IT-Sicherheit bei der Lufthansa

Wie Security by Design fliegen lernt

31.08.2020 von Florian Maier
Für die Lufthansa Group ist IT-Sicherheit alles andere als Nebensache. Lesen Sie, wie der Luftfahrtkonzern Security by Design zum Differenzierungsmerkmal macht.
Die Lufthansa Group bringt das "Security by Design"-Prinzip im großen Stil zum Fliegen. Lesen Sie, wie.
Foto: Volodymyr Kyrylyuk - shutterstock.com

Die Lufthansa Group möchte laut ihrer Unternehmensstrategie zu "einer der digitalsten Airlines der Welt" werden. Das dürfte den Konzern für kriminelle Hacker zu einem noch attraktiveren Ziel machen. Ein Umstand, dem man sich bei der Lufthansa bewusst ist - und dem man in Form einer konzernweiten Sicherheitsstrategie begegnet. Diese ist in die digitale Transformation des Konzerns eingebettet und hat der Lufthansa Group die Finalteilnahme am diesjährigen DIGITAL LEADER AWARD - dem deutschen Award für Digital Leadership - in der Kategorie CYBERSECURITY eingebracht.

Strategische Security-Grundlagenarbeit

In einem ersten Schritt erstellten die Verantwortlichen im Jahr 2018 eine Risikolandkarte, die die größten Cyber-Gefahren für die einzelnen Gesellschaften sowie deren Auswirkungen auf den Geschäftsbetrieb darstellt. Inhaltlich hat man die Cyber-Security-Strategie auf die spezifischen Herausforderungen der Lufthansa Group ausgerichtet: In erster Linie wurden Risiken und Schwachstellen in der Legacy-Umgebung behoben und parallellaufende Modernisierungsprojekte koordiniert.

Auf dieser Grundlage entstand eine Roadmap, die Ziele und Investitionsprioritäten für die kommenden drei Jahre beschreibt. Dabei legte man größten Wert auf Flexibilität, um sich jederzeit auch an veränderte Marktbedingungen anpassen oder Investments neu priorisieren zu können. Bei der Lufthansa Group spricht man nicht ohne Stolz von "einem der anspruchsvollsten Cyber-Security-Programme der Airline-Industrie", dessen Ziele unter anderem die flächendeckende Förderung von Sicherheitskultur sowie eine von Grund auf sichere Entwicklung von Software und Produkten umfassen.

Neue Organisationsstruktur entwickelt

Um das Projekt strategisch in die richtigen Bahnen zu lenken und maximale Transparenz für alle Stakeholder zu gewährleisten, entwickelte die Lufthansa Group unter anderem eine neue Organisationsstruktur, was wiederum dem prozessorientierten Transformationsgedanken zuträglich ist. Das Herzstück dieser neuen Struktur bildet der CISO in Person von Abdou-Naby Diaw, dessen Rolle mit weitreichenden Kompetenzen ausgestattet wurde, um Security-Abteilung und Fachbereiche enger miteinander zu verzahnen.

Nur so sei es möglich, so die Verantwortlichen, dass "Security by Design" für alle Beteiligten zur Selbstverständlichkeit wird. CISO Abdou-Naby Diaw verantwortet die Bereiche Cyber Security, IT-Strategie und -Governance sowie das technische IT-Providermanagement und berichtet direkt an den Lufthansa Group CIO, Roland Schütz.

