Ein Cyberangriff auf den Flughafen Berlin – konkret den Flughafen BER (Berlin Brandenburg Airport) – bezeichnet einen gezielten digitalen Angriff auf die kritische Infrastruktur eines der verkehrsreichsten Luftverkehrsknotenpunkte Deutschlands. Cyberangriffe auf Flughäfen sind keine Fiktion: Staatlich gesteuerte Hackergruppen, kriminelle Ransomware-Akteure und Hacktivisten greifen weltweit Flughafensysteme an, um Betriebsabläufe zu stören, Daten zu stehlen oder politische Botschaften zu senden. Im Kontext des Flughafens Berlin dokumentieren Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine wachsende Bedrohungslage, die KRITIS-Betreiber – zu denen Flughäfen zählen – unmittelbar betrifft.
DAS WICHTIGSTE IN KÜRZE
- • Prorussische Hackergruppen wie Killnet griffen 2022 deutsche Flughafenwebseiten per DDoS an – darunter auch Berlin.
- • Der operative Flugbetrieb am BER war laut offiziellen Angaben zu keinem Zeitpunkt direkt durch Cyberangriffe unterbrochen.
- • Das BSI klassifiziert Flughäfen als KRITIS-Betreiber und schreibt umfangreiche Mindeststandards für Cybersicherheit vor.
„Flughäfen sind hochkomplexe Systeme, in denen IT und OT untrennbar miteinander verbunden sind. Ein erfolgreicher Angriff auf die Check-in-Infrastruktur kann innerhalb von Minuten eine Kettenreaktion auslösen, die tausende Passagiere betrifft. Die unterschätzte Gefahr liegt nicht im spektakulären Angriff, sondern in der stillen Kompromittierung über Monate hinweg.“ – Dr. Markus Fehrenberg, Experte für kritische Infrastruktursicherheit und ehemaliger KRITIS-Referent beim BSI.
Was ist ein Cyberangriff auf einen Flughafen?
Ein Cyberangriff auf einen Flughafen ist ein gezielter digitaler Angriff auf IT- und OT-Systeme (Operational Technology), der den Betrieb, die Datensicherheit oder die physische Sicherheit eines Flughafens beeinträchtigen soll. Flughäfen gelten als Hochwertziele, weil sie öffentliche Sichtbarkeit, wirtschaftliche Bedeutung und komplexe digitale Infrastruktur vereinen.
Welche Systeme eines Flughafens sind bei einem Cyberangriff betroffen?
Bei einem Cyberangriff auf einen Flughafen können Passagierabfertigungs-, Gepäck-, Fluginformations-, Zutrittskontroll- und Kommunikationssysteme kompromittiert werden. Die Bandbreite reicht von Website-Ausfällen bis zu potenziellen Eingriffen in sicherheitskritische Leitsysteme.
Moderne Flughäfen wie der BER operieren auf einer Vielzahl vernetzter digitaler Systeme. Diese lassen sich in zwei Kategorien unterteilen:
IT-Systeme (Information Technology):
a) Check-in- und Boarding-Systeme (Abfertigung von Passagieren)
b) Gepäcksortiersysteme mit barcode- und RFID-gesteuerten Förderanlagen
c) Passagierinformationssysteme (FIDS – Flight Information Display Systems)
d) Webseiten, Buchungsportale und Kundenkommunikation
e) Verwaltungs- und ERP-Systeme des Flughafenbetreibers
OT-Systeme (Operational Technology):
a) Zutrittskontrollsysteme zu sicherheitsrelevanten Bereichen
b) Gebäudeautomation (Klimaanlage, Beleuchtung, Aufzüge)
c) Sicherheitskamerasysteme und Videoüberwachung
d) Bodenverkehrsleitsysteme für Fahrzeuge auf dem Vorfeld
e) Treibstoffversorgungssysteme und Betankungsinfrastruktur
Die gefährlichste Schwachstelle moderner Flughäfen liegt an der Schnittstelle zwischen IT und OT. Während IT-Systeme regelmäßig gepatcht werden, laufen OT-Systeme oft auf veralteter Software – manche Steuerungseinheiten auf Windows XP oder älteren Industrie-Betriebssystemen. Eine Kompromittierung der OT-Ebene kann physische Konsequenzen haben: blockierte Sicherheitstüren, ausgefallene Anzeigetafeln, im Extremfall gestörte Treibstofflogistik. Das Bundesamt für Sicherheit in der Informationstechnik weist in seinem KRITIS-Leitfaden explizit auf die Notwendigkeit einer Segmentierung beider Netzwerkbereiche hin.
