Cybercrime Curiosities Part 2: Cyberangriff legt Flughäfen lahm

Cyberangriff: Flughafen steht still

Morgens halb zehn in Deutschland – und auf diversen anderen Flughäfen in Europa. Menschen mit Rollkoffern strömten durch die Terminals und klammerten sich an ihre Kaffeebecher. Doch die Routine währte nicht lange. Schnell wurde klar, dass etwas nicht stimmte. Auf den Abflugtafeln blinkten Verspätungen, Check-in-Monitore blieben schwarz, laut Durchsage möge man „Ruhe bewahren“. Ein Satz, der noch nie jemanden beruhigt hat.

Was niemand ahnte: Im Hintergrund hatte ein groß angelegter Cyberangriff auf die Flughafen-Infrastruktur stattgefunden. In Berlin, Brüssel und später auch an anderen europäischen Flughäfen begannen sich Schlangen zu bilden, die länger waren als die Schlangen vor einem Apple Store beim Release eines neuen iPhones. Manche Passagiere vermuteten einen Streik. Andere an ein technisches Problem. Doch was wirklich passierte, war deutlich komplizierter — und peinlicher.

Ransomware-Angriff auf den Flughafendienstleister

Was zunächst wie eine örtlich begrenzte Störung wirkte, entpuppte sich rasch als großflächiger Flughafen-IT-Ausfall: Gleich mehrere große europäische Flughäfen waren betroffen. Check-in, Boarding und Gepäckannahme funktionierten nur noch eingeschränkt – oder gar nicht mehr.

Die Ursache lag nicht im Terminal selbst, sondern bei einem einzigen IT-Dienstleister, auf dessen Systeme sich die IT-Infrastrukturen mehrerer Flughäfen stützten.

Die zentrale Software, auf die etliche Flughäfen für Check-in, Boarding, Gepäckabgabe und Passagierabfertigung angewiesen waren, war angegriffen worden. Ein Angriff auf einen Anbieter reichte aus, um die halbe europäische Reisekette zu lähmen. Das hatte Auswirkungen in Berlin, Brüssel, London Heathrow und weiteren Flughäfen.

Wer besser verstehen möchte, wie ein einziges vernetztes Gerät zur Schwachstelle werden kann, findet in unserer ersten Folge über das gehackte Casino-Aquarium ein passendes Gegenstück zu dieser Flughafengeschichte.

Wie konnte es 2025 zum Flughafen-IT-Ausfall kommen?

In Berichten war von veralteter Software, alten Zugangsdaten und unzureichend gesicherten Schnittstellen die Rede. Ob jedes Detail davon zutraf, sei dahingestellt – die Grundbotschaft blieb: Hier war ein System getroffen worden, das nie in dieser Form zum Single Point of Failure hätte werden dürfen. Auch weil Verantwortliche nach einer früheren Flughafen-Cyberattacke versäumt hatten, Schwachstellen abzustellen, konnte es zu solch weitreichenden Ausfällen kommen.

In Fachberichten war später zu lesen, dass Angreifer offenbar über alte oder schlecht geschützte Zugänge in interne Systeme gelangt sein könnten. Teilweise war von überholten Protokollen, schwacher Zugangskontrolle und historisch gewachsenen Strukturen die Rede, die nie konsequent auf den aktuellen Stand gebracht worden waren.

Boarding wie 1984

Als die digitalen Systeme ins Stolpern gerieten, griffen viele Airlines zu den einzigen Werkzeugen, die noch zuverlässig funktionierten: Papier und Stift.

Check-in-Mitarbeitende arbeiteten mit ausgedruckten Passagierlisten. Bordkarten wurden teilweise handschriftlich ausgefüllt. Namen wurden mit Textmarker abgehakt, statt per Scan im System bestätigt. Mancher Flughafen blieb halbwegs handlungsfähig, andere mussten Flüge drastisch reduzieren, um die Lage überhaupt kontrollieren zu können. Was vorher in Sekunden durch Scanner und Datenbanken lief, dauerte plötzlich pro Passagier mehrere Minuten.

