[datensicherheit.de, 21.08.2024] Das Digitale Zeitalter hat die Luftfahrtindustrie offensichtlich grundlegend revolutioniert, indem es z.B. den Ticket-Verkaufsprozess effizienter gestaltet und den Komfort für die Kunden deutlich erhöht hat. Diese Transformation hat aber offenbar auch dazu geführt, dass Fluggesellschaften vermehrt ins Visier Cyber-Kriminellen geraten: „Laut RSA Security entfallen beeindruckende 46 Prozent aller betrügerischen Online-Transaktionen auf den Luftfahrtsektor, was zu erheblichen finanziellen Verlusten führt – diese belaufen sich auf etwa 1,2 Prozent der globalen Einnahmen der Fluggesellschaften.“ Diesbezügliche Untersuchungen von BlueVoyant zeigten einen deutlichen Anstieg der Cyber-Bedrohungen gegen die Luftfahrtindustrie – „ein Trend, der durch die ,COVID-19-Pandemie’ und die anschließende Zunahme der Fernarbeit noch verschärft wird“. Die Abhängigkeit der Fluggesellschaften von Online-Buchungssystemen habe neue Wege für Betrüger eröffnet, die Schwachstellen in diesen Plattformen ausnutzen.

Übliche Taktiken der digitalen Bedrohungsakteure:

Ermäßigte Tickets
Eine gängige Taktik ist demnach der Verkauf von Flugtickets zu ermäßigten Preisen unter Verwendung gestohlener Kreditkarteninformationen. „Die Betrüger kaufen diese Tickets nur wenige Stunden vor dem Abflug, um einer Entdeckung zu entgehen.“ In Untergrundforen werde häufig über die Verwendung bestimmter BINs (Bank Identification Numbers) und VPNs diskutiert, um die betrügerischen Aktivitäten weiter zu verschleiern.

Kompromittierte Reisebüro-Konten
Eine weitere Methode Cyber-Krimineller bestehe darin, die Konten von Reisebüros zu hacken oder gefälschte Buchungen zu erstellen. „Auf illegalen Marktplätzen wird der Zugang zu Reiseticket-Panels verkauft, was es Betrügern ermöglicht, Tickets für jede beliebige Fluggesellschaft und jedes beliebige Ziel auszustellen.“ Diese Einbrüche blieben oft unentdeckt, da eine große Anzahl von Konten kompromittiert werde.

Kompromittierte Vielfliegerkonten
Vielfliegerprogramme seien ein weiteres lukratives Ziel – Cyber-Kriminelle verschafften sich durch Phishing oder Hacking Zugangsdaten zu Konten und verkauften diese Daten dann auf digitalen Untergrundmärkten. „Die gestohlenen Punkte oder Meilen werden gegen Flüge oder andere Prämien eingelöst, was für die Fluggesellschaften zu erheblichen finanziellen und rufschädigenden Schäden führt.“

Eindämmung des digitalen Betrugs in der Luftfahrtindustrie

Die Bekämpfung von Betrug im Luftverkehr erfordere einen umfassenden Ansatz, „der verstärkte Sicherheitsmaßnahmen, Mitarbeiterschulungen und robuste Betrugspräventionssysteme umfasst“ – zu den wichtigsten Strategien gehörten:

Regelmäßige Überprüfung der Richtlinien
„Kontinuierliche Aktualisierung der Betrugsbekämpfungsrichtlinien, um den sich entwickelnden Bedrohungen zu begegnen!“

Interne Audits
„Führen Sie gründliche Audits durch, um Systemschwachstellen zu ermitteln!“

Aufstrebende Technologien
„Nutzen Sie neue Technologien und Branchenstandards für eine innovative Betrugsprävention!“

Multi-Faktor-Authentifizierung (MFA)
„Führen Sie MFA für Benutzerkonten ein und sorgen Sie für strenge Passwortrichtlinien!“

Überwachung und Erkennung
„Wachsame Überwachung von Phishing-Websites, kompromittierten Konten und anderen betrügerischen Aktivitäten in DarkWeb-Märkten!“

Luftfahrtbranche treibt Digitale Transformation weiter voran – und bleibt so bevorzugtes Ziel für Cyber-Betrug