Warum agile Organisationen und Methoden effizienter sind
9 Gründe, weshalb agile Unternehmen ihr Business und Krisen besser meistern
Agile Methoden haben in vielen Unternehmen zwar schon Einzug gehalten, meist aber nur in Einzelbereichen wie zum Beispiel der IT. Eine Studie der Technologieberatung BearingPoint zeigt jedoch, dass Unternehmen mit einer durchgängig agilen Organisation sowie in der Unternehmenskultur verankertem agilen Mindset den Alltag und Krisen schneller und besser meistern. Gute Gründe für mehr Agilität.
Vereinfachte Prozesse
Agile Organisationen zeichnen sich durch hohe End-to-End-Prozessverantwortung, schlanke Prozesse, hohe Prozessautomatisierung und -standardisierung aus. Je leichtgewichtiger und standardisierter Prozesse sind, umso kosteneffizienter können Organisationen agieren.
Vereinfachte Steuerungslogik
Organisationen, die in Abhängigkeit von Prioritätsänderungen flexibler steuern können, sind in Krisenzeiten besser in der Lage, schnell auf geänderte Parameter zu reagieren.
Vereinfachte Organisationsstruktur
Agile Organisationen zeichnen sich dadurch aus, dass anhand der Wertschöpfungskette durchgängig verantwortliche, autonome und cross-funktionale Teams aufgebaut und Abteilungsgrenzen aufgelöst werden. In Krisenzeiten profitieren agile Organisationen durch bessere Zusammenarbeit über Teams, Abteilungen oder Business Units hinweg.
Höherer Innovationsgrad
Interdisziplinäre Teams wirken als Brutkasten für innovative Ideen und Ansätze. Außerdem verfügen agile Organisationen öfter über offene Ökosysteme und profitieren in Krisenzeiten von diesem Netzwerk.
Schnelle Reaktionsfähigkeit
Es gilt, die Krise als Chance zu sehen und Änderungen willkommen zu heißen. Strukturen und Prozesse wie agiles Portfolio Management oder Objektive and Key Results helfen kontinuierlich neu zu bewerten. Agile Organisationen arbeiten iterativ mit vielen Feedback-Schleifen und das ständige Hinterfragen und Reagieren auf Änderung ist Teil ihrer DNA.
Kundennähe und Kundenzentriertheit
Gerade in Krisenzeiten muss den Kundenbedürfnissen entsprechend noch zielgerichteter agiert werden. Schnelles Feedback ist hier extrem wertvoll. Als Organisation muss bewusst auch mit Teilprodukten auf den Markt zu gegangen werden, um etwaige Kundenwünsche oder Adaptionen früh genug berücksichtigen zu können.
Hohe Selbstorganisation und Teamwork
Teams, die es gewohnt sind, auch selbst Entscheidungen zu treffen, sind in Krisenzeiten flexibler und besser vorbereitet. Organisationen, deren Management sehr stark auf Selbstorganisation setzt und Entscheidungsbefugnisse weitgehend an die agilen Teams delegiert haben, sind schneller, was auch in Krisenzeiten ein immenser Vorteil ist.
Neuer Leadership-Stil
Führungskräfte sind in Krisenzeiten besonders gefordert und profitieren von Skills, die für agile Organisationen typisch sind. Eine starke und offene Kommunikation kann Sorgen und Unsicherheiten ausräumen und psychologische Sicherheit vermitteln. Führungskräfte, denen es gelingt, eine nachhaltige Fehlerkultur zu etablieren, fördern nicht nur das kontinuierliche Lernen, sondern sorgen auch dafür, dass Mitarbeiter bereit sind, Entscheidungen und Risiken zu treffen.
Technologie-Führerschaft
Agile Organisationen zeichnen sich durch eine Technologieführerschaft und den Einsatz moderner State-of-the-Art-Technologien aus. Organisationen, die bereits vor der Krise begonnen haben, ihre Kernsysteme auf eine Micro-Service-Architektur mit losen gekoppelten Services umzubauen und den Einsatz von Continuous-Integration-Systemen forciert haben, sind in der Lage, schneller und unabhängiger zu produzieren und kontinuierlich Releases zu veröffentlichen.

Das Top Management sowie ein externes Advisory Board mit Vertretern der Cyber-Sicherheits-Community bewerten regelmäßig die aktuelle Sicherheitslage. Darauf aufbauend gibt das "Program Review Committee" als agiles Steuerungsgremium das Budget für den nächsten Sprint frei. So ist nach Aussage der Lufthansa Group gewährleistet, dass sich die Verantwortlichen aus IT und Fachbereichen kontinuierlich und konstruktiv mit den einzelnen Maßnahmen auseinandersetzen. Als Entscheidungsgrundlage dient den unterschiedlichen Akteuren und Gremien eine Risikolandkarte, die abstrakte Security-Informationen insbesondere für die Vertreter der Fachbereiche verständlicher macht.

