusätzliche Erläuterungen zum AVSEC Doc 10504 zu erhalten.

Vor Erhalt des Zugangs müssen Sie bestätigen, dass Sie die "gemäß TLP 2.0 eingestuften Dokumente entsprechend behandeln".

Das Traffic Light Protocol, kurz "TLP", wurde entwickelt, um den Austausch von potenziell sensiblen Informationen und eine effektivere Zusammenarbeit zu erleichtern. Der Informationsaustausch erfolgt von einer Informationsquelle zu einem oder mehreren Empfängern. Das TLP besteht aus vier Kennzeichnungen, die die von den Empfängern anzuwendenden Grenzen der gemeinsamen Nutzung angeben.

Nachdem die vorliegenden Unterlagen gesichtet wurden, können Sie oder der IT-Verantwortliche mit den im Cyber-Sicherheitsprogramm beschriebenen Maßnahmen beginnen.

Sprechen Sie uns gerne bei Fragen hierzu an.

EU-Datenbank

Posted on 21.01.2519.01.25 by Mathias Kugler

Die meisten Nutzer der EU-Datenbank zur Überprüfung der Beteiligten an der sicheren Lieferkette verwenden SMS (OTP – One-Time Password) zur Übermittlung des Zugangscodes. Die EU-Kommission hat jedoch beschlossen, diese beliebte Methode im Laufe des nächsten Jahres einzustellen. Daher müssen alle Nutzer der EU-Datenbank eine alternative sekundäre Authentifizierungsmethode wählen.

Es gibt eine Reihe von Methoden, die als Alternative zur Zwei-Faktor-Authentifizierung angeboten werden. Am praktikabelsten scheint jedoch die QR-Code-Methode zu sein. Dazu muss die App „EU Login“ auf dem Smartphone installiert sein.

EU-Login App Anmeldeseite

Sobald auf der Anmeldeseite zur Datenbank die Methode QR-Code ausgewählt wird, wird ein QR-Code generiert, der mit der gestarteten App gescannt wird.

EU Login App QR-Code

Daraufhin wird ein Zugangscode angezeigt, der die SMS ersetzt und nach Eingabe den Zugang zur Datenbank ermöglicht.

Sprechen Sie uns gerne bei Fragen hierzu an.

Manipulationssichere Verpackung

Posted on 16.01.2519.01.25 by Mathias Kugler

In den letzten Wochen hat das Luftfahrt-Bundesamt (LBA) gezielt Reglementierte Beauftragte aufgesucht, um den Zustand der Verpackungen von bereits angenommenen Luftfrachtsendungen zu überprüfen. Zur Überraschung vieler hat das LBA Sendungen den Status "sicher" entzogen, obwohl sie nach den genehmigten Sicherheitsprogrammen der bekannten Versender als ausreichend manipulationssicher galten.

In vielen Fällen wurden die Reglementierten Beauftragten darauf hingewiesen, dass zukünftig alle Sendungen als nicht ausreichend manipulationssicher gelten, wenn ein Kugelschreiber ohne Spuren an der Verpackung eingebracht wird. Da in der Vergangenheit immer ein Smartphone als das "Maß der Dinge" galt, waren viele Beteiligte von dieser Aussage überrascht.

Hintergrund dieser verschärften Maßnahme ist wohl eine Information der EU-Kommission, dass das Einbringen von Sprengschnüren in Luftfrachtsendungen als Gefahr in der Vergangenheit zu wenig Beachtung gefunden hat.

Fraglich ist in diesem Fall das Vorgehen des LBA, da bei unzureichender Verpackung der bekannte Versender seine Verpackung anpassen müsste. Derzeit übt das LBA jedoch Druck auf die Reglementierten Beauftragten aus, teilweise unter Androhung des Statusentzugs, wenn die Manipulationssicherheit bei der Annahme nicht akribisch geprüft wird. Vor diesem Hintergrund ist es verständlich, dass viele Luftfrachtspediteure ihre Kunden mit Informationsschreiben über die neue Auslegung des LBA informieren und dabei teilweise „über das Ziel hinausschießen“.

Darüber hinaus müssen Reglementierte Beauftragte Sendungen nach einer Kontrolle (z.B. Röntgen) so vorbereiten, dass auch hier Manipulationen erkennbar sind.

Das Luftfahrt-Bundesamt hat auf seiner Homepage hierzu eine Meldung veröffentlicht.

Sprechen Sie uns gerne bei Fragen hierzu an.