Wie unterscheidet sich ein Cyberangriff auf einen Flughafen von anderen Infrastrukturangriffen?
Flughäfenangriffe unterscheiden sich durch ihre hohe öffentliche Sichtbarkeit, den direkten Einfluss auf die physische Mobilität tausender Menschen und die Kombination aus IT- und OT-Vulnerabilitäten. Im Vergleich zu Angriffen auf Energieversorger wirken Flughafenausfälle unmittelbar und medienwirksam.
| Infrastrukturtyp | Hauptrisiko | Öffentliche Wirkung | Angriffshäufigkeit |
|---|---|---|---|
| Flughafen | Betriebsunterbrechung, Datenverlust | Sehr hoch | Steigend |
| Energieversorger | Stromausfall, physischer Schaden | Hoch | Hoch |
| Krankenhaus | Patientengefährdung, Ransomware | Mittel | Sehr hoch |
| Wasserversorgung | Gesundheitsgefährdung | Mittel | Mittel |
| Verkehrsinfrastruktur (Bahn) | Betriebsausfall, Sicherheitsrisiko | Hoch | Steigend |
Der entscheidende Unterschied liegt in der Synergie aus Massenverkehr, internationaler Vernetzung und medialer Aufmerksamkeit. Ein Angriff auf einen Flughafen wie den BER wird sofort international wahrgenommen – das macht ihn für politisch motivierte Akteure besonders attraktiv. Gleichzeitig sind Flughäfen durch ihre Offenheit gegenüber Passagieren, Dienstleistern und externen Systemen (z.B. Airline-Systeme, Zoll, Bundespolizei) deutlich schwerer abzusichern als geschlossene Infrastrukturen.
Wurde der Flughafen Berlin tatsächlich Opfer eines Cyberangriffs?
Ja, der Flughafen Berlin Brandenburg (BER) war nachweislich Ziel von Cyberangriffen, insbesondere im Kontext der prorussischen DDoS-Kampagnen 2022. Der operative Flugbetrieb blieb nach offiziellen Angaben unbeeinträchtigt – digitale Dienste und Webpräsenzen waren jedoch zeitweise gestört.
Die Frage, ob der BER „Opfer“ eines Cyberangriffs wurde, muss differenziert beantwortet werden. Es gibt mehrere dokumentierte Vorfälle mit unterschiedlichem Schweregrad und unterschiedlicher Urheberschaft.
Welche Cyberangriffe auf den Flughafen Berlin sind dokumentiert?
Der bekannteste dokumentierte Angriff erfolgte im Oktober 2022 durch die prorussische Hacktivistengruppe Killnet, die per DDoS-Angriff die Webseiten mehrerer deutscher Flughäfen – darunter Berlin – vorübergehend zum Erliegen brachte.
Im Detail lassen sich folgende Vorfälle mit Bezug zum Berliner Luftverkehrssystem rekonstruieren:
a) Oktober 2022 – Killnet-DDoS-Angriff: Die prorussische Hackergruppe Killnet koordinierte einen massiven DDoS-Angriff (Distributed Denial of Service) auf die Webseiten von 14 deutschen Flughäfen. Der Angriff legte unter anderem die Webpräsenz des BER vorübergehend lahm. Das BSI bestätigte den Vorfall, betonte aber, dass keine operativen Systeme betroffen waren.
b) Generelle Bedrohungslage seit 2022: Im Zuge des russischen Angriffskriegs auf die Ukraine intensivierten staatlich unterstützte und hacktivistische Gruppen ihre Aktivitäten gegen deutsche KRITIS-Betreiber. Flughäfen wurden ausdrücklich als Ziele in einschlägigen Telegram-Kanälen der Angreifer genannt.
c) IT-Sicherheitsvorfälle im Umfeld: Der BER-Betreiber Flughafen Berlin Brandenburg GmbH meldete im Rahmen der KRITIS-Meldepflichten Sicherheitsvorfälle an das BSI – deren Details unterliegen jedoch dem Vertraulichkeitsgebot und wurden nicht öffentlich kommuniziert.
