Luftrechtskolumne (65) ( Gastautor werden )

Das bedeutet Cybersecurity in der Luftfahrt (3)

31.07.2018 - 11:23 0 Kommentare

Der Schutz der Zivilluftfahrt vor unrechtmäßigen Eingriffen (Luftsicherheit) gehört zu den Kernthemen des Luftrechts. Mit Anpassungen der rechtlichen Anforderungen zum Schutz vor Cyberangriffen ist in absehbarer Zeit zu rechnen, erläutert Luftrechtskolumnistin Nina Naske.

Einmal im Monat veröffentlicht die Luftrechts-Expertin Nina Naske auf airliners.de eine neue Kolumne. Alle Luftrechts-Folgen lesen. - © © dpa - Fotomontage: airliners.de

Einmal im Monat veröffentlicht die Luftrechts-Expertin Nina Naske auf airliners.de eine neue Kolumne. Alle Luftrechts-Folgen lesen. © dpa /Fotomontage: airliners.de

Die seit etlichen Jahren bei uns geltenden rechtlichen Anforderungen im Bereich der Luftsicherheit drehen sich um die Kernidee, dass die Luftfahrt vor Szenarien wie dem Bombenanschlag von Lockerbie oder den Flugzeugentführungen des 11. September 2001 zu schützen ist. Die von der Verordnung (EG) Nr. 300/2008 und ihren Durchführungsbestimmungen (besonders Verordnung (EU) Nr. 2015/1998) vorgeschriebenen Sicherheitsmaßnahmen bestehen deshalb im Wesentlichen in der Ausgestaltung der Zugangskontrollen: Es geht darum, verbotene Gegenstände, die für Anschläge missbraucht werden könnten, gar nicht erst an Bord des Flugzeugs gelangen zu lassen.

Auch das deutsche Luftsicherheitsgesetz (LuftSiG) verfolgt denselben Regelungsansatz. Nach seinem ersten Paragrafen dient das Gesetz dem Schutz vor Angriffen auf die Sicherheit des zivilen Luftverkehrs, insbesondere vor Flugzeugentführungen, Sabotageakten und terroristischen Anschlägen. Die vorgeschriebenen Sicherheitsmaßnahmen bestehen auch nach dem deutschen Luftsicherheitsgesetz vorrangig in der Zugangskontrolle, um zu verhindern, dass verbotene Gegenstände an Bord eines Luftfahrzeugs verbracht werden.

Zuständigkeiten und Verantwortlichkeiten

Die EU-Vorschriften beinhalten gemeinsame Grundstandards, die von jedem EU-Mitgliedstaat einzuhalten sind. Die Einzelheiten können, auch weil es Besonderheiten und Ausnahmeregeln gibt, schnell kompliziert werden. Im Wesentlichen aber ist vorgeschrieben, welche Sicherheitsmaßnahmen an Flughäfen und bei der Beförderung von Passagieren, Fracht oder Post mit Luftfahrzeugen einzuhalten sind. Zwingend durchzuführen sind im Regelfall beispielsweise die Passagier- und Gepäckkontrollen, die Reisende am Flughafen erleben.

Das EU-Luftsicherheitsrecht macht dabei lediglich für die Luftfracht auch Vorgaben dazu, dass die Luftfahrtunternehmen oder sonstigen Beteiligten der sicheren Lieferkette für die Sicherheitsmaßnahmen verantwortlich sind. Im Übrigen jedoch überlässt es die Europäische Union ihren Mitgliedstaaten zu entscheiden, ob die Sicherheitsmaßnahmen in die Zuständigkeit des Mitgliedstaats fallen oder ob nicht-staatliche Stellen verantwortlich sein sollen.

© dpa, Fotomontage: airliners.de Lesen Sie auch: Das bedeutet Cybersecurity in der Luftfahrt (1) Luftrechtskolumne (58)

Das deutsche Luftsicherheitsgesetz passt zu dieser Ausgangslage übrigens mehr schlecht als recht, weil es inhaltlich anders aufgebaut ist als das EU-Luftsicherheitsrecht. Natürlich lassen sich aber trotzdem rechtliche Lösungen finden. Beispielsweise überlässt es Paragraf 5 LuftSiG dem Ermessen der zuständigen Luftsicherheitsbehörde, ob oder wie genau Passagiere oder ihr Gepäck von der Luftsicherheitsbehörde oder ihren Beliehenen durchsucht werden oder nicht.

