IT-Sicherheit bei der Lufthansa

Wie Security by Design fliegen lernt

05.11.2020 von Florian Maier
Für die Lufthansa Group ist IT-Sicherheit alles andere als Nebensache. Lesen Sie, wie der Luftfahrtkonzern Security by Design zum Differenzierungsmerkmal macht.
Die Lufthansa Group bringt das "Security by Design"-Prinzip im großen Stil zum Fliegen. Lesen Sie, wie.
Foto: Volodymyr Kyrylyuk - shutterstock.com

Die Lufthansa Group möchte laut ihrer Unternehmensstrategie zu "einer der digitalsten Airlines der Welt" werden. Das dürfte den Konzern für kriminelle Hacker zu einem noch attraktiveren Ziel machen. Ein Umstand, dem man sich bei der Lufthansa bewusst ist - und dem man in Form einer konzernweiten Sicherheitsstrategie begegnet. Diese ist in die digitale Transformation des Konzerns eingebettet und hat der Lufthansa Group die Finalteilnahme am diesjährigen DIGITAL LEADER AWARD - dem deutschen Award für Digital Leadership - in der Kategorie CYBERSECURITY eingebracht.

Strategische Security-Grundlagenarbeit

In einem ersten Schritt erstellten die Verantwortlichen im Jahr 2018 eine Risikolandkarte, die die größten Cyber-Gefahren für die einzelnen Gesellschaften sowie deren Auswirkungen auf den Geschäftsbetrieb darstellt. Inhaltlich hat man die Cyber-Security-Strategie auf die spezifischen Herausforderungen der Lufthansa Group ausgerichtet: In erster Linie wurden Risiken und Schwachstellen in der Legacy-Umgebung behoben und parallellaufende Modernisierungsprojekte koordiniert.

Auf dieser Grundlage entstand eine Roadmap, die Ziele und Investitionsprioritäten für die kommenden drei Jahre beschreibt. Dabei legte man größten Wert auf Flexibilität, um sich jederzeit auch an veränderte Marktbedingungen anpassen oder Investments neu priorisieren zu können. Bei der Lufthansa Group spricht man nicht ohne Stolz von "einem der anspruchsvollsten Cyber-Security-Programme der Airline-Industrie", dessen Ziele unter anderem die flächendeckende Förderung von Sicherheitskultur sowie eine von Grund auf sichere Entwicklung von Software und Produkten umfassen.

Neue Organisationsstruktur entwickelt

Um das Projekt strategisch in die richtigen Bahnen zu lenken und maximale Transparenz für alle Stakeholder zu gewährleisten, entwickelte die Lufthansa Group unter anderem eine neue Organisationsstruktur, was wiederum dem prozessorientierten Transformationsgedanken zuträglich ist. Das Herzstück dieser neuen Struktur bildet der CISO in Person von Abdou-Naby Diaw, dessen Rolle mit weitreichenden Kompetenzen ausgestattet wurde, um Security-Abteilung und Fachbereiche enger miteinander zu verzahnen.

Nur so sei es möglich, so die Verantwortlichen, dass "Security by Design" für alle Beteiligten zur Selbstverständlichkeit wird. CISO Abdou-Naby Diaw verantwortet die Bereiche Cyber Security, IT-Strategie und -Governance sowie das technische IT-Providermanagement und berichtet direkt an den Lufthansa Group CIO, Roland Schütz.

Warum agile Organisationen und Methoden effizienter sind
9 Gründe, weshalb agile Unternehmen ihr Business und Krisen besser meistern
Agile Methoden haben in vielen Unternehmen zwar schon Einzug gehalten, meist aber nur in Einzelbereichen wie zum Beispiel der IT. Eine Studie der Technologieberatung BearingPoint zeigt jedoch, dass Unternehmen mit einer durchgängig agilen Organisation sowie in der Unternehmenskultur verankertem agilen Mindset den Alltag und Krisen schneller und besser meistern. Gute Gründe für mehr Agilität.
Vereinfachte Prozesse
Agile Organisationen zeichnen sich durch hohe End-to-End-Prozessverantwortung, schlanke Prozesse, hohe Prozessautomatisierung und -standardisierung aus. Je leichtgewichtiger und standardisierter Prozesse sind, umso kosteneffizienter können Organisationen agieren.
Vereinfachte Steuerungslogik
Organisationen, die in Abhängigkeit von Prioritätsänderungen flexibler steuern können, sind in Krisenzeiten besser in der Lage, schnell auf geänderte Parameter zu reagieren.
Vereinfachte Organisationsstruktur
Agile Organisationen zeichnen sich dadurch aus, dass anhand der Wertschöpfungskette durchgängig verantwortliche, autonome und cross-funktionale Teams aufgebaut und Abteilungsgrenzen aufgelöst werden. In Krisenzeiten profitieren agile Organisationen durch bessere Zusammenarbeit über Teams, Abteilungen oder Business Units hinweg.
Höherer Innovationsgrad
Interdisziplinäre Teams wirken als Brutkasten für innovative Ideen und Ansätze. Außerdem verfügen agile Organisationen öfter über offene Ökosysteme und profitieren in Krisenzeiten von diesem Netzwerk.
Schnelle Reaktionsfähigkeit
Es gilt, die Krise als Chance zu sehen und Änderungen willkommen zu heißen. Strukturen und Prozesse wie agiles Portfolio Management oder Objektive and Key Results helfen kontinuierlich neu zu bewerten. Agile Organisationen arbeiten iterativ mit vielen Feedback-Schleifen und das ständige Hinterfragen und Reagieren auf Änderung ist Teil ihrer DNA.
Kundennähe und Kundenzentriertheit
Gerade in Krisenzeiten muss den Kundenbedürfnissen entsprechend noch zielgerichteter agiert werden. Schnelles Feedback ist hier extrem wertvoll. Als Organisation muss bewusst auch mit Teilprodukten auf den Markt zu gegangen werden, um etwaige Kundenwünsche oder Adaptionen früh genug berücksichtigen zu können.
Hohe Selbstorganisation und Teamwork
Teams, die es gewohnt sind, auch selbst Entscheidungen zu treffen, sind in Krisenzeiten flexibler und besser vorbereitet. Organisationen, deren Management sehr stark auf Selbstorganisation setzt und Entscheidungsbefugnisse weitgehend an die agilen Teams delegiert haben, sind schneller, was auch in Krisenzeiten ein immenser Vorteil ist.
Neuer Leadership-Stil
Führungskräfte sind in Krisenzeiten besonders gefordert und profitieren von Skills, die für agile Organisationen typisch sind. Eine starke und offene Kommunikation kann Sorgen und Unsicherheiten ausräumen und psychologische Sicherheit vermitteln. Führungskräfte, denen es gelingt, eine nachhaltige Fehlerkultur zu etablieren, fördern nicht nur das kontinuierliche Lernen, sondern sorgen auch dafür, dass Mitarbeiter bereit sind, Entscheidungen und Risiken zu treffen.
Technologie-Führerschaft
Agile Organisationen zeichnen sich durch eine Technologieführerschaft und den Einsatz moderner State-of-the-Art-Technologien aus. Organisationen, die bereits vor der Krise begonnen haben, ihre Kernsysteme auf eine Micro-Service-Architektur mit losen gekoppelten Services umzubauen und den Einsatz von Continuous-Integration-Systemen forciert haben, sind in der Lage, schneller und unabhängiger zu produzieren und kontinuierlich Releases zu veröffentlichen.