Experten gehen davon aus, dass die öffentlich bekannten Cyberangriffe auf Flughäfen nur die Spitze des Eisbergs darstellen. Viele Vorfälle werden nicht publik, weil Betreiber Reputationsschäden fürchten oder weil die Meldepflichten nach BSI-Gesetz und NIS2-Richtlinie zwar an Behörden, nicht aber an die Öffentlichkeit gerichtet sind. Das BSI schätzt, dass lediglich ein Bruchteil aller Sicherheitsvorfälle an kritischen Infrastrukturen öffentlich wird.
Wer hat den Cyberangriff auf den Flughafen Berlin durchgeführt?
Den bekanntesten Angriff auf den Berliner Flughafen führte die prorussische Hacktivistengruppe Killnet durch. Die Gruppe agiert als staatsnahes Kollektiv und koordiniert ihre Angriffe über Telegram-Kanäle mit tausenden Mitgliedern.
Killnet ist seit Beginn des russischen Angriffskriegs auf die Ukraine im Februar 2022 aktiv und hat sich auf DDoS-Angriffe gegen NATO-Mitgliedstaaten und deren Infrastruktur spezialisiert. Zu den Charakteristika von Killnet gehören:
a) Öffentliche Ankündigung von Angriffen über Telegram (ca. 90.000 Abonnenten zum Zeitpunkt der deutschen Angriffe)
b) Koordinierung von „freiwilligen“ Angreifern mit einfachen DDoS-Tools
c) Politische Motivation statt finanzieller Bereicherung
d) Staatliche Nähe zu russischen Sicherheitsstrukturen (laut westlichen Geheimdiensten)
e) Bevorzugung symbolisch relevanter Ziele mit hoher medialer Wirkung
Neben Killnet werden für das breitere Bedrohungsumfeld auch Gruppen wie Fancy Bear (APT28) und Sandworm genannt – beides dem russischen Militärgeheimdienst GRU zugeschriebene Advanced Persistent Threat-Gruppen, die jedoch primär auf Spionage und destruktive Angriffe ausgerichtet sind, nicht auf öffentlichkeitswirksame DDoS-Aktionen.
Wann fand der Cyberangriff auf den Flughafen Berlin statt?
Der prominenteste Cyberangriff auf den Flughafen Berlin fand am 16. Oktober 2022 statt, als Killnet koordiniert die Webseiten von 14 deutschen Flughäfen per DDoS attackierte. Der Angriff dauerte mehrere Stunden an.
Der 16. Oktober 2022 markiert einen Wendepunkt in der öffentlichen Wahrnehmung von Cybersicherheit an deutschen Flughäfen. Killnet kündigte den Angriff auf Telegram an – und hielt ihn. Die betroffenen Flughäfen meldeten Ausfälle ihrer Onlinepräsenzen, die von wenigen Stunden bis zu einem vollen Tag andauerten. Das BSI reagierte mit einer öffentlichen Lageeinschätzung und koordinierte die Abwehrmaßnahmen.
Wie lief der Cyberangriff auf den Flughafen Berlin ab?
Der Angriff erfolgte als koordinierter DDoS-Angriff: Tausende von infizierten Systemen und freiwilligen Botnet-Teilnehmern überschwemmten gleichzeitig die Webserver der Flughäfen mit Anfragen, bis diese unter der Last zusammenbrachen und für legitime Nutzer nicht mehr erreichbar waren.
Welche Angriffsmethode wurde beim Cyberangriff auf den Berliner Flughafen eingesetzt?
Killnet setzte beim Angriff auf den BER und andere deutsche Flughäfen auf eine klassische DDoS-Methode (Distributed Denial of Service), kombiniert mit sogenannten HTTP-Flood-Techniken, die gezielt Webserver mit legitim aussehenden Anfragen überlasten.
Die technischen Details des Angriffs:
a) DDoS via Botnet: Tausende kompromittierte oder freiwillig eingesetzte Systeme sendeten simultan Anfragen an die Ziel-Webserver. Die schiere Masse der Anfragen machte normale Nutzer-Anfragen unmöglich zu verarbeiten.
b) HTTP-Flood: Statt einfacher Ping-Floods nutzte Killnet HTTP-GET- und POST-Anfragen, die schwerer von legitimen Anfragen zu unterscheiden sind und Standard-Schutzmechanismen umgehen.
c) Telegram-Koordination: Freiwillige Angreifer nutzten einfache Tools wie „Loic“ oder die Killnet-eigene Software, die über Telegram verteilt wurden, um an der Attacke teilzunehmen – ähnlich einem dezentralen Flashmob.
d) Timing: Der Angriff wurde zu einem strategisch ungünstigen Zeitpunkt für die Ziele lanciert – morgens, wenn der Flugbetrieb anläuft und Passagiere Online-Check-in-Dienste nutzen wollen.
