Kolumne : Wie angreifbar sind die Flughäfen?

Am 19. Juli 2024 verursachte ein fehlerhaftes Update von Crowdstrike weltweit massive Systemausfälle. Der Flugverkehr war dabei eine der am stärksten betroffenen Branchen. Flughäfen sind hochkomplexe Infrastrukturen, die eine Vielzahl von Funktionen und Dienstleistungen ganz wörtlich unter einem Dach vereinen: Passagierinformationssysteme, Gepäck- und Passagierabfertigung, Sicherheitskontrollen und eine Vielzahl anderer Sicherheitssysteme, Flugbetrieb, die einzelnen Fluggesellschaften, Flughafenmanagement und so weiter. Wenn ein Teil dieser Infrastruktur ausfällt, kann der gesamte Flughafenbetrieb zusammenbrechen.

Genau dies passierte am 19. Juli an vielen Flughäfen: Eines jener Systeme, die für den Flugbetrieb notwendig sind, fiel aus, und damit rutschte der gesamte Flughafenbetrieb ins Chaos. Flüge wurden gestrichen, Passagiere konnten nicht einchecken, keine Reservierungen vornehmen, kein Gepäck abholen, keine Flugstatusupdates erhalten. Der Betrieb der betroffenen Flughäfen kam weitgehend zum Erliegen, was wiederum Folgen für die Fluggesellschaften und andere Flughäfen hatte.

Ursache für die Störung war entgegen anfänglichen Vermutungen kein Cyberangriff, sondern ein Softwarefehler in einem Update von Crowdstrike. Prinzipiell sind solche Updates für die Sicherheit von Software unabdingbar. Fast jede Software enthält kritische Schwachstellen, und sobald eine solche Schwachstelle bekannt wird, wird sie auch von Cyberkriminellen ausgenutzt. Softwareanbieter und -nutzer stehen damit unter enormen Zeitdruck, sie müssen möglichst rasch Updates und Patches zur Verfügung stellen, beziehungsweise diese anwenden. Hoher Zeitdruck verleitet aber dazu, gefährliche Abkürzungen zu nehmen und auf scheinbar unnötige Vorsichtsmaßnahmen zu verzichten. Der Fall Crowdstrike zeigt, welch fatale Folgen das haben kann. Mit umfangreicheren Tests hätten sowohl Crowdstrike als auch die betroffenen Flughäfen und deren Dienstleister den Fehler finden und so das weltweite Chaos im Luftverkehr vermeiden können.

Wir haben den Crowdstrike-Vorfall zum Anlass genommen, die externen Angriffsoberflächen von 20 internationalen Flughäfen in Deutschland, anderen Ländern in Europa und in den USA genauer zu untersuchen. Wie verwundbar ist die über das Internet erreichbare IT der Flughäfen?

Die IT aller Flughäfen ist hybrid: sie wird teilweise selbst betrieben, teilweise von großen Cloudanbietern, teilweise ist sie an externe Dienstleister ausgelagert. Die Popularität dieser drei Modelle hängt stark von der Region ab. Deutsche Flughäfen nutzen zu 54 Prozent selbst erbrachte IT-Dienste, etwa 37 Prozent kommen von externen Dienstleistern, etwa 9 Prozent von Clouds. In den USA und Europa dominieren externe Dienstleister mit 64 bzw. 69 Prozent. In den USA folgen selbst erbrachte Dienste (21 Prozent) und Clouds (15 Prozent), während es in Europa umgekehrt ist: Clouds machen 19 Prozent aus, selbst erbrachte Dienste 12 Prozent. Diese Unterschiede beeinflussen die IT-Schwachstellen, Fehlkonfigurationen und den Verwaltungsaufwand.

Externe Dienstleister sind das größte Risiko

Kurz zusammengefasst: Sicherheitsprobleme fanden wir in allen drei Regionen und in allen drei Modellen der Diensterbringung. Insgesamt schnitten die Flughäfen in den USA am besten ab, gefolgt von denen in Deutschland, danach die im Rest von Europa. Die externen Dienstleister erwiesen sich überall als die größte Quelle von Schwachstellen und anderen Sicherheitsproblemen, absolut und auch gerechnet auf ihren jeweiligen Anteil an den IT-Diensten der Flughäfen. Bei Flughäfen außerhalb Deutschlands fanden wir eine ganze Reihe kritischer Schwachstellen, die aktuell von Cyberkriminellen auch tatsächlich ausgenutzt werden.

Ein weiterer kritischer Punkt waren öffentlich zugängliche private oder sensible Daten in den Webanwendungen der Flughäfen, wie Schlüssel, Passwörter, Konfigurationsdateien oder Backups. Wir stellten fest, dass etwa 85 Prozent dieser exponierten sensiblen Daten bei externen Dienstleistern gehostet wurden, wobei diese Sicherheitsprobleme überwiegend Flughäfen im Rest von Europa betrafen. Dazu zählten beispielsweise exponierte Konfigurationsdateien mit Zugangsdaten zu Dateisystemen oder Sicherheitslücken im Checkpoint Quantum Security Gateway (CVE-2024-24919).

