Wie für viele Unternehmen der Luftfahrtindustrie war der Sommer 2022 für die Eurowings GmbH geprägt von extremen Herausforderungen: die Pandemie, die angespannte Situation an vielen Flughäfen und der Krieg in der Ukraine, um nur die größten zu nennen. Eurowings hat erkannt, dass es gerade in diesen schwierigen Zeiten umso wichtiger ist, Themen der Informationssicherheit nicht aus den Augen zu verlieren. Denn genau zu diesem Zeitpunkt wittern Cyberangreifer Gelegenheiten, Unternehmen zu schaden – als Fluggesellschaft steht Eurowings dabei in besonderem Maße im Fokus. Unzureichende Informationssicherheit kann nicht nur zu enormen wirtschaftlichen Schäden führen sondern im Extremfall sogar Menschenleben gefährden. Um sich gegen Angriffe bestmöglich zu schützen, betreibt Eurowings ein professionelles Informationssicherheitsmanagementsystem (ISMS), für welches das Unternehmen eine Zertifizierung nach ISO/IEC 27001:2013 angestrebt hat. Zum Schutz der Zahlungskartendaten ihrer Kunden lässt Eurowings sich zudem jährlich nach dem Sicherheitsstandard der Payment Card Industry PCI DSS zertifizieren. Zwei Teams mit Expert*innen der usd AG unterstützten Eurowings bei beiden Sicherheitszertifizierungen.
Im März 2022 startete das Projekt zur Vorbereitung auf die ISO/IEC 27001:2013-Zertifizierung für den Bereich Ground Operations sowie aller unterstützenden Prozesse, wie IT und Einkauf. Das Team der usd unter Leitung von Andrea Rupprich unterstützte hier bis zur erfolgreichen Zertifizierung im September 2022 – und darüber hinaus.
Das Zertifizierungsprojekt nach PCI DSS begann unter Leitung von Lead Auditor Tobias Weber der usd im Mai 2022. Im Dezember desselben Jahres wurde es mit einer offiziellen Bestätigung der Compliance nach PCI DSS v3.2.1 erfolgreich beendet.
Zusätzlich zum Zertifizierungsprojekt startete im August 2022 das PCI DSS-Beratungsprojekt unter Leitung von Ahmad Najim Quraishi. Im Rahmen dieses Projekts unterstützte er als interner PCI Officer im Vorfeld die Eurowings bei der Umsetzung von Maßnahmen der Zahlungssicherheit.
„Die Informationssicherheit in unserer Unternehmensgruppe und die Sicherheit der Daten unserer Kunden stehen für uns an oberster Stelle. Dass die usd hier der richtige Partner für uns ist, sehen wir nicht zuletzt an der Zufriedenheit unserer internen Ansprechpartner sowie externen Partner und Dienstleister."
Mehtap Secilmis, ISO der Eurowings Group
Informationssicherheitsmanagementsystem: keine One-size-fits-all-Lösung
In der Luftfahrtindustrie, in der eine Vielzahl von Daten wie Passagierinformationen und Flugpläne verarbeitet werden, ist die Einhaltung der ISO 2700x-Standards unerlässlich, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten sicherzustellen. Durch die Implementierung von ISO 27001-Maßnahmen können Luftfahrtunternehmen wie Eurowings sicherstellen, dass ihre IT-Systeme und Prozesse den höchsten Sicherheitsstandards entsprechen und das Risiko von Cyberangriffen, Datenschutzverletzungen und anderen Sicherheitsvorfällen minimiert wird.
Eurowings hatte zu Projektbeginn bereits ein gutes Reifegradniveau ihrer Informationssicherheitsmaßnahmen erreicht. So waren wichtige Rahmenbedingungen, wie zum Beispiel Information Security Policies, bereits durch den Mutterkonzern Lufthansa etabliert.
Um den Anforderungen der ISO/IEC 27001:2013 gerecht zu werden, bestand das Ziel des Projektteams darin, die ISMS-Prozesse bei Eurowings weiter zu schärfen und den jeweiligen Umsetzungsreifegrad sowie die Transparenz der Prozesse zu steigern. Bei der Umsetzung der durch den Mutterkonzern vorgegebenen Sicherheitsanforderungen berücksichtigte das ISMS-Team der usd die Besonderheiten und individuellen Bedürfnisse von Eurowings – denn eine „One-size-fits-all“-Lösung kann es für ein gut funktionierendes ISMS nicht geben.
