{"id":316024,"date":"2025-09-23T11:32:57","date_gmt":"2025-09-23T09:32:57","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=316024"},"modified":"2025-09-24T18:31:25","modified_gmt":"2025-09-24T16:31:25","slug":"nachlese-sicherheitsvorfall-bei-collins-aerospace-der-flughaefen-lahm-legte","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/09\/23\/nachlese-sicherheitsvorfall-bei-collins-aerospace-der-flughaefen-lahm-legte\/","title":{"rendered":"Nachlese Sicherheitsvorfall bei Collins Aerospace, der Flugh\u00e4fen lahm legte"},"content":{"rendered":"

\"Sicherheit[English]In den Abendstunden des 19. September 2025 (Freitag) gab es einen Ransomware-Angriff auf den Dienstleister Collins Aerospace, der f\u00fcr europ\u00e4ische Flugh\u00e4fen u.a. die Check-In-Systeme betreibt. In Folge kam es dann am Wochenende zu zahlreichen Flugausf\u00e4llen, und die IT-St\u00f6rungen beim Dienstleister halten bis heute an. Hier eine kurze Nachbetrachtung, was im Argen lag und liegt. Erg\u00e4nzung:<\/strong> Es hat eine Festnahme in diesem Zusammenhang gegeben. Und es gibt einen Hinweis auf die Art der Ransomware.<\/p>\n

<\/p>\n

Kurzer R\u00fcckblick auf das Wochenende<\/h2>\n

\"\"Zum fr\u00fchen Samstag-Morgen des 20. September 2025 machte die Meldung in den Medien die Runde, dass es \"wegen Computerproblemen beim Check-In\" an zahlreichen europ\u00e4ischen Flugh\u00e4fen zu Flugausf\u00e4llen komme – denn das Check-In musste per Papier und Bleistift manuell vorgenommen werden.<\/p>\n

\"Handgeschriebene<\/a><\/p>\n

In Folge fielen an Flugh\u00e4fen in Berlin, Br\u00fcssel, Heathrow (London) zahlreiche Fl\u00fcge aus und an den Abflugterminals stauten sich die Passagiere.<\/p>\n

\"Berichte<\/a><\/p>\n

Obiger Mastodon-Post verweist auf einen BBC-Beitrag<\/a> zu London Heathrow, ich selbst hatte ausf\u00fchrlicher im Blog-Beitrag\u00a0Cyberangriff auf Flughafen-Dienstleister; Versp\u00e4tungen am Flughafen BER (20.9.2025)<\/a> berichtet. Hie\u00df es zuerst, dass es eine technische St\u00f6rung am Check-In-System gebe, kamen sp\u00e4ter weitere Informationen an die \u00d6ffentlichkeit.<\/p>\n

Schnell wurde ein Cyberangriff auf den Flughafendienstleister Collins Aerospace als gemeinsame Ursache bekannt. Inzwischen hei\u00dft es, dass es einen Ransomware-Angriff gegeben habe.<\/p>\n

Normalerweise h\u00e4tte das Ganze keine wirklich gro\u00dfen Auswirkungen auf den Abfertigungsbetrieb bei Flugreisen haben m\u00fcssen, wenn die Airlines nicht ihre Check-In-Vorg\u00e4nge komplett an Collins Aerospace ausgelagert gehabt h\u00e4tten. Das Angebot von Collins Aerospace war, dass das Check-In \u00fcber verschiedene Fluggesellschaften m\u00f6glich sei.<\/p>\n

Daher waren alle Flugh\u00e4fen betroffen, die auf das Check-In-System von Collins Aerospace gesetzt haben. Neben Berlin Brandenburg International (BER), waren dies die Flugh\u00e4fen in Br\u00fcssel sowie London (Heathrow). Aber es gibt eine ganze Reihe weiterer, kleinerer Flugh\u00e4fen, die ungenannt blieben. Ein Post auf Mastodon<\/a> nennt einige weitere Flugh\u00e4fen, in Deutschland waren neben Berlin (BER) auch M\u00fcnster, und laut Post auch K\u00f6ln\/Bonn, betroffen.<\/p>\n