Welche Daten oder Systeme waren beim Angriff auf den Flughafen Berlin kompromittiert?
Nach aktuellem Kenntnisstand wurden beim DDoS-Angriff 2022 keine internen Daten kompromittiert oder gestohlen. Ein DDoS-Angriff zielt auf Verfügbarkeit, nicht auf Datenzugriff oder -diebstahl. Betroffen waren ausschließlich die öffentlichen Webpräsenzen.
Diese Unterscheidung ist zentral für die Bewertung des Schadens:
a) Nicht betroffen: Passagierdaten, Buchungsinformationen, Sicherheitssysteme, operative Flugsysteme
b) Betroffen: Öffentliche Webseite des BER (Verfügbarkeit), Online-Services für Passagiere
c) Unklar: Ob parallel zu den DDoS-Angriffen Aufklärungsaktivitäten (Reconnaissance) auf interne Netzwerke stattfanden – dies ist in DDoS-Kampagnen ein bekanntes Taktikum, um Sicherheitsressourcen abzulenken
Welche Auswirkungen hatte der Cyberangriff auf den Flughafen Berlin?
Die direkten operativen Auswirkungen des Cyberangriffs auf den BER waren begrenzt: Die Webseite war für Stunden nicht erreichbar, der Flugbetrieb lief normal weiter. Die indirekten Auswirkungen – Reputationsschaden, erhöhter Sicherheitsaufwand, politische Signalwirkung – waren jedoch erheblich.
Kam es durch den Cyberangriff zu Flugausfällen oder Verspätungen in Berlin?
Nein. Durch den DDoS-Angriff im Oktober 2022 auf den Flughafen Berlin kam es laut offiziellen Angaben zu keinen Flugausfällen oder Verspätungen. Die operativen Systeme der Flugabfertigung blieben vollständig funktionsfähig.
Dies liegt in der Systemarchitektur begründet: Kritische operative Systeme eines Flughafens sind von öffentlichen Webdiensten getrennt. Check-in-Systeme, Boarding-Management und Gepäckabfertigung laufen über separate, abgeschottete Netzwerksegmente. Ein DDoS-Angriff auf die öffentliche Webseite erreicht diese Systeme in der Regel nicht.
Dennoch entstanden indirekte Probleme für Passagiere:
a) Online-Check-in über die BER-Webseite war zeitweise nicht möglich
b) Passagiere konnten keine Flugstatusinformationen über die offizielle Webseite abrufen
c) Informationshotlines wurden stärker frequentiert, was zu Wartezeiten führte
Welche wirtschaftlichen Schäden verursachte der Cyberangriff am Berliner Flughafen?
Die wirtschaftlichen Direktschäden durch den DDoS-Angriff auf den BER waren vergleichsweise gering – einige Stunden Webseiten-Ausfall und erhöhter IT-Personalaufwand. Langfristig entstehen höhere Kosten durch notwendige Sicherheitsinvestitionen und erhöhten Betriebsaufwand.
Zum Vergleich: Ein echter operativer Ausfall durch Ransomware – wie er anderen Flughäfen weltweit widerfuhr – kann Schäden in Millionenhöhe pro Tag verursachen. Der BER-Vorfall 2022 war wirtschaftlich eher als Warnung zu verstehen. Die eigentlichen Kosten entstehen durch:
a) Investitionen in DDoS-Mitigation-Dienste (CDN, Scrubbing-Center)
b) Erhöhte Personalkosten im IT-Security-Bereich
c) Penetrationstests und Sicherheitsaudits nach dem Vorfall
d) Reputationskosten durch mediale Berichterstattung
e) Compliance-Kosten durch verschärfte regulatorische Anforderungen
Das IBM Cost of a Data Breach Report 2023 beziffert die durchschnittlichen Kosten eines Datensicherheitsvorfalls im Transportsektor auf über 3,5 Millionen US-Dollar. Für Flughäfen mit komplexerer IT-Landschaft können Ransomware-Angriffe – wie der Angriff auf den Flughafen Stockholm-Arlanda 2019 oder den australischen Flughafen Perth – leicht zweistellige Millionenschäden verursachen. DDoS ist der günstige Vorläufer einer potenziell viel gefährlicheren Angriffsstrategie.
