Was tun gegen Cyber-Attacken in der Luftfahrt?
Nach weltweiten Verspätungen und sensiblen Daten im Darknet: So reagiert Swissport auf die Hacker-Attacke Anfang Februar
Swissport ist die weltweit größte Servicegesellschaft für Flughäfen und Flugzeuge. 2019 war sie zuständig für über vier Millionen Flüge und den Transport von 265 Millionen Menschen weltweit. Anfang Februar wurde Swissport Opfer eines Hackerangriffs mit globalen Auswirkungen. Am Donnerstag, 3. Februar, verschaffte sich eine Ransom-Software erfolgreich Zugang auf verschiedene Teile der weltweiten IT-Infrastruktur. Betroffen waren Planungs-, Dispositions- und Einsatzplansysteme, welche der Planung von Personen, Flugzeugen und Fracht dienen. Die Website konnte zeitweise nicht aufgerufen werden und Systeme in der geschützten IT-Umgebung Swissports waren eingeschränkt.
Wie Swissport gegenüber der Schweizer Tageszeitung „Blick“ sagte, blieben Flugzeugabfertigungssysteme, welche die Verteilung der Fracht bestimmen, verschont. Trotz des Angriffes konnte der Flugverkehr aufrechterhalten werden, obschon es einige Tage zu Verspätungen kam. Swissport teilte mit, den Angriff früh erkannt und somit weitreichendere Konsequenzen verhindert zu haben. Alles nochmal gut gegangen? So einfach ist es leider nicht.
„Der globale Charakter unseres Unternehmens erschwert die Ermittlungen“
Sprecherin Swissport
Nur wenige Tage nach dem Hack waren zahlreiche geklaute Datensätze im Internet käuflich. Vereinzelte „Kostproben“ sensibler Daten waren ebenfalls ersichtlich. Swissport gibt sich bedeckt, was den Umfang an gestohlenen Daten anbelangt, die Untersuchung des Vorfalls laufe nach wie vor. „Wir ziehen unsere Lehren aus dem Vorfall, um unsere Sicherheitspraktiken im gesamten Unternehmen zu verbessern, und arbeiten mit führenden Cybersecurity-Experten zusammen, um unsere Abwehrmaßnahmen zu verstärken“, so eine Swissport-Sprecherin gegenüber FUTURE MOVES. „Derartige Ermittlungen können aufgrund der Komplexität des Vorfalls und der Raffinesse des Bedrohungsakteurs einige Zeit in Anspruch nehmen. Der globale Charakter unseres Unternehmens erschwert den Prozess ebenfalls, da es Zeit braucht, um die notwendigen Systeme in der ganzen Welt gründlich zu überprüfen“, so die Sprecherin weiter.
Genau die komplexe Organisation Swissports machte sie für einen Cyberangriff vulnerabel. Das sagt Gregor Erismann, CCO von Exeon Analytics, einer auf automatische Sicherheitsüberwachung von IT-Netzwerken und Infrastrukturen spezialisierten Firma. „Swissport ist in den letzten Jahren sehr stark anorganisch durch zahlreiche Akquisitionen gewachsen. Das hat zu einem sehr komplexen Netzwerk mit Milliarden von Bewegungen täglich geführt“, sagt Erismann. Dementsprechend groß sei die Angriffsfläche.
Ransomware sind Schadensprogramme, die den Computer sperren oder darauf befindliche Daten verschlüsseln, in der Regel erst, nachdem sensible Daten ausspioniert wurden. „Die Schadsoftware kann sich über Phishing-Mails, Softwares von Drittanbietern, oder über Mitarbeiter-Credentials ins Netzwerk eingespielt worden sein“, so Erismann im Gespräch mit FUTURE MOVES. Je nachdem, wie schnell die Sicherheitslücke erkannt wird, muss der betroffene Endpunkt isoliert, oder gar das ganze System neu aufgesetzt werden.
„Ein Angriff in der Aviatik kann verheerende Konsequenzen haben“
Gregor Erismann, CCO Exeon Analytics
Swissport richtet derzeit weitere Sicherheitsmaßnahmen ein: „Wir setzen Passwörter zurück, überprüfen Systeme und Server auf Probleme, implementieren eine Zero-Trust-Architektur, verbessern die bestehende Überwachung, sowohl intern als auch extern.“ Laut Erismann ergreift Swissport die erforderlichen Maßnahmen. Denn insbesondere die externen Zulieferer seien trotz Sicherheitsansprüchen eine der größten Gefahren.
Was bedeutet das für die Aviatik, wenn selbst die größte Servicegesellschaft für Flughäfen und Flugzeuge einer Hacker-Attacke zum Angriff fällt? „In der Aviatik sind sehr vernetzte Systeme zu finden. Es sind höchst sensible Daten im Spiel. Und ein Angriff kann verheerende Konsequenzen mit sich bringen“, so Experte Erismann. Seine Beobachtung: Die Fluggesellschaften seien sich dieser Verantwortung durchaus bewusst, sie investierten sehr stark in die Verbesserung der Sicherheits-Standards und seien dementsprechend gut entwickelt. Aber ein Angriff könne in jeder Organisation vorkommen, wenn es die Angreifenden unbedingt darauf ansetzen, weshalb die schnelle Erkennung der Lücken von großer Wichtigkeit sei.
Want to know more?
Gregor Erismann
Seit Februar 2021 ist Gregor Erismann Chief Commercial Officer (CCO) von Exeon Analytics. Das Unternehmen ist ein Spin-Off der ETH Zürich und spezialisiert im Bereich der automatischen Sicherheitsüberwachung von IT-Netzwerken und -Infrastrukturen. Zuvor war Erismann Chief Marketing Officer bei Digitalagentur Namics.
Black Cat
Das Geschäftsmodell der auch als ALPHV bekannten Gruppe nennt sich Ransomware-as-a-Service. Andere Kriminelle bekommen Zugang zur Infrastruktur und dem Schadcode von Black Cat, die dafür einen Anteil am erpressten Lösegeldes erhalten, das die Opfer zahlen, damit die Gruppe die Verschlüsselung der Systeme rückgängig macht.