Internationaler Flughafen

Internationaler Flughafen: Kontinuierliches Monitoring verhindert Systemübernahme

3 Monate, 1200+ Assets, 128 Personentage - kritische Schwachstellen wurden in Stunden statt Monaten entdeckt und behoben.

3
Monate Monitoring
1200+
Assets überwacht
128
Personentage
4
Security Engineers
Branche Transport & Kritische Infrastruktur
Region Europa
Leistung Continuous Attack Surface Monitoring
Outcome Übernahme kritischer Systeme verhindert

Projektüberblick

Für einen internationalen Flughafen führten wir einen dreimonatigen Red-Teaming-Einsatz durch. Argos eASM diente als Sensorik, um Angriffsoberflächen zu kartieren und Angriffspfade zu priorisieren. Das CISO-Office wollte unbeeinflusste Detection-Zahlen - deshalb blieb der operative Betrieb bis zu unserem Abschlussreport im Unklaren.

Scope

Passagierportale, Airline-Integrationen, VPN/RDP-Zugänge, OT-Gateways, Third-Party-Dienste.

Dauer

3 Monate (12 Wochen): 4 Wochen Recon & Mapping, 6 Wochen Angriffssprints, 2 Wochen Fix-Verifikation.

Team

6 Spezialisten (AppSec, Netzwerk, OT, Social Engineering) plus Argos-Analysten.

Impact

Zugriff auf Passagier-API demonstriert, potenzielle AD-Übernahme aufgedeckt, Flugkommunikation abgesichert. Zusätzlich wurden regulatorische Kritis-Anforderungen konkretisiert und in Roadmaps überführt.

Argos als Frühwarnsystem

Neue Assets, Config-Drifts und exponierte Services wurden täglich erkannt - Grundlage für unser Red Team. Strike Teams priorisierten die Ergebnisse und starteten gezielte Angriffssprints.

Ausgangslage & Zielsetzung

Der Flughafen betreibt eine heterogene Umgebung aus Passagierportalen, Airline-Schnittstellen, OT-Systemen und Lieferantenplattformen. Ziel des Security-Teams war ein realistisches Lagebild, das Blue-Teams, OT und Management vereint:

  • Angriffsoberfläche verstehen: Shadow IT und neue Dienste identifizieren, bevor Angreifer sie nutzen.
  • Initial Access demonstrieren: Ungepatchte Anwendungen, Credentials und Fehlkonfigurationen ausnutzen.
  • Lateral Movement prüfen: Kommen Angreifer vom Internet bis in das Active Directory?
  • Mission Impact zeigen: Welche Systeme (Check-in, Passagierdaten, Flugkommunikation) lassen sich manipulieren?

Besonderheit: Nur das CISO-Office war eingeweiht. Blue Teams sollten reale Angriffe detektieren - Response-Zeiten und Prozesse standen mit auf dem Prüfstand. Nach jedem Sprint hielten wir verdeckte Notizen fest, die erst im Abschluss-Workshop offengelegt wurden.

Vorgehen

Recon & Shadow IT

Argos entdeckte >900 Subdomains, Legacy-VPNs und Lieferantenportale. Jedes Asset erhielt einen Risk Score, Screenshots und Service-Fingerprints.

Exploit-Sprints

RCE auf Tomcat, SSRF im Partnerportal, geleakte API-Keys - insgesamt sechs initiale Zugangspunkte. Social Engineering ergänzte die technischen Angriffe.

Lateral Movement

Tunnel über Citrix, Kerberoasting und ADCS-Misskonfiguration führten in 11 Tagen zu Domain Admin. Alle Schritte wurden kontrolliert in isolierten Segmenten ausgeführt.

Detection & Response

Nur 2 von 6 Angriffspfaden wurden bemerkt - wir lieferten Detection-Use-Cases und Playbooks. SIEM-Use-Cases sowie OT-Logging wurden im Nachgang ausgebaut.

