Flughäfen sind bevorzugte Ziele für Ransomware-Angriffe. Im Zentrum der Verwundbarkeit stehen Identitätssysteme wie Entra ID, die den Zugang zu allem kontrollieren. Fallen sie aus, stehen nicht nur Flüge still, sondern auch Einzelhändler, Gastronomie und Sicherheitsschleusen.
Identitätssysteme wie Entra ID kontrollieren den Zugang zu kritischen Flughafen-Systemen. Ein Ausfall legt den gesamten Betrieb lahm.
Der Flugverkehr hat sich nach der Pandemie kräftig erholt – das weltweite Passagieraufkommen liegt mittlerweile über dem Niveau von 2020. Fluggesellschaften und Flughäfen kämpfen darum, diesen Ansturm zu bewältigen, während sie gleichzeitig mit Personalmangel, steigenden Kosten und höheren Erwartungen der Reisenden konfrontiert sind. Um Schritt zu halten, beschleunigen viele ihre digitale Transformation: Sie setzen auf Cloud-Infrastrukturen, integrieren KI in die Flugplanung und das Passagiermanagement und führen biometrische Verfahren ein. Parallel dazu entwickeln sich Flughäfen zu regelrechten Shopping- und Gastronomiemeilen, in denen Geschäfte, Restaurants und Unterhaltungsangebote ebenso wichtig für die Einnahmen sind wie die Gepäckabfertigung oder die Flugzeugabwicklung.
Mehr Vernetzung, mehr Angriffsfläche: Identitätssysteme als Achillesferse
Die Branche durchlebt eine ihrer tiefgreifendsten Transformationen – getrieben von wirtschaftlichem Druck und technologischem Fortschritt. Betriebs- und Geschäftssysteme sind heute enger verzahnt und effizienter als je zuvor, aber auch anfälliger: Ein einzelner Ausfall kann weit über das Rollfeld hinaus Auswirkungen haben. Dieser Fortschritt hat die Angriffsfläche vergrößert und bietet Cyberkriminellen fruchtbaren Boden in einer Branche, die sich Ausfälle schlicht nicht leisten kann.
Im Zentrum der aktuellen, weitreichenden Transformation steht eine oft übersehene, aber kritische Abhängigkeit: Identitätssysteme. In vielen Flughäfen ist Entra ID zum zentralen Kontrollpunkt geworden, der bestimmt, wer Zugang wozu erhält – von der Gepäckabfertigung bis zur Sicherheitskontrolle. Wird dieses System kompromittiert, sind die Auswirkungen unmittelbar und weitreichend. Mitarbeiter könnten plötzlich nicht mehr in gesicherte Bereiche gelangen. Schlimmer noch: Unbefugte könnten sich Zugang verschaffen, Sicherheitsprotokolle umgehen und ernsthafte operative Risiken verursachen.
Wie gravierend dieses Risiko branchenübergreifend ist, belegt der aktuelle Rubrik Zero Labs Report „Die Identitätskrise“ 90 Prozent der befragten IT- und Sicherheitsverantwortlichen stufen identitätsbasierte Angriffe als größte Bedrohung für ihr Unternehmen ein. Besonders alarmierend: 43 Prozent der Unternehmen benötigen nach eigenen Angaben 25 bis 48 Stunden, um ihre Identitätsinfrastruktur nach einem Angriff wiederherzustellen – für einen Flughafen eine Ewigkeit. Eine Wiederherstellung gelingt nie auf Knopfdruck; der Neuaufbau einer Identitätsplattform kann Tage dauern, wenn die Notfallpläne lückenhaft sind – ein undenkbares Szenario für einen Sektor, der auf sekundengenaue Präzision angewiesen ist.
Der perfekte Sturm für Ransomware-Gruppen – wenn das Terminal stillsteht
Für Ransomware-Gruppen wie Scattered Spider erfüllt die Reisebranche sämtliche Kriterien: hohe öffentliche Sichtbarkeit, permanenter Zeitdruck und Betriebsabläufe, die keinerlei Unterbrechung vertragen. Ein einziger erfolgreicher Angriff kann Tausende Passagiere betreffen und innerhalb von Minuten Schlagzeilen machen. Die Angreifer wissen genau, wann sie zuschlagen müssen – und tun dies im Moment maximaler Hebelwirkung. Wer während einer Reisewelle die Kerninfrastruktur verschlüsselt, hält alle Karten in der Hand. Je länger die Systeme ausfallen, desto größer werden das operative Chaos, die finanziellen Verluste und der Druck, Lösegeld zu zahlen.
