Ransomware stoppt Flughäfen: 5 OT-Sofortmaßnahmen, die jetzt zählen

Als im September 2025 an mehreren europäischen Flughäfen Check‑in, Boarding und Gepäck zeitweise ins Stocken gerieten, war die Ursache ein Ransomware‑Angriff auf einen externen Systemanbieter. Medien beziffern für Brüssel an einem Tag 140 von 276 Abflügen gestrichen (Quelle). Stand: 09/2025; mediale Lageeinschätzung. Zugleich meldete das US‑Justizministerium, es habe Vermögenswerte der BlackSuit/Royal‑Gruppe eingefroren: 1.091.453 US$ in virtueller Währung beschlagnahmt (Quelle). Stand: 07/2025; offizielle Mitteilung. Die Attribution des konkreten Airport‑Vorfalls bleibt öffentlich unvollständig – das Risiko für vernetzte OT‑Security aber ist real.

Airports sind digitalisiert wie Fabriken – nur ohne Stillstandsfenster. AODB, FIDS, Gepäcksorter, Gates, Kioske und Bodenabfertigung hängen an einem dichten Netz aus IT‑ und OT‑Systemen. Ein Ausfall beim gemeinsamen Drittanbieter kann Kaskaden erzeugen. So berichtete die Fachpresse, dass die Störung 2025 auf eine weit genutzte Plattform zurückging, die elektronisches Check‑in und Gepäckprozesse bündelt; betroffen waren u. a. London‑Heathrow, Berlin, Brüssel und Dublin: mehrere europäische Airports waren zeitweise beeinträchtigt (Quelle). Stand: 09/2025; redaktionelle Auswertung.

„Single‑Provider‑IT ist bequem – und im Krisenfall ein Single Point of Failure für OT‑lastige Prozesse.“

Das blinde Fleckchen: OT‑Security wird oft an der IT‑Mauer beendet. In der Praxis teilen OT‑Hosts und Office‑IT Identitäten, Patch‑Fenster und Fernzugänge. Für Ransomware‑Akteure reicht dann ein IT‑Einstieg, um Richtung Gepäckanlage oder Kioske zu „überspringen“. Das US‑CISA ordnet BlackSuit/Royal als aktive Ransomware‑Bedrohung mit typischen TTPs ein (Phishing, Missbrauch legitimer Remote‑Tools, laterale Bewegung): bekannte Taktiken/Techniken sind dokumentiert; Betreiber sollen Segmentierung, MFA und Backups stärken (Quelle). Datenstand älter als 24 Monate, Beratung fortlaufend aktualisiert.

Die folgende Übersicht zeigt kritische Koppelstellen – dort, wo IT‑Bequemlichkeit zur OT‑Schwachstelle wird.

Vom Phish zur Gepäckanlage: Angriffswege & SOC‑Blindspots

Angriffe starten oft in der Office‑IT. Phishing, gestohlene Partner‑Zugänge oder ausgenutzte Internet‑Dienste sind die Türöffner. Laut US‑Behörden nutzen Gruppen wie BlackSuit/Royal bekannte Muster: Phishing, Missbrauch legitimer Remote‑Management‑Tools, laterale Verbreitung via AD/PsExec und Deaktivieren von Sicherheitskontrollen (Quelle). Datenstand älter als 24 Monate. In Flughäfen können diese TTPs auf OT treffen, wenn Fernzugänge zu BHS‑SPS, Kiosk‑Servern oder FIDS‑Publishern nicht strikt getrennt sind.

Der September‑Vorfall zeigte die Gefahr der Lieferkette: Die Attacke auf eine zentrale Plattform für Check‑in/Gepäck führte zu Ausfällen an mehreren Hubs (Quelle). Stand: 09/2025. Attribution zur einzelnen Gruppe bleibt öffentlich uneindeutig, doch die operative Lehre ist klar: SOC‑Teams brauchen Sichtbarkeit in OT‑Netzen, nicht nur in EDR‑Agent‑Welten.

Typische Blindspots: (1) Schatten‑RDP/RMM der Dienstleister, (2) ungepatchte Middleware zwischen AODB und BHS, (3) gemeinsam genutzte Domänen für Kioske und Büros, (4) fehlende Telemetrie in Layer‑2‑OT‑Segmenten. Jeder dieser Punkte verwandelt ein IT‑Leck in eine OT‑Störung – mit unmittelbaren Effekten am Gate.

