Sichern von Flughafen-MRO-Einrichtungen in einem neuen Zeitalter von Cyberbedrohungen

Im Rahmen des Cybersecurity Awareness Month tauchen wir tief in die OT-Sicherheitsstrategie und Maßnahmen für verschiedene kritische Infrastruktursektoren ein. Heute werden wir die Cybersicherheitsmaßnahmen für die Wartungs-, Reparatur- und Überholungsanlagen untersuchen, die mit dem Luftfahrtsektor verbunden sind.

Die Luftfahrtindustrie basiert auf Präzision, Sicherheit, Disziplin, Fleiß, Prozessorientierung und Timing. Ein Flug, der durch einen Softwarefehler verspätet ist, ist nicht nur ein Ärgernis; es ist eine Kaskade von Störungen, die Millionen kostet. Dies zeigte sich beim Ransomware-Angriff auf Collins Aerospace im September 2025, der die Check-in- und Gepäcksysteme an wichtigen Drehkreuzen wie London Heathrow, Brüssel und Berlin lahmlegte. Dies war einer der vielen Weckrufe, die in den letzten 5 Jahren aufgetreten sind.

Obwohl dieser Angriff auf passagiernahe IT-Systeme abzielte, war es eine kritische Warnung für das gesamte Luftfahrt-Ökosystem, insbesondere für das oft übersehene Rückgrat der Fluglinienoperationen: Wartungs-, Reparatur- und Überholungseinrichtungen (MRO).

Bevor wir beginnen, vergessen Sie nicht, unseren Blog zur OT-Sicherheit im Erneuerbare-Energien-Sektor zu lesen.

Komplexe Infrastruktur

MRO-Operationen bestehen oft aus einem komplexen Geflecht von Operational Technology (OT), von Roboterarmen und intelligenten Drehmomentschlüsseln bis hin zu komplexen Diagnosesystemen und Gebäudeverwaltungskontrollen. Hier treffen sich in der Regel die physische und die digitale Welt. Und wie der Shieldworkz 2025 Threat Report mit zahlreichen Beweisen erwähnt, ist diese Konvergenz mittlerweile das Ziel Nummer eins für Angreifer.

Wenn ein Check-in-System ausfällt, Flüge zum Stillstand bringt, stellen Sie sich vor, was ein kompromittiertes Motor-Diagnosetool oder ein manipulierter Kraftstoffanzeiger oder sogar ein modifizierter Anstellwinkelsensor anrichten könnte?

Aufkommende Bedrohungen für MRO-Operationen: Was der Shieldworkz 2025 Threat Report aufdeckt

Der neueste Bericht zur Cybersicherheitsbedrohung zeigt, dass Angreifer nicht mehr nur an die Tür klopfen; sie haben Baupläne des Gebäudes. Der Report von Shieldworkz 2025 hebt mehrere alarmierende Trends hervor, die direkt anwendbar und relevant für MRO-Einrichtungen überall sind. Diese beinhalten:

• Die 24-Stunden-Welle: Geschwindigkeit und Stealth sind die neuen Waffen. Der Bericht stellt fest, dass bis zu 68 Prozent der OT-Eindringversuche mittlerweile in weniger als 24 Stunden ein gewisses Maß an Systemzugriff erreichen. Dies bedeutet, dass Hacker die Fähigkeit haben, Malware einzusetzen oder die Infrastruktur über längere Zeiträume hinweg zu überwachen. Für ein MRO bedeutet das, dass ein Angreifer von einer anfänglichen Phishing-E-Mail zu einer Kontrolle über ein wichtiges Maschinenteil gelangen könnte, bevor die nächste Schicht beginnt.

• Daten- und Kontrollmanipulation ist die "Höchste Bedrohung": Vergessen Sie das bloße Datendiebstahl; Angreifer können sie jetzt subtil ändern. Diese Bedrohung wird dreimal häufiger erkannt als jede andere Taktik und stellt eine neue und herausfordernde Aufgabe für MROs dar. Ein Angreifer könnte eine Drehmomentspezifikation in einem digitalen Handbuch ändern, eine Kalibriereinstellung an einem Diagnosetool ändern oder sogar falsche Sensordaten von einem Motorprüfstand einspeisen, was zu einer Kette von katastrophalen und nicht nachvollziehbaren Sicherheitsfehlern führt.

• "Deauthentication Storms": Angreifer zielen zunehmend auf unüberwachte Wi-Fi- und drahtlose Netzwerke ab, die intelligente Werkzeuge und IoT-Sensoren verbinden. Der Bericht verzeichnete einen Anstieg dieser Angriffe um 120 Prozent im Jahresvergleich, die sofort kommunikationen trennen, automatisierte Prozesse stoppen und massive betriebliche Blindflächen schaffen können. Hangars haben oft Wi-Fi-Netzwerke, die dazu genutzt werden, Diagnosedaten und andere kritische Daten von den Systemen zu Dashboards zu übertragen, auf denen sie sich befinden. Wenn Hacker Zugang zu solchen Netzwerken erhalten, können sie zumindest Zugang zu Datenströmen erlangen, die manipuliert werden können.

