Drama Cyberangriff auf Flughäfen und der Collins Aerospace-Doppelhack

Veröffentlicht am 25. Oktober 2025 von Günter Born

BugBeim Cyberangriff auf den Dienstleister Collins Aerospace, der für europäische Flughäfen u.a. die Check-In-Systeme betreibt, kam es zu erheblichen Flugausfällen und Schäden. Nun liegt mir die Information vor, dass der Anbieter wohl gleichzeitig von zwei Cybergruppen gehackt wurde.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)

Rückblick auf das Flughafen-Desaster

In den Abendstunden des 19. September 2025 (Freitag) gab es einen Cyberangriff auf den Dienstleister Collins Aerospace, der für europäische Flughäfen u.a. die Check-In-Systeme betreibt. Ich hatte erstmalig im Beitrag Cyberangriff auf Flughafen-Dienstleister; Verspätungen am Flughafen BER (20.9.2025) über den Vorfall berichtet, der zuerst als "technische Störung" verkauft wurde. Später machte die Botschaft über einen Cyberangriff, mutmaßlich mit Ransomware die Runde.

Normalerweise hätte das Ganze keine wirklich großen Auswirkungen auf den Abfertigungsbetrieb bei Flugreisen haben müssen, wenn die Airlines nicht ihre Check-In-Vorgänge komplett an Collins Aerospace ausgelagert gehabt hätten. Das Angebot von Collins Aerospace war, dass das Check-In über verschiedene Fluggesellschaften möglich sei.

Handgeschriebene Bordkarte

Da aber die Self-Service Check-In-Stationen – letztendlich so etwas wie Terminals (Thin Clients) – die am betroffenen vMUSE-System hingen, ausfielen, musste das Personal der Airlines auf Papier und Kugelschreiber umsteigen (siehe obigen Tweet mit handgeschriebener Bordkarte).

Von der Störung waren alle Flughäfen betroffen, die auf das Self-Service Check-In-System von Collins Aerospace gesetzt haben. Neben Berlin Brandenburg International (BER), waren dies die Flughäfen in Brüssel sowie London (Heathrow). Aber es gibt eine ganze Reihe weiterer, kleinerer Flughäfen, die ungenannt blieben. Ein Post auf Mastodon nennt einige weitere Flughäfen, in Deutschland waren neben Berlin (BER) auch Münster, und laut Post auch Köln/Bonn, betroffen.

Collins Aerospace mutmaßlich doppelt gehackt

Die Störung hielt weit über eine Woche an – und ich hatte im Beitrag Nachlese Sicherheitsvorfall bei Collins Aerospace, der Flughäfen lahm legte einige Informationen über den Anbieter Collins Aerospace und das verwendete System zusammen getragen. In der Regel komme ich nicht an die Post Incident-Reports heran, so dass der Fall eigentlich erledigt schien. Aber im aktuellen Fall ist obige Nachlese noch nicht das Ende der Fahnenstange.

Collins Aeorospace Cyberattack 1

Die Woche bin ich zuerst auf obigen Tweet gestoßen, der sofort meine Aufmerksamkeit weckte. Im Tweet heißt es, als Collins Aerospace sein Multi-User System Environment (MUSE) wegen des Cyberangriffs abschalten musste, habe das Unternehmen die Presse  informiert und einen SEC-Meldung abgesetzt, wobei man sich auf einen Ransomware-Angriff berufen habe.

Angreifer wirft Opfer "Versicherungsbetrug" vor

Das Drama hatte ich ja oben skizziert. Im Tweet wird (fälschlich) die Botschaft transportiert, dass die Systeme gar nicht hätten abschalten müssen. Denn der Betreiber des X-Accounts verfügt über Informationen, in denen "die Angreifer" der Cybergruppe Everest behaupten, dass es weder zu einem Ransomware-Angriff noch zu einer Kompromittierung gekommen sei. Der Cyberangreifer unterstellte Collins Aerospace, die Server wegen der Versicherungsgelder abgeschaltet zu haben.

Der Angreifer gibt laut obigem Tweet zu, in einen FTP-Server eingedrungen zu sein, über mehrere Tage hinweg Daten exfiltriert zu haben, bis der Zugriff gesperrt wurde, und behauptet, 1.533.900 Passagierdaten erbeutet zu haben. Screenshots von Gesprächen zwischen Everest und RTX, der Muttergesellschaft von Collins Aerospace, sind in obigem Tweet enthalten und scheinen keine verschlüsselten Daten zu erwähnen. Wäre schon ein dicker Hund – aber es kommt noch dicker, denn dieser Angreifer liegt mutmaßlich schlicht falsch, denn es gab gute Gründe für die Abschaltung.

Wenn noch ein Cyberangreifer im System unterwegs ist

Einige Stunden später bin ich im gleichen X-Account dann auf nachfolgenden Tweet gestoßen, der das Drama mit der Aussage "Die Lage spitzt sich zu" noch ein wenig steigert.

Collins Aerospace, 2. Cyberangreifer

Collins Aerospace wurde gleichzeitig von zwei Ransomware-Banden angegriffen, die nichts voneinander wussten. Nachdem Everest Daten von einem FTP-Server exfiltriert hatte, griff ein weiterer Ransomware-Betreiber das MUSE-System an und setzte Ransomware ein. Es gab also einen guten Grund für Collins Aerospace, das MUSE-System abzuschalten.

