Hacker im Cockpit: Der Angriff, der Aeroflot lahmlegte
Mithilfe öffentlich zugänglicher Quellen und vor allem des russischen Portals The Bell lässt sich rekonstruieren, wie der sommerliche Hackerangriff auf Aeroflot ablief. Von den ersten Ausfällen einzelner Netzwerke bis zum Befehl „Alles abschalten“, mit dem noch gerettet werden sollte, was zu retten war.
Journalisten von The Bell zeichneten auf Basis von Gesprächen mit Beteiligten und internen Dokumenten nach, wie ukrainische und belarussische Hacker über den externen Entwickler Bakka Soft in die Systeme der größten russischen Fluggesellschaft eindrangen. Das kleine Moskauer Unternehmen entwickelt mobile und webbasierte Anwendungen und arbeitete auch für Aeroflot, inklusive Zugängen zur Infrastruktur.
Über Bakka Soft sollen die Angreifer Administratorrechte für Tausende Rechner erlangt, Datenlöschungen ausgelöst und versucht haben, die zentrale Domäne zu zerstören. Zudem sollen sie sensible Informationen zu nicht kommerziellen, auch militärischen Flügen von Aeroflot erbeutet haben. Es war ein typischer Lieferkettenangriff, begünstigt durch strukturelle Schwächen und interne Kompetenzkonflikte.
Wie eine gesamte Infrastruktur zusammenbricht
An jenem Montag im Juli herrschte gegen halb fünf Uhr morgens im Aeroflot-Gebäude am Moskauer Stadtrand die übliche Ruhe der Nachtschicht. Flure waren beleuchtet, Klimaanlagen brummten, gelegentlich fuhr ein Aufzug. In der technischen Leitstelle zeigten Monitore Netzfelder, Knotenpunkte und Server.
Dann begannen die Symbole zu verschwinden. Erst eines, dann das nächste, schließlich ganze Gruppen, die Felder wurden grau, Server wechselten von online zu keine Rückmeldung. Arbeitsstationen und Terminals an Flughäfen starteten neu, zunächst wirkte es wie eine lästige Störung.
Im Support-Chat tauchte die erste Warnung auf: „Mit der Domäne stimmt etwas nicht. Knoten fallen aus.“ Kurz darauf folgte: „Keine Verbindung zur E-Mail. WhatsApp funktioniert nicht. Auch das VPN ist tot.“ Die Hinweise verdichteten sich zu einem Bild, das nach kontrolliertem Angriff aussah.
Der radikale Schritt: Alles abschalten
Gegen fünf Uhr meldete sich jemand aus der Führungsebene im Chat. Die Frage war kurz und trocken: „Fliegen die Flugzeuge?“ In der Luft blieb zunächst alles normal, in zehn Tausend Metern Höhe liefen Steuerung und Funk, das Kabinenpersonal arbeitete weiter routiniert.
Am Boden jedoch deutete jeder weitere Neustart eines Rechners darauf hin, dass etwas Grundsätzliches im Gange war. Als sich sieben Uhr näherte, breitete sich die Panik aus, während die Angreifer tief im Netzwerk bereits Inhalte auf Arbeitsrechnern live löschten. Dateien verschwanden unaufhörlich, als würde jemand pausenlos die Löschtaste drücken.
Schließlich fiel ein Befehl, der noch retten sollte, was möglich war: „Alles abschalten. Alles.“ Computer und Server wurden gewaltsam heruntergefahren, die Monitore erloschen. Später erklärte ein beteiligter Cybersicherheitsexperte, dies sei die einzig richtige Entscheidung gewesen.
Anatomie des Angriffs auf die Domäne
Zu diesem Zeitpunkt verfügten die Angreifer nach Darstellung der Rekonstruktion bereits seit Längerem über Administratorzugang zum gesamten Konzernnetzwerk. Sie verteilten eine Gruppenrichtlinie, die eine geplante Datenlöschung auf Arbeitsstationen auslöste. Anschließend griffen sie das Herzstück der Infrastruktur an, die Active-Directory-Domäne.
