Die britische National Crime Agency (NCA) hat in West Sussex einen 40-jährigen Mann im Zuge der Ermittlungen zum Cyberangriff auf Collins Aerospace und die Muttergesellschaft RTX Corporation festgenommen. Der Vorfall führte in mehreren europäischen Flughäfen zu Störungen bei Check-in, Gepäckaufgabe und dem Druck von Bordkarten. Der Verdächtige wurde gegen Kaution freigelassen; die Behörde betonte, das Verfahren befinde sich in einer frühen Phase und werde fortgesetzt.
Angriffsvektor: ARINC SelfServ vMUSE als kritische Bodeninfrastruktur
Im Fokus der Attacke stand die Self-Service-Plattform ARINC SelfServ vMUSE von Collins Aerospace. Diese Terminals bilden eine zentrale Schicht der Bodenabfertigung, über die Airlines und Flughäfen Check-in- und Gepäckprozesse standardisiert abwickeln. Collins meldete eine cyberangriffsbedingte Störung, die zu Softwareausfällen in mehreren europäischen Standorten führte. In solchen Umgebungen kann ein Ausfall einer gemeinsamen Plattform schnell in operative Verzögerungen und Flugplanänderungen eskalieren.
Operative Auswirkungen in Europa
Seit Freitag, dem 19. September 2025, wurden in Berlin, Brüssel und London elektronische Systeme teilweise außer Betrieb gesetzt. Airlines wechselten kurzfristig auf manuelle Notfallprozesse, inklusive handschriftlicher Bordkarten und der Nutzung von Ersatzlaptops. Das Ausmaß variierte je nach Durchdringung der vMUSE-Terminals am jeweiligen Standort.
Besonders betroffen war der Flughafen Brüssel. Dort wurden am Wochenende Dutzende Flüge gestrichen. Für Montag, den 22. September, baten die Betreiber um die Stornierung von rund 140 Flügen; zuvor waren 25 Verbindungen am Samstag und weitere 50 am Sonntag ausgefallen. Hintergrund war, dass der Softwareanbieter nicht zeitnah eine „neue, abgesicherte Version“ der Check-in-Lösung bereitstellen konnte.
Ermittlungsstand und mögliche Ransomware-Varianten
Technische Details zur Kompromittierung wurden nicht veröffentlicht. Unabhängige Beobachter brachten als potenzielle Erpressersoftware HardBit bzw. Loki ins Spiel; diese Hinweise gelten derzeit als unbestätigt. In der Frühphase liegt der Schwerpunkt üblicherweise auf Stabilisierung, Forensik und Beweisführung. Ransomware zählt laut ENISA Threat Landscape-Berichten seit Jahren zu den dominanten Bedrohungen auch für den Transportsektor; einschlägige Behörden wie das UK NCSC raten zu gehärteten Update-Pipelines und strengen Zugriffsprozessen für Drittanbieter.
Einordnung: Supply-Chain-Risiko in der Luftfahrt
Der Fall verdeutlicht das klassische Risiko der Lieferkette: Wird ein breit eingesetzter Drittanbieter kompromittiert, entstehen kaskadierende Störungen über viele Standorte hinweg. Selbst technisch einfache Schadsoftware kann in stark vernetzten, zentral verwalteten Systemen erhebliche Betriebsfolgen auslösen. Leitfäden wie NIST SP 800‑161 (Supply Chain Risk Management) und die EU‑Richtlinie NIS2 adressieren diese Abhängigkeiten und fordern robuste Prozesse über den gesamten Lebenszyklus von Komponenten und Updates.
Empfohlene Sicherheitsmaßnahmen für Flughäfen und Airlines
Netzsegmentierung und Härtung: Isolierung der Check-in-Terminals, strikte Allowlist-Policies, Standard-Blockierung von Ausführungen, EDR/NGAV auf kritischen Knoten.
Signierte Updates und kontrollierte Releases: Verpflichtende Code-Signaturen, Staging in Test-Sandboxes, schrittweiser Rollout mit Integritätsprüfungen; Verbot nicht signierter Builds.
Zugangskontrollen für Lieferanten: MFA, Just-in-Time-/Just-Enough-Access, Monitoring privilegierter Sessions und detaillierte Audit-Trails nach UK NCSC- und ISO‑27001‑Best Practices.
Resilienz und Wiederanlauf: Unveränderliche, offline gesicherte Konfigurations-Backups, definierte RTO/RPO in Lieferverträgen und geübte Runbooks für degradierte Betriebsmodi.
Übungen und Kommunikation: Regelmäßige Krisenübungen mit Anbietern und Airlines, inklusive manueller Verfahren und klarer Passagierkommunikation zur Stabilisierung von Passagierflüssen.
Cybervorfälle werden in der Luftfahrt rasch zu operativen Ereignissen. Betreiber und Dienstleister sollten jetzt Runbooks testen, Verträge auf Cyber-Resilienz (RTO/RPO, Notfall-Patchprozesse) nachschärfen und ihre Lieferkette nach NIS2- und NIST‑Vorgaben systematisch härten. Wer Segmentierung, signierte Update-Pipelines, starke Zugriffskontrollen und belastbare Wiederherstellungspläne verlässlich etabliert, reduziert das Risiko von Ausfällen – und verkürzt im Ernstfall die Zeit zurück zur Normalität.
