Nach Cyberangriff am BER: „Wir müssen besser vorbereitet sein“

Ein Cyberangriff auf den IT-Dienstleister Collins Aerospace hat in den vergangenen Tagen den Betrieb am größten Flughafen Ostdeutschlands massiv gestört. Der Vorfall hat gezeigt, wie verletzlich die digitale Infrastruktur der Luftfahrt ist. Sicherheitsexperte Manuel Atug erklärt im Gespräch mit Luftraum Ost, warum die Branche dringend ein besseres Risikomanagement braucht – und weshalb Resilienz mehr ist als nur ein Backup.

Gut zwei Wochen nach dem schweren Cyberangriff auf den IT-Dienstleister Collins Aerospace kehrt am Hauptstadtflughafen BER langsam wieder Normalbetrieb ein. Das zentrale System des Unternehmens sei seit Sonntagmorgen wieder am Netz, teilte eine Sprecherin der Flughafengesellschaft auf Anfrage der Deutschen Presse-Agentur mit. IT-Fachleute hätten am Wochenende umfangreiche Sicherheitstests durchgeführt, die bislang erfolgreich verliefen. Ab Montag sollen die Fluggesellschaften schrittweise wieder an das System angebunden werden.

Der Angriff hatte am 19. September die elektronischen Systeme für Check-in, Boarding und Gepäckabfertigung lahmgelegt – nicht nur am BER, sondern auch an weiteren Flughäfen in Europa. In Berlin mussten Passagiere seither teils per Hand eingecheckt werden, was zu erheblichen Wartezeiten führte.

Was bedeutet der Angriff für die Cybersicherheit in der Luftfahrt-Branche? Und wie gut sind Betreiber und Dienstleister auf solche Szenarien vorbereitet? Über diese Fragen hat Luftraum Ost mit Manuel Atug, Gründer und Sprecher der unabhängigen Arbeitsgemeinschaft Kritische Infrastruktur (AG KRITIS) gesprochen.

Luftraum Ost: Herr Atug, der Angriff auf Collins Aerospace hatte massive Auswirkungen auf den BER. Wie bewerten Sie die Dimension und Professionalität dieser Attacke?

Manuel Atug: Es war eine professionelle Tätergruppierung, daran gibt es keinen Zweifel. Aber man muss klar sagen: Das Problem lag nicht primär bei den Flughäfen selbst, sondern bei einem der zentralen Dienstleister, nämlich Collins Aerospace. Das Unternehmen betreibt nach wie vor IT-Systeme, die man fast schon „archäologisch wertvoll“ nennen könnte – also veraltet, schlecht gepflegt und trotzdem direkt am Internet angeschlossen. Da ist es kein Wunder, dass solche Strukturen zum Ziel einer erfolgreichen Attacke werden.

Man darf dabei nicht vergessen: Collins Aerospace ist kein Nischenbetrieb mit ein paar Angestellten, sondern ein globaler Konzern. Da darf man klar erwarten, dass IT-Sicherheit auf einem zeitgemäßen Niveau gewährleistet wird. Wenn das nicht der Fall ist, zeigt das deutlich, wie groß die Defizite bei manchen Dienstleistern sind.

Laut der europäischen Cyberbehörde Enisa handelt es sich um eine Ransomware-Attacke. Was genau bedeutet das – und warum ist sie so gefährlich?

Ransomware ist eine besonders verbreitete Form der Cyberkriminalität, die auf Erpressung basiert. Das Vorgehen ist fast immer ähnlich: Die Tätergruppierung verschafft sich Zugang, zieht sensible Daten ab, löscht vorhandene Backups und verschlüsselt anschließend die Daten auf den Systemen. Danach fordert sie Lösegeld, meist in Kryptowährungen, und verspricht im Gegenzug den Schlüssel zur Entschlüsselung.

Besonders perfide ist dabei, dass selbst Unternehmen mit Backups erpressbar bleiben, weil die Angreifer drohen können, gestohlene Daten zu veröffentlichen oder zu verkaufen. Unternehmen sitzen dadurch in einer Zwickmühle: Entweder sie zahlen und machen das Geschäftsmodell der Täter damit profitabel – oder sie riskieren den Abfluss vertraulicher Informationen. Im Fall von Collins Aerospace deutet vieles darauf hin, dass es weder funktionierende Backups mit Widerherstellprozeduren noch generell ein solides Business Continuity Management gab. Deshalb dauern die Störungen bis heute an.

Am BER mussten Passagiere teilweise wieder manuell abgefertigt werden. Manche sehen das als Zeichen von Resilienz. Teilen Sie diese Einschätzung?

Das ist ein zweischneidiges Schwert. Auf den ersten Blick kann man sagen: Gut, dass überhaupt eine Alternative existierte. Aber echte Resilienz bedeutet, dass ein Vorfall zwar eine Störung verursacht, aber nicht zur Krise eskaliert, weil es vorher erarbeitete und geeignete Gegenmaßnahmen gibt. Papierlisten können kurzfristig helfen, für ein paar Stunden oder vielleicht einen halben Tag. Aber wenn ein zentraler Dienstleister tagelang ausfällt, reicht das nicht aus.