Active Directory verbindet Konten, Rechte und Identitäten, und wenn die Verbindung zur Domäne abreißt, funktioniert praktisch nichts mehr. Im Support-Chat wiederholten sich die Warnungen, erst zur Domäne, dann zu E-Mail, Messenger und VPN. Aeroflot setzte überwiegend stationäre Rechner ein, auch an Check-in- und Boarding-Schaltern.
Ohne Domänenzugriff blieben diese Geräte beim Start an der Anmeldemaske stehen, weil die zentrale Authentifizierung nicht mehr reagierte. Damit war nicht nur interne Kommunikation betroffen, sondern auch die Abfertigung. Der technische Ausfall wurde so in kürzester Zeit zu einem operativen Problem.
Flugzeuge in der Luft, Excel am Boden
Als klar wurde, dass der Angriff gezielt und ernsthaft war, kappte Aeroflot weitere Kommunikationswege. Die Internetanbindung wurde getrennt, die Verbindung zu Ticketdatenbanken unterbrochen und auch der Kontakt zum Flughafen Scheremetjewo abgebrochen, dem wichtigsten russischen internationalen Drehkreuz und zugleich Firmensitz.
Dort saßen Mitarbeiter weiterhin an ihren Rechnern, konnten aber ihre grundlegenden Aufgaben nicht mehr ausführen. Stattdessen planten sie Flüge manuell auf großen Papierbögen und in Excel-Tabellen. Im Hintergrund wurde der Betrieb in eine Art Notmodus gezwungen.
Um acht Uhr morgens veröffentlichte Aeroflot auf seinem Telegram-Kanal eine knappe Mitteilung über „Störungen in den Informationssystemen“ und bat Passagiere, die Anzeigetafeln der Flughäfen zu verfolgen. Am Tag des Angriffs wurden 108 Flüge gestrichen, mehr als 80 weitere verspäteten sich allein in Scheremetjewo. Direkte Kosten lagen am ersten Tag bei knapp drei Millionen Euro, der Gesamtschaden soll in die Dutzende Millionen gegangen sein.
Silent Crow und Cyber Partisans treten auf
Nach außen blieb die Erklärung zunächst ein Systemausfall, ohne Hinweis auf ein gezieltes Eindringen. Die Angreifer selbst waren weniger zurückhaltend. Noch am selben Tag meldeten sich zwei Gruppen, die ukrainische Silent Crow und die belarussischen Cyber Partisans.
Beide erklärten, sie hätten gemeinsam den Angriff auf Aeroflot durchgeführt. Sie behaupteten, vollständigen Zugriff auf das Unternehmensnetz erlangt und Flugverlaufsdatenbanken kopiert zu haben. Außerdem sprachen sie von übernommenen Rechnern von Mitarbeitern und Führungskräften.
Die Gruppen erklärten zudem, Audioaufzeichnungen von Telefonaten sowie Daten aus Kamera- und Überwachungssystemen gesichert zu haben. Im TOR-Netz veröffentlichten sie nach eigenen Angaben ein mehrgigabytegroßes Archiv mit medizinischen Daten von Piloten und anderen Beschäftigten. Diese Darstellung ist Teil der öffentlichen Behauptungen der Angreifer.
Nicht kommerzielle Flüge und militärische Bezüge
Besonders heikel waren Informationen zu sogenannten nicht kommerziellen Flügen, also Einsätzen, die nicht dem regulären Passagierverkehr dienen. Nach dem Angriff veröffentlichten die Hacker ein Dokument mit dem Stempel des Verteidigungsministeriums. Darin hieß es, man wolle militärische Ausrüstung an das interne Netzwerk von Aeroflot anschließen.
Ziel sei ein effizienteres Planen militärischer Lufttransporte gewesen. Für ein Unternehmen, das sich öffentlich als strikt ziviler Anbieter präsentierte und Distanz zum Krieg suchte, war diese Enthüllung brisant. Der Vorgang stellte das Selbstbild der Fluggesellschaft infrage.
