Die Luftfahrt ist seit jeher mit besonderen Risiken behaftet. Ein besonderes Sicherheitsmanagement gehört schon immer dazu. Abgesehen von der Luftsicherheit im engeren Sinne gehört dazu aber auch die klassische Unternehmenssicherheit, wie man sie auch in der Industrie und anderen Branchen kennt. Wie sie bei der Lufthansa organisiert ist, erfahren wir im Interview mit Enno Münster, Head of Corporate Business Security, Lufthansa Group.*

GIT SICHERHEIT: Herr Münster, das Sicherheitsmanagement bei Lufthansa ist organisatorisch in zwei Bereiche aufgeteilt. Wie sieht das genau aus – und welche Rolle ist Ihre dabei?

Enno Münster: Zunächst möchte ich betonen, dass Sicherheit bei der Lufthansa ein wesentliches Element ist und zur DNA unseres Unternehmens gehört. Organisatorisch gibt es auf der einen Seite den für Luftfahrtunternehmen spezifischen Bereich der Luftsicherheit, die sich um die Einhaltung sämtlicher weltweiter Luftsicherheitsgesetze und -vorgaben kümmert und risikobasiert auch darüberhinausgehende Maßnahmen trifft. Dazu gehören beispielsweise auch das Verhängen von Überflugverboten in Krisengebieten und das weltweite Monitoring der Sicherheitslage. Und dann gibt es meinen Verantwortungsbereich, den ich als klassische Unternehmenssicherheit bezeichnen würde und der in jedem größeren Unternehmen so oder so ähnlich vorzufinden ist.

Welche Aufgaben gehören im Einzelnen zu Ihrem Bereich?

Enno Münster: Dazu gehört ein Team, welches sich um die weltweite Sicherheit der Mitarbeiter mit den Schwerpunkten Bedrohungsmanagement und Sicherheit im Ausland (Reisen, Expats) sowie um Objektschutzvorgaben (inklusive des Konzernausweises) kümmert. Ein Team führt interne Ermittlungen durch bei Verdacht auf Straftaten zu Lasten des Lufthansa-Konzerns (z. B. Betrug, Korruption, Diebstahl, sexuelle Belästigung etc.). Ein weiteres Team verantwortet Teile der Informationssicherheit – darunter insbesondere Awareness und Governance und ein Team sichert den Vorstand und Events ab.

Teils gibt es Überlappungen – so gehörte der neue Lufthansa-Konzernausweis als Teil des Objektschutzes zu Ihrem Bereich: Sie tauschen derzeit gerade die Ausweise gegen neue aus – warum genau?

Enno Münster: Richtig. Der Konzernausweis ist auch im Luftsicherheitsplan meines Kollegen, der die Luftsicherheit verantwortet, als Sicherheitsmerkmal hinterlegt, der Prozess liegt aber in meiner Verantwortung. Für den Tausch des Ausweises sprach neben der Erfüllung neuester regulatorischer Vorgaben aus dem Luftsicherheitsbereich auch das Verbauen neuester Sicherheitstechnologie, so dass Ausweise nicht kopiert werden können.

Mit welchen Systemen arbeiten Sie allgemein im Bereich Zutritt?

Enno Münster: Im Detail möchte ich darauf nicht eingehen, aber wir verwenden jetzt verschlüsselte Chiptechnologie, die den Zugriff auf die hinterlegten Daten blockiert.

Sie haben u. a. eine GmbH gegründet, in der sämtliche Werkschutzeinheiten gebündelt wurden. Welche Vorteile bringt dieser Schritt?

Enno Münster: Wir haben 2019 die Lufthansa Group Security Operations GmbH (LGSO) gegründet, die sämtliche operativen Sicherheitsdienstleistungen des Konzerns in Deutschland bündeln soll. Dazu gehören sowohl selbsterbrachte Leistungen als auch eingekaufte Leistungen. Dies ergibt vielfältigste Synergiepotentiale, die sich insbesondere während der Corona-Krise schon bezahlt gemacht haben und es uns ermöglichten einen siebenstelligen Eurobetrag einzusparen.

