Cyber-Angriff auf den Flughafen BER
Auch so ein Drama.
Heute kam im Radio, dass die Wiederherstellung der Checkin-Schalter am BER nach Hackerangriff noch „mehrere Tage“ dauern werde.
Die Lage am Flughafen BER hat sich nach einem Cyberangriff beruhigt, behoben sind die IT-Probleme allerdings noch nicht. Reisegäste müssen auch in den kommenden Tagen mit erheblichen Beeinträchtigungen rechnen.
Reisende am Flughafen BER müssen sich nach dem Cyberangriff auf ein IT-System in den kommenden Tagen weiterhin auf Verspätungen, Ausfälle und lange Wartezeiten einstellen. Wie ein Flughafensprecher dem rbb am Mittwochmorgen sagte, wird es noch mehrere Tage dauern, bis die Systeme für Check-in, Boarding und Gepäckabfertigung wieder laufen.
Dies habe der Anbieter der Systeme aus den USA mitgeteilt, der seit Freitagabend von einem Cyberangriff betroffen ist. Das sei sehr bedauerlich und auch überraschend, hieß es weiter. Wann genau alles wieder ordnungsgemäß funktioniere, sei nicht abzusehen.
Am Mittwochmorgen hoben bereits einige Flüge mit Verspätung ab. Es müsse aufwendig improvisiert werden, so der Sprecher. Die Fluglinien behelfen sich seit Tagen damit, dass sie das Einchecken der Passagiere zum Teil per Hand machen, zum Teil auch mit externer Technik.
[…]
Der IT-Dienstleister Collins Aerospace war am Freitagabend zur Zielscheibe eines Cyberangriffs geworden. Der Hackerangriff legte die gemeinsamen elektronischen Systeme lahm, die über die Plattform des Anbieters liefen. Nach Angaben der EU-Cybersicherheitsagentur ENISA handelte es sich um einen Angriff mit sogenannter Ransomware, also Schadsoftware, die Daten und Systeme verschlüsselt und erst gegen Zahlung eines Lösegeldes wieder freigibt.
Wegen der Attacke meldeten vier europäische Flughäfen Probleme bei der Passagierabfertigung – neben Berlin waren dies Brüssel, Dublin und London Heathrow. Die anderen großen deutschen Flughäfen waren nicht betroffen.
Dazu fehlt mir als Informatiker jedes Verständnis. Wieso dauert das „mehrere Tage“, eine kritische Infrastruktur wieder herzustellen?
Vor allem bei Systemen, die für Boarding und Check-In eigentlich und im Prinzip mit einem Web-Browser auskämen? Einen Barcode-Leser für die Tickets anzuschließen, braucht eigentlich gar nichts an Software, weil sich gängige Barcodeleser als Tastatur ausgeben und so tun, als hätte man das, was sie gescannt haben, per Tastatur eingegeben. Die Anbindung an die Gepäckwaagen wäre noch ein Ding, aber nicht allzu schwer.
Das sind aber alles recht einfach Aufgaben, die sich ziemlich einfach automatisieren oder sogar in monolitische Systeme packen lassen würden. Wenn ich das bauen sollte, würde ich da einfach einen PXE-Boot-Server ins Netz hängen, mit dem man die Dinger vollautomatisch installieren kann. Irgendwas dran faul? Zack, neue Installation drübergebraten, nach einer Viertelstunde läuft das Ding wieder. Und das ist nicht mal Hexenkunst oder Danisch-Spezial, das ist schon lange Stand der Technik, dafür gibt es Standard-Tools (z. B. Ubuntu MAAS), weil man damit auch die Serverfarmen in Rechenzentren verwaltet.
Und im Prinzip reichen da an Rechenleistung und Hardware-Ausstattung auch ein Raspberry Pi oder ungenutzte oder „refurbed“ Service-Notebooks, die es als Leasing-Rückläufer so im Alter von 3 bis 5 Jahren einzeln ab 100 Euro gibt. En masse noch billiger. Da besorgt man sich halt mal günstig 1000 Stück, legt die ins Lager als Notfallreserve, und wenn die dann mal so 6 bis 8 Jahre alt sind, kann man die immer noch an Schulen, Kindergärten, Flüchtlinge zum Websurfen verschenken.
Mir will nicht in den Kopf, was die da für einen Mist bauen.
