Die Gesellschaften der Lufthansa Group erheben, verarbeiten und nutzen täglich personenbezogene Daten von Kunden, Aktionären, Mitarbeitern und Lieferanten. Insbesondere in den Geschäftsprozessen der Passagier-Fluggesellschaften ist der Konzern auf personenbezogene Informationen der Kunden angewiesen. Alle diese Daten schützt und sichert die Lufthansa Group nach höchsten Maßstäben.

Die gesetzlich vorgegebenen Verantwortlichkeiten setzt die Lufthansa Group in einer integrierten Datenschutzorganisation auf allen Ebenen um. Der Bereich Konzerndatenschutz stellt die Anwendung der gesetzlichen Vorgaben in der gesamten Lufthansa Group sicher. Er macht die Mitarbeiter mit den Anforderungen der Gesetze vertraut und führt regelmäßig Überprüfungen durch. Überdies beraten die Datenschutzexperten die Fachbereiche bei der Einführung neuer Systeme und bei der Gestaltung oder Veränderung von Prozessen.

Mitarbeitersensibilisierung und gezielte Schulungen

Die Konzern-Datenschutzbeauftragte unterstützt Mitarbeiter und Führungskräfte mittels Schulungen, Web-basierten Trainings und einer umfangreichen Kommunikation dabei, den Datenschutz, seine Notwendigkeit und seine Prinzipien in der Lufthansa Group zu verstehen. Dazu zählen auch wichtige Begrifflichkeiten, die Organisation des Datenschutzes und die jeweiligen Bereichsspezifika. Die Datenschutzbeauftragte konzipiert die notwendigen Schulungsmaßnahmen als Empfehlung, informiert die Verantwortlichen über ihre Schulungsverpflichtung und überwacht – sofern technisch möglich – durch ein automatisiertes Monitoring-System und konkrete Kontrollen die Einhaltung dieser Schulungspflichten. 

Informationssicherheit

Die Geschäftsprozesse der Lufthansa Group werden in nahezu allen Bereichen durch IT-Komponenten unterstützt. Mit dem IT-Einsatz gehen zwangsläufig Risiken für die Stabilität der Geschäftsprozesse sowie für die Verfügbarkeit, Vertraulichkeit und Integrität von Informationen und Daten einher. Die zunehmende Digitalisierung erhöht darüber hinaus die Notwendigkeit, Cyber-Risiken vorzubeugen.

Die Lufthansa Group beobachtet kontinuierlich die weltweite IT-Sicherheitslage. Auf Basis dieser Beobachtungen hat der Vorstand in den vergangenen Jahren vielfältige Maßnahmen zur Stärkung der IT-Sicherheit der Lufthansa Group verabschiedet und in einer Vielzahl von Projekten umgesetzt. Die Maßnahmen fokussieren sich auf die risikoorientierte Umsetzung in den IT-Systemen und -Prozessen unter Berücksichtigung der Partner und Provider der Lufthansa Group.

Konzernweites Cyber-Security-Programm

Technologische Werkzeuge zur Prävention von Cyber-Attacken wurden eingeführt, Prozesse an die sich verändernde Bedrohungslage angepasst, organisatorische Änderungen vorgenommen und Awareness-Kampagnen durchgeführt. Seit Ende 2018 wird ein Drei-Jahres-Programm zur Erhöhung der Cyber Resilienz innerhalb der Lufthansa Group umgesetzt. Das vom Vorstand verabschiedete Cyber-Security-Programm implementiert konzernweit Maßnahmen in verschiedenen Kernbereichen und eine Vielzahl von Projekten. Eingeschlossen ist hierbei auch der Bereich, der die Airlines der Lufthansa Group auf die nächste Generation von eEnabled-Flugzeugen vorbereitet.

Informationssicherheit im Verbund

Sicherheitsexperten der Lufthansa Group stehen in engem Austausch mit externen Sicherheitsfirmen, Forschungsgruppen, anderen Unternehmen und staatlichen Stellen. Ein Security Operations Center (SOC) ist 24/7 für den Schutz und die Sicherheit der IT Infrastruktur im Einsatz. Ein Computer Emergency Response Team steht permanent für schnelle Reaktion im Falle eines Sicherheitsvorfalls oder eines Cyberangriffs in Bereitschaft. Die Sicherheitsexperten der Lufthansa Group nehmen regelmäßig an Sicherheitstrainings und –Konferenzen teil.

Regelmäßige Kontrollen

IT-Risiko- und IT-Security-Prozesse sind geschäftsfeldübergreifend organisiert. Der Status der IT-Risiken und der -Sicherheit wird jährlich erhoben, auf Konzernebene konsolidiert und im Risikomanagement-Ausschuss der Lufthansa Group behandelt. Die Risiko- und Sicherheitsmanagement-Systeme sowie ausgewählte Maßnahmen werden zudem regelmäßig durch die interne Revision überprüft.

Kontrollen beziehen sich auch auf unternehmensexterne Dienstleister: Die mit Fremdvergaben naturgemäß einhergehenden operativen und kommerziellen Risiken werden fortlaufend bewertet und gesteuert. Durch eine Prüfung unabhängiger Dritter wird die Aufrechterhaltung der ISO27001 Zertifizierung aller Lufthansa Ground Operations-Prozesse, der darunterliegenden IT-Prozesse an nationalen und internationalen Flughäfen sowie der entsprechenden betriebsrelevanten Abteilungen nachhaltig sichergestellt.

Sensibilisierung der Mitarbeiter

Trainings und Veranstaltungen zu den Themen Informationssicherheit und Datenschutz finden regelmäßig innerhalb der Lufthansa Group für alle Mitarbeiter statt. Die Schärfung des Risikobewusstseins erfolgt fortlaufend über weitere interne Kanäle. Durch einen globalen Cyber-Security-Response Prozess kann die Lufthansa Group jederzeit auf potenzielle Sicherheitsvorfälle reagieren.

Risikomanagement

Die Lufthansa Group verfügt über ein einheitliches Risikomanagementsystem. Die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit der Informationssicherheit sind eigene Risiko-Kategorien im Risikomanagementsystem und damit Teil der Risikoberichterstattung an den Vorstand und den Prüfungsausschuss des Aufsichtsrats.