Nimmt diese GmbH nur Lufthansa-interne Aufgaben war – oder ist auch an eine Öffnung für Dritte gedacht?

Enno Münster: Die Leistungserbringung ist derzeit auf den Konzern beschränkt.

Was bedeutet das für externe Dienstleister, die Sie ja auch in Anspruch nehmen?

Enno Münster: Die LGSO mit ihrem Geschäftsführer Rainer Geng soll auch sämtliche Dienstleistungen am Markt für die Lufthansa in Deutschland einkaufen und tritt dort als professioneller Partner gegenüber den Dienstleistern auf, die auch den Vorteil einer schnelleren Abwicklung haben und dann nur noch einen Ansprechpartner im LH Konzern haben.

Eines der großen Projekte, denen Sie sich bei Lufthansa gewidmet haben, war das „Insider Threat Program“. Könnten Sie uns die Hintergründe dafür erläutern?

Enno Münster: Die ICAO (Internationale Zivilluftfahrt-Organisation) führt Insider Threat als eines der zehn Top-Risken in der Luftfahrt. Die EU hat zudem eine Richtlinie verabschiedet, die es Luftfahrtunternehmen vorschreibt, ein Insider-Threat-Programm ab 1.1.2022 verpflichtend vorliegen zu haben. Als Lufthansa haben wir uns daher sehr frühzeitig der Thematik angenommen und haben bereits seit 2018 ein entsprechendes Programm vorliegen.

Wie wurde das Projekt inhaltlich aufgesetzt und organisiert? Welche Maßnahmen wurden im Einzelnen eingeführt?

Enno Münster: Wir haben zunächst mit internen und externen Experten fünf Handlungsfelder identifiziert, die eine Reduktion des Risikos bewirken können. Dabei waren alle größeren Fluggesellschaften im Konzern involviert. Diese Handlungsfelder sind Eingangskontrollen, Sensibilisierung der Führungskräfte und Mitarbeiter, Dienstleistermanagement, Kontrollmaßnahmen im Recruiting-Prozess und ein Bedrohungsmanagement mit einem Reportingkanal über den Verdachtsfälle gemeldet werden können und ausgebildete Bedrohungsmanager, die solche Fälle bewerten können. Für diese Handlungsfelder wurden dann konkrete Alternativen ausgearbeitet, bewertet und verabschiedet. Es wird in einem risikobasierten Ansatz beschrieben, in welchen Geschäftsfeldern oder Geschäftsvorgängen welche Maßnahmen anzuwenden sind. Diese Umsetzungsvorgaben wurden letztlich über eine Konzernrichtlinie verpflichtend für alle Konzerngesellschaften, die diese dann umgesetzt haben.

Im letzten Jahr, also 2020, mündete das Insider Threat Program in eine Kontrollphase. Wie lief das ab – und mit welchen Ergebnissen?

Enno Münster: Ja die Umsetzungsphase war 2019 – und 2020 war ursprünglich vorgesehen, dass wir als 2nd Line of Defense-Funktion diese Ergebnisse kontrollieren. Das haben wir entsprechend im Rahmen unserer Audits, die wir ohnehin vornehmen, mitgemacht. Allerdings war dies 2020 aufgrund Covid-19 und der dadurch eingeschränkten Reisemöglichkeiten nicht wie gewohnt möglich. Durch Umstellung auf Remote- und Selbst-Audits der Kollegen vor Ort konnten wir aber auch viele Kontrollen vornehmen, ohne vor Ort sein zu müssen.

Sie erwähnten eingangs schon die Informationssicherheit – auch hier nehmen Sie Teilbereiche wahr: Awarenes-Schulungen für Mitarbeiter gehören dazu. Und Sie haben ein Escape-Room-Spiel und ein Phishing-Tool getestet. Wie liefen diese Kampagnen ab?