Durchführungsverordnung (EU) 2022/1174 zur Änderung der DVO (EU) 2015/1998

Posted on 10.07.22 by Mathias Kugler

Heute wurde die o.a. Verordnung zur Änderung der DVO (EU) 2015/1998 veröffentlicht. Die aus unserer Sicht wichtigsten Änderungen im Bereich Luftfracht (Kapitel 6) möchten wir nachstehend aufzeigen:

a) Geschäftliche Versender:
Alle Anforderungen an geschäftliche Versender (in Deutschland bereits nicht mehr anwendbar) wurden gestrichen. Somit können ab dem Inkrafttreten der Verordnung auch in anderen europäischen Ländern keine Sendungen mehr von geschäftlichen Versendern abgefertigt werden. Somit entfällt auch der Status „SCO“ für Sendungen, die nur an Bord von Frachtflugzeugen transportiert werden dürfen.
Das Kapitel 6.5 der Verordnung wurde in „Zugelassene Transporteure“ umbenannt. Allerdings hat dies neue Kapitel noch keinen Inhalt. Es ist aber davon auszugehen, dass mit einer der nächsten Anpassungen Vorgaben für behördlich zugelassene Transporteure, ähnlich den anderen zugelassenen Stellen, gemacht werden.

b) HRCM:
Ein reglementierter Beauftragter, der eine Sendung aufgrund hohen Risikos zurückweist, muss sicherstellen, dass die Sendung und die Begleitunterlagen als Fracht und Post mit hohem Risiko gekennzeichnet sind, bevor die Sendung an die Person zurückgesandt wird, die die Stelle vertritt, die die Sendung übergibt. Eine solche Sendung darf nicht in ein Luftfahrzeug verladen werden, außer wenn sie von einem anderen reglementierten Beauftragten gemäß Nummer 6.7 behandelt wurde.

c) Schulungen 11.2.7 bzw. 11.2.3.9:
Ein reglementierter Beauftragter stellt sicher, dass alle Mitarbeiter gemäß den Anforderungen des Kapitels 11 eingestellt und entsprechend dem einschlägigen Aufgabenprofil geschult werden. Für die Zwecke der Schulung gelten Mitarbeiter mit unbeaufsichtigtem Zugang zu identifizierbarer Luftfracht oder Luftpost, bei der die erforderlichen Sicherheitskontrollen durchgeführt wurden, als Mitarbeiter, die Sicherheitskontrollen durchführen. Personen, die zuvor gemäß Nummer 11.2.7 geschult wurden, müssen bis spätestens 1. Januar 2023 die in Nummer 11.2.3.9 genannten Kompetenzen erwerben.

d) Gleiches gilt für bekannte Versender:
alle Mitarbeiter, die Sicherheitskontrollen durchführen, und alle Mitarbeiter mit unbeaufsichtigtem Zugang zu identifizierbarer Luftfracht oder Luftpost, bei der die erforderlichen Sicherheitskontrollen durchgeführt wurden, sind gemäß den Anforderungen des Kapitels 11 eingestellt und haben eine Sicherheitsschulung gemäß Nummer 11.2.3.9 erhalten. Personen, die zuvor gemäß Nummer 11.2.7 geschult wurden, müssen bis spätestens 1. Januar 2023 die in Nummer 11.2.3.9 genannten Kompetenzen erwerben.

Insgesamt wurden mit dieser Verordnung 48 Änderungen umgesetzt. Zur Information können Sie die Änderungsverordnung hier herunterladen.

Sprechen Sie uns gerne bei Fragen hierzu an.

Neue Muster LBA-Sicherheitsprogramme

Posted on 25.02.2225.02.22 by Mathias Kugler

Das Luftfahrt-Bundesamt hat mit Datum vom 03.02.2022 nochmals für Bekannte Versender, Reglementierte Beauftragte und zugelassene Transporteure neue Muster der Sicherheitsprogramme veröffentlicht. Hier geht es um rein redaktionelle Anpassungen; es wurden keine inhaltlichen Anpassungen vorgenommen.

Muster Bekannter Versender Version 8.1

Muster Luftfracht-Sicherheitsprogramm für Reglementierte Beauftragte

Muster des Transporteur-Sicherheitsprogramms

Ebenso möchten wir darauf hinweisen, dass es seit dem 31.12.2021 eine neue konsolidierte Fassung der DVO(EU) 2015/1998 gibt.

Sprechen Sie uns gerne bei Fragen hierzu an.