wechselnd bewölkt
DE | FR
burger
Digital
Wirtschaft

Analyse: So wurden Europas Flughäfen durch Ransomware lahmgelegt

People at T5 London Heathrow Airport look at the boards after flights were delayed and cancelled at airports including Heathrow after an alleged cyber attack targeted a service provider for check-in a ...
Lange Gesichter in London Heathrow nach dem Hackerangriff auf die Check-in-Software.Bild: keystone
Analyse

Europas Flughäfen durch Ransomware-Attacke lahmgelegt – das lernen wir daraus

Laut der europäischen Cybersicherheitsbehörde ENISA ist die von Kriminellen eingesetzte Schadsoftware identifiziert worden. Das temporäre Chaos an den Flughäfen wirft ein schlechtes Licht auf die Branche.
22.09.2025, 20:1923.09.2025, 07:03
Daniel Schurter
Daniel Schurter

Der europäischen Luftfahrtindustrie wurde am Wochenende einmal mehr vor Augen geführt, dass ihr durch die digitale Vernetzung grosse Gefahren drohen.

Seit 2010 versucht die Europäische Union, den zur kritischen Infrastruktur zählenden Luftverkehr besser vor Angriffen durch Cyberkriminelle abzuschirmen. In den vergangenen Tagen erlitten diese Bemühungen einen massiven Rückschlag. Mehrere Flughäfen in Europa, darunter das wichtige Drehkreuz London Heathrow, wurden durch einen Hackerangriff massiv beeinträchtigt.

Inhaltsverzeichnis
Was ist passiert?Wie ist das möglich?Was hat das mit der NIS-2-Richtlinie zu tun?Was lernen wir aus dem jüngsten Vorfall?Quellen

Was ist passiert?

Am vergangenen Freitagabend starteten Cyberkriminelle ihren Angriff auf das US-Unternehmen, das die Software für die Check-in-Systeme entwickelt. Über das Wochenende hinaus kam es zu massiven Verspätungen und sogar zu Annullationen von Linienflügen.

Am Montagmorgen bestätigte die zuständige EU-Cybersicherheitsbehörde ENISA, dass es sich um die Auswirkungen einer Ransomware-Attacke handelte.

«Der Ransomware-Typ wurde identifiziert. Die Strafverfolgungsbehörden sind in die Ermittlungen involviert.»
quelle: reuters.com

Die BBC zitiert aus einem internen Memo an die Angestellten in Heathrow, wonach über tausend PCs möglicherweise «beschädigt» seien und die meisten Arbeiten, um sie wieder online zu bringen, persönlich und nicht aus der Ferne durchgeführt werden müssten.

Im selben Memo hiess es auch, dass die gehackte US-Firma Collins Aerospace ihre Computer neu aufgesetzt und neu gestartet habe, «nur um dann festzustellen, dass die Hacker immer noch im System waren».

Welche Ransomware-Operation hinter dem Angriff auf den IT-Dienstleister Collins Aerospace steckt, wollte die Behörde nicht verraten. Anzumerken ist, dass die Softwarefirma, die zum US-Rüstungskonzern RTX gehört, schon 2024 erfolgreich gehackt worden war. Damals behauptete die Ransomware-Bande BianLian im Darknet, 20 Gigabyte an Daten gestohlen zu haben.

Wie ist das möglich?

Es handelt sich um eine Supply-Chain-Attacke. Damit sind Hackerangriffe gemeint, die statt des eigentlichen Ziels einen damit verbundenen Dritten, etwa einen Anbieter von Software, kompromittieren.

Die Angreifer nehmen demnach ein schwächelndes Element in der Lieferkette eines Unternehmens oder einer Organisation ins Visier und schaffen es dank der Komplexität des Systems, viel Schaden anzurichten.

Konkret wurde die massive Störung des Luftverkehrs durch eine Software verursacht, die kaum jemand ausserhalb der Luftfahrtindustrie kennt, die aber als Herzstück moderner Flughäfen gilt. Sie heisst «Muse» und wird für die Passagierabfertigung eingesetzt.