• Erweiterung der IoT-Angriffsfläche: Mit geschätzten 85 Millionen neuen industriellen IoT-Sensoren, die eingesetzt werden, wächst die Angriffsfläche der MROs exponentiell, und viele dieser Oberflächen können sogar unüberwacht und unverwaltet sein. Jedes intelligente Werkzeug, ungepatchte PLC und Remote-Access-Punkt ist eine potenzielle Tür, oft gesichert mit nichts anderem als einem (leicht erratbaren) Standardpasswort.

Der jüngste Angriff auf einen europäischen Flughafen verdeutlichte eine kritische Schwachstelle im System. MRO-Einrichtungen sind ebenso sehr, wenn nicht sogar mehr, auf eine umfangreiche Kette von Drittanbietern angewiesen, um ihre spezialisierten Diagnose-Software, Maschinen und Remote-Support zu erhalten. Eine einzige kompromittierte Händler oder Geräteaktualisierung könnte potenziell alle Perimeterschutzmaßnahmen umgehen und einem Angreifer die Schlüssel zum Schatzhaus geben.

Best Practices zur Sicherung des MRO-Hangars und allem darin

Die Sicherung einer MRO-Einrichtung ist nicht dasselbe wie die Sicherung eines Büros. OT-Sicherheit priorisiert Verfügbarkeit und Sicherheit über Vertraulichkeit. Sie können nicht einfach "aus- und wieder einschalten", wenn es sich bei dem betroffenen System um einen Multi-Tonnen-Flugzeugheber handelt.

Hier sind die wichtigsten Best Practices, die Sie übernehmen sollten:

• Erreichen Sie vollständige Sichtbarkeit (Asset Inventory): Der erste Schritt ist eine umfassende Inventarisierung jedes Geräts in Ihrem Netzwerk, vom Laptop des Ingenieurs bis zur ältesten PLC auf dem Werksgelände. Identifizieren Sie alle Verbindungen, Datenflüsse und Abhängigkeiten. Die Asset-Inventarliste sollte auch die Kategorisierung der Assets, Verhaltensweisen und Kommunikationen umfassen. 

• Implementieren Sie Zero-Trust-Segmentierung: Gehen Sie davon aus, dass Ihr Perimeter durchbrochen wird. Ein "flaches" Netzwerk, in dem ein infizierter Laptop mit einem kritischen Motor-Diagnosesystem sprechen kann, ist nicht akzeptabel. Verwenden Sie Netzwerk-Segmentierung (VLANs, Firewalls), um isolierte Zonen basierend auf dem IEC 62443-Standard zu erstellen. Ein intelligenter Schraubenschlüssel sollte nur mit seinem Server kommunizieren können, nicht mit dem HVAC-System des Gebäudes.

• Stärken Sie die Zugangskontrolle: Erzwingen Sie striktes Identitäts- und Zugriffsmanagement.

  • Sichern Sie Fernzugriff: Jeglicher Zugriff von Drittel-Anbietern und ferngesteuropa muss durch ein gesichertes, überwachten und zeitlich begrenztes Zugangstor (ein "Sprungpunkt") gehen.

  • Durchsetzen von "Minimale Rechte": Die Anmeldedaten eines Technikers sollten nur den Zugang zu den spezifischen Werkzeugen und Systemen gewähren, die für ihre Arbeit erforderlich sind.

  • Beseitigen Sie Standardpasswörter: Dies ist der am einfachsten zugängliche Punkt und der häufigste Einstiegspunkt.

• Entwickeln Sie eine resiliente Patch-Strategie: Patching von OT ist schwierig, da Ausfallzeiten keine Option sind.

  • Risikobasiertes Patching: Priorisieren Sie Patches für internetverfügbare Systeme und kritische Schwachstellen.

  • Virtuelles Patching: Für Legacy-Systeme, die nicht gepatcht werden können, verwenden Sie ein Intrusion Prevention System (IPS), um die bekannte Schwachstelle abzuschirmen und sie effektiv auf Netzwerkebene "zu patchen".

• Einrichten von OT-spezifischem Monitoring: Ihr IT-fokussiertes Security Operations Center (SOC) wird wahrscheinlich keinen ungewöhnlichen Befehl erkennen, der über Modbus oder andere Industrieprotokolle gesendet wird. Sie benötigen eine OT-spezifische Bedrohungserkennung, die den industriellen Verkehr versteht und Verhaltensweisen von Interesse erkennen kann, wie unbefugte Konfigurationsänderungen oder ungewöhnliche Prozesswerte (z.B. "Warum liegt der Drehmomentwert des Roboterarms bei 150 Prozent?").