Wir fanden auch eine ganze Reihe sehr häufig vorkommender Sicherheitsprobleme. Typisch sind beispielsweise Schwachstellen in der TLS/SSL-Verschlüsselung oder Schwächen der Verhandlungsmechanismen von Clients. Auch die meisten fehlerhaft konfigurierten Zertifikate wurden bei externen Dienstleistern festgestellt, wie beispielsweise Zertifikate mit Namensunstimmigkeiten oder abgelaufene Zertifikate.

Besonders problematisch waren die Fehlkonfigurationen von E-Mail-Diensten. Die meisten unsicheren E-Mail-Server, die schwache oder voreingestellte Anmeldedaten verwenden, wurden von externen Dienstleistern betrieben. Im Rest von Europa fanden wir die höchste Anzahl an verwundbaren E-Mail-Servern im Vergleich zu den USA und Deutschland. Auch die meisten verwundbaren Webdienste und Anwendungen sowie Webanwendungen, die veraltete Technologien nutzen (End of Life, EoL), befanden sich bei externen Dienstleistern. Webanwendungen, die vor Ort betrieben werden, wiesen die geringste Anzahl an Schwachstellen oder veralteten Komponenten auf.

Auch die Webserver der Flughäfen waren häufig durch externe Komponenten gefährdet. Externe Analysen- oder Zahlungssysteme, die von Drittanbietern entwickelt wurden, trugen zu den Sicherheitslücken bei. Selbst in Fällen, in denen die Webserver selbst sicher und auf dem neuesten Stand waren, machten diese externen Komponenten die Systeme verwundbar. Die meisten Schwachstellen in grundlegenden Internetdiensten, die für das Auflösen und Auffinden von Internetdiensten verwendet werden, fanden wir ebenfalls in Instanzen, die bei externen Dienstleistern gehostet wurden.

Clouds und eigene IT sind im Schnitt sicherer

Externe Dienstleister stellen damit insgesamt die größte Quelle von Schwachstellen und Fehlkonfigurationen dar. Tatsächlich gilt dies nicht nur für Flughäfen, sondern in gleicher Weise für viele große und im Prinzip gut gemanagte Infrastrukturen. Auch Cyberkriminelle haben das erkannt und greifen ihre eigentlichen Ziele zunehmend über externe Dienstleister an. Ein gutes Beispiel ist der Kaseya-Angriff von 2021, über den gleichzeitig eine Vielzahl von Unternehmen weltweit angegriffen wurden.

Clouds und die von Flughäfen selbst betriebene IT sind demgegenüber im Schnitt sicherer als die von externen Dienstleistern betriebene. Woran liegt das?

Für die großen Cloudanbietern ist dies keine neue Erkenntnis. Dank ihrer Größe verfügen Clouds über umfangreiche und sehr professionelle IT-Sicherheitsteams, die schnell und mehr oder weniger für alle Kunden gleichzeitig auf Sicherheitsprobleme reagieren können. Die IT-Infrastrukturen sind auf Rechenzentren in der ganzen Welt verteilt, wodurch Clouds ihren Kunden über entsprechende Service Level Agreements (SLA) ein hohes Maß an Resilienz zusichern können. Hinzu kommt, dass große IT-Hersteller ihre Software zunehmend auf in Clouds gehostete Installationen ausrichten und deshalb Sicherheitsprobleme oft erst für diese Cloudinstallationen und danach für on-premise Installationen behoben werden.

Überraschender mag erscheinen, dass auch die von den Flughäfen selbst betriebene IT deutlich besser abschneidet als die der externen Dienstleister. Dieser Umstand dürfte erklären, weshalb wir bei den deutschen Flughäfen weniger Sicherheitsprobleme gefunden haben als bei denen im Rest von Europa.

Die geringeren Sicherheitsprobleme in selbst betriebener IT werden durch ihre Homogenität erklärt, die eine einfachere Verwaltung und Überwachung ermöglicht. Flughäfen investieren aufgrund ihres Status als kritische Infrastrukturen stark in ihre IT-Sicherheit. Externe Dienstleister schaffen hingegen heterogene Systeme, die komplexer und anfälliger für Schwachstellen sind. Obwohl Vielfalt durch Redundanz theoretisch Vorteile bieten könnte, führt sie in der Praxis meist zu mehr Fehlern und Sicherheitsrisiken.

Hinzu kommt, dass es sich bei vielen der externen Dienstleister um kleinere Unternehmen handelt. Solche externen Dienstleister haben oft weniger Ressourcen und weniger Fachkenntnisse als ihre Kunden und können schon aus diesem Grund kaum an das Sicherheitsniveau ihrer großen und gut gemanagten Kunden heranreichen. Während die interne IT vergleichsweise oft gut gesichert und gepflegt ist, bringen die externen Anbieter signifikante Risiken für die Resilienz der gesamten IT-Infrastruktur mit sich – sowohl gegenüber Angriffen als auch gegenüber Systemausfällen.