«Die Software ermöglicht das elektronische Check-in, die Gepäckkennzeichnung und die Bordkarten-Validierung und ermöglicht es Fluggesellschaften, Schalter und Gates gemeinsam zu nutzen, anstatt separate Schalter zu unterhalten.»
quelle: ibtimes.co.uk

Dieser Ansatz der gemeinsamen Nutzung sei als Kostenersparnis und Effizienzsteigerung gepriesen worden, hält die «International Business Times» fest. Doch wie das jüngste Chaos illustriere, entstehe dadurch auch eine gefährliche einzelne Fehlerquelle.

Als Muse durch den Cyberangriff offline ging, konnten Fluggesellschaften in mehreren Ländern gleichzeitig ihre Passagiere nicht mehr elektronisch abfertigen.

«Das Personal griff auf handgeschriebene Gepäcketiketten und telefonische Boarding-Listen zurück und liess damit eine Ära des Reisens wieder aufleben, die man lange für überholt gehalten hatte.»

Für Reisende habe der Vorfall – abgesehen vom Ärger der Direktbetroffenen – einen Einblick hinter die Kulissen der modernen Luftfahrt geboten. Der scheinbar alltägliche Check-in-Schalter sei in Wirklichkeit Teil eines riesigen, vernetzten Systems. Wenn dieses System ausfällt, können sich die Auswirkungen innerhalb weniger Minuten über ganze Kontinente ausbreiten.

Der Bericht ruft den «globalen IT-Absturz» im vergangenen Jahr in Erinnerung, der unter anderem zu Flugausfällen in den USA führte. Auslöser damals waren aber keine Hacker, sondern ein fehlerhaftes Software-Update des IT-Sicherheitsunternehmens CrowdStrike.

Was hat das mit der NIS-2-Richtlinie zu tun?

Seit Oktober 2024 gelten in Europa strengere IT-Sicherheitsvorschriften für Fluggesellschaften, Flughafen-Betreiber und die Flugsicherungs-Organisationen.

Gemäss der von der Europäischen Union (EU) erlassenen Richtlinie NIS-2 müssen in der Zivilluftfahrt tätige Unternehmen ein verlässliches Sicherheits­management haben. Dazu gehören klare Pläne für den Notfall, regelmässige Software-Updates und Tests, starke Passwörter/Multifaktor-Log-ins und Regeln für Dienstleister.

Die EU-Richtlinie bezweckt die Stärkung der Cybersicherheit bei kritischen Infrastrukturen, zu denen der Luftverkehr gehört. Die neuen Vorschriften sind auch für die Schweiz relevant, weil sie explizit Lieferketten und Partnerfirmen (Supply Chain) einbeziehen.

Festzuhalten bleibt, dass die NIS-2-Richtlinie bei Verstössen empfindliche Strafen und Bussgelder vorsieht, die sowohl die Unternehmen selbst als auch deren Geschäftsverantwortliche betreffen können.

Der ENISA-Bericht «Emerging Threats 2030» stellte fest, dass «die Kompromittierung von Software-Abhängigkeiten in der Lieferkette» weiterhin eine der wichtigsten neuen Bedrohungen darstelle. Die zunehmende Integration von Drittanbietern und Partnern in die Lieferkette führe zu neuen Angriffsmöglichkeiten.

Was lernen wir aus dem jüngsten Vorfall?

Die britische Beratungsfirma Cyber Management Alliance (CMA) hält in einem aktuellen Blogbeitrag fest, der Cyberangriff habe mehrere schwerwiegende Schwachstellen im Luftfahrtsektor aufgedeckt:

  • «Übermässige Abhängigkeit von Anbietern»: Der Ausfall einer Softwarefirma betreffe die ganze Branche.
  • «Sicherheit und Vertrauen der Passagiere gefährdet»: Solche Störungen verursachen Ärger, Verspätungen und Reputationsschäden, die auch nach der Wiederherstellung der Systeme anhalten können.
  • Es brauche «Resilienz und Redundanz»: Manuelle «Fallback»-Systeme seien für die Luftfahrtbranche unverzichtbar. Eine reine digitale Abhängigkeit führe garantiert wieder in die Katastrophe.

Ausserdem bedeute eine Ransomware-Attacke nicht nur kurzfristige Störungen des Betriebs, sondern auch einen potenziellen langfristigen Schaden. Sollte es den Hackern gelungen sein, sich unbemerkt im fremden System zu bewegen, könnte es auch einen Datendiebstahl mit anschliessender Erpressung geben.