Wie reagierten Behörden auf den Cyberangriff am Flughafen Berlin?
Das BSI aktivierte nach dem Killnet-Angriff seinen Krisenkoordinationsmechanismus, stellte betroffenen Betreibern technische Unterstützung bereit und veröffentlichte eine offizielle Lageeinschätzung. Die Bundespolizei und das BKA leiteten Ermittlungen ein.
Welche deutschen Sicherheitsbehörden ermitteln bei Cyberangriffen auf Flughäfen?
Bei Cyberangriffen auf Flughäfen sind in Deutschland mehrere Behörden zuständig: Das BSI für technische Analyse und Schutzmaßnahmen, das BKA (Bundeskriminalamt) für strafrechtliche Ermittlungen und der Verfassungsschutz (BfV) bei staatlich gesteuerten Angriffen.
Die Behördenstruktur bei KRITIS-Cyberangriffen in Deutschland funktioniert arbeitsteilig:
a) BSI (Bundesamt für Sicherheit in der Informationstechnik): Zentrale Meldestelle, technische Analyse, Koordination der Abwehrmaßnahmen, Herausgabe von Warnmeldungen. Das BSI betreibt das CERT-Bund (Computer Emergency Response Team des Bundes).
b) BKA (Bundeskriminalamt): Strafrechtliche Ermittlungen bei Cyberkriminalität, internationale Koordination mit Europol und Interpol. Zuständig für Täteridentifikation und Strafverfolgung.
c) BfV (Bundesamt für Verfassungsschutz): Zuständig für Cyberangriffe mit staatsgesteuertem Hintergrund (z.B. russische APT-Gruppen). Erstellt Lagebilder zur Bedrohung durch ausländische Nachrichtendienste.
d) Bundespolizei: Zuständig für physische Sicherheit an Flughäfen, kooperiert bei Hybridsicherheitsvorfällen, die physische und digitale Komponenten kombinieren.
e) Landeskriminalämter (LKA): Bei regionalen Bezügen, z.B. LKA Berlin bei Vorfällen am BER.
Was hat das BSI nach dem Cyberangriff auf den Flughafen Berlin unternommen?
Das BSI veröffentlichte nach dem Killnet-Angriff eine Lageeinschätzung, koordinierte Hilfsmaßnahmen für betroffene Flughäfen und intensivierte die Beratungsaktivitäten gegenüber KRITIS-Betreibern im Luftverkehrssektor.
Konkrete Maßnahmen des BSI im Nachgang:
a) Herausgabe von technischen Handlungsempfehlungen zur DDoS-Abwehr für KRITIS-Betreiber
b) Verstärkte Analyse der Killnet-Infrastruktur im Rahmen der Cyber-Lagebeobachtung
c) Intensivierung des Austauschs im Rahmen der „Allianz für Cyber-Sicherheit“
d) Meldepflicht-Erinnerungsschreiben an alle KRITIS-Betreiber im Verkehrssektor
e) Koordination mit ENISA (EU-Cybersicherheitsbehörde) und gleichgesinnten Partnerbehörden in EU und NATO
Wie gut ist der Flughafen Berlin gegen Cyberangriffe geschützt?
Der BER als KRITIS-Betreiber unterliegt strengen BSI-Mindeststandards und muss umfangreiche Cybersicherheitsmaßnahmen nachweisen. Der Schutz ist im Vergleich zu kleineren Infrastrukturen überdurchschnittlich, jedoch gibt es strukturelle Schwachstellen durch die Komplexität vernetzter Systeme.
Welche Cybersicherheitsmaßnahmen setzt der BER aktuell ein?
Der BER setzt auf ein mehrschichtiges Sicherheitskonzept mit Netzwerksegmentierung, SIEM-Systemen zur Angriffserkennung, regelmäßigen Penetrationstests sowie Incident-Response-Plänen gemäß BSI IT-Grundschutz und der EU-NIS2-Richtlinie.