Diese fünf Schritte reduzieren Risiko schnell – ohne Großumbau. Sie adressieren die häufigsten Koppelstellen zwischen IT und OT und lassen sich parallel umsetzen.

1. Segmentieren & entkoppeln: Trennen Sie OT‑Zonen (BHS, FIDS‑Publisher, Gate‑Server) strikt von Office‑Netzen. Erzwingen Sie unidirektionale Flüsse zu AODB, wo möglich. Steuern Sie alle OT‑Zugänge über Jump‑Hosts mit Just‑in‑Time‑Rechten.
2. Phish‑resistente MFA für Admins & Dienstleister: WebAuthn/Passkeys oder Hardware‑Tokens für Domänen‑Admins, OT‑Operatoren und externe Techniker. Kein VPN‑Zugang ohne phish‑resistente MFA.
3. IOC‑Hunting nach Behördenlage: Vergleichen Sie Logs auf typische Ransomware‑Artefakte (z. B. Cobalt Strike Beacons, RClone, PsExec‑Muster). US‑Behörden empfehlen gezielt Segmentierung, MFA, Monitoring und belastbare Backups gegen BlackSuit/Royal (Quelle). Datenstand älter als 24 Monate.
4. Immutable Offsite‑Backups testen: Führen Sie monatliche Restore‑Drills für AODB‑Replikate, FIDS‑Publisher und Kiosk‑Images durch. Trennen Sie Backup‑Creds organisatorisch und technisch. Ohne getestete Wiederherstellung wird es teuer und langsam.
5. Lieferkette absichern: Verlangen Sie von Plattform‑Anbietern IOCs, Patch‑Status und Architekturdiagramme. Vereinbaren Sie SLA‑Pflichten für Security‑Events. Der jüngste Vorfall belegt die Hebelwirkung von Drittanbietern: mehrere Flughäfen waren betroffen, nachdem eine zentrale Plattform ausfiel (Quelle). Stand: 09/2025.

Ergänzend sollten Kommunikationspläne für Airlines und Passagiere vorbereitet werden. In Brüssel verdeutlichte die Zahl der Streichungen die Wirkung auf den Flugbetrieb: 140 von 276 Abflügen entfielen (Quelle). Stand: 09/2025.

Resilienz misst sich in Minuten. Definieren Sie klare KPIs: MTTD in OT‑Segmenten, MTTR für Kiosk‑Images, RTO/RPO für AODB/FIDS, sowie „Manual‑Ops‑Fähigkeit“ für Gepäck und Boarding. Ergänzen Sie dies um Third‑Party‑Risikoindikatoren (z. B. Zeit bis Anbieter‑Advisory, IOC‑Lieferzeit, getestete Fallbacks).

Ein Blick auf 2025 zeigt: Strafverfolger gehen aktiver gegen Ransomware‑Infrastruktur vor. Im Juli 2025 beschlagnahmte das US‑Justizministerium Domains/Server und fror 1.091.453 US$ ein (Quelle). Stand: 07/2025; offizielle Mitteilung. Das verbessert das Lagebild, ersetzt aber keine technische Härtung im eigenen Haus.

So priorisieren SOC‑Teams ihre nächsten 30 Tage – je höher der Balken, desto größer der kurzfristige Nutzen:

Zur Einordnung der Betroffenheit: Die öffentliche Kommunikation war teils vorsichtig. Branchenberichte sprechen von einer Ransomware‑Ursache und listen mehrere betroffene Airports: u. a. Heathrow, BER, Brüssel, Dublin (Quelle). Stand: 09/2025. Offizielle, forensische Attribution zur einzelnen Tätergruppe wurde bis Redaktionsschluss nicht abschließend publiziert.

Ransomware zeigt am Airport ihre ganze Hebelwirkung, wenn IT und OT eng gekoppelt sind. Der 2025er Vorfall über die Lieferkette machte sichtbar, wie schnell Check‑in, Boarding und Gepäck in Schieflage geraten. Behördenmeldungen zu BlackSuit/Royal unterstreichen die reale Bedrohung, auch wenn Attribution im Einzelfall noch offen ist. Wer jetzt segmentiert, MFA erzwingt, Backups testet, IOCs jagt und die Lieferkette absichert, reduziert Risiko sofort.