Enno Münster: Um Mitarbeiter zu sensibilisieren, benötigt man immer wieder andere Ansätze, da die immer gleichen WBTs die Mitarbeiter doch ermüden. Daher haben wir 2019 ein Escape-Room-Spiel entwickelt, bei dem die Spieler sich nur befreien können, wenn sie die Informationssicherheitsvorgaben kennen und richtig anwenden. Dabei handelt es sich um eine Spielanleitung, mit deren Ausdruck und Anwendung jeder Büroraum in einen Escape Room verwandelt werden kann. Das Feedback dazu war überragend. Da man das Spiel in der Gruppe in einem Raum durchführt, konnten wir es 2020 wegen Covid nicht mehr ganz so oft umsetzen. Beim Phishing-Tool geht es im Wesentlichen darum, Mitarbeiter im Alltag zu sensibilisieren, in dem man ihnen selbstdesignte Phishing-Mails schickt. Das Schöne an diesen Tools, von denen es mehrere Anbieter im Markt gibt, ist, dass man dadurch real gelebte Awareness messen kann, z. B. durch die Anzahl an Mitarbeitern, die auf Links geklickt oder Daten eingegeben hat.

Interne Ermittlungen sind eine heikle An­gelegenheit – aber auch sie sind an Ihrer Stelle angesiedelt. Könnten Sie uns einen groben Eindruck verschaffen, wie das bei Ihnen organisiert ist?

Enno Münster: Im Regelfall bekommen wir von irgendwoher einen Hinweis auf eine potentielle Straftat. Die Eingangskanäle sind z. B. über den Ombudsmann der Lufthansa, über andere anonyme Reportingsysteme, die als Luftfahrtunternehmen rechtlich vorgeschrieben sind - außerdem von Mitarbeitern oder ehemaligen Mitarbeitern, durch die Revision, wenn dieser etwas in Prüfungen aufgefallen ist sowie von Strafverfolgungsbehörden etc. Die Vorwürfe werden dann validiert und wenn sich der Verdacht erhärtet, ein Ermittlungsvorgang eröffnet, bei dem dann versucht wird, Klarheit in die Angelegenheit zu bringen z. B. durch Interviews, Analyse von strukturierten Daten (wie z. B. Belege im Rechnungswesen) oder Analyse unstrukturierte Daten (wie eMails im Rahmen einer eDiscovery). Handelt es sich bei dem Vorgang um einen Compliance-relevanten Vorfall, wird das Vorgehen immer sehr eng mit dem Compliance Office bzw. der Rechtsabteilung abgestimmt. Zu beachten sind dabei insbesondere der Datenschutz, arbeitsrechtliche Aspekte und die interne Mitbestimmung.

Eine Frage kann natürlich in diesen Zeiten nicht ausbleiben: Wie hat sich Corona in Ihrem Zuständigkeitsbereich ausgewirkt?

Enno Münster: Natürlich hat Corona massive Auswirkungen auf den Luftverkehr, der wahrscheinlich die am meisten getroffene Industrie ist. Entsprechend hatte diese auch deutliche Auswirkungen auf unseren Bereich. Neben Kurzarbeit und Home-Office hatte die Sicherheitsabteilung zwischenzeitlich neue Aufgaben übernommen, insbesondere das Verfolgen sämtlicher internationaler Einreiseregularien, so dass unsere Arbeitslast nicht so stark reduziert war, wie im Rest des Konzerns.

Welche Veränderungen werden Ihrer Einschätzung nach bleiben?

Enno Münster: Im Sicherheitsbereich sind generell durch Corona folgende Entwicklungen erkennbar: Die Sicherheitslage hat sich weltweit um einiges verschärft, z. B. durch Proteste gegen Coronamaßnahmen, soziale Spannungen, erhöhte Armut und dadurch vermehrte Kriminalität, reduzierte Anti-Terror-Einsätze von Regierungen. Kriminelle haben ihre Aktivitäten verstärkt auf das Netz verlegt und eine Zunahme an Internetattacken war auch für uns messbar. Gewohnte Abläufe wie Audits vor Ort oder Interviews vor Ort sind nicht mehr ohne weiteres möglich, so dass wir diese auf Remote-Abläufe umstellen mussten. Das ein oder andere wie Remote-Audits oder vermehrt Home Office hat sich bewährt und wird sicherlich auch bleiben.