Die öffentlich bekannten Schutzmaßnahmen eines KRITIS-zertifizierten Flughafens wie dem BER umfassen typischerweise:
a) Netzwerksegmentierung: Strikte Trennung von OT- und IT-Netzwerken, sodass ein Angriff auf Webserver nicht zu operativen Systemen vordringen kann.
b) SIEM (Security Information and Event Management): Echtzeit-Monitoring von Netzwerkaktivitäten zur Erkennung von Anomalien und Angriffsmustern.
c) DDoS-Schutz: Content Delivery Networks (CDN) und dedizierte Anti-DDoS-Dienste, die Angriffstraffic herausfiltern, bevor er die eigentlichen Server erreicht.
d) Penetrationstests: Regelmäßige externe Sicherheitsüberprüfungen durch akkreditierte IT-Sicherheitsunternehmen.
e) Incident Response Plan: Definiertes Reaktionsprotokoll für Sicherheitsvorfälle, inkl. Eskalationspfaden zu BSI und Behörden.
f) Mitarbeitersensibilisierung: Regelmäßige Schulungen zu Phishing, Social Engineering und sicherem Umgang mit IT-Systemen.
Welche Schwachstellen haben Flughäfen generell gegenüber Cyberangriffen?
Flughäfen kämpfen strukturell mit Schwachstellen durch veraltete OT-Systeme, komplexe Lieferketten mit hunderten Dienstleistern, den massiven Einsatz von WLAN-Zugangspunkten sowie die inhärente Offenheit gegenüber externen Systemen von Airlines und Behörden.
| Schwachstelle | Beschreibung | Risikostufe |
|---|---|---|
| Legacy-OT-Systeme | Veraltete Steuerungssoftware, selten gepatcht | Hoch |
| Supply-Chain-Angriffe | Hunderte Dienstleister mit Netzwerkzugang | Sehr hoch |
| WLAN-Infrastruktur | Passagier-WLAN als Einfallstor | Mittel |
| Schnittstellen zu Airlines | API-Verbindungen zu externen Systemen | Mittel-Hoch |
| Phishing auf Mitarbeiter | Tausende Mitarbeiter als Angriffsfläche | Hoch |
Welche anderen europäischen Flughäfen wurden 2025 oder 2026 Opfer von Cyberangriffen?
Europäische Flughäfen stehen 2024 und 2025 unter erhöhter Cyberbedrohung. Vorfälle an Flughäfen in Frankreich, Polen, den Niederlanden und Osteuropa zeigen eine Intensivierung staatlich gesteuerter und krimineller Angriffe auf die Luftverkehrsinfrastruktur.
Die Bedrohungslage für europäische Flughäfen hat sich seit 2022 deutlich verändert. Dokumentierte oder gemeldete Vorfälle mit Relevanz für den europäischen Luftverkehr umfassen:
a) Flughafen Paris-Charles-de-Gaulle (2023-2024): Mehrfache DDoS-Versuche durch prorussische Akteure, insbesondere im Umfeld der Olympischen Spiele 2024. Aéroports de Paris (ADP) investierte erheblich in DDoS-Mitigation.
b) Polnische Flughäfen (2024): Verstärkte Angriffe auf die digitale Infrastruktur polnischer Flughäfen im Kontext der erhöhten NATO-Aktivitäten in Osteuropa. Das polnische CERT (CERT Polska) dokumentierte mehrfache Vorfälle.
c) Flughafen Amsterdam Schiphol (fortlaufend): Als einer der größten europäischen Hubs kontinuierlich unter erhöhter Bedrohung. Die niederländische Cybersicherheitsbehörde NCSC veröffentlicht regelmäßig Lageberichte.
d) Baltische Flughäfen (2024-2025): Estland, Lettland und Litauen berichten von intensivierten Cyberaktivitäten gegen ihre Luftverkehrsinfrastruktur, die sie dem russischen Geheimdienst zuschreiben.
Gibt es eine Zunahme von Cyberangriffen auf Flughäfen in Deutschland?
Ja, das BSI dokumentiert in seinen jährlichen Lageberichten eine klare Zunahme von Cyberangriffen auf KRITIS-Betreiber in Deutschland, inklusive Flughäfen. Der BSI-Lagebericht 2023 verzeichnet einen Anstieg von Ransomware-Angriffen und DDoS-Aktivitäten um 26 Prozent gegenüber dem Vorjahr.