• Planen und üben Sie Ihre Reaktion: Haben Sie einen speziellen und getesteten Incident Response-Plan für OT. Dieser Plan muss in der Lage sein, kritische Fragen zu beantworten: Wer hat die Befugnis, eine Wartungslinie abzuschalten? Was sind die manuellen/analogen Backup-Verfahren? Wie stellt man eine kompromittierte PLC aus einem bekannten guten Backup wieder her? Führen Sie Tabletop-Übungen mit sowohl IT- als auch Betriebsmitarbeitern durch. Berücksichtigen Sie ein eskalierendes Szenario und testen Sie Ihre Reaktion in Echtzeit.

• Richten Sie Ihre Sicherheitsmaßnahmen an Standards aus: IEC 62443 und NIST CSF können die führenden Maßstäbe für die Umsetzung von Sicherheitskontrollen sein.

• Führen Sie regelmäßige Bewertungen durch: Stellen Sie sicher, dass alle Teile der Infrastruktur mindestens alle 180 Tage überprüft werden.

Ein 5-Schritte-Roadmap und ein Checkliste für MRO-Sicherheit

Nur um es zu wiederholen: Dies ist eine Reise und kein Sprint. Hier ist ein praktischer Fahrplan von Shieldworkz, um die Cyber-Resilienz Ihres MROs aufzubauen.

Phase 1: Bewerten und Identifizieren (Wochen 1-12)

• CHECKLISTE:

  • [ ] Stellen Sie ein funktionsübergreifendes Team zusammen (IT, OT/Engineering, Sicherheit, Management).

  • [ ] Beauftragen Sie eine vollständige, passive OT Asset-Inventarisierung.

  • [ ] Führen Sie eine Risikobewertung auf hoher Ebene durch. Identifizieren Sie "Kronjuwel"-Systeme, deren Ausfall den Betrieb einstellen oder ein Sicherheitsrisiko darstellen würde.

  • [ ] Verzeichnen Sie alle Netzwerkverbindungen, insbesondere IT-OT-Konvergenzpunkte und externen Händlerzugriff.

Phase 2: Sichern und Segmentieren (Monate 3-9)

• CHECKLISTE:

  • [ ] Beheben Sie alle Standardanmeldedaten.

  • [ ] Beginnen Sie mit der Netzwerksegmentierung. Starten Sie mit der wichtigsten Zone (z.B. Sicherheitssysteme, Diagnoseserver) und isolieren Sie diese.

  • [ ] Setzen Sie eine sichere Fernzugriffslösung für alle Drittanbieter ein.

  • [ ] Implementieren Sie eine "Virtuelles Patching" Lösung, um Ihre kritischsten nicht patchbaren Systeme abzuschirmen.

Phase 3: Überwachen und Erkennen (Monate 9-18)

• CHECKLISTE:

  • [ ] Setzen Sie ein OT-spezifisches Netzwerküberwachungstool für Ihre neu segmentierten Zonen ein.

  • [ ] Integrieren Sie OT-Alerts in Ihre bestehende Sicherheitsüberwachung (SIEM/SOC) mit einem klaren Playbook für OT-spezifische Vorfälle.

  • [ ] Stellen Sie einen sicheren, offline Backup- und Wiederherstellungsprozess für alle kritischen OT-Assets sicher (PLC-Logik, HMI-Konfigurationen, etc.).

Phase 4: Reagieren und Verfeinern (Monate 18-24)

• CHECKLISTE:

  • [ ] Finalisieren und testen Sie Ihren OT-spezifischen Incident Response Plan.

  • [ ] Führen Sie Ihre erste MRO-fokussierte Tabletop-Übung durch (z.B. "Ein Ransomware hat unseren Diagnoseserver verschlüsselt. Was tun wir?").

  • [ ] Implementieren Sie ein formales Patch-Management- und Schwachstellenprüfungsprozess.

Phase 5: Optimieren (fortlaufend)

• CHECKLISTE:

  • [ ] Wechseln Sie von reaktiver Sicherheit zu einer proaktiven Zero-Trust-Architektur.

  • [ ] Überprüfen und aktualisieren Sie kontinuierlich die Asset-Inventarisierung und Risikobewertungen.

  • [ ] Bieten Sie kontinuierliches Sicherheitsbewusstseinstraining für alle MRO-Mitarbeiter an (z.B. "Stecken Sie diesen USB nicht hier ein," "Melden Sie dieses verdächtige HMI-Verhalten").

Die Sicherheit eines Flugzeugs im Flug beginnt mit der Sicherheit seiner Wartung am Boden. Die Bedrohungen sind nicht mehr theoretisch. Indem Sie aus den jüngsten Angriffen lernen und eine sicherheitsorientierte Denkweise übernehmen, können MRO-Einrichtungen ihre Abläufe, ihre Assets und letztendlich die Sicherheit der fliegenden Öffentlichkeit schützen.

Beginnen Sie mit einem Risikobewertungsprojekt für Ihr MRO in 5 einfachen Schritten.

Sprechen Sie mit unserem MRO-Sicherheitsexperten.