Ich bin fast mein ganzes Erwachsenenleben lang in der IT- und Sicherheitsbranche tätig gewesen. Ich habe meine Karriere als Netzwerkingenieur begonnen und bin dann ziemlich schnell zum Sicherheitsingenieur geworden. Es begann mit einer Firewall-Zertifizierung, dann fügte ich Intrusion Detection und Prevention hinzu. Die Bereiche der Sicherheit wuchsen weiter; es kamen forensische Untersuchungen, eDiscovery, Projektberatung und vieles mehr hinzu. Bei der Projektberatung haben wir uns darauf konzentriert, sicherzustellen, dass das Risikoniveau eines Projekts innerhalb eines für das Unternehmen akzeptablen Rahmens liegt. In meinen letzten drei Funktionen war ich an der Spitze der Cybersicherheitsorganisation, aber ich wollte schon immer Pilot werden, so lange ich denken kann.
Im Jahr 2018 wurde ich zum zertifizierten Piloten und im Jahr 2019 zum Ausbilder für Fortgeschrittene und für die Instrumentenbodenschule. Ich habe vor kurzem eine formale Bodenschulung für etwa 15 Schüler mit unterschiedlichen Fähigkeiten, Alter und Zielen für ihre Pilotenkarriere abgeschlossen.
Einer meiner jüngsten Schüler ist etwa so alt wie ich selbst, träumt schon sein ganzes Leben lang vom Fliegen und möchte es einfach nur zum Spaß tun, während ein anderer Schüler 16 Jahre alt ist und für die Fluggesellschaften fliegen möchte und ein weiterer junger Schüler den Wunsch hat, Pilot bei der United States Air Force zu werden.
Auch wenn es für jeden dieser Lernenden unterschiedliche Antriebsfaktoren und Investitionsniveaus gibt, so gibt es doch einige wichtige Grundlagen des Berufs, die sie verstehen und sich zu eigen machen müssen.
Während ich diesen Artikel schreibe, schaue ich auf mein Bücherregal, das voll ist mit Schulungsmaterial für die Luftfahrt, technischen Büchern und Sicherheitsbüchern. Wenn Sie die Federal Aviation Regulations (FAR) und das Airmen Information Manual (AIM) zur Hand nehmen, werden Sie feststellen, dass es 540 Seiten mit Regeln und Vorschriften enthält, die in Title 14 Code of Federal Regulations enthalten sind und die Piloten, Flugzeuge, das Fliegen und damit zusammenhängende Dinge regeln. Die Version des Buches, die ich habe, wurde für Piloten geschrieben und enthält daher keine der unzähligen Regeln und Vorschriften, die für die Luftfahrtindustrie insgesamt gelten.
„Die Luftfahrt an sich ist nicht von Natur aus gefährlich. Aber in noch höherem Maße als die See ist sie furchtbar nachtragend gegenüber jeglicher Unachtsamkeit, Unfähigkeit oder Nachlässigkeit.“ – Kapitän A. G. Lamplugh, British Aviation Insurance Group, London. 1930’s
Wenn ich daran denke, wie ich am ersten Tag der Bodenschulung über die Geschichte der Luftfahrt und der Federal Aviation Administration (FAA) unterrichtet habe und wie die Geschichte der Luftfahrt im Allgemeinen 117 Jahre zurückreicht, gab es keine dieser Vorschriften oder Regeln. Im Laufe der Zeit, als die Luftfahrtindustrie wuchs und Piloten, Passagiere und Zivilisten ihr Leben verloren, wurden diese Gesetze, die leider mit Blut geschrieben wurden, geschaffen, um den weiteren Verlust von Menschenleben zu verhindern.
Und wenn ich an alle aktuellen Sicherheitsbestimmungen und -anforderungen in der Cyberwelt denke, wie z.B. HIPAA, SOX oder in jüngster Zeit in Bezug auf den Datenschutz mit GDPR, CCPA und anderen Datenschutzbestimmungen, dann sind auch diese in Leben geschrieben. Auch wenn diese Gesetze nicht geschrieben wurden, weil jemand sein Leben verloren hat, so haben doch einige ihren Lebensunterhalt, ihre Identität oder ihre Ersparnisse verloren.
Die meisten Vorschriften in den FARs sind präskriptiv, das heißt, Sie müssen Folgendes tun. Es gibt einige Regeln und Richtlinien für die Cybersicherheit, die unbedingt befolgt werden müssen. Die meisten anderen Bereiche sind eher suggestiv und offen für Interpretationen, wie z.B. die Fragen „Sollte ich?“ oder „Was kann ich tun, um die Wahrscheinlichkeit zu verringern, dass das passiert?“.
Hier kommen Risikomanagement und Diskretion ins Spiel. Fliegen ist eine sehr lohnende Tätigkeit, und es gibt Maßnahmen, um das Risiko zu verringern. Wenn ich unterrichte, bringe ich die Studenten gerne dazu, darüber nachzudenken, welche Risikomanagementtechniken sie anwenden würden, um ein positives Ergebnis zu erzielen, falls etwas nicht wie geplant verläuft. Das Gleiche gilt für Cyber: Welche Schritte werden Sie unternehmen, um den Erfolg eines Projekts zu gewährleisten und die Wahrscheinlichkeit, dass etwas schief geht, zu verringern. Und wie werden Sie diese Risiken angehen, wenn es dennoch schief geht, so dass Sie die Auswirkungen der Sache, die schief gegangen ist, minimieren können. (Risikomanagement und Reaktion auf Vorfälle).
Ich beabsichtige, eine kurze Artikelserie zu veröffentlichen, in der ich das Risikomanagement in der Luftfahrt mit dem Risikomanagement in der Cybersicherheit vergleiche und gegenüberstelle. Ich würde gerne mit anderen Cyber-Sicherheitsexperten, die ebenfalls Piloten sind, über die Gemeinsamkeiten und Unterschiede in zukünftigen Artikeln zusammenarbeiten. Im nächsten Artikel werde ich auf Checklisten eingehen, was sie sind und was nicht, und wie man sie in einem risikobasierten Ansatz verwendet. Als nächstes werde ich mich auf die Unterschiede in der Ausbildung und Mentalität zwischen Luftfahrt und Cyber konzentrieren. Danach werde ich auf das Bohren der Prozedur eingehen und darauf, wie Sie den Umgang mit Dingen üben, die schief gehen, wie z.B. Engine-Out-Prozeduren und wie Sie Ihre Cybersicherheitsprozesse und -prozeduren wie Backups, Patches, Reaktion auf Vorfälle usw. regelmäßig testen sollten.