Ein Blick auf die Details, was passiert ist<\/h2>\n

Spannender fand ich, was inzwischen hinter den Kulissen bekannt geworden ist. Also erste Hinweise auf ranzige Altsoftware und fatale Abh\u00e4ngigkeiten.<\/p>\n

Wer ist Collins Aerospace?<\/h3>\n

Ich hatte ja in meinem oben verlinkten Blogbeitrag bereits ausgef\u00fchrt, dass Collins Aerospace 2018 gegr\u00fcndet wurde. Das ist ein US-amerikanisches Luftfahrt- und Verteidigungstechnologieunternehmen und eine Tochtergesellschaft der RTX Corp., ehemals Raytheon Technologies. Raytheon macht wohl auch in Sachen \"Cybersicherheit\".<\/p>\n

Der Angriff fand auf \"ARINC\" statt. ARINC<\/a> steht als Abk\u00fcrzung f\u00fcr Aeronautical Radio Incorporated<\/i>,\u00a0<\/em>ein Unternehmen, welches 1929 gegr\u00fcndet wurde und in Minneapolis, USA angesiedelt war. Kevin Beaumont hat die Geschichte von Collins Aerospace in diesem Post<\/a> skizziert.<\/p>\n

\"ARINC war im Grunde genommen der urspr\u00fcngliche Anbieter von Flughafennetzwerken seit 1929. ARNIC wurde 2007 an die Carlyle Group (Private Equity) verkauft, die es 2013 an Rockwell Collins verkaufte, die es 2018 an United Technologies verkaufte, die sich zu Collins Aerospace zusammenschlossen. Ihr Netzwerk sieht aus wie ein Durcheinander von US-Unternehmensmachenschaften… Webmail erfordert nicht einmal https.\"<\/p><\/blockquote>\n

\"Collins<\/p>\n

Oder zusammengefasst: Am Ende des Tages wurden da uralte Firmen und Systeme gekauft, die nun unter Collins Aerospace firmieren.\u00a0In meinem Blog-Beitrag schrieb ich die Tage \"Collins bietet eine Technologie, mit der Passagiere an einem Kiosk selbst einchecken, Bordkarten und Gep\u00e4ckanh\u00e4nger ausdrucken und ihr Gep\u00e4ck selbst aufgeben k\u00f6nnen.\"<\/p>\n

L\u00f6st man das auf, ergibt sich folgendes Bild:\u00a0An den Flughafen sind wohl die Self-Service Check-In-Stationen aufgestellt – letztendlich so etwas wie Terminals (Thin Clients) – die am vMUSE-System angebunden sind. Dort sollen Passagiere am Flughafen vor dem Abflug f\u00fcr die verschiedenen Fluggesellschaften einchecken k\u00f6nnen und dann die Bordkarten erhalten. In einem Post schreibt Beaumont<\/a> dazu: \"ARINC SelfServ vMUSE-Ger\u00e4te sind weltweit an Flugh\u00e4fen im Einsatz und dienen zum Selbstbedienungs-Check-in. Sie sind mit navAviNet, auch bekannt als ARINC Ground Network, verbunden, das von Collins Aerospace verwaltet wird, einem Unternehmen im Besitz von RTX.\"<\/p>\n

Auf den Systemen werden Passagierdaten, Gep\u00e4ckdaten, biometrische Informationen etc. erfasst, in das MUSE\u2122-System (mit einer Datenbank) eingespeist und den Fluggesellschaften bereitgestellt. In einem Folgepost erg\u00e4nzt<\/a> Beaumont: \"Die betroffenen Systeme befinden sich in der ARINC Multi-User System Environment (MUSE\u2122), auch bekannt als ARINC vMUSE\u2122 von Rockwell Collins. Das ist wie eine Unternehmenskette von \u00dcbernahmen!\"<\/p>\n

Ein Blick auf die IT-Systeme von Collins Aerospace<\/h3>\n

Spannend wird es, auch unter dem oben skizzierten Wissen, wie die Firma Collins Aerospace mit ihren Unternehmensteilen so IT-technisch konkret aufgestellt ist, und was Kevin Beaumont bei kurzen Checks \u00fcber die IT des Unternehmens herausgefunden hat.<\/p>\n