Ein positives Beispiel ist der Flughafen Münster-Osnabrück: Dort konnte der Betrieb relativ schnell wieder aufgenommen werden, weil man noch ein altes On-Premise-System hatte, das reaktiviert werden konnte, als Collins ausgefallen ist. Das war keine geplante Strategie, eher ein glücklicher Zufall. Aber es zeigt, wie wichtig es ist, Alternativen und Redundanzen zu haben – und nicht alles einem einzigen Dienstleister anzuvertrauen.

Sind die IT-Systeme von Abfertigungsdienstleistern wie beispielsweise von Collins Aerospace eigentlich Teil der kritischen Infrastruktur (KRITIS)?

Formell betrachtet nicht immer. Offiziell ist eine „Anlage oder System zur Passagierabfertigung an Flugplätzen“ zur Erbringung der kritischen Dienstleistung die kritische Infrastruktur. Aber wenn die Flughäfen IT-Systeme dafür nutzen – etwa Check-in, Boarding oder Gepäcksteuerung – und unter 20 Millionen Passagiere im Jahr bleiben, müssen diese keine Cybersicherheitsmaßnahmen im Sinne des BSI-Gesetzes vornehmen und sind nicht KRITIS. Wenn diese Systeme aber trotzdem ausfallen, ist der Flugbetrieb massiv beeinträchtigt. Insofern sind sie ganz klar Teil einer kritischen Dienstleistung, auch wenn die Regulierung hier nicht so weit reicht, sie explizit zu erfassen. Das ist ein Problem, denn es bedeutet, dass Sicherheitsanforderungen für zentrale Systeme in einer Grauzone liegen.

Wie gut sind Flughäfen und ihre Dienstleister überhaupt auf Angriffe auf ihre Systeme und Netzwerke vorbereitet?

Es wäre unfair zu sagen, dass niemand etwas tut. Natürlich gibt es Sicherheitskonzepte, und die Branche ist sich der Risiken bewusst. Aber die Luftfahrt steckt in einem Dilemma. Einerseits ist sie stark reguliert, oft bis ins Detail, und gleichzeitig international vernetzt, sodass Sicherheitsstandards weltweit abgestimmt werden müssen, was Prozesse enorm verlangsamt. Andererseits steht sie unter massivem wirtschaftlichem Druck. Nach der Pandemie mussten viele Unternehmen sparen, und gleichzeitig steht die Luftfahrt unter Klimagesichtspunkten ohnehin stark in der Kritik. Das führt dazu, dass Investitionen in Sicherheit häufig nicht die Priorität haben, die sie eigentlich bräuchten.

Viele Betreiber handeln nach der Devise: „Wir kaufen den Betrieb ein, versuchen ihn möglichst günstig zu machen – und Sicherheit kommt später.“ Hinzu kommt, dass die Aufsichtsbehörden selbst überfordert sind. Es gibt zahlreiche Zuständigkeiten: das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Landesluftfahrtbehörden, das Luftfahrt-Bundesamt (LBA), das Verkehrs- und das Innenministerium – und darüber hinaus noch EU-Vorgaben. Jeder ist irgendwie verantwortlich, aber niemand hat die Durchsetzungskraft, um veraltete Strukturen wirklich zu ändern. So wird Regulatorik zu einem Wimmelbild der Verantwortungsdiffusion und einem Papiertiger. Und Papier ist keine umgesetzte Sicherheitsmaßnahme.

Welche Maßnahmen wären jetzt dringend notwendig, um Flughäfen widerstandsfähiger zu machen?

Das Wichtigste ist ein echtes und gelebtes Risikomanagement. Betreiber und Dienstleister müssen verstehen, welche Risiken sie konkret haben, und dürfen sich nicht damit zufriedengeben, bloß Häkchen in Checklisten zu setzen. Es reicht nicht, eine Maßnahme auf dem Papier zu haben – sie muss geübt, getestet und im Ernstfall umsetzbar sein. Dazu gehören sichere und regelmäßig aktualisierte Systeme, verlässliche Backups, die täglich durchgeführt werden, und Wiederherstellungsprozesse, die regelmäßig getestet werden.

Viele Unternehmen glauben, dass ein Backup reicht. Aber entscheidend ist, dass man im Ernstfall auch tatsächlich in der Lage ist, dieses Backup einzuspielen und den Betrieb schnell wieder aufzunehmen. Genauso wichtig sind Notfallübungen. Genau wie Piloten regelmäßig für Ausnahmesituationen trainieren, müssen auch IT-Teams Szenarien durchspielen: Was tun wir, wenn der zentrale Dienstleister ausfällt? Wie schnell können wir den Betrieb wieder aufnehmen? Wer übernimmt welche Aufgaben? Nur wenn diese Abläufe sitzen, lassen sich Krisen wirksam abfangen.

Wenn Sie auf den Vorfall am BER jetzt zurückblicken: Was bleibt für Sie als wichtigste Erkenntnis?

Der erfolgreiche Angriff auf Collins Aerospace ist ein erneuter Weckruf – nicht nur für die Luftfahrt, sondern für alle kritischen Infrastrukturen. Er zeigt, wie abhängig Betreiber von ihren Dienstleistern sind, und wie fatal es ist, wenn diese ihre Hausaufgaben nicht machen. Sicherheit in der Lieferkette ist wesentlich! Für mich steht daher fest: Ohne strukturiertes Risikomanagement, ohne verlässliche Backups und ohne regelmäßige Notfallübungen bleibt jede Attacke ein potenzielles Desaster.