Ich hatte ja schon beschrieben, dass ich – je nach Flugplan – einige Male morgens um halb vier am BER sein musste, und immer auch mit etwas Zeitreserve zum Flughafen fahre, und deshalb schon einige Male das grausame Schauspiel mit anschauen durfte, wie das Terminal 2 morgens in Betrieb gesetzt wird. Jeden Morgen läuft da einer rum, geht zu jedem einzelnen CheckIn-Terminal, schaltet das ein, fährt das hoch, loggt sich da ein, und wählt irgendeine Funktion aus. Und ich stehe da, sehe das aus der Entfernung, und denke jedes Mal aufs Neue: Wer baut so eine Scheiße? Die Dinger müssten doch von alleine und selbständig oder anderweitig automatisiert booten/aufwachen/hochfahren und ihre Funktion aufnehmen.
Und wie können diese Terminals überhaupt von Ransomware befallen oder betroffen sein? Wie soll die denn da drauf gekommen sein?
In den Social Media wird derweil – wieder mal ohne Belege und Quellenangaben – behauptet, dass die ausgefallenen Systeme an den Flughäfen noch unter Windows XP liefen.
Windows XP.
Der Support für Windows XP endete offiziell am 8. April 2014. Für zahlende Kunden gibt es das immer auch etwas länger, und man wird bei den Lizenzkosten und Hardwareanforderungen von Microsoft auch ungern Hardware und Software aktualisieren, aber ein seit über 10 Jahren ausgelaufenes Betriebssystem muss es doch nun wirklich nicht sein – falls die Story überhaupt stimmt.
Dabei sind diese Terminal-Funktionen zum Einchecken usw. ganz typische Anwendungsfälle für „Thin Clients“. Solche Eincheck-Vorgänge sind normalerweise zwar API- oder Message-basiert, aber zumindest als Fallback-(=Ersatz-/Notfall-/Ausweich-)Lösung sollte ein ganz ordinärer Browser dafür eigentlich reichen, außer bei der Anbindung der Waagen. Aber selbst Waagen und Ticket/Gepäcklabel-Drucker könnte man so konfigurieren, dass die eigentlich gar nicht mit dem Terminal, sondern mit dem Server sprechen und der Server dann weiß, welche Waage, welcher Drucker, zu welchem Terminal gehört.
Wie auch immer es ist, es ist erwiesener Murks.
Und das eben nicht nur technisch, sondern auch vertraglich. Denn in Verträgen müssen normalerweise auch die Service-Level-Agreements drinstehen, also die zugesicherten Wiederherstellungszeiten. Und ein Disaster Recovery Plan fehlt offenbar auch.
Und auch die Fluglinien selbst haben offenbar nicht vorgebaut, wenn die da jetzt mit Zettellisten und Kugelschreiber von Hand einchecken müssen. Wenn ich mir anschaue, das der ganze Flugzeugkram kostet, wie teuer das alles ist, und das man taugliche, für diesen Zweck genügende Notebooks auch schon ab 300 Euro bekommt und wirklich gute Barcode-Scanner ab 40 Euro (einzeln), dann frage ich mich, warum die keine Notfallinfrastruktur bereitstehen haben. Und wer die Tickets auch aus dem heimischen Laserdrucker akzeptiert, der kann auch noch einen gewöhnlichen POS-Drucker mit Thermopapier für einen Hunni dazustellen, um Not-Tickets zu drucken.
Aber es kümmert sich niemand niemals nicht um gar nichts mehr. Alles wird nur noch irgendwo an den Billigsten geoutsourced, und das Ergebnis ist dann eben … teuer. Die Fluglinien interessiert das wohl auch nicht, wenn ihr Bodenpersonal eben mal ein paar Tage den Kugelschreiber schwingt, und Leute ihre Flüge verpassen oder die Flüge ausfallen.
Und ich habe oft den Eindruck, dass das alles schon seit 15 oder 20 Jahren auch nicht mehr weiterentwickelt wurde.
Wir reden doch immer so gerne von „kritischer Infrastruktur“. Kümmert sich da niemand drum?
Oder zählen Flughäfen und normale Passagierflüge nicht zu kritischen Infrastruktur?
Ist das nicht so, dass man in Krisen- und Kriegssituationen Leute auch auf den zivilen Wegen ein- und ausfliegen können muss? Oder machen wir das dann mit der Bundeswehr und A400 wie in Afghanistan?
Alle reden sie davon, dass wir in KI an die Spitze wollen.
Und gleichzeitig können wir nicht einmal die einfachsten Basisfunktionen sicherstellen. Nicht mal ein doofes, ordinäres Terminal zum Einchecken bekommen wir zuverlässig und auf dem Stand der Technik hin.
Verwertungsketten
Hätten wir eine Regierung, die ihren Namen verdient, könnte man folgendes machen.