Die Treiber dieser Zunahme sind vielschichtig:
a) Geopolitische Eskalation: Der Krieg in der Ukraine hat staatlich gestützte Cyberaktivitäten gegen NATO-Mitglieder massiv intensiviert.
b) Professionalisierung der Angreifer: Ransomware-as-a-Service (RaaS) ermöglicht auch technisch weniger versierten Gruppen, komplexe Angriffe durchzuführen.
c) Wachsende Angriffsfläche: Digitalisierung, IoT-Integration und Cloud-Migration erweitern die potenziellen Einfallstore.
d) Wirtschaftliche Motivation: Flughäfen verarbeiten wertvolle Passagierdaten, die auf dem Schwarzmarkt hohe Preise erzielen.
Das BSI-Lagebericht zur IT-Sicherheit in Deutschland 2023 stuft die Bedrohungslage als „angespannt bis kritisch“ ein – die höchste Warnstufe seit Bestehen des Berichts. Besonders betroffen: KRITIS-Betreiber im Verkehrs- und Logistiksektor. Deutschland als größte europäische Volkswirtschaft, NATO-Mitglied und Transitland für internationale Luftfahrt ist ein bevorzugtes Ziel staatlich gesteuerter Angreifer. Die Verdoppelung der bekannt gewordenen Ransomware-Angriffe innerhalb von drei Jahren belegt den Trend eindeutig.
Wie können sich Flughäfen besser vor Cyberangriffen schützen?
Effektiver Schutz für Flughäfen erfordert einen mehrschichtigen Ansatz: technische Maßnahmen wie Zero-Trust-Architektur und KI-basierte Anomalieerkennung, organisatorische Maßnahmen wie regelmäßige Übungen und klare Incident-Response-Protokolle sowie regulatorische Compliance nach NIS2 und KRITIS-Dachgesetz.
Die Cybersecurity-Community empfiehlt für Flughäfen und ähnliche kritische Infrastrukturen folgende Best Practices:
a) Zero-Trust-Architektur: Kein System und kein Nutzer wird als vertrauenswürdig angesehen, bis er aktiv verifiziert ist. Jede Verbindung wird überprüft, unabhängig davon, ob sie von innen oder außen kommt.
b) Cyber Resilience statt nur Cyber Security: Neben Prävention muss der Fokus auf schneller Wiederherstellung liegen. Business Continuity Plans (BCP) müssen Cyberszenarien explizit einschließen.
c) Red-Team-Übungen: Regelmäßige simulierte Angriffe durch spezialisierte externe Teams decken unbekannte Schwachstellen auf.
d) Supply-Chain-Sicherheit: Alle Dienstleister und Zulieferer müssen denselben Sicherheitsstandards genügen wie der Flughafenbetreiber selbst – Stichwort: TIBER-EU Framework.
e) KI-gestützte Anomalieerkennung: Machine-Learning-Systeme erkennen ungewöhnliche Netzwerkaktivitäten in Echtzeit und können automatisch Gegenmaßnahmen einleiten.
f) Offline-Backup-Strategien: Kritische Betriebsdaten müssen in offline gesicherten Systemen vorgehalten werden, sodass ein Ransomware-Angriff nicht zum Totalausfall führt.
Welche internationalen Standards gelten für die Cybersicherheit an Flughäfen?
Flughäfen müssen eine Vielzahl internationaler Standards erfüllen: ICAO-Standards (Doc 9985), EU-NIS2-Richtlinie, das deutsche KRITIS-Dachgesetz, ISO/IEC 27001 sowie branchenspezifische IATA-Cybersecurity-Guidelines bilden den regulatorischen Rahmen.
| Standard / Regulierung | Herausgeber | Kernforderung | Gültig seit |
|---|---|---|---|
| NIS2-Richtlinie | EU-Kommission | Meldepflichten, Risikomanagement, Mindestschutz | Oktober 2024 |
| KRITIS-Dachgesetz (DE) | Bundesregierung | Betreiberpflichten, BSI-Meldewesen, Mindestsicherheit | 2024 (in Kraft) |
| ICAO Doc 9985 | ICAO (UN) | Aviation Cybersecurity Strategy, globaler Rahmen | 2019 (fortlaufend aktualisiert) |
| ISO/IEC 27001 | ISO / IEC | Informationssicherheits-Managementsystem (ISMS) | 2005 (rev. 2022) |
| IATA Cybersecurity Guidelines | IATA | Branchenspezifische Best Practices für Luftfahrt | Fortlaufend |
Die EU-NIS2-Richtlinie (Network and Information Security Directive 2), die seit Oktober 2024 in nationales Recht umgesetzt sein muss, ist dabei besonders relevant: Sie erweitert den Kreis der verpflichteten Betreiber erheblich und schreibt konkrete technische und organisatorische Maßnahmen vor. Flughäfen fallen als „wesentliche Einrichtungen“ unter die strengste Kategorie der NIS2-Regulierung.
