Wenn ein einziger Dienstleister mehrere Flughäfen lahmlegt
Ab dem 19. September 2025 störte ein Cyberangriff den Flugbetrieb an mehreren europäischen Flughäfen – darunter Berlin (BER). Ziel war nicht ein einzelner Flughafen, sondern ein zentraler Dienstleister: Collins Aerospace, eine Tochter des Konzerns RTX. Wie SRF berichtete, legte der Angriff Systeme an gleich mehreren Standorten lahm.
Was ist passiert?
Betroffen war das Passagierabfertigungssystem „MUSE“ von Collins Aerospace. Über dieses System wickeln Flughäfen zentrale Prozesse ab – Check-in, Boarding und Gepäckabfertigung. Als der Angriff diese Plattform störte, wirkte sich das unmittelbar auf den Betrieb aus.
Die Folgen waren an mehreren europäischen Flughäfen spürbar: in Berlin (BER), in Brüssel, in Dublin und in London. An den betroffenen Standorten kam es zu Störungen bei Check-in, Boarding und Gepäckabfertigung. Teilweise blieb nur ein manueller Check-in möglich – ein deutlich langsameres Vorgehen, das zu Verzögerungen führte. Ende September wurde in Brüssel ein Ersatzsystem in Betrieb genommen.
Der Vorfall zeigt eindrücklich, wie stark der moderne Flugbetrieb von wenigen, hochintegrierten IT-Diensten abhängt. Fällt ein zentrales Abfertigungssystem aus, sind viele Flughäfen gleichzeitig betroffen.
Wie der Angriff möglich wurde
Besonders aufschlussreich ist der Weg, über den die Angreifer eindrangen. Laut Berichten erfolgte der Zugang über einen kompromittierten Server. Die dafür genutzten Zugangsdaten stammten aus einer Infostealer-Infektion aus dem Jahr 2022 – also aus Daten, die bereits Jahre zuvor abgegriffen worden waren und offenbar nie zurückgezogen wurden.
Wie heise berichtet, spielten alte Passwörter und eine verzögerte Reaktion eine wesentliche Rolle. Die Ransomware-Gruppe „Everest“ beanspruchte einen Datendiebstahl. Deutsche Reisende und Beschäftigte waren wahrscheinlich von einem Datenabfluss betroffen.
Hier liegt die zentrale Lehre des Vorfalls: Zugangsdaten, die einmal in falsche Hände geraten sind, bleiben gefährlich, solange sie gültig sind. Ein Passwort aus dem Jahr 2022, das nie geändert oder deaktiviert wurde, konnte Jahre später als Einfallstor dienen.
Was bedeutet das?
Der Angriff auf Collins Aerospace illustriert zwei eng verwandte Risiken, die jede Organisation betreffen können:
- Drittanbieter- und Lieferkettenrisiko: Wer kritische Prozesse an externe Dienstleister auslagert, übernimmt deren Sicherheitsniveau mit. Ein erfolgreicher Angriff auf einen zentralen Anbieter kann viele Kunden gleichzeitig treffen.
- Alte, nie zurückgezogene Zugangsdaten: Kompromittierte Zugangsdaten müssen konsequent identifiziert und ungültig gemacht werden. Andernfalls bleiben sie ein dauerhaftes Risiko.
Daraus ergeben sich klare Schutzmaßnahmen: ein konsequentes Management von Zugangsdaten mit regelmäßiger Rotation und sofortiger Sperrung bei Verdacht, der flächendeckende Einsatz von Mehr-Faktor-Authentifizierung, die Absicherung gegen Infostealer-Malware sowie eine sorgfältige Bewertung der Sicherheit kritischer Dienstleister. Wer in dem betroffenen Zeitraum gereist ist, kann mit unserem E-Mail-Leak-Check prüfen, ob die eigene E-Mail-Adresse in bekannten Leaks auftaucht.
Verwandte Meldungen
- Massive Cyberangriffe auf den Hamburger Hafen – ein weiteres Beispiel für Angriffe auf kritische Verkehrsinfrastruktur.
- Cyberangriff auf die Stadtwerke Schwerte 2025 – wie Versorger und kritische Dienste ins Visier geraten.
- Operation Eastwood: Schlag gegen NoName057(16) – internationale Strafverfolgung gegen Angreifer auf Infrastruktur.
Fazit
Der Cyberangriff auf Collins Aerospace zeigt, wie verwundbar hochvernetzte kritische Infrastruktur ist, wenn ein zentraler Dienstleister getroffen wird. Dass alte Zugangsdaten aus einer Infektion von 2022 das Einfallstor bildeten, unterstreicht eine zeitlose Wahrheit der IT-Sicherheit: Kompromittierte Zugangsdaten müssen sofort und vollständig zurückgezogen werden. Organisationen sollten ihre Lieferkette ebenso ernst nehmen wie die eigene IT – denn die Sicherheit ist nur so stark wie das schwächste Glied.