Aus der Flugpraxis lernen: Piloten-Tipps für mehr IT-Sicherheit

by Annecilla Sampt

Christoph Barszczewski unterstützt als Business Relation Manager bei der IKARUS Security Software GmbH seit vielen Jahren Unternehmen mit modernsten IT-Sicherheitslösungen. Er ist auch ein erfahrener Pilot, Autor von Büchern über seine Erfahrungen als Buschpilot und die Fliegerei in Alaska und wohl der einzige Ausbildner für Wasserflugzeug-Piloten in Österreich. 

Da IT-Security auch beim 12. Confare #CIOSUMMIT, dem größten IT-Treffpunkt Österreichs, ein wichtiges Thema sein wird, haben wir ihn gefragt, wie er seine Erfahrungen aus der Fliegerei für die Tätigkeit rund um die Sicherheit von Netzwerken und Systemen nutzt. Von Checklisten bis Fehlerkultur – wir bekamen einige wertvolle Anregungen.

Wie wichtig ist Risikomanagement beim Fliegen?

Sehr wichtig! Die Flugbranche bleibt trotz 100 Jahren Erfahrung, oder vielleicht gerade deswegen, sehr komplex. Sie ist auch wegen dem Kostenfaktor und den rasant steigenden Passagier- und Verkehrszahlen mit einem starken Leistungsdruck behaftet. Komplexität und katastrophale Folgen einer Störung, eines Fehlers oder Ausfalls erfordern ein entsprechendes Risikomanagement an mehreren Ebenen.

Erfahren Sie mehr zum Thema IT-Security am Confare #CIOSUMMIT 2019 im April in Wien. Keynotes – Workshops – MessedUp Meeting.

Was sind die wichtigsten Sicherheitsprinzipien im Flugwesen?

Ein Aspekt ist die Fehlerkultur. Ein Spruch aus der Fliegerei sagt: „Lerne aus Fehlern der Anderen! Du wirst nicht lange genug leben, um alle möglichen Fehler selber zu machen!“ Es muss nicht gleich zu einer Katastrophe kommen. Immer wieder gibt es Vorfälle, die zwar nicht zu einer Katastrophe führen, aber aus denen man lernen kann.

Fehler können passieren und werden passieren. Wie baut man ein System auf, das unter dieser Prämisse trotzdem das Risiko auf eine tragbare Größe reduziert? In dieser Hinsicht hat man im Flugwesen einen systemischen Zugang zum Thema Sicherheit: man spricht nicht von einem isolierten „Problem“, das zu beseitigen ist, sondern analysiert das Risikopotential auf mehreren Ebenen, wie: Faktor Mensch, Technik, Logistik, Umgebung u. a.

Fehler können beim Fliegen tödlich enden – Wie sehr lassen sich den Fehlleistungen vermeiden? Wie geht man mit begangenen Fehlern um?

Eine gewisse Redundanz ist das Um und Auf, egal ob es um die Technik, Flugplanung oder sogar um die Zusammenwirkung der Piloten im Cockpit geht. In der Flugzeugtechnik zum Beispiel sind das die redundanten und unabhängigen Steuerungssysteme eines Flugzeuges. Flugplanung? Vorgeschriebene Treibstoffreserven, Ausweichrouten und Ausweichlandeplätze – falls die Landung in der geplanten Destination nicht möglich ist.

Mindestens gleich wichtig ist der Faktor Mensch. Für 2015 wurde erhoben, dass die Ursache der Unfälle in der kommerziellen, allgemeinen Luftfahrt zu 70,1 % an Pilotenfehlern lag. Daher feilt man schon seit den 70er Jahren an einem Crew Ressource Management (CRM). So sollen die Folgen eines Fehlers des Einzelnen minimiert werden. Im Rahmen von CRM werden Aufmerksamkeit, Entscheidungsfindung, Führungsverhalten, Kooperation und menschliche Kommunikation praxisbezogen trainiert.

Beispiele aus den USA – der größten Luftfahrtnation der Erde – im Umgang mit Fehlern sind Aviation Accident Report vom National Transportation Safety Board oder Aviation Safety Network von Flight Safety Foundation. Man kann dort als Pilot einen Zwischenfall oder Unfall melden, ohne gleich automatisch mit „Repressalien“ rechnen zu müssen.  Der Zweck solcher Reports ist nicht den Piloten zu bestrafen, sondern anderen Piloten zu ermöglichen aus den Fehlern zu lernen.