Engagement und Kommunikation auf Augenhöhe: Eurowings Ground Operations
Der gewohnte Geschäftsbetrieb des Ground-Ops-Bereichs von Eurowings lief zu Projektbeginn langsam wieder an. Trotz diverser aus der Pandemie hervorgegangener Herausforderungen für das operative Geschäft zeigte sich der Bereich unter Kathrin Wester, Head of Station Management von Eurowings, äußerst empfänglich und engagiert für Themen der Informationssicherheit. Die Aufgabe des ISMS-Teams der usd, die Verantwortlichen und Ansprechpartner*innen des Ground Ops-Bereichs in die ISMS-Prozesse intensiv einzubinden, konnte so leicht erfüllt werden.
„Wir alle erleben ungewöhnliche Zeiten, die uns in unserem operativen Geschäft vor bisher unbekannte Herausforderungen gestellt haben. Umso wichtiger ist es für uns, aus dieser Krisensituation gestärkt hervorzugehen und Themen der Cyber Security nicht aus den Augen zu verlieren. Mein Team und ich nehmen die Anregungen und den Austausch mit den usd-Experten dankend an und unterstützen ihre Umsetzung selbstverständlich mit allen uns zur Verfügung stehenden Kapazitäten.“
Kathrin Wester, Head of Station Management von Eurowings
„Die Kommunikation mit allen Ansprechpartner*innen von Eurowings erfolgte von Anfang an auf Augenhöhe, professionell und lösungsorientiert. Es war sehr deutlich, dass alle Betroffenen stark hinter dem Vorhaben standen: Begonnen bei der Geschäftsführung über die Leitung des Ground-Operations-Bereichs bis zu allen weiteren Ansprechpartner*innen, erfolgte die Umsetzung von Sicherheitsmaßnahmen immer pragmatisch und ohne bürokratische Hindernisse.“
Andrea Rupprich, Managing Security Consultant der usd AG
Im Informationssicherheitsmanagement spielen alle Mitarbeitenden eines Unternehmens eine wichtige Rolle. Daher förderte das ISMS-Team der usd neue Awareness- und Kommunikationsmaßnahmen zu Informationsklassifizierung und weiteren wichtigen Themen der Informationssicherheit für das Management, die Leiter*innen der Flughafenstationen und alle Mitarbeitenden. Auch interne Audits am Headquarter und an den relevanten Standorten begleitete das Team in beratender Funktion.
„Das Großartige an der Zusammenarbeit mit Eurowings ist, dass wir beidseitig viel voneinander lernen. Wir über die Prozesse von Eurowings und die IT-Systeme an ihren Stationen und im Headquarter. Und Eurowings im Gegenzug, worauf es in der Informationssicherheit ankommt. So konnten wir gemeinschaftlich gute Ansätze erarbeiten, die für alle Beteiligten betreibbar sind, Maßnahmen effektiv verbessern und bereits eine Planung für die nächsten Jahre aufstellen.“
Wienke Schumacher, Senior Security Consultant der usd AG
PCI DSS: Schutz vor Diebstahl und Missbrauch von Zahlungskartendaten
Insbesondere für Fluggesellschaften, die Online-Reservierungen oder den Verkauf von Flugtickets über das Internet anbieten, ist die Einhaltung des PCI DSS-Standards unerlässlich, um sensible Kundendaten wie Kreditkarteninformationen zu schützen. Durch die Implementierung von PCI DSS-Maßnahmen können Luftfahrtunternehmen wie Eurowings sicherstellen, dass die Daten ihrer Kunden bestmöglich vor unbefugtem Zugriff geschützt werden.