Das Top Management sowie ein externes Advisory Board mit Vertretern der Cyber-Sicherheits-Community bewerten regelmäßig die aktuelle Sicherheitslage. Darauf aufbauend gibt das "Program Review Committee" als agiles Steuerungsgremium das Budget für den nächsten Sprint frei. So ist nach Aussage der Lufthansa Group gewährleistet, dass sich die Verantwortlichen aus IT und Fachbereichen kontinuierlich und konstruktiv mit den einzelnen Maßnahmen auseinandersetzen. Als Entscheidungsgrundlage dient den unterschiedlichen Akteuren und Gremien eine Risikolandkarte, die abstrakte Security-Informationen insbesondere für die Vertreter der Fachbereiche verständlicher macht.

Mit Hilfe der neuen Rollenstruktur, den veränderten Verantwortlichkeiten sowie den Awareness-Maßnahmen des Programms wurden die Veränderungen von der Belegschaft auf breiter Basis akzeptiert. Positive Effekte konnte der Konzern in Sachen Nutzerzufriedenheit und Effizienzsteigerung bei applikationsgestützten Prozessen und dem Einsatz mobiler Devices erzielen.

IT-Sicherheit auf allen Ebenen

Da die Lufthansa Group zahlreiche Technologien in diversen Bereichen einsetzt, erstreckt sich die umfassende Adoption des "Security by Design"-Prinzips auf diverse Bereiche:

Durch ergänzende Maßnahmen wird der Security-Fokus der Lufthansa Group programmatisch abgerundet: Die derzeit gültigen Security Policies wurden verschlankt und orientieren sich nun an internationalen Standards. In Kooperation mit den entsprechenden Providern erarbeitete der Konzern zudem eine Cloud-Security-Strategie, die auf dem DevSecOps-Ansatz fußt.

Darüber hinaus wird das Sicherheitsniveau aller business-kritischen Applikationen und Prozesse der Lufthansa Group im Rahmen regelmäßiger Penetrations- und Red-Teaming-Tests auf den Prüfstand gestellt, um eine gleichbleibend hohe Resilienz zu gewährleisten. Ein Bug-Bounty-Programm, ein umfassendes Security-Awareness-Programm sowie verpflichtende Sicherheitstrainings für die weltweit 135.000 Mitarbeiter und Führungskräfte sind ebenfalls Bestandteil des umfangreichen Maßnahmenkatalogs.

Daneben hält "Security by Design" auch im Lufthansa Innovation Hub in Berlin Einzug, der Technologien aus der Startup-Welt in die Konzernrealität überführt.

"Security by Design" als USP

Im Jahr 2019 wurde die erste Phase des Programms abgeschlossen - aktuell soll es noch bis zum Jahr 2022 laufen. Das Investitionsvolumen im ersten Jahr belief sich vor der Coronakrise auf einen mittleren, zweistelligen Millionenbetrag. Für die Lufthansa ist das eine mehr als sinnvolle Investition - schließlich sei die Antizipation und Abwehr von Cyber-Risiken heute und in der Zukunft relevant für den wirtschaftlichen Erfolg von Unternehmen, so die Verantwortlichen.

Nach Abschluss des Programms will die Lufthansa Group eine umfassend ausgestaltete Struktur für Informationssicherheit, die Verankerung von Cyber Security in allen Produkten und Prozessen sowie die Etablierung kompetenter Security-Ansprechpartner in den jeweiligen Fachbereichen umgesetzt haben. Die Priorisierung der IT-Sicherheit dient dabei nicht nur der Absicherung von (Kunden-)Daten und Systemen, sondern auch der Entwicklung von neuen, grundlegend abgesicherten Geschäftsmodellen und fungiert gleichzeitig als Differenzierungsmerkmal gegenüber den Wettbewerbern.