Der Cyberangriff auf mehrere europäische Flughäfen basiert nach ersten Erkenntnissen offenbar auf gravierenden Sicherheitslücken in veralteter Software.
Der britische Sicherheitsforscher Kevin Beaumont hat die technischen Hintergründe des Angriffs analysiert und auf der Plattform Mastodon Details veröffentlicht. Demnach ist das Arinc Multi-User System Environment von Collins Aerospace betroffen. Das System verwendet offenbar den Oracle Glasfish Server in der Version 3.1.2.9 – eine Software, deren Grundversion aus dem Jahr 2012 stammt. Der Patch-Stand liegt laut Beaumont auf dem Stand von 2014 oder 2015. Die aktuell verfügbare Version des Oracle Glasfish Servers ist 7.0:25.
Nach Beaumonts Recherchen hat sich der Angreifer Zugang zum Netzwerk von Collins Aerospace verschafft und ist vermutlich noch immer im System aktiv, während die Reparaturarbeiten laufen. Warum Collins Aerospace auf derart veralteter Software basiert, ist bislang unklar.
Collins Aerospace, eine Tochter des US-Rüstungskonzerns RTX, teilte am Montag mit, man befinde sich in den letzten Zügen der nötigen Updates, die das System wieder voll funktionsfähig machen sollten. Das Unternehmen arbeite mit den betroffenen Flughäfen zusammen, um die Systeme zu reparieren.
Die EU-Cybersicherheitsagentur Enisa hatte den Vorfall am Montag offiziell als Ransomware-Angriff bestätigt. Betroffen sind die Check-in- und Gepäckabfertigungssysteme des IT-Dienstleisters Collins Aerospace an den Flughäfen Berlin, Brüssel, Dublin und London Heathrow.
Experten warnen vor wachsender Bedrohung durch Ransomware
Cybersicherheitsexperten sehen in dem Vorfall ein Beispiel für die wachsenden Risiken von Ransomware-Angriffen auf kritische Infrastrukturen. "Grundsätzlich ist der Großteil der Ransomware-Aktivitäten noch immer auf Erpressung durch Datenverschlüsselung und -diebstahl ausgerichtet", sagte Rafe Pilling, Direktor für Bedrohungsanalyse beim britischen Cybersicherheitsunternehmen Sophos gegenüber "Reuters".
"Die Teilmenge von Angriffen, die bewusst für maximale Störungen entwickelt werden, oft von westlichen Gruppen, sind die Ausnahmen, aber sie werden sichtbarer und ehrgeiziger", erklärte Pilling weiter. Eine kleine, aber entschlossene Gruppe weitgehend westlicher Cyberkrimineller schärfe ihre Fähigkeiten und werde durch ihre vergangenen Erfolge und die Erfolge anderer ermutigt.
"Ihre Motivation ist aber nicht nur finanziell, und das Durchführen einer wirkungsvollen Sicherheitsverletzung bringt auch gesellschaftliches Ansehen und Glaubwürdigkeit in ihren Netzwerken", sagte Pilling.
Störende Angriffe würden in Europa sichtbarer, aber Sichtbarkeit bedeute nicht unbedingt höhere Häufigkeit. "Wirklich großflächige, störende Angriffe, die in die physische Welt übergreifen, bleiben eher die Ausnahme als die Regel."
Martyn Thomas, emeritierter Professor für Informationstechnik am Gresham College in London, warnte derweil vor einer Verschärfung der Situation. "Aus der Anzahl der jüngsten Cyberangriffe und ihren Auswirkungen geht klar hervor, dass dies ein Problem ist, das möglicherweise schnell wachsen wird, bis Softwareentwickler viel besser darin werden, sichere Software zu schreiben, und Unternehmens-IT-Mitarbeiter viel besser darin werden, die Sicherheit von Software zu bewerten, die ihr Unternehmen kauft oder remote nutzt."
"Wir hatten bisher Glück, da die Motivation von Cyberkriminellen Störung oder finanzieller Gewinn war", sagte Thomas. "Wenn sie sich dazu entscheiden sollten, ernsthafte Verletzungen oder viele Todesfälle zu verursachen, könnten die gleichen Angriffsstrategien auf kritische Systeme im Gesundheitswesen oder in wichtigen Infrastrukturen angewandt werden."
Massive Beeinträchtigungen an Flughäfen halten an
Die Auswirkungen des Angriffs waren auch noch am Montag weiterhin deutlich spürbar. Am Berliner Flughafen starteten nur rund 30 Prozent aller Flüge pünktlich, in Brüssel waren es sogar nur 15 Prozent. Die beiden Airports hatten nach Angaben der Flugsicherungs-Dachorganisation Eurocontrol am Montag noch am stärksten mit den Folgen zu kämpfen.
