Bei Collins Aerospace ist ein weiteres schwerwiegendes IT-Sicherheitsproblem aufgetreten. Ende September kam es bei dem Dienstleister für diverse Flughäfen weltweit zu einem Datenabzug, bei dem das Unternehmen von Ransomware sprach, die Boarding- und Check-in-Systeme offline nahm und in der Folge der Flugbetrieb an den Flughäfen Berlin oder Brüssel beeinträchtigt wurde. Nun hat der Chaos Computer Club (CCC) herausgefunden, dass auch weitere Systeme schlecht gesichert waren und es etwa möglich war, Nachrichten in Flugzeug-Cockpits zu senden.

Das kürzliche Datenleck ging auf Zugangsdaten aus dem Jahr 2022 zurück, die seitdem nicht geändert wurden und aufgrund eines Infostealers ins Internet gelangten. Etwas mehr Kopfschütteln verursacht der nun vom CCC gefundene, mit trivialen Zugangsdaten „geschützte“ Zugang. Collins Aerospace betreibt das ARINC Opcenter, mit dem Nachrichten von und zu Flugzeugen verteilt und aufbereitet werden, etwa von Betriebsdaten. Dazu gehören auch ACARS-Nachrichten (Aircraft Communications Addressing and Reporting System), die technische Zustandsdaten, Flugpläne oder auch Verspätungen umfassen.

Triviale Zugangsdaten zum Nachrichten-Service

Der CCC konnte sich mit Benutzername „test“ – und IT-Experten vermuten es bestimmt schon – Passwort „test“ in das ARINC OpCenter einloggen und dort in den Message Browser gelangen. Ein Eintrag in der Wayback-Machine (PDF) zeigt die Benutzeroberfläche und die Abfrage von Nachrichten zu einem bestimmten Flugzeug. Der Zugang wies die IT-Forscher als „US Navy Fleet Logistics Support Wing“ aus.

Mit dem Zugang ließen sich versendete Nachrichten einsehen. Das Portal ermöglicht auch das Senden von Nachrichten ins Flugzeug-Cockpit – was der CCC jedoch ausdrücklich nicht ausprobiert hat.

Die CCC-Analysten haben sowohl die Muttergesellschaft RTX Corporation von Collins Aerospace, als auch das Department of Defense Cyber Crime Center der USA kontaktiert und über die Schwachstelle informiert. Rückmeldungen gab es keine. Jedoch wurde der Zugang inzwischen deaktiviert.

Die mangelnde Passwort-Hygiene und Zugangssicherung bei Collins Aerospace scheint ein weiterreichendes Problem zu sein, als der Cyberangriff im September vermuten ließ. Das ist umso schwerwiegender, da die Firma ein System betreibt, das global so weit eingesetzt wird und bis in die Flugzeug-Cockpits reicht, wie ARINC.

(dmk)

Die US-Abschiebebehörde ICE (Immigration and Customs Enforcement) baut ihre Überwachungskapazitäten weiter aus. Wie The Lever kürzlich berichtete, hat die Behörde im September einen Vertrag über potenziell knapp 6 Millionen US-Dollar mit dem IT-Dienstleister Carahsoft Technology unterzeichnet. Das soll ICE „Datenanalysen in Echtzeit für strafrechtliche Ermittlungen“ ermöglichen, wie aus dem Vertrag hervorgeht.

Carahsoft Technology ist dabei nur der Mittelsmann, die Software für die Überwachung und Auswertung sozialer Medien stellt das IT-Unternehmen Zignal Labs. Die Big-Data-Firma bietet an, aus jeglichen öffentlich zugänglichen Informationen mithilfe von Künstlicher Intelligenz sogenannte „Erkennungs-Feeds“ zusammenstellen zu können. Auf seiner Website sowie in einer Werbebroschüre wirbt das Unternehmen etwa damit, mehr als acht Milliarden Beiträge täglich zu durchsuchen und automatisiert auszuwerten.

In der Broschüre verweist der Hersteller unter anderem auf seine Zusammmenarbeit mit dem US-Militär, weiteren US-Diensten sowie internationalen Partnern. So beschreibt der Flyer etwa einen israelischen Militäreinsatz im Gazastreifen, bei dem das Unternehmen geholfen haben soll.