Robuste Lösungen zur Erkennung und Verhinderung von Betrug, wie z.B. die „Digital Risk Protection Services“ von BlueVoyant, seien ein wesentlicher Bestandteil einer umfassenden Sicherheitsstruktur. „Die aktive Überwachung illegaler Communities und Marktplätze in Kombination mit der Erkennung und Beseitigung betrügerischer Aktivitäten gewährleistet einen umfassenden Schutz für Fluggesellschaften und deren Kunden.“

Obwohl die Luftfahrtbranche die Digitale Transformation weiter vorantreibt – oder gerade deswegen –, bleibe sie ein bevorzugtes Ziel für Cyber-Betrug. Durch die Implementierung robuster Sicherheitsmaßnahmen und den Einsatz fortschrittlicher Technologien zur Betrugsprävention könnten Fluggesellschaften ihren Betrieb indes sichern und ihre Kunden schützen. „Um die Integrität und den Ruf der Luftfahrtindustrie in einer digitalen Welt zu wahren, ist es unerlässlich, den sich ständig weiterentwickelnden Bedrohungen stets einen Schritt voraus zu sein.“

Weitere Informationen zum Thema:

BlueVoyant, Blog, Andrea Feldman, 23.07.2024
Sky-High Stakes: Combating Cyber Fraud in the Aviation Industry

IATA, Juli 2020
Fraud in the airline industry / why carriers need to think of themselves as crimefighters

NIS-2 baut auf Grundlage der Vorgängerrichtlinie von 2016 auf und ist eine Reaktion u.a. auf zunehmende Angriffe auf Lieferketten

[datensicherheit.de, 14.05.2024] „In einer Zeit, in der Cyber-Bedrohungen größer und raffinierter denn je sind, hat die Europäische Union (EU) mit der Einführung der Richtlinie zur Netz- und Informationssicherheit (NIS-2) einen wichtigen Schritt zur Stärkung ihrer digitalen Verteidigung getan“, so Andy Fourie, „VP of Sales EMEA“ bei BlueVoyant, in seiner aktuellen Stellungnahme. Die NIS-2-Richtlinie baue auf der Grundlage der Vorgängerrichtlinie aus dem Jahr 2016 auf und sei eine Reaktion auf die zunehmenden Angriffe auf Lieferketten und den Bedarf an robusteren Meldeverfahren in ganz Europa. Diese Richtlinie betreffe mehr als 160.000 in der EU tätige Unternehmen – „insbesondere diejenigen, die in 15 Schlüsselsektoren als ,wesentliche’ und ,wichtige’ Unternehmen eingestuft sind“.

Foto: BlueVoyant

Andy Fourie zu NIS-2-Konsequenzen: Unternehmen müssen diese Veränderungen mit Sorgfalt und Weitsicht angehen!

NIS-2 schreibt KRITIS-Unternehmen umfassende Überarbeitung ihrer Cyber-Sicherheitspraktiken vor

NIS-2 schreibe solchen Unternehmen eine umfassende Überarbeitung ihrer Cyber-Sicherheitspraktiken vor und zwinge sie, ihre Schutzmaßnahmen in der Lieferkette und ihre Meldepflichten neu zu bewerten und zu verbessern. „Da die Frist für die Einhaltung der Vorschriften im Oktober 2024 abläuft, beginnt für die Unternehmen ein Wettlauf mit der Zeit, um die strengen Anforderungen von NIS-2 zu erfüllen.“

Fourie empfiehlt einen genaueren Blick auf die neuen Anforderungen: „NIS-2 führt vier Hauptbereiche ein, die jeweils spezifische Mandate umfassen, die darauf abzielen, die Cyber-Sicherheitsstandards in allen Bereichen zu erhöhen:“

1. Risikomanagement
Die Unternehmen müssten einen vielschichtigen Ansatz zur Minimierung von Cyber-Risiken umsetzen. Dazu gehörten die Einführung fortschrittlicher Protokolle für das Management von Vorfällen, die Stärkung der Sicherheit der Lieferkette, die Verbesserung der Sicherheit von Netzwerken, die Verbesserung der Zugangskontrolle und der Einsatz von Verschlüsselungstechnologien.

2. Verantwortlichkeit der Unternehmen
Die Richtlinie unterstreiche die Notwendigkeit der Überwachung und Schulung von Maßnahmen zur Cyber-Sicherheit durch die Unternehmensleitung. Sie führe Sanktionen, auch finanzieller Art, für Verstöße ein, „die auf fahrlässiges Verhalten von Führungskräften zurückzuführen sind“.