Vorausgesetzt, dass stattdessen eine andere Stelle die Kontrollen übernimmt, wäre es danach auch denkbar, dass die Luftsicherheitsbehörde ihr Ermessen dahin ausübt, selbst in den meisten Fällen nicht mehr nach Paragraf 5 LuftSiG tätig zu werden. Nach der jetzigen Rechtslage wäre jedoch fraglich, wer anstelle der Luftsicherheitsbehörden für die Passagier- und Gepäckkontrollen verantwortlich sein soll.

© airliners.de, David Haße Lesen Sie auch: "Große Airports wollen Verantwortung übernehmen" Interview mit ADV-Präsident Schulte

Die Airlines haben dazu bisher meist die Auffassung vertreten, ihre Aufgabe sei dies trotz des Wortlauts von Paragraf 9 LuftSiG nicht. Eine Pflicht der Flughäfen lässt sich Paragraf 8 LuftSiG kaum entnehmen. Genau um diese Frage geht es deshalb auch in der aktuellen Diskussion um eine Neuregelung, zu der sich die Fraport und Teile der CSU bereits geäußert haben.

Wer kümmert sich um Cybersecurity?

Eine konkrete Befassung mit neuen Bedrohungsszenarien lässt sich jedoch bisher weder in den Durchführungsbestimmungen des EU-Luftsicherheitsrechts noch in den Diskussionen um das deutsche Luftsicherheitsgesetz finden.

Auch die zwingenden Rechtsvorschriften zur Flugsicherheit (Safety), die besonders auf die technische Integrität und Betriebssicherheit des Fluggeräts und des Flugbetriebs zielen, beinhalten dazu bisher allenfalls die allgemeinen Regeln, nach denen etwa ein Luftfahrzeug so zu bauen ist, dass bekannte Gefahren vermieden werden (siehe beispielsweise Buchstabe 1.c.1. in Anhang I zur Verordnung (EG) Nr. 216/2008).

© dpa, Fotomontage: airliners.de Lesen Sie auch: Das bedeutet Cybersecurity in der Luftfahrt (2) Luftrechtskolumne (60)

Doch Luftfahrt und Luftrecht zeichnen sich ansonsten gerade dadurch aus, dass nicht breite, allgemein gefasste Regeln einzuhalten sind, sondern konkrete technische Spezifikationen und lebensnah gefasste, vereinzelte Verhaltensvorschriften. Solange nicht weitere Details dazu geregelt sind, wie der Schutz etwa vor bösartigen Angriffen auf die informationstechnologischen Systeme und den Datenaustausch auszusehen hat, wird es deshalb schwierig bleiben.

Die neue Grundverordnung: Neue Aufgaben der EASA

Mit der neuen Grundverordnung, welche die Verordnung (EG) Nr. 216/2008 ersetzen wird, wird sich jedoch die Lage verändern. Der Europäischen Agentur für Flugsicherheit (European Aviation Safety Agency, EASA) werden neue Aufgaben auch im Bereich der Luftsicherheit übertragen. Das Augenmerk liegt dabei besonders auf den Zusammenhängen mit der Flugsicherheit (Safety).

© dpa, Fotomontage: airliners.de Lesen Sie auch: Die neue EASA-Grundverordnung Luftrechtskolumne (64)

Wie ein roter Faden zieht sich durch die Erwägungsgründe und die Vorschriften der neuen Verordnung der Gedanke, dass wirksame Maßnahmen zum Schutz vor unrechtmäßigen Eingriffen als integrierte technische und betriebliche Lösung zu finden sind. Artikel 4 der neuen Grundverordnung sagt, dass EU, EASA und die Mitgliedstaaten beispielsweise die Abhängigkeiten und Wechselwirkungen zwischen Flugsicherheit und Cybersecurity sowie anderen technischen Bereichen zu berücksichtigen haben. Außerdem wird der EASA mit Artikel 88 unter anderem die Aufgabe übertragen, der EU-Kommission mit technischer Unterstützung auszuhelfen, auch soweit es um die Umsetzung der Verordnung (EG) Nr. 300/2008, also um Luftsicherheit geht.