Das NCSC-UK sagt dazu: "Wir kennen die verwendete Malware-Variante, wissen aber nicht, ob es sich um den Entwickler bzw. Verkäufer, einen Wiederverkäufer oder einen anderen Akteur handelt, der den Ransomware-Vorfall verursacht hat."

Daten von Passagieren und Angestellten erbeutet

Die Seite cyberdaily.au berichtet in diesem Artikel exklusiv über diese Entwicklung. Im Artikel heißt es, dass die Hackergruppe Everest behauptet, die Flugdaten von mehr als 1,5 Millionen Passagieren und Tausenden von Mitarbeitern von Fluggesellschaften beim Hack abgezogen zu haben. Die abgezogenen Daten sollen mehr als 50 Gigabyte umfassen, darunter auch ein 17,5 Gigabyte großer SQL-Dump mit den Daten von "3.637 Mitarbeitern verschiedener Fluggesellschaften" und einen 50 Gigabyte großen Datensatz, der aus "verschiedenen Dateien" besteht und laut Angaben der Hacker Folgendes enthält:

Zahlreiche Dateien mit Netzwerk-, Benutzer- und Anwendungstopologie: Namenskonventionen für Workstations, Gruppierung von Workstations nach funktionalen Rollen, Geräte-IDs, Gerätetypen und zugehörige Flughafenstandorte, Fingerabdrücke von Anwendungsstacks (SkySpeed, GoNow, UA-Suite, DL-Suite, Citrix usw.) einschließlich Versionsnummern, Audit-Protokolle, aus denen hervorgeht, welche Anwendungen auf welchen Geräten und wie lange ausgeführt wurden, Metadaten zur Netzwerksegmentierung und zur Interaktion von Systemen, Betriebscodes von Fluggesellschaften, die eng mit der Nutzung von Workstations verknüpft sind, sowie klare Sichtbarkeit der Unternehmensrollenstrukturen in Verbindung mit tatsächlichen Nutzungssitzungen

Die Mitarbeiterdaten umfassen angeblich sowohl vollständige Namen als auch Benutzernamen, Aliasnamen, E-Mail-Adressen, Anmelde- und Inaktivitätsstatus sowie Audit-Metadaten. Die Passagierdatensätze enthalten Informationen wie Vielflieger- und Fluglinienangaben, Reisedaten, Sitzplatznummern und mehr. Dieser Datensatz scheint  laut Artikel jedoch keine Passagiernamen zu enthalten, sondern nur Passagier-ID-Nummern.

Erster Hack am 10. September 2025

Spannend wird es nun, weil die Cybergruppe Everest behauptet, am 10. September 2025 Zugriff auf die Check-in- und Boarding-Software vMUSE von Collins Aerospace  erhalten zu haben. Die Gruppe hat, laut Bericht, kürzlich die Anmeldedaten veröffentlicht, um die Behauptungen zu belegen.

Everest gab an, in den folgenden Tagen alle Daten heruntergeladen zu haben, die es finden konnte, bevor der unbefugte Zugriff entdeckt wurde und die Hacker den Zugriff verloren. Die Gruppe will am 16. September 2025 von Collins Aerospace kontaktiert worden zu sein. Gleichzeitig analysierte Everest die exfiltrierten Daten, bevor es RTX über das Schwachstellenmeldeportal RTX.com kontaktierte.

Drama am 19. September 2025 durch zweite Gruppe

Am 19. September 2025 muss es dann zum "Ransomware-Angriff" gekommen sein, worauf Collins Aerospace im Laufe des Abends und der Nacht zum 20. September 2025 die Systeme abschaltete.

Bis zum 29. September 2025 wurde am Flughafen Brüssel ein Ersatzsystem von Collins Aerospace geliefert und in Betrieb genommen. Dadurch konnten die Flugausfälle durch ausgefallene Check-In-Systeme beendet werden. Da die Everest-Cybergruppe die Verwendung von Ransomware negiert und mit Collins Aerospace einen Verhandlungskorridor bis 12. Oktober 2025 vereinbart hatte, musste etwas gravierendes passiert sein.

Es gab eine zweite Cybergruppe, die Ransomware platziert und die Verschlüsselung ausgelöst hat. Das wird durch Dr Richard Browne, Direktor des britischen National Cyber Security Centre (NCSC), bestätigt. Dieser sagte am 23. September 2025, dass man den Angreifer und die verwendete Malware-Variante kenne. Kannst Du dir nicht ausdenken, so etwas.

Ähnliche Artikel
Cyberangriff auf Flughafen-Dienstleister; Verspätungen am Flughafen BER (20.9.2025)
Nachlese Sicherheitsvorfall bei Collins Aerospace, der Flughäfen lahm legte

Dieser Beitrag wurde unter Cloud, Sicherheit, Software abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Drama Cyberangriff auf Flughäfen und der Collins Aerospace-Doppelhack

  1. Anonym sagt:
    25. Oktober 2025 um 14:22 Uhr

    Na ob Herr Browne da nicht etwas zu viel verraten hat? Gab es Nachfragen an ihn, seit wann (Tage, Monate, Jahre?) und woher genau Herr Browne diese sehr spezifischen Erkenntnisse hatte? Und Anworten darauf? Sicherlich nicht…

    Antworten
  2. Nikolaos sagt:
    26. Oktober 2025 um 09:53 Uhr

    Diesbezüglich aktuell die Analyse v. HudsonRock
    https://www.hudsonrock.com/blog/5532

    Im Übrigen, angeblich hat Collins jetzt gerade technische Probleme mit seiner Cloud App…

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.