Am Freitagabend, dem 20. September 2025, traf ein Cyberangriff die europäische Luftfahrt mit einer Wucht, die Tausende Passagiere für Wochen in den manuellen Abfertigungsbetrieb zwang. Das Ziel: Collins Aerospace, ein Tochterunternehmen der RTX Corporation (NYSE: RTX), das mit seiner „Muse"-Software die Passagier- und Gepäckabfertigung an dutzenden Flughäfen steuert. Die Folge: Chaos am Berliner Flughafen BER, London Heathrow, Brüssel und Dublin. Die Lehre: Ein einzelner Dienstleister kann die kritische Infrastruktur ganzer Regionen lahmlegen.
Der Angriff: Everest Ransomware trifft kritische Luftfahrt-IT
Die Everest Ransomware-Gruppe, eine der aktivsten APT-Akteure des Jahres 2025, verschaffte sich Zugang zu den Muse-Systemen von Collins Aerospace. Das Ergebnis war ein kompletter Ausfall der automatisierten Check-in- und Gepäckabfertigungssysteme. Am BER mussten Mitarbeiter auf Papierlisten und Stifte zurückgreifen – Szenen, die an die Vor-Digitalisierungsära erinnerten.
Die EU-Cybersecurity-Agentur ENISA bestätigte am 22. September, dass es sich um einen Ransomware-Angriff handelte. RTX Corporation räumte eine „cyber-bedingte Störung" ein und arbeitete mit nationalen Cybersecurity-Behörden an der Wiederherstellung. Erst am 6. Oktober – mehr als zwei Wochen nach dem Angriff – kehrte der BER zum Normalbetrieb zurück.
Systemisches Risiko: Single Point of Failure in kritischer Infrastruktur
Der Collins Aerospace-Hack offenbart ein strukturelles Problem, das Investoren zunehmend auf dem Radar haben sollten: Die Konzentration kritischer Infrastruktur-Dienste bei wenigen Anbietern schafft „Single Points of Failure" mit systemischem Risiko.
Collins Aerospace betreibt die Muse-Software an mehr als 100 Flughäfen weltweit. Ein erfolgreicher Angriff auf diesen zentralen Knotenpunkt paralysiert nicht nur einen, sondern dutzende Flughäfen gleichzeitig. British Airways konnte auf ein eigenes Backup-System ausweichen – die meisten Airlines nicht.
Die wirtschaftlichen Kosten sind immens: Flugverspätungen, Stornierungen, entgangene Einnahmen für Airlines und Flughafenbetreiber, Reputationsschäden. RTX selbst sah sich mit Fragen von Investoren konfrontiert, wie ein Tochterunternehmen mit milliardenhoher Verantwortung für kritische Infrastruktur derart verwundbar sein konnte.
Everest Ransomware: Ein Muster gezielter Infrastruktur-Angriffe
Der BER-Angriff war kein Einzelfall. Die Everest-Gruppe verfolgt ein klares Muster: Kritische Infrastruktur, hohe Lösegeldforderungen, maximale Disruption.
Im Oktober 2025 behauptete Everest, 1,5 Millionen Passagierdatensätze vom Dublin Airport erbeutet zu haben. Im November folgten Angriffe auf AT&T, Under Armour, Petrobras und Chrysler – letzterer mit über 1 TB gestohlener Daten. Das Portfolio zeigt: Everest zielt auf Unternehmen mit hoher öffentlicher Sichtbarkeit und regulatorischem Druck.
Für Investoren bedeutet das: Ransomware ist nicht mehr nur ein IT-Problem, sondern ein makroökonomisches Risiko. Wenn ein Angriff den Luftverkehr einer Metropolregion für Wochen beeinträchtigt, sind die Folgen spürbar – für Wirtschaftswachstum, Lieferketten und Verbrauchervertrauen.
Investment-Implikationen: Wer profitiert von der neuen Realität?
Der Collins Aerospace-Vorfall beschleunigt einen strukturellen Wandel, der bereits seit Jahren im Gang ist: Die Sicherung kritischer Infrastruktur gegen Cyberangriffe wird zur Priorität für Regierungen, Regulatoren und Unternehmen.