Man definiert bestimmte Leistungsklassen und Mindestanforderungen für PC. Für Arbeitsplätze (Behörden, Gerichte usw. ) und für technische Anwendungen (Terminals usw.). Das muss nicht viel sein, alle großen Hersteller wie Lenovo, Dell, HP usw. haben solche typischen kleinen flachen „1-Liter“-PCs (Gehäusevolumen) im Angebot für typische Bildschirmarbeitsplätze. Wenn Ihr die nicht kennt: Achtet mal darauf, wenn Ihr das nächste Mal bei IKEA seid, in deren Küchen- und Einrichtungsplanungsabteilungen haben die die auch rumstehen. Die Dinger gibt es in Massen als Büro-Leasinggeräte. Ich habe ein paar von den Dingern hier als Bastel- und Testreserve, „Refurbed“ gekauft ab 100 Euro (brutto, einschließlich USt., effektiv also billiger). Und für manche Aufgaben würde sogar ein Raspberry Pi 4 oder 5 reichen, wenn sie endlich ordentliche NVME-SSD-Anbindungen hätten.
Wenn die neu sind, stellt man sie in die Behörden usw. als Arbeitsplätze und lässt sie 3 Jahre laufen.
Nach 3 Jahren tauscht man sie, weil das so eine typische Laufzeit für SSDs, Lüfter usw. ist und bis dahin auch neue Prozessorfeatures und so weiter bestehen. Dann bekommen die Leute neue Geräte.
Das heißt aber nicht, dass man die alten Geräte wegwerfen muss – obwohl viele Leasing-Firmen das Zeug dann gleich shreddern, weil sie meinen, eine Verwertung lohne sich nicht, Steuern, Abgaben und so weiter.
Faktisch aber hat man einen 3 Jahre alten Rechnerbestand über, bei dem es reichen würde, ihn zu
- testen
- reinigen
- SSDs tauschen
um die nochmal 3 Jahre zu verwenden, an Plätzen mit geringerer Hardwareanforderung und Plätzen mit geringerer Verfügbarkeitsanforderung, also insbesondere in Anwendungen, in denen nichts Wichtiges lokal gespeichert wird und alles sofort ersetzbar ist. Solche Terminals zum Beispiels.
Und nach 6 Jahren sind die dann eigentlich durch, aber die meisten noch nicht kaputt, dann kann man die immer noch an Arme und Bedürftige mit Anleitung zur weiteren Pflege und Aufarbeitung verschenken oder als Ausleihterminals in Bibliotheken verheizen. Oder man lässt sie einfach stehen und arbeiten, solange sie ihren Dienst verrichten, bis sie eben kaputt oder nicht mehr zu gebrauchen sind, sofern man immer genug Austauschware auf Vorrat hat.
Und das würde auch brüllen, denn viele andere Anwendungen könnten mit denselben Leistungsklassen arbeiten, etwa Arztpraxen, Apotheken, Supermärkte und so weiter.
Man hätte also alle etwa 3 Jahre neu definierte Klein-PC-Standards, etwa für Arbeitsplätze, Terminals usw., den verschiedene Hersteller erfüllen können, mit gutem Preis-Leistungsverhältnis, und setzt diese Rechner in der Primärnutzung für 3 Jahre ein (womit die Rechner maximal 6 Jahre hinter dem Stand sind, weil der Standard bis zu 3 Jahre alt werden kann und der Rechner auch nochmal bis zu 3 Jahre), und verheizt sie dann anschließend in der Sekundärnutzung bis zum Ende oder verschenkt sie nach weiteren 3 Jahren an Bedürftige, Gemeinnützige usw.
Und an Software und Anwendungen schreibt man dann eben dran „Mindestens PC-Standard XY“.
Damit hat man dann nämlich auch eine Austauschbarkeit hergestellt.
Und ein Flughafen hat dann eben reichlich neue Geräte für Arbeitsplätze, und kann beim Einchecken die alten verheizen, wo es nicht so schlimm ist, wenn mal eins ausfällt, solange die Reserven haben, um die in 10 Minuten einfach auszutauschen.
Nachtrag:
Kopfschütteln…! Nach dem Hackerangriff von letzter Woche kam nun heraus, dass der erst im Jahre 2020 eröffnete Flughafen BER noch mit Windows XP arbeitet! Dieses veraltete Betriebssystem wurde 2001 veröffentlicht. Leichtes Spiel für die Hacker und peinlich für die Hauptstadt! pic.twitter.com/Sm1UGXMRYy
— Bündnis Deutschland Berlin (@Buendnis_Berlin) September 23, 2025