\"ARIN<\/a><\/p>\n

Auf der Plattform shodan.io sind laut obigem Post<\/a> sechs Cisco AnyConnect VPN-Boxen offline. Gut, ist eine Ma\u00dfnahme, wenn man angegriffen wird, die VPN-Zug\u00e4nge zu kappen. Denn viele Ransomware-Gruppen nutzen VPN-Zug\u00e4nge f\u00fcr ihre Angriffe. Im Juni 2025 gab es diesen Sicherheitshinweis<\/a> von Cisco zu einem Problem mit VPN-Zug\u00e4ngen. Wenn da was fehlkonfiguriert war, h\u00e4tte der Betreiber schon ein Problem gehabt – aber das ist nur eine spekulative Information.<\/p>\n

Beaumont hat sich dann noch die Webmail-Seiten von AIRINC (dem Betreiber des Check-In-Systems bei Collins Aerospace) angesehen und folgenden Post<\/a> dazu abgesetzt.<\/p>\n

\"Webmail<\/a><\/p>\n

Nun ja, was soll man dazu sagen: Die Login-Seite f\u00fcr deren Web-Mail-System verwendet http, d.h. da wird nichts verschl\u00fcsselt, was an Anmeldedaten eingetippt wird. Gut, E-Mail ist eh wie Postkarte, kann jeder einsehen, was kann schon gro\u00df passieren.<\/p>\n

Was jetzt etwas st\u00f6rt: Das Ganze l\u00e4uft unter JAVA mit einem Oracle GlassFish Server 3.1.2.9 (aktuell ist 7.0.25 vom 28. Mai 2025). In obigen Screenshots wird angezeigt, dass das System am 23. Juni 2016 letztmalig modifiziert wurde.<\/p>\n

Beaumont zeigt noch den Screenshot einer Websuche, wo jemand 2014 fragt, wo er noch diese alte 3.1.2.9 finden k\u00f6nne. Und es gibt einen Treffer aus 2014, der der Software mehrere Schwachstellen bescheinigt. Ein weiterer Screenshot von Beaumont zeigt ein Built-Datum 30. M\u00e4rz 2015 f\u00fcr den Messaging Server.<\/p>\n

Hat zwar alles nichts von einer \"smoking Gun\" beim aktuellen Cyber-Vorfall, es ist ja nur das E-Mail-System. Der obige Abriss ergibt aber ein bestimmtes Bild, wie das Firmenkonglomerat in Sachen IT-Sicherheit aufgestellt sein k\u00f6nnte. Beim Schreiben des Blog-Beitrags ist mir dann noch angezeigt worden, dass diese alte Oracle GlassFish Server 3.1.2.9-Version in 2025 in der Luftfahrt- und Verteidigungsindustrie in den USA, in Frankreich etc. in niedriger Anzahl eingesetzt wird.<\/p>\n

Berichte \u00fcber Ransomware-Angriff<\/h3>\n

Im Internet finden sich inzwischen Berichte, dass das ARINC vMUSE\u2122-System von Collins Aerospace durch Ransomware infiziert wurde. airliners.de schreibt in diesem Artikel<\/a>: \"Die EU-Cybersicherheitsagentur Enisa hatte den Vorfall am Montag offiziell als Ransomware-Angriff best\u00e4tigt.\"<\/p>\n

Die Enisa hatte dies gegen\u00fcber Reuters best\u00e4tigt<\/a>, ohne die Details oder die verantwortlich Gruppe zu nennen. Allerdings scheint die verantwortliche Ransomware-Gruppe bekannt zu sein. Betroffen sind die Check-in- und Gep\u00e4ckabfertigungssysteme des IT-Dienstleisters Collins Aerospace an den oben genannten Flugh\u00e4fen.<\/p>\n

Spannend ist ein weiterer Post<\/a> von Kevin Beaumont: \"After ARINC restored domain controllers from backup, the threat actor got back in and started trashing more stuff.\u00a0The whole thing is a mess, they probably want to pause, take a breathe, and think about flushing out attacker before rebuilding things.\"<\/p>\n