Mit Hilfe der neuen Rollenstruktur, den veränderten Verantwortlichkeiten sowie den Awareness-Maßnahmen des Programms wurden die Veränderungen von der Belegschaft auf breiter Basis akzeptiert. Positive Effekte konnte der Konzern in Sachen Nutzerzufriedenheit und Effizienzsteigerung bei applikationsgestützten Prozessen und dem Einsatz mobiler Devices erzielen.

IT-Sicherheit auf allen Ebenen

Da die Lufthansa Group zahlreiche Technologien in diversen Bereichen einsetzt, erstreckt sich die umfassende Adoption des "Security by Design"-Prinzips auf diverse Bereiche:

Durch ergänzende Maßnahmen wird der Security-Fokus der Lufthansa Group programmatisch abgerundet: Die derzeit gültigen Security Policies wurden verschlankt und orientieren sich nun an internationalen Standards. In Kooperation mit den entsprechenden Providern erarbeitete der Konzern zudem eine Cloud-Security-Strategie, die auf dem DevSecOps-Ansatz fußt.

Darüber hinaus wird das Sicherheitsniveau aller business-kritischen Applikationen und Prozesse der Lufthansa Group im Rahmen regelmäßiger Penetrations- und Red-Teaming-Tests auf den Prüfstand gestellt, um eine gleichbleibend hohe Resilienz zu gewährleisten. Ein Bug-Bounty-Programm, ein umfassendes Security-Awareness-Programm sowie verpflichtende Sicherheitstrainings für die weltweit 135.000 Mitarbeiter und Führungskräfte sind ebenfalls Bestandteil des umfangreichen Maßnahmenkatalogs.

Daneben hält "Security by Design" auch im Lufthansa Innovation Hub in Berlin Einzug, der Technologien aus der Startup-Welt in die Konzernrealität überführt.

"Security by Design" als USP

Im Jahr 2019 wurde die erste Phase des Programms abgeschlossen - aktuell soll es noch bis zum Jahr 2022 laufen. Das Investitionsvolumen im ersten Jahr belief sich vor der Coronakrise auf einen mittleren, zweistelligen Millionenbetrag. Für die Lufthansa ist das eine mehr als sinnvolle Investition - schließlich sei die Antizipation und Abwehr von Cyber-Risiken heute und in der Zukunft relevant für den wirtschaftlichen Erfolg von Unternehmen, so die Verantwortlichen.

Nach Abschluss des Programms will die Lufthansa Group eine umfassend ausgestaltete Struktur für Informationssicherheit, die Verankerung von Cyber Security in allen Produkten und Prozessen sowie die Etablierung kompetenter Security-Ansprechpartner in den jeweiligen Fachbereichen umgesetzt haben. Die Priorisierung der IT-Sicherheit dient dabei nicht nur der Absicherung von (Kunden-)Daten und Systemen, sondern auch der Entwicklung von neuen, grundlegend abgesicherten Geschäftsmodellen und fungiert gleichzeitig als Differenzierungsmerkmal gegenüber den Wettbewerbern.