Im Rahmen des Projekts stellte Eurowings mit Unterstützung der usd zunächst sicher, dass alle relevanten Sicherheitsanforderungen des PCI DSS im Unternehmen umgesetzt und ihre Aufrechterhaltung stringent nachverfolgt wird. Neben der Optimierung von Prozessen und Richtlinien begleitete und führte Ahmad Najim Quraishi als PCI Compliance Officer dazu Risikobewertungen, Schulungsmaßnahmen, Härtungsmaßnahmen und technische Sicherheitsanalysen durch:
- Implementierung von Risk-Management-Prozessen, um mögliche Risiken im Vorfeld zu identifizieren und zu minimieren
- Maßnahmen rund um Service Provider Management zur Risikoeinschätzung externer Dienstleister
- Incident Response Training, in dem Mitarbeitende lernen, wie sie im Fall eines erfolgten Angriffs schnell und angemessen reagieren können
- Secure Coding Trainings zur Schulung von Entwickler*innen mit Anregungen dazu, wie der Sicherheitsaspekt bereits in den Entwicklungszyklus von Anwendungen integriert werden kann
- Evaluierung von eingesetzten Tokenisierungslösungen, um die Sicherheit der Zahlungsprozesse sicherzustellen
- Unterstützung bei der Migration in die Azure Cloud und Auswertung der Sicherheitscheckergebnisse, um die IT-Sicherheit auch in der Cloud zu gewährleisten
- SIEM Splunk Gap Analyse, um mögliche Lücken in der Sicherheitsüberwachung zu erkennen und zu schließen
- PCI DSS Penetration Tests der Webseite und der Infrastruktur, Schwachstellen- und ASV-Scans inkl. der fachlichen Unterstützung und Begleitung
„Die erfolgreiche Zertifizierung nach PCI DSS ist für uns das Ergebnis des Engagements von Eurowings für die Sicherheit von Zahlungskartendaten. Dank ihrer umfassenden Vorbereitung und konstruktiven Zusammenarbeit war es uns möglich, diese komplexe Zertifizierung erfolgreich termingerecht abzuschließen. Wir schätzen unsere Partnerschaft mit Eurowings sehr und sind stolz auf das gemeinsam Erreichte.“
Tobias Weber, Managing Consultant der usd AG
Kontinuierliche Verbesserung ist unerlässlich – die usd bleibt Partner
Die usd bleibt Eurowings als Partner für Informationssicherheit auch über die Abschlüsse der Zertifizierungen hinaus erhalten. Ahmad Najim Quraishi wird Eurowings weiterhin als interner PCI Compliance Officer bei der Einhaltung von Sicherheitsanforderungen im Bereich Zahlungssicherheit unterstützen. Auch das ISMS-Team der usd wird Eurowings weiterhin begleiten.
„Informationssicherheit ist niemals vollendet, sondern immer ein Prozess von stetiger Prüfung und Verbesserung. Meine Kolleg*innen aus dem ISMS-Team und ich werden auf unsere vereinte Expertise zurückgreifen, um Eurowings stets eine ganzheitliche Perspektive auf ihr Sicherheitsniveau zu bieten.“
Ahmad Najim Quraishi, Managing Consultant der usd AG
„Die kontinuierliche Verbesserung ist ein essenzieller Teil der Informationssicherheit und Compliance. Das heißt, dass unsere Arbeit mit den Teams der usd AG nach den erfolgreichen Zertifizierungen nahtlos weitergeht. Wir freuen uns, dass wir bei der Aufrechterhaltung und Verbesserung der Maßnahmen weiterhin auf die Unterstützung der usd zählen dürfen.“
Mehtap Secilmis, ISO der Eurowings Group
Über Eurowings
Eurowings ist eine Tochtergesellschaft der Lufthansa und damit Teil des weltweit größten Aviation Konzerns. Mit einer Flotte von aktuell 139 Flugzeugen ist Eurowings auf preisgünstige Direktflüge innerhalb Europas spezialisiert. Die deutsche Fluggesellschaft bietet derzeit mehr als 100 Destinationen in über 50 Ländern an und ist damit der drittgrößte europäische Point-to-Point Carrier. 2018 hat das Unternehmen erstmals mehr als 40 Millionen Passagiere geflogen und ist personell auf rund 3.500 Mitarbeiter angewachsen. Die Airline unterhält 13 Standorte in Deutschland sowie im europäischen Ausland und ist an sechs Flughäfen Marktführer.