ICT-Sicherheit und Datenschutz
Die Flughafen Zürich Gruppe stellt sicher, dass ihre Systeme, Daten und Informationen verfügbar, vertraulich sowie integer sind und Bedrohungen abgewehrt werden können.
Relevanz
Die Flughafen Zürich AG nutzt an ihren verschiedenen Standorten unterschiedliche Systeme für Informatik und Kommunikation (ICT: Information and Communication Technology). In Zürich betreibt die Flughafen Zürich AG umfangreiche ICT-Systeme mit Rechenzentren, die für den Betrieb unabdingbar sind. Der Betrieb der gesamten Infrastruktur funktioniert nur, solange die Datenverarbeitung sichergestellt ist. Ähnlich präsentiert sich die Ausgangslage an den drei Standorten mit Mehrheitsbeteiligungen in Brasilien. In Chile hingegen beschränken sich die ICT-Systeme der Tochtergesellschaft A-Port und ihrer Standorte im Wesentlichen auf die kaufmännische und personalrelevante Administration des Unternehmens selbst, da insbesondere die flugbetriebsrelevanten Systeme durch die Behörden betrieben werden.
Neben Risiken physischer Art wie beispielsweise Naturkatastrophen sind Cyber-Angriffe heute eine grosse Bedrohung für ICT-Systeme. Dies stellt auch die Flughafen Zürich Gruppe vor die Herausforderung, Sicherheitsstrategien laufend weiterzuentwickeln. Die ICT-Systeme sowie Daten und Informationen müssen vor unbefugtem Zugriff geschützt werden und deren Verfügbarkeit, Vertraulichkeit und Integrität müssen jederzeit gewährleistet sein.
Als kritische Infrastruktur ist der Flughafen Zürich in die nationale Strategie zum Schutz kritischer Infrastrukturen eingebunden und damit aufgefordert, Massnahmen zur Erhöhung der Resilienz zu ergreifen. Gleichzeitig stellt das Bundesamt für Zivilluftfahrt (BAZL) im Rahmen des «National Aviation Security Program» (NASP) Anforderungen an die ICT-Sicherheit, die für den Flughafen Zürich verbindlich sind.
Personendaten, die in Zürich z.B. im Rahmen der Passagierabfertigung, der Videoüberwachung, bei Zutritten zu Gebäuden und Sicherheitszonen, beim Fahrzeugparking und bei der Zurverfügungstellung weiterer Dienstleistungen erhoben werden, unterstehen der schweizerischen und/oder europäischen Datenschutzgesetzgebung.
Ansatz
ICT-Sicherheit
Um Verfügbarkeit, Vertraulichkeit und Integrität der ICT-Systeme zu gewährleisten, hat die Flughafen Zürich AG für den Standort Zürich ein Informationssicherheits-Management-System (ISMS) eingerichtet und im Berichtsjahr - nach der Zertifizierung nach ISO 27001 im Vorjahr - das Aufrechterhaltungsaudit erfolgreich bestanden. Dieses Management-System stellt sicher, dass die ICT-Sicherheit der grundlegenden Infrastruktur gewährleistet ist und sich laufend den sich ändernden Herausforderungen anpasst. Zudem erfüllt der Flughafen Zürich damit die Anforderungen des NASP. Die aus dem Jahre 2019 stammende Cyber-Security-Strategie der Flughafen Zürich AG wurde im Berichtsjahr vollständig überarbeitet. Sie orientiert sich an international anerkannten Regelwerken. Aus der überarbeiteten Strategie sind verschiedene Projekte abgeleitet worden, die in einem umfassenden Programm in den nächsten Jahren umgesetzt werden sollen. Ohnehin erfolgen die Umsetzung und Vertiefung der technischen und organisatorischen Vorgaben in einem stetigen Prozess, der vom Bundesamt für Zivilluftfahrt auditiert wird.
Durch die enge Vernetzung im Rahmen der nationalen Strategie zum Schutz kritischer Infrastrukturen und die enge Orientierung an Branchenstandards soll gewährleistet werden, dass das Unternehmen jederzeit in der Lage ist, Cyber-Angriffe von aussen oder anderweitige Datenpannen frühzeitig zu erkennen und deren Auswirkungen auf ein Minimum zu reduzieren. Die systemkritischen Infrastrukturen werden redundant vorgehalten, um auch Auswirkungen anderer Ereignisse, wie beispielsweise Erdbeben, auf die ICT-Systeme möglichst gering zu halten.
In der überarbeiteten Cyber-Security-Strategie erhält die Wichtigkeit der Awareness im Rahmen eines eigenen Projektes seinen zentralen Prozess. Denn zentrales Element einer erfolgreichen Abwehr von Cyber-Angriffen ist das Verhalten der Mitarbeitenden. Um das Bewusstsein aller ICT-Anwenderinnen und Anwender zum rechtzeitigen Erkennen von potenziellen Bedrohungen zu erhöhen, werden regelmässig Informations-Kampagnen und Schulungen durchgeführt.
In Brasilien ist das im Jahr 2021 gestartete Projekt zur Zertifizierung nach ISO 27001 noch nicht abgeschlossen. Es sind im laufenden Jahr weitere Arbeiten nötig, um die Norm erfüllen zu können.
In Chile wurden verschiedene im Vorjahr beschlossene Massnahmen zur Erhöhung der ICT-Sicherheit im Berichtsjahr umgesetzt. Die Resilienz wurde damit deutlich erhöht, sodass auch die Konformität mit der Gesetzgebung zur Datensicherheit gewährleistet ist.
Schutz von Personendaten
Die Rahmenbedingungen zum Umgang mit Personendaten ergeben sich für den Standort Zürich vor allem aus dem schweizerischen Datenschutzgesetz und der europäischen Datenschutzgrundverordnung.
Die Flughafen Zürich AG geht mit den Daten und schützenswerten Informationen ihrer Geschäftskunden und Leistungspartner, Konsumenten und weiterer Anspruchsgruppen sorgfältig um und beachtet die Geheimhaltungspflichten und die Datenschutzgesetze.
Hierzu hat die Flughafen Zürich AG eine Datenschutzberaterin ernannt, deren Aufgabe es ist, die Compliance hinsichtlich des Schutzes von Personendaten sicherzustellen. Die Datenschutzberaterin berät die Linienverantwortlichen zum korrekten Umgang mit Personendaten, sie führt ein Verzeichnis über die Datensammlungen des Unternehmens und gibt Auskunft gegenüber betroffenen Personen, externen Stellen und Behörden. Hinzu kommt, dass die Flughafen Zürich AG im Berichtsjahr eine Datenethik formuliert hat, in der sie ihre Grundsätze im Umgang mit Personen- und Betriebsdaten festhält.
Der Umgang mit Betriebs- und Personendaten an den ausländischen Flughäfen richtet sich nach den dortigen Regularien. An den Flughäfen in Chile fallen bedingt durch die Systemgrenzen keine passagierbezogenen Daten an. Die an den brasilianischen Standorten erhobenen Passagierdaten lassen keine Schlüsse auf einzelne Personen zu.