ICT-Sicherheit und Datenschutz
Die Flughafen Zürich Gruppe stellt sicher, dass ihre Systeme, Daten und Informationen verfügbar, vertraulich sowie integer sind und Bedrohungen abgewehrt werden können.
Relevanz
Die Flughafen Zürich AG nutzt an ihren verschiedenen Standorten unterschiedlich ausgeprägte ICT-Systeme. In Zürich betreibt die Flughafen Zürich AG umfangreiche ICT-Systeme mit Rechenzentren, die für den Betrieb unabdingbar sind. Der Betrieb der gesamten Infrastruktur funktioniert nur, solange die Datenverarbeitung sichergestellt ist. Ähnlich präsentiert sich die Ausgangslage an den drei Standorten in Brasilien. In Chile hingegen beschränken sich die ICT-Systeme der Tochtergesellschaft A-Port und ihrer Standorte im Wesentlichen auf die kaufmännische und personalrelevante Administration des Unternehmens selbst, da insbesondere die flugbetriebsrelevanten Systeme durch die Behörden betrieben werden.
Neben Risiken physischer Art wie beispielsweise Naturkatastrophen sind Cyber-Angriffe heute eine grosse Bedrohung für ICT-Systeme. Dies stellt auch die Flughafen Zürich Gruppe vor die Herausforderung, Sicherheitsstrategien laufend weiterzuentwickeln. Die ICT-Systeme sowie Daten und Informationen müssen vor unbefugtem Zugriff geschützt werden und deren Verfügbarkeit, Vertraulichkeit und Integrität jederzeit gewährleistet sein.
Als kritische Infrastruktur ist der Flughafen Zürich in die nationale Strategie zum Schutz kritischer Infrastrukturen eingebunden und damit aufgefordert, Massnahmen zur Erhöhung der Resilienz zu ergreifen. Gleichzeitig stellt das Bundesamt für Zivilluftfahrt (BAZL) im Rahmen des «National Aviation Security Program» (NASP) Anforderungen an die ICT-Sicherheit, die für den Flughafen Zürich verbindlich sind.
Personendaten, die in Zürich z.B. im Rahmen der Passagierabfertigung, der Videoüberwachung, bei Zutritten zu Gebäuden und Sicherheitszonen, beim Fahrzeugparking und bei der Zurverfügungstellung weiterer Dienstleistungen erhoben werden, unterstehen der schweizerischen und/oder europäischen Datenschutzgesetzgebung.
Ansatz
ICT-Sicherheit
Um Verfügbarkeit, Vertraulichkeit und Integrität der ICT-Systeme zu gewährleisten, hat die Flughafen Zürich AG ein Informationssicherheits-Management-System (ISMS) eingerichtet und im Berichtsjahr nach ISO 27001 zertifizieren lassen. Dieses Management-System stellt sicher, dass die ICT-Sicherheit der grundlegenden Infrastruktur gewährleistet ist und sich laufend den sich ändernden Herausforderungen anpasst. Zudem erfüllt der Flughafen Zürich damit die Anforderungen des NASP. Die als Bestandteil des ISMS definierte Cyber-Security-Strategie der Flughafen Zürich AG orientiert sich an international anerkannten Regelwerken. Die Umsetzung und Vertiefung der technischen und organisatorischen Vorgaben erfolgen in einem stetigen Prozess, der vom Bundesamt für Zivilluftfahrt auditiert wird.
Durch die enge Vernetzung im Rahmen der nationalen Strategie zum Schutz kritischer Infrastrukturen und die enge Orientierung an Branchenstandards soll gewährleistet werden, dass die Unternehmung jederzeit in der Lage ist, Cyber-Angriffe von aussen oder anderweitige Datenpannen frühzeitig zu erkennen und deren Auswirkungen auf ein Minimum zu reduzieren. Die systemkritischen Infrastrukturen werden redundant vorgehalten, um auch Auswirkungen anderer Ereignisse, wie beispielsweise Erdbeben, auf die ICT-Systeme möglichst gering zu halten.
Zentrales Element einer erfolgreichen Abwehr von Cyber-Angriffen ist das Verhalten der Mitarbeitenden. Um das Bewusstsein aller ICT-Anwenderinnen und Anwender zum rechtzeitigen Erkennen von potenziellen Bedrohungen zu erhöhen, werden regelmässig Informations-Kampagnen und Schulungen durchgeführt.
In Brasilien wurde 2021 ein Projekt mit einer externen Beratungsfirma zur Vorbereitung der Zertifizierung nach ISO 27001 gestartet. Die Umsetzung der daraus erfolgten Empfehlungen sowie Massnahmen ist noch im Gang und die Zertifizierung ist für 2023 geplant.
Weiter wurden die Standorte in Lateinamerika im Berichtsjahr durch ein internes Audit mit Fokus auf die ICT-Sicherheit untersucht. Die festgestellten Schwachstellen werden untersucht und die notwendigen Schritte zu deren Behebung in die Wege geleitet.
Schutz von Personendaten
Die Rahmenbedingungen zum Umgang mit Personendaten ergeben sich vor allem aus dem schweizerischen Datenschutzgesetz und der europäischen Datenschutzgrundverordnung.
Die Flughafen Zürich AG geht mit den Daten und schützenswerten Informationen ihrer Geschäftskunden und Leistungspartner, Konsumenten und weiterer Anspruchsgruppen sorgfältig um und beachtet die Geheimhaltungspflichten und die Datenschutzgesetze.
Hierzu hat die Flughafen Zürich AG eine Datenschutzberaterin ernannt, deren Aufgabe es ist, die Compliance hinsichtlich des Schutzes von Personendaten sicherzustellen. Die Datenschutzberaterin berät die Linienverantwortlichen zum korrekten Umgang mit Personendaten, sie führt ein Verzeichnis über die Datensammlungen des Unternehmens und gibt Auskunft gegenüber betroffenen Personen, externen Stellen und Behörden.
Der Umgang mit Betriebs- und Personendaten an den ausländischen Flughäfen richtet sich nach den dortigen Regularien. An den Flughäfen in Chile fallen bedingt durch die Systemgrenzen keine sensiblen passagierbezogenen Daten an. Die an den brasilianischen Standorten erhobenen Passagierdaten lassen keine Schlüsse auf einzelne Personen zu.
Zudem wurde in Brasilien zum Thema Datenschutz von Juni 2021 bis März 2022 ein Projekt mit Unterstützung einer externen Beratungsfirma durchgeführt. Dabei wurde ein «Record of Processing Activities» erstellt, also eine Übersicht über die Prozesse, bei denen mögliche sensible Daten verarbeitet werden. Die daraus gezogenen Erkenntnisse sind in Bearbeitung.