ICT-Sicherheit und Datenschutz

Die Flughafen Zürich Gruppe arbeitet laufend an der Stärkung der Widerstandsfähigkeit ihrer Informatik- und Kommunikationssysteme. Sie stellt sicher, dass Daten und Informationen verfügbar, vertraulich sowie integer sind.

Relevanz

Die sichere Abwicklung des Flugverkehrs und aller anderen Prozesse am Flughafen ist auf das zuverlässige Funktionieren der Systeme der Informatik und Kommunikation (kurz: ICT) angewiesen. In Zürich sowie an den Standorten in Brasilien und Indien ist die Ausgangslage für die Flughafen Zürich Gruppe ähnlich: Die Flughafen Zürich AG bzw. ihre Mehrheitsbeteiligungen betreiben umfangreiche ICT-Systeme inklusive Rechen­zentren, die für den Betrieb des gesamten Flughafens unabdingbar sind. In Chile hingegen beschränken sich die ICT-Systeme der Mehrheitsbeteiligung und ihrer Standorte im Wesentlichen auf die kaufmännische und personalrelevante Administration des Unternehmens selbst, da insbesondere die flugbetriebsrelevanten Systeme durch die Behörden betrieben werden.

Neben Risiken physischer Art, wie beispielsweise Naturkatastrophen, sind Cyberangriffe für ICT-Systeme eine grosse Bedrohung. Die Flughafen Zürich Gruppe ist gefordert, Sicherheitsstrategien laufend weiterzuentwickeln. Die ICT-Systeme sowie Daten und Informationen müssen vor unbefugtem Zugriff geschützt werden und deren Verfüg­bar­keit, Vertraulichkeit und Integrität müssen jederzeit gewährleistet sein.

Der Flughafen Zürich ist in die nationale Strategie zum Schutz kritischer Infrastrukturen eingebunden. Er muss Massnahmen zur Erhöhung der Resilienz ergreifen. Gleichzeitig stellt das Bundesamt für Zivilluftfahrt (BAZL) im Rahmen des «National Aviation Security Programme» (NASP) Anforderungen an die ICT-Sicherheit, die für den Flughafen Zürich verbindlich sind.

Die Sicherheit personenbezogener Daten in Zürich umfasst Bereiche wie Passagierabfertigung, Videoüberwachung, Zutritte, Fahrzeugparking und weitere Dienstleistungen. Sie unterstehen der schweizerischen und/oder europäischen Datenschutzgesetzgebung.

Ansatz

ICT-Sicherheit

Um Verfügbarkeit, Vertraulichkeit und Integrität der ICT-Systeme zu gewährleisten, hat die Flughafen Zürich AG für den Standort Zürich seit 2022 ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 eingerichtet, das im Berichtsjahr rezertifiziert worden ist. Das System wurde im Berichtsjahr erweitert und erfüllt nun zusätzliche von den Behörden oder durch freiwillige Normen vorgegebene Anforderungen. Gleichzeitig wurde der Geltungsbereich des ISMS von der grund­legenden ICT-Infrastruktur auf flugsicherheitsrelevante Systeme ausgedehnt. Des Weiteren wurde das Cyber Defence Center weiter ausgebaut und personell aufgestockt. Das Managementsystem wird auch in Zukunft stetig weiterentwickelt und an die sich verändernden Herausforderungen angepasst. Zudem erfüllt der Flughafen Zürich damit auch die Anforderungen des NASP.

ISO 27001
zertifiziert

Grundlage für die Weiterentwicklung von Massnahmen zur Erhöhung der ICT-Sicherheit am Standort Zürich ist die im Jahr 2023 letztmals überarbeitete Cybersecurity-Strategie. Diese orientiert sich an international anerkannten Regelwerken. Einmal jährlich wird der aktuelle Stand dem «Audit & Finance Committee» des Verwaltungsrats zur Kenntnis gebracht.

Dank der starken Vernetzung im Rahmen der nationalen Strategie zum Schutz kritischer Infrastrukturen und der engen Orientierung an Branchenstandards ist gewährleistet, dass das Unternehmen jederzeit in der Lage ist, Cyberangriffe von aussen oder anderweitige Datenpannen frühzeitig zu erkennen und deren Auswirkungen auf ein Minimum zu reduzieren. Die systemkritischen Infrastrukturen werden redundant vorgehalten, um auch Auswirkungen anderer Ereignisse, wie beispielsweise Erdbeben, auf die ICT-Systeme möglichst gering zu halten.

Wichtiger Pfeiler der Cybersecurity-Strategie ist schliesslich das Verhalten der Mitarbeitenden. Um das Bewusstsein aller ICT-Anwenderinnen und -Anwender zum rechtzeitigen Erkennen von potenziellen Bedrohungen zu erhöhen, werden Informationskampagnen und Schulungen durchgeführt.

Drei der Standorte in Brasilien sind nach ISO 27001 zertifiziert. Einzig in Natal, das seit Anfang 2024 zum Portfolio gehört, steht die Zertifizierung noch aus.

Schutz von Personendaten

Die Rahmenbedingungen zum Umgang mit Personendaten ergeben sich für den Standort Zürich vor allem aus dem schweizerischen Datenschutzgesetz und der europäischen Datenschutzgrundverordnung.

Die Flughafen Zürich AG behandelt die Daten und schützenswerten Informationen ihrer Geschäftskunden, Leistungspartner, Konsumentinnen und Konsumenten sowie weiterer Anspruchsgruppen mit höchster Sorgfalt. Dabei werden die geltenden Geheim­haltungs­pflichten und Datenschutzgesetze konsequent eingehalten. Die Datenschutzbeauftragte der Flughafen Zürich AG hat die Aufgabe, die Compliance hinsichtlich des Schutzes von Personendaten sicherzustellen. Sie berät die Linienverantwortlichen zum korrekten Umgang mit Personendaten, führt ein Verzeichnis sämtlicher Datensammlungen des Unternehmens und gibt Auskunft gegenüber betroffenen Personen, externen Stellen und Behörden. Die Grundsätze für den Umgang mit Personen- und Betriebsdaten sind in der Datenethik der Flughafen Zürich AG festgehalten.

Der Umgang mit Betriebs- und Personendaten an den ausländischen Flughäfen richtet sich nach den dortigen Regularien.