Zum Inhalt springen
Teil 1 von 3: Erfolgsfaktoren des Safety Managements

Was die Informationssicherheit von der Luftfahrt lernen kann

Die Luftfahrt hat mit Safety-Management-Systemen (SMS) messbare Sicherheitsfortschritte erzielt. Viele Informationssicherheitsmanagementsysteme (ISMS) bleiben dagegen bei der Dokumentation stehen. Welche Prinzipien sich übertragen lassen – und wo Grenzen liegen. Infodas-Experten geben exklusive Einblicke. Den Auftakt der Serie bilden die Erfolgsfaktoren aus dem Safety Management.

Autoren: Daniel Grötsch und Maximilian Häring / Redaktion: Diana Künstler • 27.3.2026 • ca. 3:55 Min

Flugzeug unter der Lupe
© Andrii Yalanskyi – shutterstock.com

Während die Luftfahrt seit Jahrzehnten mit strukturierten Safety-Management-Systemen arbeitet und messbare Sicherheitsfortschritte erzielt, stehen viele Informationssicherheitsinitiativen noch vor ähnlichen Herausforderungen: Prozesse sind dokumentiert – doch wie lässt sich ihre tatsächliche Wirksamkeit messen und verbessern?

In dieser dreiteiligen Serie zeigen Experten der Infodas (Eigeneschreibweise infodas), welche Prinzipien aus dem Safety Management der Luftfahrt auf Informationssicherheitsmanagementsysteme (ISMS) übertragen werden können – von messbarer Performance über Reifegradmodelle bis hin zur Rolle einer funktionierenden Fehlerkultur.

Anbieter zum Thema

Hier könnte auch Ihr Logo stehen.
zu Matchmaker+

Teil 1: Erfolgsfaktoren aus dem Safety Management

Was kann Informationssicherheit von der Safety in der Luftfahrt lernen?

Diese Frage haben wir kürzlich in einem Workshop gemeinsam mit Vertretern von Luftfahrtunternehmen und Behörden diskutiert.

Die anschließende Debatte war aufschlussreich: Während die Airlines von jahrzehntelanger Erfahrung mit Safety-Management-Systemen (SMS), den dabei etablierten Prozessen und daraus resultierenden messbaren Erfolgen berichten konnten, stehen die Informationssicherheitsinitiativen teils noch eher am Anfang.

Auf Basis dieser Erkenntnis haben wir zu dem Thema recherchiert und möchten unsere Ergebnisse im Rahmen dieser dreiteiligen Artikelserie beleuchten. Dabei zeigen wir im ersten Teil auf, welche Erfahrungen wir aus den etablierten Methoden des Safety Managements in der Luftfahrt auf die Implementierung bei Informationssicherheitsmanagementsystemen (ISMS) übertragen können. In den zwei folgenden Teilen beleuchten wir die Bedeutung von Leistungsbewertungen von Managementsystemen und einer etablierten Fehlerkultur.

Zurück zur Ausgangslage: Was können wir von den Erfolgen im Bereich der Safety-Management-Systeme (SMS) der Luftfahrt für die Implementierungen und den Betrieb von ISMS lernen? Diese Erkenntnisse sind nicht auf die Luftfahrtbranche beschränkt. Sie lassen sich auf alle Organisationen übertragen, die ein wirksames ISMS aufbauen und betreiben wollen. Dabei ist es irrelevant, ob die Vorgehensweise der ISO 27001, dem BSI IT-Grundschutz oder anderen Standards folgt und ob der Scope eine kritische Infrastruktur, die öffentliche Verwaltung oder den Verteidigungssektor umfasst.

Warum die Luftfahrt als Vorbild dienen kann

Die International Civil Aviation Organization (ICAO) dokumentiert systematisch die Entwicklung der Flugsicherheit (Safety) weltweit. Die Unfallraten zeigen einen eindeutig sinkenden Trend auf: Von 3,0 Unfällen pro Million Abflüge im Jahr 2014 auf 2,56 im Jahr 2024 – trotz gleichzeitig massiv gestiegener Flugzahlen. Langfristig zeichnet sich dasselbe Bild: Zwischen 2011 und 2015 ereignete sich im Mittel ein Unfall pro 456.000 Flüge, im Zeitraum 2020 bis 2024 nur noch einer pro 810.000 Flüge. Das ist eine relevante Verbesserung über die Jahre. Auch die Möglichkeit zur Zertifizierung scheint einen Effekt zu haben: Airlines mit IOSA-Zertifizierung verzeichnen 46 Prozent niedrigere Incident-Raten als nicht-zertifizierte Fluggesellschaften. Wir meinen: die erfolgreiche Senkung der Unfallzahlen ist kein Zufall.

