Das Product Security Office von SITA: Ein neuer Standard für Cybersicherheit in der Luftfahrtbranche
- Cyber Security
- Reisen, Transport & Logistik
SITA ist ein wichtiger Akteur in der Luftfahrtbranche. Das Unternehmen bietet seinen Kunden – Flughäfen, Fluggesellschaften und Behörden – ein breites Spektrum an IT-Lösungen und Services. Dazu gehören Systeme für das Flughafenmanagement, die Gepäckabfertigung, Passagierabfertigung und Passagierflusssteuerung, Grenzkontrolle, Ground Operations der Airlines, Netzwerkinfrastruktur-Services, Bordsysteme und weitere Lösungen.
Alexandre Izri, Cybersecurity Director bei SITA, berichtet über die Einrichtung eines spezialisierten Teams für Produktsicherheit: das Product Security Office (PSO).
Für die strategische Konzeption und operative Umsetzung des Teamaufbaus hat SITA mit Wavestone einen erfahrenen Cybersecurity-Experten an Bord geholt. Im Interview werden die strategischen Maßnahmen vorgestellt, die entwickelt wurden, um den steigenden Sicherheitsanforderungen an digitale Produkte gerecht zu werden. Dabei geht es nicht nur um technische Aspekte, sondern auch um die organisatorische Transformation eines Marktführers, der seine Cybersecurity-Strategien ständig an neue Bedrohungsszenarien anpassen muss.
Cybersicherheit in der Luftfahrtbranche: Wie SITA zentrale Herausforderungen meistert
Wann wurde klar, dass ein spezialisiertes Team für Produktsicherheit benötigt wird?
Unsere Geschäftstätigkeit erfordert nicht nur den Schutz unserer eigenen Umgebung, sondern auch der unserer Kunden – angesichts sich ständig verändernder Risiken und Bedrohungen wie Ransomware, Supply-Chain-Attacken, geopolitischen Spannungen und weiteren Faktoren. Unsere Kunden erwarten höchste Sicherheitsstandards für ihre betrieblichen Abläufe. Hinzu kommt ein regulatorisches Umfeld, das sich in den vergangenen zehn Jahren rasant verändert hat, insbesondere in den Bereichen Datenschutz und kritische Infrastrukturen (DSGVO und NIS-Richtlinie in der EU sowie entsprechende Regelungen in vielen Ländern und Regionen weltweit).
Das SITA-Management, darunter CEO David Lavorel und CISO Mark Orosz, hat von Anfang an deutlich gemacht, dass unsere digitalen Produkte ein hohes Maß an Sicherheit erfordern – angepasst an die steigenden Kundenanforderungen und die wachsende Bedeutung internationaler Standards und Vorschriften.
Unser Ziel war es, eine klare und detaillierte Vision unserer Fähigkeiten zu erstellen und gleichzeitig Sicherheitsmaßnahmen direkt von der Designphase an integrieren. Dafür mussten wir einen Prozess etablieren, der sowohl global als auch für die spezifischen Anforderungen jeder Lösung geeignet ist. Ich verwende gerne die Analogie eines „dynamischen Anforderungskatalogs“, der kontinuierlich an die Anforderungen unserer Kunden und Regulierungsbehörden angepasst wird.
Eine beeindruckende Zahl: Bei einigen Ausschreibungen macht die IT-Sicherheit 30 % der Gesamtbewertung aus!
Warum haben Sie sich für Wavestone als Partner entschieden?
Gesucht war ein Partner, der sowohl modernste Cybersecurity-Expertise als auch operative Unterstützung bei der strategischen Planung, Projektgestaltung und -durchführung einschließlich technischer Sicherheitsbewertungen bieten konnte.
Die Wahl fiel auf Wavestone aufgrund unserer bisherigen erfolgreichen Zusammenarbeit. Das Team hatte nicht nur seine hohe Expertise bewiesen, sondern sich auch als verlässlicher Partner für eine bereichsübergreifende, langfristige Kooperation qualifiziert.
Neudefinition der Produktsicherheit: SITAs Transformationsprozess
Können Sie die wichtigsten Schritte bei der Entwicklung des Product Security Office (PSO) skizzieren?
Vor etwa fünf Jahren haben wir begonnen, unsere Sicherheitsprodukte, -prozesse und -anforderungen systematisch zu erfassen. Mit Unterstützung von Wavestone identifizierten wir die Stärken unserer Lösungen sowie Verbesserungspotenziale. Dieser Schritt umfasste eine umfassende Sicherheitsanalyse: Interviews mit SITA-Mitarbeitenden, technische Tests, Bewertung anhand internationaler Standards sowie die Erstellung eines Berichts mit Handlungsempfehlungen. Um Ihnen eine Vorstellung vom Umfang zu geben: Unsere erste Kampagne umfasste mehr als 30 Produkte.
Dies ermöglichte es uns, eine konkrete Roadmap zur Stärkung unserer Sicherheitsarchitektur unter Berücksichtigung unserer spezifischen Anforderungen zu entwickeln.
Im Jahr 2020 habe ich innerhalb der SITA-Produktteams ein spezialisiertes Sicherheitsteam mit jeweils einem Ansprechpartner oder einer Ansprechpartnerin für jedes Produktportfolio eingerichtet, um den Großteil der Konzernlösungen abzudecken.
Ziel war es, die Umsetzung bestehender Prozesse zu optimieren und Kundenanfragen schneller und präziser zu beantworten.
