Cybervorfall in Heathrow: Lehren für Resilienz und Krisenreaktion

Von Kate O'Flaherty • 30 October 2025

Da die Regulierungsbehörden Resilienz im Geschäftsbetrieb vorschreiben, was können andere aus dem Cyberangriff auf einen Zulieferer lernen, der Heathrow und seine Konkurrenten in Europa beeinträchtigt hat?

Im September, a Cyberangriff Der Angriff auf den Softwareanbieter Collins Aerospace führte zu erheblichen Verspätungen an mehreren europäischen Flughäfen, darunter London Heathrow. wirkt Die Passagierabwicklungssoftware Muse von Collins wird von Fluggesellschaften zur Abwicklung von Online-Check-in- und Gepäcksystemen an Flughäfen eingesetzt.

Damals konzentrierten sich viele Schlagzeilen auf die Störungen und den Unmut der Passagiere. Doch die vielleicht interessantere Geschichte ist, dass der Betrieb in Heathrow nicht vollständig zum Erliegen kam. Der Flughafen funktionierte dank der vor dem Vorfall eingerichteten Notfallpläne weiterhin, wenn auch eingeschränkt.

Dies geschieht zu einer Zeit, in der das Risiko von Cyberangriffen rasant zunimmt. Laut [Quelle einfügen] haben sich die Ransomware-Angriffe im Luftfahrtsektor innerhalb eines Jahres versechsfacht. Thales.

Angesichts solcher Zahlen bereiten sich Regierungen und Aufsichtsbehörden auf eine Zukunft vor, in der Cyberangriffe nicht mehr verhindert werden können. Viel wichtiger ist es, dass Organisationen ihren Betrieb aufrechterhalten können, wenn es doch zu einem solchen Angriff kommt.

Da die Regulierungsbehörden Resilienz im Geschäftsbetrieb vorschreiben, was können andere aus dem Cyberangriff lernen, der Heathrow und vergleichbare Flughäfen in Europa getroffen hat?

Die Grenze zwischen Störung und Katastrophe

Die Reaktion des Flughafens trug dazu bei, dass der Betrieb auch unter Beschuss aufrechterhalten werden konnte. Laut Becky White, Senior Solicitor im Datenschutz- und Privatsphärenteam von Harper James, konzentrierte sich Heathrow lobenswerterweise darauf, den Betrieb der wichtigsten Anlagen aufrechtzuerhalten, selbst wenn die Kernfunktionen dadurch verlangsamt wurden und sichtbare Störungen entstanden.

„Die Priorität lag auf der Aufrechterhaltung der Reisesicherheit, nicht auf einem reibungslosen Passagiererlebnis“, erklärt sie gegenüber IO. „Durch die Umstellung auf vorgeplante manuelle Prozesse und die Trennung kritischer Systeme von den betroffenen Systemen konnten sie den Schock abfedern, anstatt daran zusammenzubrechen.“

Eine Katastrophe hätte die vollständige Einstellung des Flugverkehrs und der Passagierabfertigung bedeutet, während Störungen lediglich Warteschlangen, Verspätungen und Umwege zur Folge hatten. Heathrow habe „eindeutig in Notfallpläne investiert, die nicht auf perfekten Bedingungen basierten“, betont White. „Wenn Systeme ausfielen, wusste das Personal, was ‚gut genug, um geöffnet zu bleiben‘ bedeutete, und handelte entsprechend.“

Lehren für andere Sektoren

Andere sollten sich das zum Vorbild nehmen, insbesondere diejenigen, die in kritischen Sektoren tätig sind, in denen Ausfallzeiten keine Option sind. Abgesehen von der Luftfahrt betrifft dies auch Branchen wie das Gesundheitswesen, die Energiewirtschaft, den Finanzsektor – oder den Einzelhandel, der seine eigenen Probleme erlebt hat. Angriffsserie – Das Beispiel Heathrow zeigt, wie wichtig Resilienz ist.