Parallel blieb die interne Kommunikation auffällig spärlich. Mitarbeiter erhielten am Tag des Angriffs keine Erklärung, dass es sich um einen Einbruch handelte. Vorgesetzte beantworteten vor allem organisatorische Fragen, ob man zur Arbeit kommen solle und was konkret zu tun sei.
Notbetrieb, Forensik und monatelange Handarbeit
Innerhalb weniger Stunden versammelten sich am Aeroflot-Hauptsitz zahlreiche Akteure der russischen Informationssicherheitsbranche. Forensiker, Analysten und Ingenieure von Kaspersky Lab, Bastion, Solar und BI.ZONE arbeiteten mit Vertretern staatlicher Stellen zusammen. Genannt werden unter anderem das nationale Koordinierungszentrum für Computerzwischenfälle, der FSB, das Innenministerium und Ermittler.
Sie blieben Tage und Wochen, bis sich der Flugbetrieb zumindest äußerlich stabilisierte. Zuerst mussten elementare Abläufe wiederhergestellt werden, Check-in, Abflug, Ankunft und Ticketbestätigung. Passagierdaten lagen nicht nur bei Aeroflot selbst, sondern auch im System Sirena-Travel, einem russischen Reservierungssystem, in das Airlines ihre Daten nach den Sanktionen verlagert hatten.
Da die Arbeitsstationen nicht nutzbar waren, griffen Mitarbeiter über nicht in die Domäne eingebundene Laptops auf Sirena-Travel zu und exportierten die nötigen Informationen manuell. Die Flugzeuge starteten zwar bereits am nächsten Tag wieder regulär, doch viele Prozesse liefen im Hintergrund noch monatelang im Handbetrieb. Damit blieb die operative Normalisierung lange fragil.
Backups, Bereinigung und Wiederaufbau der Systeme
Eine zentrale Aufgabe war der Wiederaufbau der Domäne. Die Nutzung von Sicherheitskopien war heikel, weil unklar war, wann die Angreifer erstmals in das System eingedrungen waren. Eine zu aktuelle Kopie hätte möglicherweise bereits Schadcode enthalten, weshalb die Wiederherstellung schrittweise und kontrolliert erfolgte.
SAP, Dokumentenmanagement und andere Kernanwendungen mussten isoliert, geprüft und neu konfiguriert werden. Besonders aufwendig war die Arbeit an den Arbeitsstationen. Jeder betroffene Rechner erhielt einen neuen Datenträger, eine saubere Systeminstallation und eine gründliche Überprüfung.
Parallel rekonstruierten Ermittler den zeitlichen Ablauf rückwärts, von Juli bis Januar. Dabei rückte Bakka Soft als möglicher Ausgangspunkt immer stärker in den Fokus. Schon im Januar waren nach Darstellung der Rekonstruktion erste verdächtige Aktivitäten aufgefallen.
Bakka Soft als Einfallstor der Lieferkette
Sicherheitsleute eines Dienstleisters, Solar Security, sollen Werkzeuge und Muster entdeckt haben, die für Angriffe mit ukrainischem Ursprung typisch sind. Die Untersuchung des Bakka-Soft-Netzwerks übernahm daraufhin Bastion. Zwar seien Angreifer damals aus dem Aeroflot-Netz verdrängt worden, doch Bakka Soft sei nicht vollständig bereinigt worden, das Einfallstor blieb offen.
Spätestens im Mai konnten die Hacker ihre stille Offensive über denselben Partner erneut beginnen. Dieses Mal mieden sie stark überwachte Knoten wie Domänen- oder Mailserver und bewegten sich langsam und gezielt. Sie nutzten legitime Bordmittel und eigene Module, ein Vorgehen, das als Living off the Land beschrieben wird.
Technisch sei der Angriff nicht spektakulär gewesen, keine unbekannten Schwachstellen, keine neuen Werkzeuge. Entscheidend war die Kombination bekannter Mittel und die Fähigkeit, sich lange unbemerkt in der Infrastruktur zu halten. Damit wurde das Problem weniger zu einer Frage einzelner Patches als zu einer Frage der gesamten Sicherheitsarchitektur.