Zignal Labs arbeitete außerdem bereits 2019 mit ICEs übergeordneter Behörde zusammen, dem Department of Homeland Security (DHS). Dabei ging es um Lizenzen und Dienstleistungen für den U.S. Secret Service, auch damals stand die Überwachung sozialer Medien auf dem Programm.

ICE im Kaufwahn

Neben Software von Zignal Labs kaufte ICE für sieben Millionen US-Dollar auch Software von SOS International LLC, auch SOSi, die laut The Lever „den Aufenthaltsort einer Person verfolgt“. Im Frühjahr zahlte die Migrationsbehörde außerdem knapp 30 Millionen US-Dollar für die Software ImmigrationOS von Palantir, welche unter anderem überzogene Visa und Selbstausweisungen trackt.

Letzte Woche wurde bekannt, dass ICE weitflächig nach IT-Dienstleistern sucht, die Daten aus Quellen unterschiedlichster Art zusammenführen und auswerten können, darunter auch aus sozialen Medien. Dabei kann die umstrittene Behörde aus dem Vollen schöpfen: Schon vor Jahren hat sie damit begonnen, ein engmaschiges Überwachungssystem zu errichten.

Im vergangenen Sommer hat der US-Kongress das ohnehin milliardenschwere Budget der Abschiebebehörde weiter aufgestockt. Ihr stehen nun jährlich 28 Milliarden US-Dollar zur Verfügung, um die vom US-Präsidenten Donald Trump geforderten Massenabschiebungen umzusetzen. Kritiker:innen warnen vor einem „industriellen Deportations-Komplex“, der sich zunehmend jeglicher rechtsstaatlicher Kontrolle entzieht.

„Wir beobachten einen Anstieg bei den Verträgen von ICE, die Überwachung erleichtern“, sagt Julie Mao, Juristin bei der liberalen Nichtregierungsorganisation Just Futures Law, gegenüber The Lever. Diese Möglichkeiten setzt die Behörde in die Tat um, inzwischen wurden zahlreiche Migrant:innen oder Student:innen mit gültigen Aufenthaltsgenehmigungen, aber ohne US-Staatsangehörigkeit, nach regierungskritischen Äußerungen des Landes verwiesen. Mit dem Entzug eines Visa müssen auch Menschen rechnen, die in sozialen Medien etwa die Ermordung des rechtsextremen Influencers Charlie Kirk kommentiert hatten.

Angreifer attackieren DELMIA Apriso von Dassault Systèmes und führen im schlimmsten Fall Schadcode aus. Aufgrund der derzeit laufenden Attacken sollten Admins zügig handeln.

DELMIA Apriso fungiert als Manufacturing-Operations-Management-Software (MOM) und Manufacturing-Execution-System (MES). Damit werden unter anderem globale Produktionsabläufe, hierzulande etwa im Automobilbereich, gesteuert.

Die Gefahren

Vor den Attacken warnt die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) in einem Beitrag. In welchem Umfang die Attacken ablaufen, ist derzeit unklar. Die Entwickler haben im August dieses Jahres Warnmeldungen zu zwei Schwachstellen (CVE-2025-6204 „hoch„, CVE-2025-6205 „kritisch„) veröffentlicht.

Davon sind ihnen zufolge verschiedene Versionen der Releases 2020 bis 2025 betroffen. Leider geht die Versionsnummer der gepatchten Ausgabe nicht aus den Warnmeldungen hervor. Sie ist in einem nur für Kunden einsehbaren Bereich sichtbar.

Nutzen Angreifer die Lücken erfolgreich aus, können sie sich höhere Rechte verschaffen oder sogar Schadcode ausführen, um Systeme zu kompromittieren. Wie die derzeit ablaufenden Attacken vonstatten gehen, ist zurzeit unklar.

Zuletzt haben die Entwickler im September dieses Jahres eine „kritische“ Sicherheitslücke in dem Fertigungsmanagementtool geschlossen, die Angreifer ausgenutzt haben.

(des)