Vier zentrale Erfolgsfaktoren des Safety Managements in der Luftfahrt sind besonders relevant:

  1. Es sind verpflichtende Standards etabliert. Der ICAO Annex 19 konsolidiert die bisherigen Safety Management Maßnahmen und macht SMS zum internationalen Standard für alle 193 Mitgliedsstaaten. Führende Luftfahrtnationen wie Kanada, Australien, Neuseeland und die EASA-Staaten setzen ein SMS für die Lizenz voraus, so dass ohne funktionierendes SMS keine Betriebsgenehmigung erteilt wird. Im Bereich ISMS gibt es hier ebenfalls aktuelle Initiativen beispielsweise mit Part-IS und NIS-2.
  2. Es wurden standardisierte Messsysteme etabliert. Die ICAO betreibt das Accident/Incident Data Reporting (ADREP) als globales System zur Erfassung und Klassifikation von Unfällen. Jeder kommerzielle Unfall wird zentral erfasst, klassifiziert und validiert. Dies ermöglicht internationale Vergleichbarkeit und systematisches Lernen aus Fehlern. Dieses Thema steckt bei Informationssicherheitsvorfällen noch in den Kinderschuhen und eine entsprechende Organisation ist noch zu etablieren.
  3. Es wurde eine tragfähige Just Culture beim Reporting etabliert. Wer Vorfälle meldet, wird geschützt statt bestraft – das schafft große Datenmengen für die Verbesserung der proaktiven Risikoabschätzungen. Denn: ohne Meldungen keine Daten, ohne Daten keine Verbesserung. Dieser Punkt kann unabhängig in den ISMS-Kontext überführt werden, ist hier aber oft noch nicht in diesem Maße verankert.
  4. Es wurde eine leistungsbasierte Überwachung eingeführt. Die EASA nutzt hierfür ein vierstufiges Reifegradmodell, um die Leistung und Wirksamkeit des SMS transparent darzustellen. Entscheidend ist nicht, ob etwas dokumentiert ist, sondern ob es tatsächlich wirkt („Performance statt Papier“). Ähnliche Reifegradmodelle existieren auch für den Kontext ISMS, der Unterschied liegt aber darin, dass diese bei Weitem noch nicht durchgängig eingesetzt werden.

Was das für Informationssicherheitsmanagement bedeutet

Die Luftfahrtbranche misst also nicht nur, ob Prozesse existieren – sondern ob sie funktionieren.

Genau dieser Schritt fehlt bei vielen ISMS-Implementierungen noch. Dazu muss das Rad nicht neu erfunden werden. Die bewährten SMS-Prinzipien lassen sich auch ohne verpflichtende globale Standards auf ein ISMS adaptieren.

Das Safety Management in der Luftfahrtbranche beweist, dass systematisches Management funktioniert. Es ist also an der Zeit, diese Lehren für Informationssicherheit zu nutzen. Auch der Aufbau der Safety-Management-Systeme in der Luftfahrt stieß anfangs auf Skepsis. Die heute erreichten Fortschritte zeigen jedoch deutlich: Konsequentes Sicherheitsmanagement zahlt sich langfristig aus. Die seitdem erreichten Fortschritte zeigen jedoch, dass sich die konsequente Einführung gelohnt hat und die Safety nachhaltig verbessert werden konnte. Wir würden uns wünschen, dass dies in wenigen Jahren auch für den Bereich der Informationssicherheit gilt.

Dieser Beitrag basiert auf unserer fachlichen Expertise im Bereich Informationssicherheit. Für Recherche, Strukturierung und Formulierung setzen wir auch KI-gestützte Tools ein. Alle Quellen und fachlichen Aussagen wurden von uns geprüft und verifiziert. Wir übernehmen die volle Verantwortung für den Inhalt.

Daniel Grötsch ist Lead Cybersecurity Consulting bei Infodas. Maximilian Häring ist Senior Consultant Cybersecurity bei Infodas

Artikelserie: Informationssicherheit und Luftfahrt

Dieser Beitrag ist Teil 1 einer dreiteiligen Serie auf connect professional.

  • Teil 1: Was Informationssicherheit von der Luftfahrt lernen kann
  • Teil 2: Performance statt Papier – Wirksamkeit messen statt Compliance abhaken
  • Teil 3: Just Culture – Warum Fehlerkultur der Schlüssel zu besserer Informationssicherheit ist.
Das könnte Sie auch interessieren
Continental
Keynote auf dem Forum Safety & Security Security in der Mensch-Maschine-Kollaboration
Ralph Langner
Forum Safety & Security 2016 »Industrielle Cyber Security« mit Ralph Langner
Bosch Sicherheitssysteme: "Smart Safety Link" vereinfacht die Integration von Brandmelde- und Sprachalarmierungssystemen Brandmelde- und Sprachalarmierungssysteme per IP vernetzen
Safety & Security Amsterdam 2011 Abus Security-Center präsentiert Alarm- und Videotechnik
Safety first
RFID-Anwendungen in Flugzeugen RFID hebt ab
RFID-Anwendungen in Flugzeugen RFID hebt ab
Microsoft startet kostenlosen »Windows Live Onecare Safety Scanner«
Mehr passende Artikel
Fujitsu-Werk im japanischen Kasashima
Souveräne KI-Server Fujitsu startet Produktion von Servern „Made in Japan“
Fiberdays 2026
Mehr Aussteller, mehr Themen, mehr Reichweite Fiberdays wachsen weiter in Frankfurt
DKV Mobility E-Mobilität
DKV-Studie zur E-Mobilität in Europa E-Flotten im Aufwind, Kosten als Bremse
Markus Windrath, Api
Neue Vertriebsstruktur für europäische Expansion Api ernennt Markus Windrath zum VP International Sales
Drucker Chaos
HP-Studie zu ineffizienten Workflows KMU verlieren Milliarden durch Druck-Chaos
Weiter zur Startseite