Welche Bedeutung hat Routine beim Fliegen?

Als Berufspilot übt man einen Hochleistungs-Risiko-Beruf aus, und zwar in einer hochkomplexen Umgebung verbunden mit Leistungsdruck. Da ist Routine ständig gefragt und wird auch regulär trainiert und überprüft, sowohl in Standard- als auch in potentiellen Notfallsituationen.

Auf der anderen Seite kann die Routine unter ungewöhnlichen Umständen oder neuer Umgebung auch potentiell gefährlich sein. Allein schon deswegen wird in der Privatfliegerei von Piloten unter gewissen Umständen ein „Differential Training“ beim Umstieg auf einen neuen Flugzeugtyp verlangt.

Wo siehst Du denn Überschneidungen zur IT-Security?

IT selbst, und dadurch auch IT-Security wird wie das Flugwesen immer komplexer. In beiden spielen ähnliche systemische Komponenten eine wesentliche Rolle für die Sicherheit: der Mensch, seine Kommunikation, der Umgang mit der Technik und die Technologie selbst.

Beim heutigen hohen Grad der Vernetzung in der IT, der Konvergenz zwischen klassischer IT und industriellen Netzen und Steuersystemen kommen wir langsam in der IT dorthin, wo die Luftfahrt schon lange ist: die Sicherheit hochkomplexer Systeme unter einem Kosten- und Leistungsdruck zu leisten.

Was kann man für die IT-Sicherheit daraus lernen?

Man muss das Rad nicht neu erfinden. Die Flugbranche hat 100 Jahre Zeit gehabt das Risikomanagement in einer komplexen Umgebung zu perfektionieren. Was spricht dagegen aus diesem Pool an Erfahrungen zu profitieren? Wie etwa soll ein Mensch in einer stressigen Notfallsituation korrekt reagieren? Wir haben einerseits in der Fliegerei so genannte Notfall-Checklisten, anderseits auch Notfallpläne bzw. Checklisten in der IT-Security. Wenn man aber beide vergleicht, sind große Unterschiede zwischen Genauigkeit und Qualität zu sehen.

Eines der wichtigsten Merkmale der Checklisten in der Fliegerei ist, dass sie leicht verständlich und praktisch „idiotensicher“ formuliert sind. Obwohl sie sehr komplexe Vorgänge und Prozesse beschreiben. Mit ein Grund, warum sie auch in Stresssituationen effizient funktionieren.

In der Herzchirurgie hat man aufgrund vieler Fehler die Verfahren und Checklisten aus der Fliegerei analysiert und für sich übernommen. So ist etwa die „Surgical Safety Checklist“ der WHO entstanden.

Es ist an der Zeit, besonders in kritischen Bereichen der Industrie, Produktion oder allgemein Infrastrukturen – also überall dort, wo eine Verflechtung der klassischen IT-Netze mit industriellen Systemen stattfindet – über das Thema IT-Sicherheit neu nachzudenken.

Gerade in der Luftfahrt beschäftigt man sich schon lange nicht nur mit „Security“, sondern viel mehr auch mit „Safety“. Also IT-Safety neben der IT-Security.

Confare #CIOSUMMIT 2019 – mit IT-Managern, Meinungsbildnern und Experten aus Top-Unternehmen. Creative Hub, Networking und Erfahrungsaustausch auf Augenhöhe.
Melden Sie sich noch heute an! Für CIOs, CDOs, IT-Manager und Fachbereichs-Manager ist der Eintritt mit keinen Kosten* verbunden.

Die Confare CIO Summits 2019 im DACH-Raum

CIO Summit 2019

Confare #CIOSUMMIT
03. & 04. April 2019
METAstadt Wien

Swiss CIO Summit

Confare Swiss CIO & IT-Manager Summit
11. September 2019
Zürich

BeCIO

Confare #BeCIO Summit
26. September 2019
Frankfurt am Main

⇒ Der Confare Blog ist Ihr Informations-Vorsprung. Jetzt abonnieren!

Für Sie ausgewählt

Leave a Comment