Im Jahr 2022 wurde die Cybersicherheitsfunktion bei SITA neu strukturiert: Ein zentrales Team übernahm die Verantwortung für die gesamte Cybersecurity des Unternehmens – sowohl für die Produktsicherheit als auch für die Sicherheit der internen Systeme. Das neue Product Security Office (PSO) gliedert sich in vier Abteilungen:
- Prozesse und Governance
- Infrastruktursicherheit
- Anwendungssicherheit
- Sicherheitstests und Qualitätssicherung
Mit Unterstützung von Wavestone haben wir einen Prozess zur Integration von Sicherheitsaspekten über den gesamten Produktlebenszyklus entwickelt: von der Entwicklung über die Implementierung und den Betrieb bis hin zur Außerbetriebnahme. Dies beinhaltet die Definition von technischen und organisatorischen Sicherheitsanforderungen für jede Phase sowie die entsprechenden Governance- und Qualitätssicherungsmaßnahmen.
Um Kundenanfragen schneller und strukturierter bearbeiten zu können, haben wir eine Business-Case-Bibliothek aufgebaut.
Was waren die größten Herausforderungen – und wie wurden sie gelöst?
SITA arbeitet weltweit mit Kunden mit unterschiedlichen Sicherheitsanforderungen und Reifegraden in einem stark regulierten industriellen Umfeld zusammen. Unsere Aufgabe bestand darin, „universelle“ Sicherheitsspezifikationen zu identifizieren, die etwa 80 % der eingehenden Anforderungen abdecken. Ein Beispiel: Je nach Kunde können sich die gleichen Zugangskontrollanforderungen auf ISO-Standards, NIST-Vorgaben oder lokale Gesetzgebungen beziehen. Dies ermöglicht uns, unsere Ressourcen gezielt auf die verbleibenden 20 % zu konzentrieren.
Nach einer fast einjährigen Auswertung bisheriger Kundenprojekte entstand eine umfassende Referenzbibliothek. Heute befinden wir uns in einer Phase der kontinuierlichen Optimierung. Natürlich gibt es immer Sonderfälle, aber wir haben inzwischen ein gutes Gespür dafür entwickelt, welchen Grad an Individualisierung wir leisten können und wollen.
Eine Besonderheit der Luftfahrtbranche ist der Umgang mit „gereiften“ Legacy-Produkten, die weltweit im Einsatz sind. Selbstverständlich müssen auch diese Produkte den aktuellen regulatorischen Anforderungen entsprechen.
In solchen Fällen ist es zielführender und kosteneffizienter, zusätzliche kompensatorische Sicherheitsmaßnahmen zu implementieren, als die Produkte neu zu entwickeln. Dies ermöglicht ein ausgewogenes Verhältnis zwischen der Erfüllung der Sicherheitsanforderungen und der Vermeidung exponentiell steigender Kosten.
Wir verfolgen das gleiche Ziel wie alle anderen im Unternehmen: SITA-Lösungen als die effektivsten und wettbewerbsfähigsten auf dem Markt zu etablieren. Deshalb ist es wichtig, dass das Product Security Office als Enabler für den Geschäftserfolg und als Treiber für Wachstum und Innovation wahrgenommen wird.
Zu diesem Zweck haben wir schrittweise den Shift-Left-Ansatz eingeführt, der Sicherheitsaspekte von Beginn jeder Produktinitiative an integriert. Konkret bedeutet dies: Wir sind in alle Projektphasen eingebunden und haben regelmäßige Kontrollpunkte implementiert.
Innovation in der Cybersicherheit: Was sich für SITA verändert hat
Was sind die wichtigsten Ergebnisse Ihrer Transformation?
Wir haben einen klaren und agilen Sicherheitsprozess eingeführt, der vollständig in den Lebenszyklus aller unserer Produkte integriert ist. Dieser Prozess ist skalierbar und ermöglicht es SITA, neue technische Trends und regulatorische Anforderungen frühzeitig zu antizipieren. Dank einer soliden Sicherheitsbasis kann SITA die meisten Marktanforderungen erfüllen.
Sicherheit wird längst nicht mehr als Einschränkung wahrgenommen, sondern ist ein essenzieller Bestandteil unseres Wertversprechens.
Besonders stolz bin ich auf die erfolgreiche Integration des Product Security Office in das Unternehmen. Das Team hat sich durch seine Zuverlässigkeit und Kompetenz einen ausgezeichneten Ruf verdient. Sicherheit ist zu einem festen Bestandteil der Identität von SITA
Welchen Rat würden Sie Unternehmen in einer ähnlichen Situation geben?
Als wir diesen Weg begannen, gab es kaum Erfahrungswerte zum Management der digitalen Produktsicherheit in vergleichbaren Umgebungen. Heute möchte ich die Erkenntnisse teilen, die ich mir damals gewünscht hätte.
Entscheidend ist die Entwicklung einer eigenständigen Produktsicherheitsstrategie, die unabhängig von der allgemeinen Unternehmenssicherheit ist. Diese Strategie muss auf die spezifischen Anforderungen digitaler Produkte zugeschnitten sein und die besonderen Herausforderungen einer internationalen Präsenz berücksichtigen – insbesondere in einer kritischen und stark regulierten Branche wie der Luftfahrt.
Die Gründung des SITA Product Security Office zeigt beispielhaft eine Transformation hin zu einer dynamischen und innovativen Cybersicherheitsstrategie, die letztlich der nachhaltigen Entwicklung der Luftfahrtbranche dient.