Zersplitterte Zuständigkeiten und blinde Flecken
Der Fall gilt auch als Beispiel interner Fragmentierung. Nach dem Abgang eines langjährigen Vorstandschefs veränderten sich Machtverhältnisse in IT und Informationssicherheit. Sicherheitsfragen und digitale Entwicklung waren unterschiedlichen Strukturen unterstellt, mit getrennten Budgets und Dienstleistern, ohne zentrale Gesamtverantwortung.
Aeroflot investierte 2024 rund zehn Millionen Euro in digitale Sicherheit. Doch selbst teure Lösungen helfen wenig, wenn sie nur einen Bruchteil der Angriffsfläche abdecken. Ein eingesetztes Erkennungssystem konnte maximal acht Tausend Sicherheitsereignisse pro Sekunde überwachen und damit nach Darstellung der Rekonstruktion rund drei Prozent der Infrastruktur abdecken.
Der Rest blieb weitgehend unbeobachtet, ein Vergleich lautete sinngemäß, es sei wie eine Alarmanlage nur an der Haustür eines riesigen Hauses. Zusätzlich nannten die Cyber Partisans schwache Passwörter und behaupteten, der Vorstandsvorsitzende Sergej Alexandrowski habe sein Passwort seit 2022 nicht geändert. Offiziell galt eine Wechselpflicht alle drei Monate, doch für die Spitze soll sie nicht strikt gegolten haben.
Ermittlungen, Schuldfragen und ein fehlender Lerneffekt
Nach dem ersten Schock liefen Ermittlungen in zwei Richtungen. Die Staatsanwaltschaft kündigte an, Angreifer wegen illegalen Zugriffs zu verfolgen. Gleichzeitig prüfte die Polizei Fahrlässigkeit, weil Entscheidungen im System den Umfang des Vorfalls ermöglicht haben könnten. Verantwortliche der Informationssicherheit sowie Vertreter externer Dienstleister wurden vorgeladen und Dokumente ausgewertet.
Als Betreiber kritischer Informationsinfrastruktur muss Aeroflot Vorfälle an ein staatliches Meldesystem unter Führung des FSB melden. Fehler im Umgang mit Angriffen können strafrechtliche Folgen haben. Nach Aussagen aus Ermittlerkreisen habe man dennoch einen moderateren Kurs gewählt, die Angreifer seien nicht greifbar, daher liege der Fokus auf Verantwortlichen im System.
Der Vorfall blieb zudem nicht isoliert. Im Frühjahr wurde in Systeme der Moskauer Metro eingebrochen, öffentlich als technische Störung dargestellt, obwohl in der App Botschaften der ukrainischen Eisenbahn auftauchten. Im Juni folgte ein Angriff auf Rostelecom über einen Entwicklungspartner, Lieferkettenangriffe wurden als Muster sichtbar.
Für Betreiber kritischer Infrastrukturen wurden nach Einschätzung von Experten bislang keine umfassenden technischen Warnhinweise veröffentlicht. Konkrete Indikatoren kursierten vor allem informell. Damit bleibt vielen Akteuren nur, eigene Abwehr und Reaktionsfähigkeit ohne breite Lerneffekte zu stärken.
Was der Aeroflot-Fall für deutsche Betreiber bedeutet
Für Deutschland und Europa ist der Aeroflot-Fall mehr als ein entferntes Beispiel. Airlines, Flughäfen und Verkehrsunternehmen sind auch hierzulande stark digitalisiert und von externen IT-Dienstleistern abhängig. Der Angriff verdeutlicht, wie schnell ein Lieferkettenrisiko in einen operativen Stillstand kippen kann.
Für deutsche Betreiber kritischer Infrastrukturen liegt die Lehre in der konsequenten Absicherung von Partnern, der zentralen Verantwortlichkeit für Sicherheitsarchitekturen und der realistischen Abdeckung der gesamten Angriffsfläche. Wer nur punktuell überwacht und Zuständigkeiten zersplittert, erhöht die Wahrscheinlichkeit, dass ein Angriff zunächst unsichtbar bleibt und erst im Betriebsausfall sichtbar wird.