Die Top-CIOs der Transportbranche
Claudia Köhler
Claudia Köhler ist seit März 2022 CIO der DB Fernverkehr AG. Nach dem Studium der Physik an der RWTH Aachen arbeitete sie von 1992 bis 1997 als wissenschaftliche Angestellte mit Lehraufgaben in der mathematischen Fakultät der RWTH Aachen. Im Anschluss war sie in der IT-Beratung und -entwicklung tätig. Im Jahr 2000 wechselte sie in den Personenverkehr der Deutschen Bahn AG und später in deren Fernverkehr.
Bernd Rattey
Als Nachfolger von Christa Koenen übernahm Bernd Rattey Mitte November 2021 die Position des Konzern-CIO der Deutschen Bahn.
Sven Mißfeldt
Am 12. August 2024 hat Sven Mißfeldt die IT-Leitung der VTG GmbH von Petra Clemens übernommen. Er kommt aus den eigenen Reihen.
Christa Koenen
Seit 1. September 2021 ist die ehemalige Bahn-CIO Christa Koenen Digitalvorständin von DB Schenker. Sie ist Nachfolgerin von CIDO Markus Sontheimer.
Thomas Rückert
Seit Anfang 2021 ist Thomas Rückert für die IT Lufthansa Group verantwortlich. Er soll unter anderem die Airlines des Konzerns dabei unterstützen, kundenzentriert zu werden.
Dominik Fürste
Dominik Fürste (35) ist seit August 2017 CIO beim Europäischen Eisenbahnlogistikunternehmen TX Logistik AG. Als Mitglied der Vorstandssitzung verantwortet er die Transformation der TX zu einer digitalen Güterbahn. Dabei setzt er auf die gleichzeitige Betrachtung von Geschäftsprozessen und modernen IT Lösungen. Für die ganzheitliche Umsetzung der Transformation hat er ein agiles Portfolio- und Deliverymanagement auf Basis des Scaled Agile Framework etabliert. Fürste kam von der DB Cargo AG, wo er unter anderem die Sanierung der französischen Tochtergesellschaft begleitete und ein IT-Projekt des DB Konzerns zur Einführung eines Kapazitätsmanagementsystems für das Transportnetzwerk verantwortete.
Sabina Kusmin-Tyburski
Zum 1. Februar 2024 übernimmt Sabina Kusmin-Tyburski den CIO-Posten bei den Berliner Verkehrsbetrieben (BVG).
Markus Sandbrink
Ende 2022 hat Markus Sandbrink, seit 2020 Leiter der Corporate IT der Rhenus-Gruppe, zusätzlich den CIO-Posten und damit die gruppenweite IT-Leitung des Logistikkonzerns übernommen.
Ralf Morawietz
Das Logistikspezialist Dachser hat mit Ralf Morawietz seit dem 1. Januar 2023 einen neuen IT-Leiter an Bord. Er folgt auf Stefan Selbach, der in Altersteilzeit ging.
Wolfgang Standhaft
Wolfgang Standhaft ist seit Januar 2019 CIO beim Flughafenbetreiber Fraport in Frankfurt/Main. Von 2006 bis Ende 2017 hat er für den Baustoffkonzern HeidelbergCement AG als CIO und Group Director Information Technology gearbeitet. Von 1998 bis 2005 war Standhaft Leiter Betriebswirtschaftliche Systeme Europa der Rewe KGaA, von 1995 bis 1998 arbeitete er als Berater bei der SAP AG.
Jasmin Kaiser
Seit Anfang Mai 2023 leitet Jasmin Kaiser die IT der Lufthansa Cargo. Sie kommt von der Lufthansa Group.
Isabelle Droll
Isabelle Droll ist CIO der TUI Airline. Seit Oktober 2021 ist sie zudem Group IT Director TUI Musement, Corporate und Sustainability.
Hugo Pluess
Hugo Pluess ist seit August 2019 CIO der Spedition Imperial Logistics International. Pluess ist damit für die gesamte IT-Landschaft aller Aktivitäten von Imperial Logistics International verantwortlich. Er war zuletzt Executive Vice President Global IT Infrastructure bei CEVA Logistics in der Schweiz.
Werner Toennessen
Als Geschäftsbereichsleiter IT ist Werner Toennessen der Chef über die Systemwelten der DER Touristik. Toennessen verantwortete als Bereichsleiter bereits seit 2010 die IT der DER Touristik Köln mit ihren Pauschalreiseveranstaltern ITS, Jahn Reisen und Tjaereborg. Er gilt als profunder Kenner der IT der touristischen Unternehmen des zweitgrößten deutschen Reiseveranstalters. Toennessen startete seine IT-Laufbahn 1987 in der EDV bei Meier’s Weltreisen.
