Cyber-Bedrohungen in der Luftfahrt

Manipulationen an Computersystemen von Fluggesellschaften sind heutzutage durchaus möglich, viel wahrscheinlicher sind allerdings weitaus weniger beängstigende Szenarien, nämlich dass IT-Pannen Reisepläne durcheinanderbringen und Fluggesellschaften finanzielle Einbußen erleiden. Seit über einem Jahr musste eine Reihe von Fluggesellschaften Verbindungen deshalb stornieren, weil die IT aus verschiedenen Gründen ausgefallen war. Unabhängig von der Ursache dieser Probleme sind die Folgen für die Passagiere stets dieselben: Flüge werden gestrichen oder es kommt zu teilweise tagelangen Verspätungen, Geschäftstreffen müssen abgesagt oder verschoben werden oder man verbringt seine wertvolle Urlaubszeit in Warteschlangen am Flughafen.

In einem verflochtenen Umfeld wird oft nicht beachtet, dass IT-Versagen oder -Angriffe unvermeidliche Ereignisse sind. Unsere Erfahrung in zahlreichen Branchen zeigt, dass Netzwerke immer nur so stark sind wie die schwächste Verbindung. Interessanterweise kann das bedeuten, dass die etablierten und traditionellen Fluggesellschaften unter Umständen besonders anfällig sind. Eine ums Überleben kämpfende Fluggesellschaft kann sicherlich nur wenig oder gar nichts investieren, um ihre IT-Systeme zu aktualisieren. Wenn die Mittel knapp sind, muss zunächst die Luftsicherheit gewährleistet sein. Wird die Gesellschaft dann verkauft, versucht der neue Eigentümer oder Partner eher, das Altsystem zu übernehmen, statt die IT vollständig zu integrieren und zu aktualisieren. 

Bei neueren Fluggesellschaften ohne diese Altlasten bestehen daher bessere Chancen, dass sie ihre IT-Systeme im Griff haben, und sie dürften unter Versicherungsaspekten eine bessere Option darstellen. Wollen Erst- und Rückversicherer die Branche bei ihren Herausforderungen unterstützen, müssen sie die Risiken in dieser komplexen und verflochtenen Branche gut kennen. 

Fluggesellschaften sind zum einen von weltweiten Vertriebssystemen abhängig, die automatisierte Transaktionen zwischen Reisedienstleistern ermöglichen und dabei meist Fluggesellschaften, Hotels und Autovermieter verbinden. Zum anderen gilt es, die Abläufe am Flughafen selbst zu koordinieren – vom Check-in sowie von der Gepäck- und Sicherheitskontrolle über die Pass- und Zollkontrolle, das Catering, das Auftanken und die Flugsicherung bis hin zum Unterhaltungsangebot an Bord. Die Passagiere erwarten, dass alle Abläufe von Abflug bis Zielort nahtlos ineinandergreifen. Für eine Branche, die ständig unter dem Druck steht, die Sicherheitsstandards hoch und die Kosten niedrig zu halten, ist das eine enorme Anforderung.

Hinzu kommen zusätzliche Vorschriften, die im Mai und Juni 2018 in Kraft traten. So bringt die „EU-Datenschutz-Grundverordnung 2018“ deutlich strengere Datenschutzbestimmungen und hohe Bußgelder für deren Nichteinhaltung mit sich. Die „IATA-Entschließung 753 Gepäckverfolgung“ ist zudem mit einer ganzen Reihe von Verwahrungsanforderungen verbunden. Kundendaten werden mit Buchungsagenturen und Vielfliegerprogrammen ausgetauscht, die über personenbezogene Daten verfügen. Daher müssen bei einem Verstoß zwingende Meldeanforderungen sowie das erhebliche Risiko von Bußgeldern und Strafen beachtet werden. Viele Fluggesellschaften lagern auch einige ihrer IT-Funktionen an externe Anbieter aus, was die Kette noch komplizierter macht und möglicherweise schwächere Verbindungen schafft.

Zwischenfälle aus jüngster Zeit zeigen, dass die Schäden bei einem Versagen oder Ausfall der IT rasch ein hohes Ausmaß annehmen können. Bei zwei US-Fluggesellschaften kam es 2016 nach Systemstörungen zu größeren Ausfällen im Buchungsprogramm und zu Flugstornierungen. Obwohl die Ereignisse nicht unbedingt Hacker- oder Malware-Angriffen zuzuschreiben waren, vermittelten sie einen Eindruck von dem Durcheinander und den Kosten, die IT-Ausfälle verursachen können. Dies führte zu Fragen des US-Kongresses und folgender Aussage: „Als Akteure in dieser kritischen Transportbranche sind Sie dafür verantwortlich sicherzustellen, dass Ihre IT-Systeme zuverlässig und stabil sind.“ Im US-Markt kontrollieren nur vier Akteure derzeit 85 Prozent der nationalen Kapazitäten. Über die Kosten der Ausfälle wird viel spekuliert. Laut öffentlichen Berichten verursachten diese für die beiden Fluggesellschaften Kosten zwischen jeweils 80 Millionen und 150 Millionen US-Dollar.

Im Mai 2017 fielen an einem verkehrsreichen verlängerten Wochenende die Computersysteme der führenden britischen Fluggesellschaft aus. Menschliches Versagen war wahrscheinlich die Ursache dafür, dass etwa 75.000 Passagiere festsaßen. Die Muttergesellschaft gab die Kosten des Vorfalls mit 80 Millionen britischen Pfund an, der Reputationsschaden ist hierbei noch nicht mit eingerechnet.

Entscheidende Faktoren sind die Prävention sowie die Existenz stabiler IT-Systeme und deren Wartung. Sollte es trotz dieser Vorkehrungen zu Störungen kommen, ist gutes Schadenmanagement gefragt.

Für die Fluggesellschaften bedeutet dies:
 

• Es kommt auf schnelle, effektive und durchdachte Gegenmaßnahmen an.
• Mangelnde Kommunikation verursacht unnötige Kosten.
• Schlechte Erfahrungen der Passagiere verbreiten sich schnell in den sozialen Medien und können sowohl den Ruf des Unternehmens schädigen als auch finanzielle Einbußen bedeuten.
• Transparenz und die Übernahme von Verantwortung sind für die öffentliche Reaktion enorm wichtig.

Aufseiten der Versicherungsbranche geht es darum, die Bearbeitung von Schadenfällen einfacher, effektiver und leichter quantifizierbar zu machen. Der Versicherungsschutz und seine Funktionsweise sollten in der Praxis vollständig verstanden werden.
 

• Feste Ansprechpartner erleichtern die Kommunikation.
• Es gilt Wege zu finden, um Unterschiede in der Erwartungshaltung zu minimieren.
• Im Voraus genehmigte „Forensic Accountants“ erleichtern es, zu einem für beide Parteien akzeptablen Ergebnis zu kommen.
• Einige Versicherungsprodukte bieten feste Mindestbeträge für jeden stornierten Passagierflug.

Versicherer wissen: Wenn ein Versicherter viel Zeit und Energie aufwenden musste, um einen Verlust zu quantifizieren, belasten Rückfragen und Abzüge möglicherweise die Kundenbeziehung. Missverständnisse sind nicht nur finanziell teuer. Deshalb ist alles, was wir tun können, um den Prozess zu beschleunigen und ein besseres Verständnis zu erreichen, im Interesse aller Beteiligten.