Der Schaden endet selten bei verspäteten Flügen. Im Terminal hängen Einzelhändler, Restaurants, Bars und Unterhaltungsanbieter von derselben Infrastruktur ab – häufig authentifiziert über Entra ID. Wenn dieser Zugang blockiert ist oder Zahlungssysteme versagen, trifft es das gesamte kommerzielle Ökosystem des Flughafens auf einen Schlag. Gastronomiebetriebe können keine Bestellungen mehr annehmen, Sicherheitsschleusen stehen unbesetzt, Boarding-Gates frieren ein. Binnen Minuten bricht das Passagiererlebnis zusammen, Frustration verbreitet sich in den sozialen Medien, und ein über Jahrzehnte aufgebauter Ruf kann an einem einzigen Tag Schaden nehmen.
Flughäfen erkennen zunehmend, wie eng betriebliche Kontinuität und Umsatzsicherung miteinander verknüpft sind. Jede Stunde Ausfall trifft nicht nur Airlines und Reisende, sondern auch Dutzende Unternehmen, die vom Passagieraufkommen abhängen. Händler und Betreiber können nicht einfach abwarten, bis die Systeme wieder laufen. In einem hochgradig vernetzten Hub kann eine einzige technische Störung jeden Winkel des Terminals erfassen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Cyber-Resilienz wird zur Chefsache – die Uhr tickt
In dieser Realität ist Cyber-Resilienz keine Angelegenheit für die IT-Abteilung im Hintergrund. Sie ist eine operative Notwendigkeit an vorderster Front. Für Identitätssysteme bedeutet das: genau wissen, welche Anwendungen von ihnen abhängen; klare Wiederherstellungsziele definieren; die Fähigkeit aufbauen, Dienste schnell wiederherzustellen – selbst wenn Administrator-Zugangsdaten gestohlen wurden. Und es bedeutet sicherzustellen, dass die Wiederherstellungsfähigkeiten während eines Angriffs nicht manipuliert oder sabotiert werden können.
Die Lehre für die Reisebranche liegt auf der Hand: Flughäfen und Airlines sind bevorzugte Ziele für Cyberangriffe, und Vorsorge duldet keinen Aufschub. Jede Minute Ausfallzeit kostet Geld, Vertrauen und Sicherheit. Der nächste große Ransomware-Angriff auf einen Flughafen könnte nicht nur Flugzeuge am Boden halten, sondern auch Cafés, Geschäfte und Dienstleistungen lahmlegen. Und er wird in Echtzeit vor den Augen der Weltöffentlichkeit ablaufen. In der Luftfahrt beginnt die Uhr zu ticken, sobald die Systeme ausfallen. Die Frage ist nicht mehr, ob es passiert, sondern wann – und wie gut jeder Betreiber darauf vorbereitet sein wird.
Über den Autor: Richard Cassidy ist CISO EMEA bei Rubrik.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/76/be/76be41bcde463802c9329eded5d45c6f/0130237353v1.jpeg "Identitätssysteme wie Entra ID kontrollieren den Zugang zu kritischen Flughafen-Systemen. Ein Ausfall legt den gesamten Betrieb lahm. (Bild: © WICHAI – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6b/05/6b057f7347f9d5c97d474ade1d7b8a1f/0129674349v2.jpeg "Cyberkriminelle missbrauchen laut Sophos virtuelle Maschinen in legitimen Hosting-Infrastrukturen, nutzen identische Hostnamen und automatisierte Angriffe über RDP, während sie Verbindungen zu verdächtigen Hosting-Anbietern aufweisen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/17/9d/179dd778eea92469d222147b93062a79/0130236682v1.jpeg "Ransomware dient staatlich unterstützten Akteuren zunehmend für Spionage und Destabilisierung. Verschlüsselung wird oft nur noch zur Tarnung eingesetzt. (Bild: © concept w - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/6f/c26f8917d9577d3647ac2b27106397d3/0130217833v2.jpeg "Unternehmen investieren massiv in Cybersicherheit, doch ihre wertvollsten Daten bleiben oft ungeschützt. SAP-Systeme, das Herzstück kritischer Geschäftsprozesse, werden bei Penetrationstests häufig übersehen – ein fatales Versäumnis, das Angreifern Tür und Tor öffnet. (Bild: © YOGI C - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/ff/4fff5b549d403858f33d560c8c8f40dc/0130169139v2.jpeg "Der Vorsitz für die AdCo CRA wurde Anna Schwendicke am 19. März in Athen übertragen. Hier zu sehen sind (v.l.n.r): Tommaso Bernabo (DG Connect), Perit Kirkmann-Raave (ENISA), Maika Fohrenbach (DG Connect), Xenia Kyriakidou (Digital Security Authority Zypern - Vice-Chair AdCo CRA), Anna Schwendicke (BSI - Chair AdCo CRA), Luis Miguel Vega Fidalgo (DG Connect), Razvan Gavrila (ENISA). (Bild: ENISA)")
