Datenschutz & Sicherheit
Collins Aerospace: Alte Passwörter und verzögerte Reaktion ermöglichen Datenklau
Der Cyberangriff, der Ende September den Flugverkehr an mehreren europäischen Flughäfen beeinträchtigte, zeichnet sich durch eine höhere Komplexität aus als zunächst angenommen. Während der Betreiber Collins Aerospace offiziell einen Ransomware-Angriff meldete, behauptet die Hackergruppe Everest, lediglich Daten über einen unsicheren FTP-Server abgezogen zu haben.
Weiterlesen nach der Anzeige
Die ursprüngliche Meldung Ende September 2025 schien eindeutig: Ein Cyberangriff auf das Passagierabfertigungssystem „MUSE“ von Collins Aerospace hatte den Betrieb an Flughäfen wie Berlin (BER) oder Brüssel beeinträchtigt. Die offizielle Erklärung lautete Ransomware, was eine Notabschaltung der Systeme zur Folge hatte. Doch eine abweichende Darstellung der Hackergruppe Everest lenkt den Fokus nun auf einen weiteren, nicht minder gravierenden Vorfall.
Everests Version: Datenklau durch jahrelang offenes Tor
Laut eigenen Angaben verschaffte sich Everest bereits am 10. September Zugang zu einem FTP-Server (ftp.arinc.com) von Collins Aerospace. Die dafür genutzten Zugangsdaten waren auffallend simpel: Der Benutzername lautete aiscustomer, das Passwort muse-insecure. Besonders brisant: Die Analyse der Sicherheitsfirma Hudson Rock führt die kompromittierten Credentials auf eine Infostealer-Infektion von einem Mitarbeiter-PC aus dem Jahr 2022 zurück. Dass dieses Einfallstor offenbar über Jahre offenstand und simple Standardpasswörter nicht geändert wurden, wirft ein schlechtes Licht auf die Sicherheitskultur des Unternehmens.
Über diesen Zugang will die Gruppe mehr als 50 Gigabyte an Daten abgezogen haben. Auffällig ist der Zeitverzug: Obwohl die Daten bereits am 10. September kopiert wurden, scheint eine ernsthafte Reaktion seitens RTX/Collins Aerospace erst über eine Woche später erfolgt zu sein. Everest legt dar, dass Verhandlungen mit einem Unterhändler von Collins Aerospace begannen, aber zwischen dem 18. und 24. September abbrachen – genau in dem Zeitfenster, in dem Collins die Systeme komplett herunterfuhr.
Laut Everest gab es bereits vor dem Shutdown der Boardingsysteme auf den Flughäfen Kontakt zu einem vermeintlichen RTX-Mitarbeiter.
(Bild: Everest)
Potenziell Millionen Passagiere in Europa betroffen
Weiterlesen nach der Anzeige
Die Auswirkungen des Datenlecks werden zunehmend sichtbar. Wie die Irish Times berichtet, sind potenziell Millionen von Passagieren betroffen, die im August den Flughafen Dublin nutzten. Die Dublin Airport Authority (DAA) bestätigte, dass Boarding-Pass-Informationen aus diesem Zeitraum kompromittiert wurden. Airlines wie SAS haben bereits damit begonnen, Kunden zu informieren.
Auch deutsche Reisende und Mitarbeiter dürften betroffen sein. Zumindest sind auf Screenshots, die Everest veröffentlicht hat, auch de-Domains und deutschsprachige Kontennamen zu erkennen. In Deutschland arbeiten vorwiegend Eurowings, Lufthansa City Airlines, Condor, EasyJet und Ryanair über Flughäfen wie BER, Köln/Bonn und Münster mit dem MUSE‑System. Es bleibt unklar, wie viele Personen aus dem DACH-Raum darunter sind, es ist jedoch davon auszugehen. Mit den erbeuteten Daten sind Identitätsdiebstahl und gezielte Phishing-Angriffe denkbar.
Auf einem Screenshot, den Everest veröffentlicht hat, sieht man das vermeintlich verwendete FTP-Einfallstor; da auch Zugangsdaten mit de/eu-Domains enthalten sind, könnten auch Mitarbeiter und Reisende aus dem DACH-Raum von dem Datenklau betroffen sein.
(Bild: Everest)
Ransomware-Meldung als Teil einer unklaren Kommunikation?
Auf der anderen Seite stehen die offiziellen Meldungen, die von einem Ransomware-Angriff sprechen. So meldete der Mutterkonzern RTX in einer Pflichtmeldung an die US-Börsenaufsicht SEC einen entsprechenden Vorfall. Diese Angabe wird durch das britische National Cyber Security Centre (NCSC) gestützt. Dessen Direktor, Dr. Richard Browne, erklärte laut einem Bericht von Cyber Daily am 23. September, dass dem NCSC sowohl der Angreifer als auch der verwendete Malware-Stamm bekannt sei.
Allerdings wird der Begriff Ransomware nicht immer trennscharf verwendet. Während er oft eine Verschlüsselung durch Malware impliziert, nutzen Unternehmen ihn in ihrer öffentlichen Kommunikation auch für Vorfälle, bei denen Daten lediglich gestohlen und mit einer Löschung oder Nicht-Veröffentlichung erpresst werden. Aus dieser Perspektive könnte die offizielle Meldung von Collins/RTX technisch korrekt, aber irreführend sein. Die späte Reaktion – der FTP-Zugang wurde erst eine Woche nach dem Datenabzug geschlossen – deutet auf interne Kommunikationsprobleme oder inkompetente Handhabung des Vorfalls hin. Anstatt von zwei parallelen Angriffen auszugehen, könnte es sich also um einen einzigen, aber schlecht gemanagten Vorfall handeln, bei dem die Notabschaltung der Systeme eine späte Maßnahme war, um die Kontrolle zurückzugewinnen und das Ausmaß des Schadens zu prüfen.
Nach dem Ablaufen eines ersten Countdowns hat die Cybergang Everest nun ein neues Zeitlimit gesetzt. Rund eine Woche hat Collins Aerospace demnach jetzt noch Zeit für Verhandlungen.
(Bild: Screenshot heise medien)
Everest selbst distanziert sich ausdrücklich von jeglicher Ransomware-Aktivität. Auf ihrer Seite im Tor-Netzwerk heißt es dazu wörtlich:
„Our current position on ransomware: Our group does not use or distribute ransomware. Many are aware that we have not used ransomware for many years and have not announced any plans to do so in the future.“
Diese Abgrenzung würde zum strategischen Wandel der Gruppe in den vergangenen Jahren passen, die laut Berichten inzwischen eher als spezialisierter Initial Access Broker agiert. Dennoch muss man sich fragen, inwieweit man den Aussagen der Cyberkriminellen trauen kann. Die mangelnde Transparenz von Collins Aerospace seinen Partnern gegenüber wird unterdessen durch Recherchen des IT-Sicherheitsexperten Kevin Beaumont untermauert. Er schrieb auf Mastodon, dass mindestens eine der betroffenen Fluggesellschaften nicht über den Diebstahl ihrer Daten informiert worden war.
(vza)