Ein einziger Ransomware-Angriff auf einen IT-Dienstleister legte im September 2025 mehrere europäische Großflughäfen lahm — darunter den BER. Die Folgen sind ein Lehrstück für Investoren in kritische Infrastruktur.
Es war ein Freitagabend im September 2025, als am Berliner Flughafen BER die Bildschirme dunkel wurden. Nicht die Anzeigetafeln für die Passagiere — die funktionierten noch. Sondern die Systeme dahinter: Check-in-Terminals, Gepäcksortierung, Boarding-Kontrollen. Collins Aerospace, ein Tochterunternehmen des US-Rüstungskonzerns RTX (ehemals Raytheon Technologies), war Opfer eines Ransomware-Angriffs geworden.
Was folgte, war keine kurzfristige Störung. Es war ein tagelanger Ausnahmezustand.
Ein Angriff, vier Länder, tausende gestrandete Passagiere
Der Hack traf nicht nur Berlin. Betroffen waren gleichzeitig die Flughäfen Brüssel, Dublin und London Heathrow — überall dort, wo Collins Aerospace die Software für die Passagier- und Gepäckabfertigung betreibt. In Großbritannien wurde ein Verdächtiger festgenommen und unter Auflagen wieder freigelassen.
Am BER dauerte der Notbetrieb über eine Woche. Handgeschriebene Bordkarten, manuell sortiertes Gepäck, stundenlanges Warten. Dutzende Flüge wurden täglich gestrichen. Die Rückreisewelle nach dem Berlin-Marathon am darauffolgenden Montag verschärfte das Chaos zusätzlich.
Die eigentliche Schwachstelle: Supply Chain Concentration
Der Collins-Aerospace-Vorfall offenbarte ein systemisches Problem, das weit über einen einzelnen Flughafen hinausgeht. Ein einziger Dienstleister kontrollierte einen kritischen Prozess an Dutzenden internationaler Flughäfen. Ein einziger erfolgreicher Angriff reichte aus, um den gesamten Betrieb zu destabilisieren.
Das Muster ist nicht neu. SolarWinds (2020), Kaseya (2021), MOVEit (2023) — Supply-Chain-Angriffe sind längst die bevorzugte Waffe professioneller Hackergruppen. Statt einzelne Unternehmen zu attackieren, kompromittieren sie einen weit verbreiteten Zulieferer und erreichen damit einen Multiplikator-Effekt, der mit separaten Angriffen auf jede einzelne Organisation niemals möglich wäre.
Was Berlin anders hätte machen können
Die großen deutschen Flughäfen Frankfurt und München blieben verschont. Nicht weil sie sicherer waren, sondern weil sie andere IT-Dienstleister nutzen. Der Zufall der Anbieterwahl entschied darüber, welcher Flughafen funktionierte und welcher nicht.
Collins Aerospace schickte zwölf Techniker nach Berlin, die rund um die Uhr infizierte Rechner neu aufsetzen mussten. Das Kernproblem — die vollständige Neuinstallation der Abfertigungssoftware — dauerte Tage.
Die Lehre daraus ist unbequem, aber eindeutig: Redundanz in kritischer Infrastruktur ist keine Verschwendung, sondern Überlebenssicherung. Wer sich bei der Passagierabfertigung auf einen einzigen Anbieter verlässt, akzeptiert ein Single Point of Failure. Flughäfen, Airlines und Regulierer müssen ihre Abhängigkeiten von einzelnen IT-Dienstleistern systematisch reduzieren.
Die Investment-Perspektive
Für Investoren im Cybersecurity-Sektor bestätigt der Collins-Fall drei zentrale Thesen:
Erstens: Der Markt für Supply-Chain-Security wächst exponentiell. Unternehmen wie CrowdStrike, Palo Alto Networks und Zscaler profitieren direkt von der Nachfrage nach Zero-Trust-Architekturen, die genau solche Kaskadeneffekte verhindern sollen.
Zweitens: Critical Infrastructure Protection (CIP) wird zum regulatorischen Pflichtprogramm. Die NIS2-Richtlinie der EU zwingt Betreiber kritischer Infrastruktur — darunter explizit Flughäfen — zu massiven Investitionen in Cybersicherheit. Wer nicht investiert, riskiert Millionenstrafen.
Drittens: Die Schadenssummen erreichen eine Dimension, die Cybersecurity endgültig zur Vorstandsangelegenheit macht. Die direkten Kosten des Collins-Hacks — Flugausfälle, Entschädigungen, Notbetrieb, forensische Aufarbeitung — dürften im dreistelligen Millionenbereich liegen. Die Reputationsschäden für die betroffenen Flughäfen sind dabei noch nicht eingerechnet.
Sechs Monate danach: Was sich verändert hat
Seit dem Vorfall haben mehrere europäische Flughäfen ihre IT-Infrastruktur diversifiziert. Der BER hat nach eigenen Angaben Notfallprozeduren überarbeitet und alternative Abfertigungssysteme evaluiert. Die EU-Agentur für Cybersicherheit (ENISA) hat den Vorfall in ihre Analyse kritischer Infrastruktur-Angriffe aufgenommen.
RTX, die Muttergesellschaft von Collins Aerospace, verzeichnete im Quartal nach dem Angriff erhöhte Ausgaben für IT-Sicherheit. Die Aktie blieb vom Vorfall weitgehend unbeeindruckt — ein Zeichen dafür, dass der Markt Supply-Chain-Risiken bei diversifizierten Konzernen noch nicht angemessen einpreist.
Für den Flughafen BER, der seit seiner verspäteten Eröffnung 2020 chronisch mit Problemen kämpft, war der Cyberangriff ein weiteres Kapitel in einer langen Geschichte operativer Herausforderungen. Dass ausgerechnet ein externen IT-Dienstleister den Flugbetrieb lahmlegte, wirft grundsätzliche Fragen zur digitalen Resilienz deutscher Infrastruktur auf.
Die nächste Frage ist nicht ob, sondern wann der nächste Angriff dieser Größenordnung kommt. Investoren, die sich jetzt in Cybersecurity-Unternehmen positionieren, wetten darauf, dass die Antwort der Branche diesmal schneller kommt als das nächste Problem.