:quality(80)/p7i.vogel.de/wcms/83/12/8312bf00e110a5f83e9044d3530cee45/0130131441v1.jpeg "Schwachstellen in KI-Systemen nehmen schneller zu als im restlichen Software-Ökosystem, besonders in neuen Architekturen wie agentischer KI. (Bild: Trend Micro)")
:quality(80)/p7i.vogel.de/wcms/84/1c/841c9f1c9ed65f5abb2cf89723d5084a/0130219449v2.jpeg "Quantencomputer können asymmetrische Verschlüsselung knacken. Post-Quanten-Kryptografie bietet Schutz mit NIST-Standards wie ML-KEM, ML-DSA und SLH-DSA. (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/72/83729b923e87317b94edad7d73b89051/0130146252v2.jpeg "Keycloak ermöglicht Single Sign-on und Identitätsmanagement mit Open-Source-Freiheit, erfordert aber erhebliches Spezialwissen für Konfiguration und produktiven Betrieb. (Bild: © THAWEERAT - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/cf/4fcffe96d0f8532cf9672e943e5a7f2d/0130150503v2.jpeg "Node.js-Projekte sind durch kritische Schwachstellen gefährdet, die zu Denial-of-Service-Angriffen führen können. Dies bedeutet, dass Angreifer die Verfügbarkeit der Systeme beeinträchtigen und die Leistung durch gezielte Ressourcennutzung überlasten können. Davon ist auch die Lösung IBM App Connect Enterprise betroffen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/97/cd/97cd33dafac13a5325e02c0c3e25bc4f/0130101877v2.jpeg "Der Linux-Kernel sollte in Versionen ab v4.11 sofort aktualisiert werden, da Sicherheitsanfälligkeiten im AppArmor-Zugriffsmechanismus es Angreifern ermöglichen, Root-Zugriff zu erlangen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/8a/048a3e0e64cb8e042343910d93547645/0130028344v2.jpeg "Um digitaler Abhängigkeit entgegenzuwirken, braucht es Mut. Diesen wollen wir Ihnen mit der neuen Folge des Security-Insider-Podcasts machen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/fe/f8/fef84bd0b0f8b520d39b84ac3c69d805/0126929831v2.jpeg "Wer von Berlin aus mit dem Flugzeug reisen will, muss sich aufgrund eines Cyberangriffs auf längere Wartezeiten einstellen. (Bild: © Bojan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e7/f0/e7f0c73064864c37f9a4d5f691732f8f/0127030490v2.jpeg "Die Nürnberger FAI Aviation Group ist mutmaßlich Opfer der jungen Ransomware-Gruppe „J Group“ geworden, die laut eigenen Angaben 2,8 Terabyte an Kunden-, Mitarbeiter- und technischen Daten entwendet hat. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/79/79/7979624f016e7e6caa1e5ca39184c625/0127749320v2.jpeg "KI verändert die Angriffstaktiken: Gezielte Phishing-Mails und manipulierte OAuth-Anmeldungen ermöglichen den Zugriff auf Microsoft-365- und Azure-Konten. (Bild: © Art_spiral - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/f8/fef84bd0b0f8b520d39b84ac3c69d805/0126929831v2.jpeg "Wer von Berlin aus mit dem Flugzeug reisen will, muss sich aufgrund eines Cyberangriffs auf längere Wartezeiten einstellen. (Bild: © Bojan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e7/f0/e7f0c73064864c37f9a4d5f691732f8f/0127030490v2.jpeg "Die Nürnberger FAI Aviation Group ist mutmaßlich Opfer der jungen Ransomware-Gruppe „J Group“ geworden, die laut eigenen Angaben 2,8 Terabyte an Kunden-, Mitarbeiter- und technischen Daten entwendet hat. (Bild: putilov_denis - stock.adobe.com)")