Es geht darum, sicherzustellen, dass kritische Daten schnell wiederhergestellt, Systeme sicher instand gesetzt und der Betrieb fortgesetzt werden kann – selbst wenn die primäre Umgebung offline ist, erklärt Anthony Cusimano, Direktor bei Object First. „Diese Branchen sind stark auf den unterbrechungsfreien Zugriff auf Daten und Betriebssysteme angewiesen, und selbst kurze Ausfälle können weitreichende Folgen haben.“

Kritische Branchen werden laut White zunehmend daran gemessen, wie gut sie im Notfallbetrieb weiterarbeiten können, anstatt Störungen gänzlich zu vermeiden. „Heathrow hat gezeigt, dass Geschäftskontinuität nicht perfekt sein muss. Es geht um Weitsicht, Vorbereitung und die Fähigkeit, Prioritäten zu setzen und zu entscheiden, was unbedingt weiterlaufen muss.“

Die verborgene Frage

„Jeder Vorstand sollte sich, ausgehend vom Vorgehen von Heathrow, fragen, wie lange er noch handlungsfähig bleiben könnte, wenn seine Kernsysteme ausfallen“, sagt Sean Tilley, Senior Sales Director EMEA bei 11:11 Systems.

Doch er weist auf eine „unangenehme Wahrheit“ hin: Viele Organisationen haben dieses Szenario nicht umfassend auf Herz und Nieren geprüft, und die Übungen zur Geschäftskontinuität sind oft „theoretisch oder isoliert“.

Die meisten Unternehmen gehen stillschweigend davon aus, dass sie eine Zeitlang ohne ein Kernsystem auskommen könnten, doch nur wenige haben getestet, wie lange das tatsächlich möglich ist, so White. „Die entscheidende Frage ist nicht, ob eine Wiederherstellung möglich ist, sondern wie lange das Unternehmen ohne seine wichtigsten Plattformen funktionieren könnte – und welche Kosten für Kunden, Sicherheit oder Compliance entstehen würden.“

Vor diesem Hintergrund sollten Organisationen den Vorfall in Heathrow als „Fallstudie für Resilienzplanung“ betrachten, so Ken Prole, Geschäftsführer für Softwareentwicklung bei Black Duck. Er weist darauf hin, dass Störungen nicht nur durch Cyberangriffe verursacht werden, sondern auch durch unerwartete Ereignisse wie beispielsweise … CrowdStrike-Vorfall das im Jahr 2024 weltweit Systeme lahmlegte.

Angesichts der Auswirkungen solcher Ausfallzeiten hebt er wichtige Fragen hervor. Prole fragt beispielsweise: „Haben Sie alle kritischen Abhängigkeiten in Ihrem Betrieb identifiziert und ein umfassendes Bedrohungsmodell erstellt? Verfügen Sie über einen dokumentierten Handlungsplan, der die zu ergreifenden Maßnahmen bei der Gefährdung einer oder mehrerer Abhängigkeiten beschreibt?“

Eingehende Regulierung

Die Notwendigkeit operativer Resilienz in Angriffssituationen ist ein zentraler Bestandteil zahlreicher Regulierungen. In Großbritannien und der EU gibt es Rahmenwerke wie beispielsweise das Netzwerk- und Informationssysteme (NIS2)-Richtlinie Gesetz zur digitalen betrieblichen Resilienz (DORA) und Großbritannien Gesetzentwurf zur Cybersicherheit und Widerstandsfähigkeit Die Aufrechterhaltung des Betriebs nach einem Vorfall hat oberste Priorität.

„Die Einhaltung der Vorschriften wird von Organisationen zunehmend verlangen, ihre Widerstandsfähigkeit durch Kennzahlen, Audits und den Nachweis getesteter Wiederherstellungsfähigkeiten unter Beweis zu stellen“, sagt Tilley.

Unterdessen ISO / IEC 27001 setzt eine Grundlage für Informationssicherheitsmanagementsysteme, einschließlich dokumentierter Notfallpläne (A.5.29), Überlegungen zur Geschäftskontinuität (A.5.30) und regelmäßiger Überprüfung der Pläne.