Das impliziert f\u00fcr mich, dass die auf einer Windows-Infrastruktur unterwegs sind, aber den Einfallsvektor der Angreifer nicht kennen. Man hat versucht, ein Backup des ARINC Domain-Controllers zur\u00fcck zu spielen. Die Angreifer hatten aber weiter Zugriff auf das IT-Netzwerk, kamen zur\u00fcck und haben dann damit begonnen, weitere Daten zu vernichten.<\/p>\n

Aktueller Stand ist nach meinen Informationen, dass auch nach vier Tagen die Systeme nicht vollst\u00e4ndig online sind. Und ob die Angreifer in der Lage waren, Daten aus der Datenbank des ARINC vMUSE\u2122-Systems abzuziehen, ist derzeit auch offen. Aber eine solche Datenbank mit Millionen Passagierdaten, einschlie\u00dflich biometrischer Merkmale d\u00fcrfte ein besonders attraktives Ziele darstellen.<\/p>\n

Erg\u00e4nzung: <\/strong>Es gibt noch eine Kurzanalyse, die ich nach Ver\u00f6ffentlichung des Blog-Beitrags auf dieser Seite<\/a> gefunden habe. Sofern zutreffend, waren Cyberkriminelle bereits Ende 2024 an dem Thema dran. CYFIRMA Research stuft Alixsec, Scattered Spider und die Ransomware-Gruppe Rhysida als plausible Akteure ein.<\/p>\n

Erg\u00e4nzung 2:<\/strong> Der Beitrag hier zieht Kreise – auf Mastodon bin ich gerade auf diesen Post gesto\u00dfen, wo jemand bei Kevin Beaumont nachfragt.<\/p>\n

\"Hartbit<\/p>\n

Kevin Beaumont schreibt, dass eine Variante der Hardbit-Ransomware zum Einsatz kam. Details zu Hartbit finden sich hier<\/a>.<\/p>\n

Festnahme in Gro\u00dfbritannien am 24.9.2025<\/h2>\n

Erg\u00e4nzung:<\/strong> Es hat eine Festnahme in Zusammenhang mit dem Ransomware-Angriff auf den Dienstleister Collins Aerospace gegeben. Das berichtet die BBC hier<\/a> unter Berufung auf die National Crime Agency (NCA) – die NCA-Mitteilung ist hier abrufbar<\/a>.\u00a0 Ein Mann in den Vierzigern wurde in West Sussex \"im Rahmen einer Untersuchung zu einem Cybervorfall, der Collins Aerospace betrifft\", festgenommen, ist die offizielle Lesart.<\/p>\n

Abschlie\u00dfende Gedanken<\/h2>\n

Blicke ich auf die Fragmente, die ich oben mal zusammen gezogen habe, wei\u00df ich jetzt nicht, was ich davon zu halten habe. Ob Fluggast-Abfertigung Teil der kritischen Infrastruktur ist, und ob da renommierte Firmen mit zentralen Funktionen betraut werden – das m\u00fcsste eigentlich von den Aufsichtsbeh\u00f6rden f\u00fcr Flugh\u00e4fen und Fluggesellschaften aufgearbeitet werden.<\/p>\n

Der Vorfall zeigt aber einmal mehr, auf welch wackeliger Infrastruktur die Digitalisierung in vielen Branchen aufsetzt. Und dies will man politisch weiter vorantreiben, getreu einem Wahlspruch \"Digitalisierung first, Bedenken second\". Ich wei\u00df jetzt nicht, ob ich lachen oder weinen soll. Aber der Vorfall f\u00e4llt in ein Muster, was man seit Jahren \u00fcberall wiederholend beobachten kann.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]In den Abendstunden des 19. September 2025 (Freitag) gab es einen Ransomware-Angriff auf den Dienstleister Collins Aerospace, der f\u00fcr europ\u00e4ische Flugh\u00e4fen u.a. die Check-In-Systeme betreibt. In Folge kam es dann am Wochenende zu zahlreichen Flugausf\u00e4llen, und die IT-St\u00f6rungen beim Dienstleister … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[8659,2564,4328],"class_list":["post-316024","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-flughaefen","tag-hack","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/316024","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=316024"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/316024\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=316024"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=316024"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=316024"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}