Was kann man aus dem Crowdstrike-Vorfall und unserer Studie lernen?

Vorfälle wie der von Crowdstrike verursachte können auch in der Zukunft passieren – aber es gibt einiges, was Anwender tun können. Wie unsere Studien zeigen, haben praktisch alle IT-Infrastrukturen zahlreiche Schwachstellen und Fehlkonfigurationen, so dass häufige Updates und Patches unvermeidbar sind. Anwender sollten aber alle, auch sicherheitskritische Updates nicht blind anwenden, sondern einen stufenweisen Ansatz verfolgen. Updates sollten zuerst in einer möglichst realistischen Testumgebung geprüft und erst danach und möglichst in mehreren Phasen auf den produktiven Systemen angewandt werden. Auch das schützt nicht komplett vor fehlerhaften oder korrumpierten Updates. Um die Folgen möglichst klein zu halten, sollte man alles tun, was auch die Folgen von Cyberangriffe begrenzt: IT-Infrastrukturen sollten redundant ausgelegt und unter Anwendung der Zero-Trust-Prinzipien in kleinere Segmente unterteilt werden, damit Ausfälle eher toleriert oder zumindest in ihrer Wirkung begrenzt werden können. Anwender sollten sich auf den Notfall vorbereiten, also Pläne für die Wiederherstellung nach einem Angriff (Disaster Recovery) und Geschäftsfortführungspläne (Business Continuity Plans) vorbereiten und einüben.

Der Crowdstrike-Vorfall ist auch ein gutes Beispiel für das Risiko, das sich aus der Abhängigkeit von externen Dienstleistern ergibt – hier von Crowdstrike selbst und von den Anbietern von Managed Security Services, von denen viele Crowdstrike verwenden. Unsere Studie zeigt, dass die IT-Infrastrukturen der externen Dienstleister den größten Anteil an Schwachstellen und anderen Sicherheitsproblemen haben. Wie der Crowdstrike-Vorfall zeigt, geht es dabei nicht nur um kleine und vielleicht schlecht aufgestellte Dienstleister, sondern auch um große, professionelle Unternehmen. Die Feststellung, dass die eigene IT im Schnitt sicherer ist als die IT externer Dienstleister kann man sicher nicht auf alle anderen Sektoren und Unternehmen übertragen. Für kleinere Unternehmen und öffentliche Einrichtungen sind externe Dienstleister oft die einzige Option, und es gibt auch viele externe Dienstleister, deren Sicherheitsniveau sehr hoch ist und die in der Lage sind, ihren Kunden ein hohes Maß an IT-Sicherheit und Resilienz zuzusichern. Wichtig für jedes Unternehmen und jede Behörde ist, diese Dienstleister auch unter dem Gesichtspunkt ihrer zugesicherten Sicherheit auszuwählen, und – siehe oben – Vorsorge zu treffen.

Für uns alle sollte der Crowdstrike-Vorfall Anlass sein, sich wieder intensiver mit den Themen digitale Souveränität und technologische Unabhängigkeit auseinanderzusetzen. Nicht alle Länder waren gleichermaßen von der Störung betroffen. Russland und Iran meldeten keine Ausfälle, da beide aufgrund internationaler Sanktionen keinen Zugriff auf US-Hochtechnologie haben und damit gezwungen sind, alternative Produkte einzusetzen. Auch China war nicht betroffen, da man dort aufgrund strategischer Überlegungen weitgehend auf selbst entwickelte Betriebssysteme setzt. Dies zeigt: technologische Unabhängigkeit ist genauso entscheidend für die nationale Sicherheit wie etwa Energieunabhängigkeit. China hat durch seine auf technologische Unabhängigkeit ausgerichtete Politik nicht nur seine technologische Unabhängigkeit, sondern auch seine Resilienz verbessert.

Was bedeutet das für Deutschland, für Europa? Unser Ziel sollte sein, eigenständige digitale Infrastrukturen zu schaffen. Der Aufbau widerstandsfähiger IT-Ökosysteme in Europa ist nicht nur eine Frage der wirtschaftlichen Wettbewerbsfähigkeit, es ist eine zwingende Notwendigkeit für unsere nationale Sicherheit.

Haya Schulmann ist Professorin für Cybersicherheit am Institut für Informatik der Goethe-Universität Frankfurt am Main und Mitglied im Direktorium des Nationalen Forschungszentrums für angewandte Cybersicherheit Athene.

Michael Waidner ist Professor für Sicherheit in der Informationstechnologie im Fachbereich Informatik der TU Darmstadt, Leiter des Fraunhofer-Instituts für sichere Informationstechnologie SIT und CEO von Athene.

In unserer Reihe „Perspektiven“ kommentieren unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich der Cybersicherheit. Zuvor von Schulmann und Waidner im Background Cybersicherheit erschienen: Weniger Schwachstellen durch mehr Wettbewerb