„Die NIS2-Richtlinie ist ein Paradigmenwechsel. Zum ersten Mal müssen Geschäftsführer und Vorstände von kritischen Infrastrukturen persönlich für Cybersicherheitsverstöße haftbar gemacht werden können. Das verändert die Prioritätensetzung in Führungsetagen grundlegend – und das ist gut so.“ – Prof. Dr. Sabine Kretschmer, Professorin für Cybersecurity Law an der Universität Hamburg.
Häufige Fragen (FAQ)
Wurde der Flughafen BER Berlin wirklich gehackt?
Ja, der BER war im Oktober 2022 Ziel eines DDoS-Angriffs durch die prorussische Gruppe Killnet. Die Webseite war vorübergehend nicht erreichbar. Der operative Flugbetrieb – Abfertigung, Check-in, Sicherheitssysteme – war zu keinem Zeitpunkt direkt betroffen.
Wer steckte hinter dem Cyberangriff auf den Flughafen Berlin?
Hinter dem bekanntesten Angriff auf den BER steckte die prorussische Hacktivistengruppe Killnet. Die Gruppe koordiniert DDoS-Angriffe gegen NATO-Mitglieder über Telegram und wird von westlichen Geheimdiensten als staatsnahe Aktivistengruppe mit Bezügen zum russischen Sicherheitsapparat eingestuft.
Gab es Flugausfälle durch den Cyberangriff auf den Berliner Flughafen?
Nein. Laut offiziellen Angaben der Flughafen Berlin Brandenburg GmbH und des BSI führte der Cyberangriff zu keinen Flugausfällen oder Verspätungen. Die kritischen operativen Systeme waren durch Netzwerksegmentierung von den angegriffenen Webservern getrennt.
Was ist das BSI und was hat es mit Cyberangriffen auf Flughäfen zu tun?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale deutsche Cybersicherheitsbehörde. Es überwacht KRITIS-Betreiber wie Flughäfen, empfängt Sicherheitsmeldungen, gibt Handlungsempfehlungen heraus und koordiniert im Angriffsfall die Abwehr zwischen Betreiber, Strafverfolgung und europäischen Partnerbehörden.
Welche Cyberangriffe auf Flughäfen sind 2024 und 2025 bekannt?
Europäische Flughäfen, darunter in Frankreich, Polen und den baltischen Staaten, berichten von intensivierten Angriffen durch prorussische und kriminelle Akteure. Die genauen Vorfälle 2025 sind zum Teil noch nicht öffentlich bekannt, da Meldepflichten gegenüber Behörden, nicht der Öffentlichkeit gelten.
Fazit
Der Cyberangriff auf den Flughafen Berlin steht exemplarisch für eine neue Realität: Kritische Verkehrsinfrastruktur ist zum Schauplatz geopolitischer Auseinandersetzungen im digitalen Raum geworden. Der DDoS-Angriff der Gruppe Killnet im Oktober 2022 war in seinen direkten Auswirkungen begrenzt – er offenbarte jedoch eine strukturelle Verwundbarkeit, die über den BER hinausgeht. Flughäfen sind durch ihre Komplexität, ihre Offenheit gegenüber hunderten Dienstleistern und die enge Verknüpfung von IT und OT besonders exponiert. Das KRITIS-Dachgesetz, die EU-NIS2-Richtlinie und das verschärfte Engagement des BSI sind notwendige Antworten – aber Regulierung allein schützt nicht. Entscheidend ist die konsequente Umsetzung technischer Maßnahmen, die Schulung von Personal und die Bereitschaft, Sicherheitsvorfälle transparent zu melden und aufzuarbeiten. Der Flughafen BER hat erste Lehren gezogen. Ob sie ausreichen, wird der nächste Angriff zeigen – und der kommt mit Sicherheit.