Ralf Gernhold
Seit Oktober 2018 ist der Ex-Miles & More-CIO Ralf Gernhold technischer Programmleiter Vendo bei der DB Vertrieb GmbH. Vendo beschäftigt sich mit der Digitalisierung des Vertriebs und gehört zu den strategischen Projekten des Personenverkehrs der Deutschen Bahn.
Donya-Florence Amer
Donya-Florence Amer ist CIO und CHRO und die erste Frau im Vorstand von Hapag-Lloyd. Sie übernahm den Posten zum 1. Februar 2022. Amer folgte auf Martin Gnass.
Dirk Tietz
Die DER Touristik hat ihr Führungsteam um die neue Funktion des Chief Transformation Officer (CTO) erweitert. Dirk Tietz (40) ist seit Juli 2015 auch Mitglied des Executive Boards. Er trägt damit die Gesamtverantwortung für die Digitalisierung und für die Verzahnung der Einzelunternehmen.
Markus Richardt
Seit September ist Markus Richardt Vice President IT bei DKV Mobility. "Nachhaltige Transformation unserer täglichen Mobilität ist eine Riesenaufgabe," erklärt Markus Richardt gegenüber CIO.de auf die Frage, was ihn an seiner neuen Rolle als Vice President IT bei DKV Mobility besonders reizt.
Oliver Wittmaier
Oliver Wittmaier folgt auf Claudia Plattner, die bei der EZB eingestiegen ist. Er konzentriert sich auf skalierende Plattformen und Datenverfügbarkeit.
Arlene Bühler
DB Cargo hat mit Arlene Bühler eine neue Digitalisierungschefin. Anfang November 2021 übernahm Bühler die Funktion mit dem Titel IT and Digitalization, CIO/CDO. Der Logistik-Konzern hat diese Position neu geschaffen, um mit der technischen Entwicklung Schritt zu halten.
Dorothea Brons
Seit Januar 2022 leitet Dorothea Brons als CIO die IT-Geschicke am Hamburg Airport. Sie ist zugleich Geschäftsführerin der IT-Tochter AIRSYS.
Frank Winkenwerder
Frank Winkenwerder ist seit Mitte Dezember 2014 Leiter des Zentralbereichs Informationssysteme der Hamburger Hafen und Logistik AG (HHLA). Er war davor Leiter der Containerinformationssysteme bei HHCT, verantwortlich für die strategische Gestaltung der IT-Landschaft für das Segment Container. Von 1987 bis 2006 arbeitete Winkenwerder bei einem System- und Softwarehaus, seit 1999 als verantwortlicher Projektbereichsleiter für die Logistikbranche.
Michael Lütjann
Die Nagel-Group ernannte zum 1. Oktober 2019 Michael Lütjann zum Chief Information Officer (CIO). Er berichtet an den CEO der Nagel-Group Carsten Taucke. Zuletzt war Lütjann vier Jahre lang CIO bei Imperial Logistics International. Davor hat der 50-jährige fünf Jahre als Senior Vice President IT Management Logistics bei Schenker die globale IT Organisation verantwortet. Im Lauf seiner Karriere hat er zudem mehr als zwölf Jahre lang die IT der Fiege Gruppe in diversen Verantwortungsbereichen geprägt, zuletzt als CIO.
Bernhard Götze
Bernhard Götze ist seit Februar 2022 Vice President IT beim Kreuzfahrtanbieter AIDA Cruises in Rostock, der deutschen Niederlassung von Costa Crociere S.p.A.
Martin Kolbe
Martin Kolbe übernahm im November 2005 die CIO-Position beim Schweizer Logistikkonzern Kühne + Nagel. Zuvor arbeitete Kolbe bei der Deutschen Post World Net, wo er Bereichsvorstand und CIO der DHL Express Deutschland war.
Pieter Jordaan
Nach dem Ausscheiden von IT-Vorstand Frank Rosenberger hat der Touristikkonzern TUI die CIO-Position zum 1. Januar 2023 mit Pieter Jordaan besetzt.
Hans Fabian
Hans Fabian ist seit Januar 2017 als CIO für das Hotelvergleichsportal HRS in Köln tätig. Zuvor war Fabian CIO bei der Wirtschaftsauskunftei Schufa Holding AG in Wiesbaden. Über zehn Jahre hat Fabian davor im Bereich IT-Management bei Deutsche Post DHL in Bonn gearbeitet, zuletzt als Vice President.
Hanna Huber