Besonders deutlich zeigte sich: Der Flughafen-IT-Ausfall war damit nicht nur ein technisches, sondern vor allem ein organisatorisches Stresstest-Szenario.

Berlin

In Berlin sprach der Hauptstadtflughafen von einem „Krisenmodus“ und empfahl, sehr früh anzureisen. Die Fallback-Prozesse existierten zwar – aber sie waren nicht dafür gedacht, gleichzeitig tausende Reisende abzufertigen.

Ein Sprecher des BER fasste die Situation so zusammen: „Derzeit versuchen wir, mit Papierlisten und Bleistift zum Abhaken zu arbeiten und bemühen uns um eine schnelle Behebung. Daher dauert es alles länger.“ (Quelle: ZDFHeute)

Brüssel

In Brüssel war die Lage noch angespannter: Dort mussten Airlines Flüge streichen, weil die manuelle Abfertigung nicht im Ansatz genug Kapazität bot, um den normalen Betrieb aufrechtzuerhalten. Die Wartezeiten zogen sich und improvisierte Schalter entstanden spontan.

London

London Heathrow dagegen reagierte erstaunlich gefasst. Die offiziellen Mitteilungen betonten, dass der Großteil der Flüge weiterhin stattfinden könne – zwar mit Verzögerungen, aber ohne größere Ausfälle.

Einige Airlines hatten eigene Backup-Systeme für Check-in und konnten Teile des Ausfalls auffangen. Manche Flughäfen hielten den Betrieb notdürftig aufrecht, andere mussten Flüge streichen oder stark reduzieren, weil die manuelle Abfertigung an ihre Grenzen stieß. Der Vorfall machte deutlich, wie schnell hochautomatisierte Systeme an Belastungsgrenzen geraten, wenn ein wichtiger Baustein ausfällt.

Verantwortung und Versäumnisse

Die Ransomware-Gruppe „Everest“ behauptete laut mehreren internationalen Berichten, sie sei verantwortlich für den Cyberangriff auf die Flughäfen. Ob das der Wahrheit entspricht, konnte nicht final bestätigt werden.

Offiziell war von einer „cyberbezogenen Störung beim IT-Dienstleister“ die Rede. Für die Öffentlichkeit klang das nüchtern – für Fachleute war es ein Hinweis darauf, dass grundlegende Sicherheits- und Wartungsfragen offenblieben:

• Warum waren zentrale Systeme so stark von einem einzigen Anbieter abhängig?
• Weshalb existierten offenbar Zugänge, die nicht dem Stand der Technik entsprachen?
• Wieso waren Alternativen und Notfallprozesse nicht so vorbereitet, dass sie den Betrieb stabil über mehrere Tage tragen konnten?

Interessanterweise war unklar, ob die Systeme vollständig verschlüsselt wurden oder ob der Anbieter sie selbst aus Sicherheitsgründen abschaltete, um Schlimmeres zu verhindern. Wer wirklich den Stecker gezogen hatte, konnte im Endeffekt nicht mehr nachvollzogen werden.

Peinlich war dabei nicht, dass es überhaupt einen Cyberangriff auf Flughäfen bzw. ihren Dienstleister gab – Angriffe sind heute Alltag. Vielmehr wurden grundlegend einfache Prinzipien missachtet:

• Saubere Segmentierung
• Strenge Zugangskontrollen
• Regelmäßige Überprüfung von Altstrukturen

Kann das wieder passieren?

Kurz gesagt: Ja – und wahrscheinlich jederzeit.

Warum?

• Zu viele Flughäfen hängen an denselben wenigen Softwareanbietern.
• Viele IoT- und Backend-Systeme sind historisch gewachsen, nur teilweise dokumentiert und oft nur unzureichend segmentiert.
• Kritische Abläufe konzentrieren sich auf wenige zentrale Plattformen – es entstehen Single Points of Failure.