Neue Rechtsvorschriften werden geschrieben

Schließlich weist der Europäische Plan für die Flugsicherheit (The European Plan for Aviation Safety), der bis 2022 ausgelegt ist, bereits heute einige konkrete Regelungsvorhaben aus, die neue Rechtsvorschriften zu Themen der Cybersecurity erwarten lassen.

Aufgeführt wird zunächst (RMT.0648) die Ausarbeitung von Anpassungen der technischen Spezifikation für große und andere Luftfahrzeuge (CS-25 und andere), um den richtigen Umgang mit den Risiken zu finden, die sich aus unrechtmäßigen Eingriffen in die elektronischen Systeme und Netzwerke an Bord der Luftfahrzeuge ergeben können.

Genannt ist aber auch (RMT.0720) das Vorhaben, eine allgemeiner gefasste Verordnung auszuarbeiten, die sich mit Anforderungen an den Schutz vor "Cyberangriffen" befassen soll. Die neuen Vorschriften sollen sich in der Breite richten an die Unternehmen und das Personal der Luftfahrt, also etwa an Entwicklungs- und Herstellungsbetriebe (Teil-21), Instandhaltungsbetriebe (Teil-145), aber auch Airlines, Piloten und Flugbegleiter, Flughäfen und Flugsicherungsdienste.

Was genau ist ein "Cyberangriff"?

Schließlich wollen die EU-Kommission, die Mitgliedstaaten und die EASA eine gemeinsame Strategie im Umgang besonders mit der zunehmenden Vernetzung und Digitalisierung in der Luftfahrt entwickeln (SPT.071).

Wer sich wünscht, dass die neuen Rechtsvorschriften möglichst klar, auf das Wesentliche reduziert und in der Praxis auch handhabbar und umsetzbar sind, sollte sich für diese Vorhaben interessieren und die sich bietenden Möglichkeiten der Mitwirkung nutzen.

Ein erster Ansatzpunkt dabei dürfte sicherlich die Antwort auf die schwierige Frage sein, die im Kern der neuen Bemühungen steht: Was genau ist ein "Cyberangriff"? Liegt der Unterschied zum technischen Fehler wirklich nur in der "Absicht" eines Menschen, der den Angriff gezielt vornimmt? Oder geht es am Ende dann doch vor allem darum, einfach nachhaltig bessere technische System zu bauen?

Über die Autorin

Regelmäßig veröffentlicht Luftrecht-Expertin Nina Naske auf airliners.de eine neue Luftrechts-Kolumne. Alle Luftrechts-Folgen lesen.

Nina Naske Nina Naske ist Rechtsanwältin in der Kanzlei Naske Rechtsanwälte. Ihre Erfahrung im Luftrecht beinhaltet das luftrechtlich geprägte Gesellschaftsrecht und Vertragsrecht ebenso wie die rechtlichen Anforderungen in den Bereichen Safety und Security.
Kontakt: luftrecht@airliners.de

Von: Nina Naske für airliners,de
( Gastautor werden )
Nachrichten-Newsletter

Keine Nachricht verpassen mit unserem täglichen Newsletter.

Ich habe die Datenschutzbestimmungen zur Kenntnis genommen.

  • Montage: airliners.de Industrie 4.0 auf Düsseldorfer Art

    Die Born-Ansage 97 Eine Geschichte zum Zungeschnalzen: Der Düsseldorfer Flughafen hat die Ermittlung der Fluggastzahlen outgesourct, was die Passagierkontrollen effektiver machen soll. Das ist aber kein Gesetz, merkt Karl Born an.

    Vom 08.11.2018

Themen

Es gelten die Forenregeln und Nutzungsbedingungen » mit Unterstützung durch Disqus

Mehr Nachrichten »
Anzeige schalten
Mehr Stellenangebote »
Anzeige schalten »