3. Berichtspflichten
Organisationen müssten Verfahren für die unverzügliche Meldung von derartigen Cyber-Vorfällen einrichten, welche die Bereitstellung von Diensten oder Datenempfängern erheblich beeinträchtigen, und dabei die festgelegten Meldefristen einhalten.

4. Geschäftskontinuität
Die Unternehmen müssten solide Pläne entwickeln, um die Betriebskontinuität nach größeren Cyber-Vorfällen zu gewährleisten. Dazu gehörten Strategien zur Systemwiederherstellung, Notfallverfahren und die Bildung von Krisenreaktionsteams.

10 NIS-2-Mindestanforderungen

NIS-2 definiere neben den allgemeinen Verpflichtungen zehn grundlegende Anforderungen, die das Fundament der Cyber-Sicherheit in der EU bilden sollen:

1. Risikobewertungen und Formulierung von Sicherheitsrichtlinien für Informationssysteme
2. Evaluierung der Wirksamkeit von Sicherheitsmaßnahmen durch festgelegte Richtlinien und Verfahren
3. Anwendung von Kryptographie und Verschlüsselung
4. Effiziente Bewältigung von Sicherheitsvorfällen
5. Sichere Systembeschaffung, -entwicklung und sicherer Systembetrieb, einschließlich Protokollen zur Meldung von Sicherheitslücken
6. Durchführung von Schulungen zur Cyber-Sicherheit und Einhaltung grundlegender Praktiken der Cyber-Hygiene
7. Sicherheitsverfahren für Mitarbeiter, die auf sensible Daten zugreifen
8. Notfallpläne zur Aufrechterhaltung des Geschäftsbetriebs während und nach Cyber-Vorfällen
9. Multi-Faktor-Authentifizierung (MFA) und Verschlüsselung für Sprach-, Video- und Textkommunikation
10. Stärkung der Sicherheit in der Lieferkette – Anpassung der Sicherheitsmaßnahmen an die Schwachstellen der einzelnen direkten Zulieferer

Die Nichteinhaltung dieser umfassenden Anforderungen könnte erhebliche Geldbußen nach sich ziehen, die sich für „wesentliche Unternehmen“ auf 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes und für „wichtige Unternehmen“ auf sieben Millionen Euro oder 1,4 Prozent beliefen.

NIS-2-Vorbereitung als strategischer Imperativ

Für in der EU tätige Unternehmen bedeute die Vorbereitung auf NIS-2 eine Reihe strategischer Schritte, darunter die Feststellung der Anwendbarkeit, die Bewertung bestehender Sicherheitsmaßnahmen, die Überarbeitung der Sicherheitsrichtlinien und die Einbeziehung neuer Sicherheits- und Meldemaßnahmen in ihr Lieferkettenmanagement.

Glücklicherweise könnten aktuelle Cyber-Sicherheitsrahmenwerke, wie das „NIST Cyber Security Framework“ (CSF) oder ISO27001 eine solide Grundlage bilden, welche den Übergang für Unternehmen erleichtern könnten. Da die Frist im Oktober 2024 immer näher rücke, sei die Botschaft klar: „Die Zeit zum Handeln ist jetzt gekommen!“ Die NIS-2-Richtlinie der EU lege nicht nur die Messlatte für die Cyber-Sicherheit höher, sondern unterstreiche auch die Bedeutung eines einheitlichen und proaktiven Ansatzes zum Schutz der Digitalen Landschaft vor neuen Bedrohungen. „Unternehmen müssen diese Veränderungen mit Sorgfalt und Weitsicht angehen“, legt Fourie abschließend nahe.

Weitere Informationen zum Thema:

Europäische Kommission
Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie)

OpenKRITIS
NIS2 in EU Countries

NIS2 DIRECTIVE
NIS2 Requirements / Understand and prepare for the upcoming NIS2 requirements

OpenKRITIS
Sanktionen in NIS2 (ab 2024) / Situation ab 2024

datensicherheit.de, 11.05.2024
NIS-2 sollte als Chance für starke Cyber-Sicherheit angenommen werden / Strenge Cyber-Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen als Herausforderung und Booster

datensicherheit.de, 02.05.2024
NIS-2: Verpasste Chance oder Wegweiser für mehr IT-Sicherheit / Ari Albertini sieht Umsetzung der NIS-2-Richtlinie als notwendige, aber derzeit noch nicht hinreichende Maßnahme an

datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS2-Richtlinie