Genau vor solchen Konstellationen warnen europäische Vorgaben wie die NIS2-Richtlinie. Sie verpflichtet Betreiber kritischer Infrastrukturen und „wichtiger Einrichtungen“ dazu, ihre Risiken systematisch zu bewerten, Schwachstellen zu beheben und ihre Lieferketten in die Sicherheitsbetrachtung einzubeziehen.

Der Angriff auf den Flughafendienstleister war damit ein unfreiwilliges Praxisbeispiel dafür, was NIS2 adressieren soll:

🟢 Patch- und Schwachstellenmanagement
🟢 Sichere Identitäten und Zugriffe
🟢 Monitoring und Meldepflichten
🟢 Ein realistisches Notfall- und Wiederanlaufkonzept.

Auch der deutsche IT-Grundschutz liefert mit seinen Bausteinen für Netzsegmentierung, Identitätsmanagement, Protokollierung und Notfallvorsorge genau die Werkzeuge, um ein solches Szenario deutlich unwahrscheinlicher zu machen – oder zumindest beherrschbar.

Rückblickend las sich vieles, was in den Empfehlungen seit Jahren steht, wie eine Liste der Punkte, die im Umfeld dieses Flughafen-IT-Ausfalls eben nicht konsequent umgesetzt worden waren.

Was Verantwortliche aus dem Cyberangriff auf Flughäfen lernen sollten

Der Vorfall zeigt eindrücklich, dass selbst hochmoderne Abläufe an sehr einfachen Schwachstellen scheitern können. Gleichzeitig lässt sich daraus klar ableiten, was Betreiber, Dienstleister und sogar mittelständische Unternehmen daraus mitnehmen können – verständlich formuliert:

1. „Wir verlassen uns auf einen Anbieter“ ist keine Sicherheitsstrategie
   Wer kritische Abläufe auslagert, muss wissen, wie sicher dieser Dienstleister wirklich arbeitet – nicht nur auf dem Papier, sondern nachweisbar.
2. Redundanz ist kein Luxus, sondern Überlebensprinzip
   Systeme, von denen alles abhängt, brauchen Alternativen: technisch, organisatorisch und personell.
3. Notfallpläne müssen nutzbar sein, nicht nur existieren
   Ein Plan, der nur im Ordner steht, hilft nicht. Prozesse sollten regelmäßig geübt werden – realistisch und unter Last.
4. NIS2 und IT-Grundschutz geben Struktur, wenn Routine fehlt
   Beide beschreiben klar, wie Risikoanalyse, Absicherung und Notfallmanagement aussehen sollten. Für Unternehmen ohne eigene Sicherheitsabteilung sind sie eine wertvolle Orientierung.
5. Transparente Kommunikation reduziert Chaos
   Flughäfen, Airlines und Dienstleister profitieren, wenn Informationen schnell und klar geteilt werden – sowohl intern als auch mit den Reisenden.

Was dieser Vorfall über vernetzte Systeme verrät

Der großflächige Flughafen-IT-Ausfall machte deutlich, wie sensibel modern vernetzte Abläufe reagieren, wenn ein zentraler Punkt ausfällt. Dieser Cyberangriff auf Flughafen und beteiligte IT-Strukturen zeigt, dass jedes Unternehmen – nicht nur Flughäfen selbst – dringend auf einen echten Notfall vorbereitet sein muss.

Mit Blick auf unsere Reihe zeigt dieser Vorfall: Es sind oft nicht die spektakulärsten technischen Schwachstellen, sondern unterschätzte Routinen, alte Zugangsdaten und fehlende Alternativen, die Szenarien wie einen Cyberangriff auf ein Flugzeug erst möglich machen.

Bleibt dran, wenn wir in der nächsten Folge von Cybercrime Curiosities wieder einen spektakulären Fall aus der Welt der IT-Sicherheit unter die Lupe nehmen.