1. Operational Technology (OT) Security
Flughafen-IT ist Operational Technology – Systeme, die physische Prozesse steuern. Im Gegensatz zu klassischer Unternehmens-IT lassen sich OT-Systeme nicht einfach patchen oder neu starten, ohne den Betrieb zu gefährden. Genau hier liegt die Schwachstelle.
Anbieter wie Palo Alto Networks (NASDAQ: PANW) mit seiner OT-Security-Sparte und Fortinet (NASDAQ: FTNT) mit FortiGate-Industrial-Lösungen positionieren sich als Antwort auf diese Herausforderung. Auch CrowdStrike (NASDAQ: CRWD) erweitert seine Falcon-Plattform zunehmend in Richtung kritischer Infrastruktur – ein Markt, der laut Analystenschätzungen bis 2030 auf über 30 Milliarden Dollar wachsen könnte.
2. Zero Trust für kritische Infrastruktur
Der BER-Hack zeigt: Perimeter-Sicherheit reicht nicht. Wenn ein Angreifer einmal drin ist, kann er lateral durch Systeme wandern. Zscaler (NASDAQ: ZS) und Cloudflare (NYSE: NET) bieten Zero Trust Network Access (ZTNA)-Lösungen, die auch für kritische Infrastruktur zunehmend relevant werden.
Der europäische Markt ist besonders attraktiv: Mit der NIS2-Richtlinie müssen Flughäfen, Energie- und Transportbetreiber ihre Cybersecurity bis Ende 2024 auf ein neues Niveau heben. Wer die Frist nicht einhält, riskiert Bußgelder bis zu 2 % des weltweiten Umsatzes – ein Anreiz, der Investitionen antreibt.
3. Resilience-as-a-Service
Nach dem BER-Vorfall wird klar: Backup-Systeme sind nicht optional, sondern überlebenswichtig. British Airways konnte weiterarbeiten, andere Airlines nicht. Unternehmen, die Disaster Recovery, Incident Response und Cyber-Resilienz als Service anbieten, sehen steigende Nachfrage.
4. Regulatorischer Druck als Wachstumstreiber
Die EU-Kommission kündigte nach dem Vorfall an, die Cybersecurity-Anforderungen für kritische Infrastruktur-Dienstleister zu verschärfen. Das bedeutet: Compliance-Investitionen werden zur Pflicht. Für Cybersecurity-Unternehmen mit starken Compliance-Lösungen (PANW, FTNT, CRWD) ist das ein struktureller Wachstumstreiber.
RTX Corporation: Reputationsschaden und Sicherheitsinvestitionen
Für RTX (NYSE: RTX) ist der Vorfall ein Weckruf. Collins Aerospace ist eine Säule des RTX-Portfolios, das auch Pratt & Whitney (Flugzeugtriebwerke) und Raytheon (Verteidigung) umfasst. Ein Sicherheitsvorfall in einem Geschäftsbereich wirft Fragen auf: Wie resilient ist die gesamte RTX-IT-Infrastruktur?
Analysten erwarten, dass RTX in den kommenden Quartalen erhebliche Investitionen in Cybersecurity ankündigen wird – sowohl für Collins Aerospace als auch konzernweit. Das könnte kurzfristig die Margen belasten, ist langfristig aber unumgänglich.
Fazit: Kritische Infrastruktur als Cybersecurity-Treiber
Der BER-Hack ist mehr als ein isolierter Vorfall. Er zeigt, wie verwundbar kritische Infrastruktur gegenüber gezielten Cyberangriffen ist – und wie dringend Investitionen in Resilienz, Zero Trust und OT-Security sind.
Für Investoren bedeutet das: Cybersecurity ist kein IT-Nischenthema mehr, sondern ein makroökonomischer Megatrend. Unternehmen, die kritische Infrastruktur schützen – sei es durch OT-Security, Zero Trust oder Incident Response – werden die Nutznießer sein.
Die Frage ist nicht, ob der nächste Angriff kommt. Sondern wann – und wer vorbereitet ist.
