Jeder dritte Cyberangriff trifft Zulieferer. So legen Hacker europäische Flughäfen lahm.

Jeder dritte Cyberangriff zielt auf Zulieferer von Unternehmen. Im Jahr 2025 verdoppelte sich ihre Zahl, was einen besorgniserregenden Trend in der Cyberkriminalität bestätigt. Dies geht aus einem Bericht von Verizon hervor, der die Ursprünge von rund 8.000 im Jahr 2025 registrierten Cyberangriffen analysierte. Angriffe über Drittunternehmen und Service-Lieferketten bieten Angreifern einen breiten Handlungsspielraum und erzielen mit geringerem Aufwand identische Ergebnisse (vorübergehende Sperrung eines Dienstes). Insbesondere Softwareanbieter, Kundensupport-Hotlines und Anbieter von Technologielösungen, insbesondere künstlicher Intelligenz, werden im Visier gehalten, heißt es im Bericht.

Diese Zahlen bestätigen die Befürchtungen, die nach den Cyberangriffen auf drei der größten europäischen Flughäfen – London Heathrow, Brüssel und Berlin – aufkamen. Die Auswirkungen waren dann auch auf andere internationale Drehkreuze wie Dublin und Cork sowie auf andere europäische Flughäfen spürbar. In diesem Fall handelte es sich um einen gezielten Angriff.

Was wir bisher über den Angriff auf Collins Aerospace wissen

In den Tagen nach dem Angriff (der sich letzten Samstag ereignete) gab es wenig Neues. Sicher ist, dass die Kriminellen nicht die IT-Systeme des Flughafens ins Visier nahmen, sondern die eines externen Anbieters: Collins Aerospace, ein US-Unternehmen, das das Online-Check-in- und Gepäckabfertigungssystem betreibt. Das Unternehmen war bereits 2023 Ziel eines Cyberangriffs, als es von der BianLian-Gruppe angegriffen wurde, einem chinesischen Namen, den sich in Russland ansässige Cyberkriminelle ausgesucht haben, die auf Ransomware-Angriffe spezialisiert sind. Bei diesen Angriffen dringen Hacker in IT-Systeme ein, legen sie lahm und fordern anschließend Lösegeld.

Nach ersten Erkenntnissen haben mit der Untersuchung vertraute Quellen Italian Tech darüber informiert, dass es sich auch in diesem Fall um einen Angriff ähnlicher Art handeln könnte, allerdings ist derzeit nichts über die Angreifer bekannt.

Russische Schatten: Mehrere Hinweise wecken Befürchtungen vor einem hybriden Kriegsgeschehen

Doch sowohl die Angriffe, denen der Zulieferer im Laufe der Jahre ausgesetzt war, als auch die internationale Lage nähren den Verdacht, dass es sich um einen weiteren Fall hybrider Kriegsführung handeln könnte. Der Cyberangriff ereignete sich nur wenige Stunden, nachdem drei russische Kampfflugzeuge den NATO-Luftraum über Estland verletzt hatten. Und vor drei Tagen unterzeichnete Collins Aerospace (28 Milliarden Euro Umsatz im vergangenen Jahr, 80.000 Mitarbeiter) mit der NATO einen Vertrag über die Lieferung eines Systems zur Planung und Steuerung der Kommunikation im Falle elektronischer Kriegsführung.

Diese Elemente lassen Experten vermuten, dass es sich um eine Provokation handeln könnte. Oder um einen Test. Entweder um die Reaktionsfähigkeit Europas zu testen oder um die Fragilität der öffentlichen Infrastruktur. Ein komplexes Bild. Erschwerend kommt hinzu, dass Cyberkriminelle in den letzten Jahren ihre Identität geändert haben. Sie sind keine staatlichen Hacker mehr oder gar staatliche Hacker, die angreifen wollen.

Apples: „Ein beunruhigendes Szenario, hier ist ihre psychologische Strategie.“

Doch heute – so wird erklärt – beginnen sogar unabhängige Gruppen, Operationen durchzuführen, die von Staaten in gewisser Weise gefördert, wenn nicht sogar unterstützt werden. Dies sei eine Art „Militarisierung“ der Cyberkriminalität. „Das Szenario ist äußerst beunruhigend“, erklärt Stefano Mele, Rechtsanwalt, Leiter der Cybersicherheitsabteilung und Partner der Kanzlei Gianni & Origoni, gegenüber La Stampa. „Um einen Flughafen zu blockieren, muss man nicht unbedingt die großen Akteure angreifen, diejenigen mit dem nötigen Fachwissen, der nötigen Kultur und der nötigen Kaufkraft im Bereich Cybersicherheit. Das gleiche Ergebnis wird oft durch einen Angriff auf ein Unternehmen erzielt, das eine Dienstleistung anbietet, wie in diesem Fall“, argumentiert Mele. Die Blockade des Check-ins bedeute de facto die Blockade des Flughafens und eine Rückkehr zu manuellen Methoden an verkehrsreichen Tagen. An den drei Flughäfen waren über tausend Flüge geplant.

Die Auswirkungen des Angriffs vom vergangenen Samstag beschränkten sich auf 28 Stornierungen. Die Verspätungen führten jedoch zu Hunderten weiteren. Was den Rest Europas rettete, waren nicht größere technische Kapazitäten oder eine bessere Reaktionsfähigkeit auf Angriffe: „Es gab einfach keinen Anbieter für Check-ins. Es war reines Glück“, erklärt Mele. „Die Effektivität dieser Art von Ransomware-Angriffen ist kein technisches, sondern ein kulturelles Problem. Denn heute wissen wir, dass 90 % der Angriffe auf einen klassischen, unvorsichtigen Klick eines Mitarbeiters oder Managers zurückzuführen sind“, ergänzt der Anwalt. Hinzu kommt eine Mutation der Ransomware-Angriffe selbst. „Waren wir früher an Viren gewöhnt, die das System gegen Lösegeld blockierten, ist es heute nicht einmal mehr nötig, ein System zu blockieren: Man muss lediglich auf E-Mails und Unternehmenskommunikation zugreifen und diejenigen, die das Lösegeld zahlen können, direkt bedrohen, um den Verdacht zu wecken, dass das erbeutete Material kompromittierende Kommunikation enthalten könnte“, erklärt Mele.

Keine Viren mehr, die blockieren, sondern Viren, die „bedrohen“

Neben der Kommunikation können auch Betriebsgeheimnisse, Projekte und Produkte in der Entwicklungsphase offengelegt werden, was enormen Schaden anrichtet. Manchmal genügt schon eine Drohung, um einen Manager zur Rechenschaft zu ziehen. „Es handelt sich um eine psychologische Weiterentwicklung dieser Art von Angriff. Man braucht zwar Fachwissen, aber auch die Fähigkeit, Druck auszuüben.“ Wie bei einer Partie Schach.

Ransomware-Angriffe sind ein zentrales Thema im Cyberkrieg. Die europäische Richtlinie NIS2 hat höhere Sicherheitsstandards für Zulieferer eingeführt. Sie ist bereits in Kraft, muss aber erst ab Oktober 2026 umgesetzt werden. „Sie bietet besseren Schutz, auch wenn sie von Unternehmen und Behörden negativ bewertet wird. Es ist notwendig, die gesamte Lieferkette wichtiger und essenzieller Dienstleistungen zu schützen“, so Mele abschließend.

Italien sollte außerdem ein Gesetz zur Entwicklung einer Strategie gegen Ransomware-Angriffe verabschieden. Der Text wurde eingereicht und von Matteo Mauri (Demokratische Partei) unterzeichnet. Die Diskussion darüber steht jedoch noch nicht fest.