Der Flughafen Brüssel musste nach eigenen Angaben 60 von rund 550 geplanten Flügen streichen. Laut der Luftfahrt-Analysefirma Cirium wurden insgesamt 29 Flüge gestrichen, nur 42 Prozent der Maschinen starteten innerhalb einer Stunde nach der geplanten Abflugzeit.
In Berlin verschärfte der Berlin-Marathon am Sonntag die Situation zusätzlich, da Tausende Teilnehmer ihre Rückflüge antreten wollten. Nach Angaben eines Flughafensprechers wurden am Montag neun Ankünfte und sechs Abflüge gestrichen – etwas mehr als üblich, aber für Tage mit viel Betrieb nicht ungewöhnlich.
Airlines müssen auf manuelle Abfertigung ausweichen
Für Reisende bedeutete der Angriff erhebliche Einschränkungen. Passagiere berichteten von langen Warteschlangen. Airlines griffen auf Papier und Stift oder Tablets zurück, um die Abfertigung zu ermöglichen. Ein Passagier beschrieb den Boarding-Prozess als vergleichbar mit den frühen Jahrzehnten der kommerziellen Luftfahrt – mit handgeschriebenen Bordkarten.
Der Flughafen Brüssel verwendete iPads und Laptops für den Online-Check-in der Passagiere. Der Dubliner Flughafen meldete nur minimale Auswirkungen und hatte einige manuelle Prozesse eingerichtet. London Heathrow, Europas verkehrsreichster Flughafen, teilte mit, die Airlines hätten Notfallmaßnahmen umgesetzt, während Collins Aerospace an der Lösung des Problems arbeite.
Manuelle Abfertigung von Fluggästen am Flughafen Brüssel. : Das Bild zeigt eine Person am Schalter eines Flughafens, die auf Dokumente wie Reisepass, Bordkarten und eine Liste mit Ausweismustern deutet. Auf dem Tisch sind verschiedene Papiere und Etiketten verteilt. Die Szene spielt sich im Rahmen einer manuellen Pass- oder Dokumentenkontrolle ab, vermutlich bei der Abfertigung vor dem Abflug in Brüssel. Das Licht ist neutral, die Umgebung wirkt geschäftig. © James Arthur Gekiere/Belga/dpa
"Airlines am Flughafen Heathrow haben Notfallpläne umgesetzt, während ihr Lieferant Collins Aerospace daran arbeitet, ein Problem mit ihren Airline-Check-in-Systemen an Flughäfen weltweit zu lösen", sagte ein Heathrow-Sprecher.
Gepäckstücke konnten teilweise erst mit Verspätung nachgeschickt werden. Reisenden wird geraten, sich möglichst vorab online einzuchecken, den Flugstatus regelmäßig zu prüfen und ausreichend Zeit für die Abfertigung einzuplanen.
Strafverfolgungsbehörden ermitteln
Die Enisa bestätigte, dass Strafverfolgungsbehörden in die Ermittlungen eingeschaltet seien. Bei Ransomware handelt es sich um Schadsoftware, die Daten und Systeme verschlüsselt und erst gegen Zahlung eines Lösegeldes wieder freigibt. Offen blieb, wer hinter dem aktuellen Angriff steckt und ob Lösegeld gefordert wurde.
Eine Umfrage des deutschen Branchenverbands Bitkom unter rund 1000 Unternehmen ergab, dass Ransomware die häufigste Form von Cyberangriffen ist. Jedes siebte Unternehmen hat demnach bereits Lösegeld gezahlt.
Deutschland gilt nach Einschätzung von Sicherheitsbehörden als lukratives Ziel und ist überdurchschnittlich stark betroffen. Das Bundesamt für Sicherheit in der Informationstechnik bezeichnet Ransomware-Angriffe als eine der größten Cyberbedrohungen für Staat, Wirtschaft und Gesellschaft. Besonders problematisch ist es, wenn kritische Infrastrukturen wie Verkehr, Energieversorgung oder Gesundheitswesen getroffen werden, da ihr Ausfall sofort zu spürbaren Einschränkungen führt.
Ein Sprecher des Bundesinnenministeriums betonte, für den Luftsicherheitsbereich habe es keinerlei Beeinträchtigung oder Gefahr gegeben. Die Folgen des Cyberangriffs strapazieren zwar die Nerven von Passagieren und Personal, stellen für den Luftverkehr aber nach offiziellen Angaben keine Gefahr dar.
Die Bundesregierung verweist auf die beratende Rolle des Bundesamts für Sicherheit in der Informationstechnik und auf die geplante Umsetzung der europäischen NIS-2-Richtlinie. Diese sieht Mindestanforderungen an organisatorische und technische Maßnahmen zur Verhinderung von Cyberangriffen sowie Meldepflichten für Unternehmen bestimmter Bereiche vor, darunter Transport und Verkehr. Der Bundestag muss abschließend noch über die Richtlinie beraten.