ICT-Sicherheit und Datenschutz

Die Flughafen Zürich Gruppe stellt sicher, dass ihre Systeme, Daten und Informationen verfügbar, vertraulich sowie integer sind und Bedrohungen abgewehrt werden können.

Relevanz

Die Flughafen Zürich Gruppe nutzt an ihren verschiedenen Standorten unterschiedlich ausgeprägte ICT-Systeme. In Zürich betreibt die Flughafen Zürich AG umfangreiche ICT-Systeme mit Rechenzentren, die für den Betrieb unabdingbar sind. Der Betrieb der gesamten Infrastruktur funktioniert nur, solange die Datenverarbeitung sichergestellt ist.

Neben Risiken physischer Art wie beispielsweise Naturkatastrophen sind Cyber-Angriffe heute eine grosse Bedrohung für ICT-Systeme. Dies stellt auch die Flughafen Zürich Gruppe vor die Herausforderung, Sicherheitsstrategien laufend weiterzuentwickeln. Die ICT-Systeme sowie Daten und Informationen müssen vor unbefugtem Zugriff geschützt werden und deren Verfügbarkeit, Vertraulichkeit und Integrität jederzeit gewährleistet sein.

Als kritische Infrastruktur ist der Flughafen Zürich in die nationale Strategie zum Schutz kritischer Infrastrukturen eingebunden und damit aufgefordert, Massnahmen zur Erhöhung der Resilienz zu ergreifen. Gleichzeitig stellt das Bundesamt für Zivilluftfahrt (BAZL) im Rahmen des «National Aviation Safety Program» (NASP) Anforderungen an die ICT-Sicherheit, die für den Flughafen Zürich verbindlich sind.

Personendaten, die z.B. im Rahmen der Passagierabfertigung, der Videoüberwachung, bei Zutritten zu Gebäuden und Sicherheitszonen, beim Fahrzeugparking und bei der Zurverfügungstellung weiterer Dienstleistungen erhoben werden, unterstehen der schweizerischen und/oder europäischen Datenschutzgesetzgebung.

Ansatz

ICT-Sicherheit

Um Verfügbarkeit, Vertraulichkeit und Integrität der ICT-Systeme zu gewährleisten, befindet sich am Flughafen Zürich ein Informationssicherheits-Management-System (ISMS) im Aufbau. Dieses Management-System soll sicherstellen, dass die ICT-Sicherheit umfassend gewährleistet ist und sich laufend den sich ändernden Herausforderungen anpasst. Zudem erfüllt der Flughafen Zürich damit die Anforderungen des NASP. Die als Bestandteil des ISMS definierte Cyber-Security-Strategie der Flughafen Zürich AG orientiert sich an international anerkannten Regelwerken und das ISMS soll im Jahr 2022 nach ISO 27001 zertifiziert werden. Die Umsetzung und Vertiefung der technischen und organisatorischen Vorgaben erfolgen in einem stetigen Prozess, der vom Bundesamt für Zivilluftfahrt auditiert wird.

Durch die enge Vernetzung im Rahmen der nationalen Strategie zum Schutz kritischer Infrastrukturen und die enge Orientierung an Branchenstandards soll gewährleistet werden, dass die Unternehmung jederzeit in der Lage ist, Cyber-Angriffe von aussen oder anderweitige Datenpannen frühzeitig zu erkennen und/oder deren Auswirkungen auf ein Minimum zu reduzieren. Die systemkritischen Infrastrukturen werden redundant vorgehalten, um auch Auswirkungen anderer Ereignisse, wie beispielsweise Erdbeben, auf die ICT-Systeme möglichst gering zu halten.

Datenschutz

Die Rahmenbedingungen zum Umgang mit Personendaten ergeben sich vor allem aus dem schweizerischen Datenschutzgesetz und der europäischen Datenschutzgrundverordnung.

Die Flughafen Zürich AG geht mit den Daten und schützenswerten Informationen ihrer Geschäftskunden und Leistungspartner, Konsumenten und weiterer Anspruchsgruppen sorgfältig um und beachtet die Geheimhaltungspflichten und die Datenschutzgesetze.

Hierzu hat die Flughafen Zürich AG eine Datenschutzberaterin ernannt, deren Aufgabe es ist, die Compliance hinsichtlich des Schutzes von Personendaten sicherzustellen. Die Datenschutzberaterin berät die Linienverantwortlichen zum korrekten Umgang mit Personendaten, sie führt ein Verzeichnis über die Datensammlungen der Unternehmung und gibt Auskunft gegenüber betroffenen Personen, externen Stellen und Behörden.

Der Umgang mit Betriebs- und Personendaten an den ausländischen Flughäfen richtet sich nach den dortigen Regularien.