Standards wie dieser betonen szenariobasierte Tests unter realistischen Bedingungen, damit Organisationen „ihre Pläne validieren, Lücken identifizieren und Vertrauen in ihre Fähigkeit gewinnen können, effektiv zu reagieren“, so Prole.

Eine weitere nützliche Ressource ist NIST Cybersecurity Framework (CSF), das fünf Kernfunktionen umfasst, um „zu identifizieren, zu schützen, zu erkennen, zu reagieren und wiederherzustellen“.

Insbesondere im Vereinigten Königreich Rahmenwerk zur Cybersicherheitsbewertung des Nationalen Zentrums für Cybersicherheit (CAF) ist ein Instrument für essentielle Dienstleistungen und kritische nationale Infrastrukturen.

Verantwortung auf Vorstandsebene

Resilienz ist heute eine Compliance-Anforderung – und das aus gutem Grund. Prävention bleibt unerlässlich, doch die größere Herausforderung besteht darin, wie Organisationen auch im schlimmsten Fall weitermachen. Heathrow ist ein exemplarisches Beispiel dafür, dass Resilienz – wenn sie erprobt, geübt und fest verankert ist – ebenso sehr eine Compliance-Anforderung wie eine Sicherheitsmaßnahme darstellt.

Dies sollte insbesondere auf Vorstandsebene berücksichtigt werden, da dort mittlerweile die Verantwortung für Resilienz und Sicherheit liegt, betont White. Sie ist der Ansicht, dass Unternehmen „definieren müssen, welches Maß an Ausfallzeiten tolerierbar ist“, ihre betrieblichen Abhängigkeiten verstehen und „Investitionen in eine realistische Notfallplanung sicherstellen müssen“.

Gleichzeitig seien regelmäßige Überprüfungen notwendig, um sich an Veränderungen in Technologie, Regulierung und Lieferketten anzupassen, so White. „Resilienz sollte auf Vorstandsebene neben finanziellen und rechtlichen Risiken verankert sein, mit klaren Berichtswegen und Verantwortlichkeiten. Aufsichtsbehörden und Stakeholder erwarten von Unternehmen, dass sie ihre Bereitschaft nachweisen können, nicht nur ihre Absicht. Wenn der Vorstand den Plan erst im Ernstfall zur Kenntnis nimmt, hat das Unternehmen die Kontrolle über die öffentliche Wahrnehmung bereits verloren.“

Kate O’Flaherty

Kate ist Journalistin für Cybersicherheit und Datenschutz mit über zehn Jahren Erfahrung in der Berichterstattung über wichtige Themen für Nutzer, Unternehmen und Regierungen. Neben ISMS.online veröffentlicht sie auch Artikel in Forbes, Wired, The Guardian, The Observer, The Times und The Economist.

Lesen Sie mehr von Kate O'Flaherty

Internet-Sicherheit 16 December 2025

Cyberangriffe beeinträchtigen das BIP: Was bedeutet das für Unternehmen?

Da Resilienz durch immer mehr Vorschriften gefordert wird, wie kann jedes Unternehmen seinen Beitrag leisten? Von Kate O'Flaherty. Unternehmen in ganz Großbritannien...

Kate O’Flaherty

Internet-Sicherheit 25 November 2025

Banner zum AWS-Ausfall und seinen Folgen für die Cybersicherheit

Der AWS-Ausfall und seine Auswirkungen auf die Cybersicherheit

Angesichts des steigenden Ausfallrisikos stellt sich die Frage: Wie können Unternehmen die Folgen von Cyberangriffen wie Phishing und Social Engineering abfedern? Von Kate O'Flah…

Kate O’Flaherty

Internet-Sicherheit 16 September 2025

Wenn sie eine Atombehörde treffen können, können sie auch Sie erreichen: Was der SharePoint-Exploit für Ihr Unternehmen bedeutet

Der SharePoint-Exploit wurde bei prominenten Opfern eingesetzt, darunter der US-amerikanischen National Nuclear Security Administration und dem Department of Homeland Security.

Kate O’Flaherty