Die Möglichkeit, dass die Cyberkriminellen mit der Veröffentlichung sensibler Daten drohen und die Zahlung eines Lösegelds verlangen, könne die negativen Folgen des Vorfalles weiter verstärken.

Der litauische IT-Sicherheitsforscher und White-Hat-Hacker Mantas Sabeckis kommentiert in einer Stellungnahme, die watson vorliegt:

«Dieser Vorfall zeigt, dass es bei der Vorbereitung auf Cyberangriffe nicht nur darum geht, eine stärkere Abwehr aufzubauen. Es geht darum, sich um das gesamte System zu kümmern – sicherzustellen, dass alle Teile, einschliesslich der Lieferanten, sicher sind, für den Ernstfall vorgesorgt wird und Backup-Pläne vorhanden sind, die wichtige Dienste in jedem Fall am Laufen halten.

Die Lektion hier ist, dass es nicht ausreicht, nur die eigenen Computer und Firewalls zu verstärken. Echter Schutz bedeutet, jeden Teil der Lieferkette genau im Auge zu behalten.»
quelle: cybernews

Ob die Ermittlungen der Strafverfolgungsbehörden rechtliche und regulatorische Konsequenzen für die betroffenen Institutionen haben, wird sich zeigen.

Quellen

Nach Ransomware-Attacke: Lange Wartezeiten an europäischen Flughäfen erwartet
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Themen
So läuft eine Ransomware-Attacke ab
1 / 17
So läuft eine Ransomware-Attacke ab
2021 machte watson publik, dass die am Genfersee gelegene Waadtländer Gemeinde Rolle von einem massiven Daten-Leak betroffen war – die Folge einer Ransomware-Attacke. In dieser Bildstrecke erfährst du, wie ein solcher Hackerangriff abläuft. Die wenigsten Leute wissen, was kriminelle Eindringlinge in fremden IT-Systemen so alles treiben.
Auf Facebook teilenAuf X teilen
Bei dieser Landung am «spektakulärsten Flughafen der Welt» bricht ein Fahrwerk ab
Video: watson
Das könnte dich auch noch interessieren:
Du hast uns was zu sagen?
Hast du einen relevanten Input oder hast du einen Fehler entdeckt? Du kannst uns dein Anliegen gerne via Formular übermitteln.
13 Kommentare
Zum Login
user avatar
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
13
Meistgelesen
1
Bundesrat übernimmt EU-Regel fürs Töff-Fahren – ein fataler Entscheid
2
24 lustige und wundervolle Tierbilder – jetzt zugreifen!
3
Das sind die Länder mit dem besten Ruf der Welt – Spoiler: Wir sind die Nummer 1
4
«Krassester Reality Check meines Lebens»: Ardita nimmt mit der Spritze ab
5
Das ist der beliebteste Schweizer Dialekt – zumindest in der Werbung
Meistkommentiert
1
Bürgerliche Politiker wollen den SBB-Nachtzug nach Malmö verhindern
2
«Die Kehrtwende des Bundesrates ist widersinnig»
3
«Dicke Kinder werden noch dicker»: Nun greift Kinderarzt zur Abnehmspritze
4
Schweizer Unternehmer beschenkten Trump reich – doch der hat neue Forderungen
5
Wegen SBB-Entscheid gegen Stadler: Spuhler prüft rechtliche Schritte
Meistgeteilt
1
Russische Regionen lösen Luftalarm aus +++ Selenskyj will Ende des russischen Ölhandels
2
Hamas übergibt weitere Geisel +++ Tote bei israelischen Luftschlägen im Libanon
3
SP holt die Mehrheit im jurassischen Regierungsrat
4
Trump begnadigt Rudy Giuliani
5
Luzerns Abe für 2 Spiele gesperrt +++ NBA-Rekordcoach Wilkens gestorben
Das ist der beliebteste Schweizer Dialekt – zumindest in der Werbung
Schweizerdeutsch ist bei Werberinnen und Werbern beliebt. Ein Marketing- und ein Sprachexperte sagen, ob Banken auf Mundart werben sollten und welcher Dialekt am besten ankommt.
Mitten in Zürich zieht ein gigantisches Plakat alle Blicke auf sich: Es ist die Werbung eines Kaffeeherstellers. «Die ganzi mänschlichi Technologie für din Kaffi !», steht da.
Zur Story