Hanna Huber hat die Branche gewechselt. Die Ex-CIDO des Modehändlers Calida stieg im April 2024 beim Reiseunternehmen Flix ein.
Björn Richter
Björn Richter ist CIO von DPD Deutschland. Er kam vom Paketdienst GLS. Sein Vorgänger Dirk Tiemann bleibt als Director IT bei DPD.
Hanno Boekhoff
Hanno Boekhoff ist seit Oktober 2017 neuer IT-Leiter bei der Reederei Hamburg Süd. Sein genauer Titel: Global Head of Information Technology & Services (ITS). Vor seiner Tätigkeit für die Hamburg Süd war Boekhoff in verschiedenen Bereichen der IT als Berater und als Manager tätig.
Ralf Morawietz
CIO beim Logistikdienstleister Panalpina mit Sitz in Basel ist ab Juli 2015 Ralf Morawietz. Er startete seine Karriere als IT-Experte 1998. Im Jahr 2002 kam Morawietz zu Deutschen Post, wo er verschiedende Management-Aufgaben wahrnahm. Im Januar 2010 wechselte Morawietz als Mitglied des nationalen IT Managementeams des Logistikers Kühne + Nagel. Zuletzt war er dort Senior Vice President Global IT Products.
Carsten Bernhard
Carsten Bernhard ist seit September 2016 Group CIO/CTO beim E-Commerce-Anbieter eDreams Odigeo mit Sitz in Barcelona. Er kommt von der TUI Deutschland, wo er seit August 2013 IT-Chef war. Zu eDreams Odigeo gehören die Marken eDreams, Opodo, Travellink, Go Voyages und Liligo.
Bernd Gemein
Seit 1. September 2018 ist Bernd Gemein neuer CIO für den Unternehmensbereich Post, E-Commerce, Parcel (PeP) bei der Deutschen Post DHL. In seiner neuen Funktion ist Gemein Mitglied des Executive Committee PeP. Er berichtet an PeP-COO Tobias Meyer. Gemein hatte seit 2003 bei der Deutsche Post DHL diverse Funktionen in den Bereichen IT Development und IT Customer Integration inne. Seit 2013 war er Geschäftsbereichsleiter IT Service Management PeP.
Alexander Brandmeier
Seit Juni 2019 ist Alexander Brandmeier neuer Leiter Informationstechnologie/CIO bei der DB Energie GmbH, dem Energieversorger der Deutschen Bahn AG in Frankfurt am Main. Zuvor war Brandmeier Leiter Architekturmanagement und Unternehmensarchitekt im Unternehmensbereich der Deutsche Bahn Fernverkehr AG.
Andreas Hamprecht
Seit August 2018 ist Andreas Hamprecht Leiter IT und CIO bei DB Regio und in Personalunion weiter Leiter Geschäftsentwicklung Schiene. Hamprecht ist seit März 2017 Leiter Geschäftsentwicklung Schiene bei der DB Regio AG, von 2010 bis 2017 war er Leiter Geschäftsentwicklung bei der DB Station & Service AG. Im DB-Konzern ist er bereits seit 2001 beschäftigt, mit bisherigen Funktionen in der Konzernstrategie, im internationalen Fernverkehr sowie beim Bahnhofsbetreiber DB Station & Service.
Falko Hagebölling
Falko Hagebölling ist seit Januar 2019 Senior Director Product Development & IT bei der Lufthansa-Tochter Miles & More GmbH in Frankfurt am Main. Der promovierte Diplom-Ingenieur der Elektrotechnik war bei Miles & More zuletzt seit Mai 2016 als Director Product Delivery für Projekt-, Portfolio- und Prozessmanagement verantwortlich. Im Juli 2018 übernahm er zusätzlich interimsweise die Funktion als Director IT.
Sami Awad-Hartmann
Sami Awad-Hartmann hat im März 2019 die Position des CIOs bei der Spedition Hellmann übernommen. Er war bereits von 2008 bis 2016 in verschiedenen führenden Positionen in der IT bei Hellmann tätig. Zuletzt war er stellvertretender Leiter IT global. Im Oktober 2016 hatte Awad-Hartmann die Spedition verlassen und war in das familiäre Geschäft im Fleischhandel bei Global Meat in Münster mit eingestiegen.
Horst Ulrich Mooshandl
Horst Ulrich Mooshandl ist seit April 2019 neuer CIO der Österreichischen Post. Sein genauer Titel lautet: Leitung Konzern-IT & Konzern-Einkauf. Zuvor schon hatte Mooshandl die Konzern-Einkauf geleitet sowie den Konzern-Fuhrpark gemanagt.