Lehre

Shadow IT und Third-Party-Zugänge sind die größte Schwachstelle. Argos Monitoring läuft jetzt dauerhaft, SOC-Regeln wurden erweitert und Third-Party-Security wird vierteljährlich überprüft.

Ergebnisse auf einen Blick

Insgesamt dokumentierten wir 34 verwertbare Findings. Fünf Angriffspfade hätten direkte Auswirkungen auf Passagierbetrieb und Kommunikation gehabt. Die wichtigsten Schwachstellen wurden innerhalb von zwei Wochen behoben; wir begleiteten die Fixes mit Retests und Monitoring-Empfehlungen.

5 Kritische Pfade
12 Hohe Risiken
17 Mittlere Risiken
Verhinderte Systemübernahme

PoCs zeigten Manipulation von Passagierprofilen, Zugriff auf Check-In-Systeme und potenzielle Flugplanänderungen. Alle Lücken wurden binnen zwei Wochen geschlossen; zusätzlich entstanden neue Detection-Use-Cases und ein 24/7-Alerting.

Technische Highlights

Passagier-API

Fehlende Mandantenprüfungen erlaubten Zugriff auf Loyalty-Profile. Fix: serverseitige Claims-Checks, Rate Limiting, zusätzliche Audit-Logs und Regression-Tests im CI.

Remote Code Execution

Ungepatchter Tomcat-Manager & schwache Auth. Systeme wurden segmentiert, MFA & Härtung umgesetzt; Asset-Owner erhielten ein Patch-Dashboard.

Credential Exposure

Hardcodierte Zugangsdaten in Supplier-Portal. Vault eingeführt, Secrets rotiert und Third-Party-Onboarding um Security-Checklisten ergänzt.

AD-Zugriff

Misskonfigurierte ADCS & NTLM-Settings führten zu Domain-Admin. AD-Segmentierung, Tiering und PKI-Härtung umgesetzt.

Detection Lücken

Simulierte C2-Kanäle blieben unentdeckt. Neue EDR-Regeln, Argos-Alerts und Purple-Team-Übungen bilden jetzt ein Frühwarnsystem.

Business Impact

Betriebsfähigkeit gesichert

Kritische Systeme blieben verfügbar; potenzielle Einschränkungen des Flugbetriebs wurden verhindert.

Compliance gestärkt

Dokumentation erfüllte aufsichtsrechtliche Anforderungen (z. B. EU NIS2, nationale Luftfahrtsicherheitsnormen).

Externe Provider eingebunden

Managed-Services-Partner wurden in die Remediation eingebunden, SLAs überarbeitet und Sicherheitsziele vereinbart.

Sicherheitskultur

OT-, IT- und DevOps-Teams arbeiteten erstmals mit gemeinsamen Playbooks - Sicherheitsbewusstsein messbar gestiegen.

„Wir hätten nie gedacht, dass eine einzelne Binärdatei den Zugang zu unserem LDAP ermöglicht. Die kontinuierliche Überwachung zeigt uns jeden Tag, wie wichtig es ist, Angreifer-Perspektiven dauerhaft mitzudenken.“
Leiter Informationssicherheit (anonymisiert) Internationaler Flughafen

Empfehlungen & nächste Schritte

Kontinuierliche Sicherheit ist kein Projekt, sondern ein Betrieb. Gemeinsam mit dem Flughafen definierten wir eine Roadmap für nachhaltige Resilienz.

Top-Empfehlungen

  • Asset Lifecycle: Jede neue Subdomain/Cloud-Ressource automatisiert registrieren und überwachen.
  • Secret Management: Verbot von Hardcoded Credentials, verpflichtendes Vaulting & Secret-Scanning.
  • Auth Hardening: Starke MFA für Remote-Zugänge, regelmäßige Password Audits, Just-in-Time-Access für OT.
  • Binary Analysis Pipeline: Sicherheitstests für veröffentlichte Clients & Tools etablieren.
  • Threat Simulation: Quartalsweise Red-Team-Übungen, abgestimmt mit CSIRT und Betriebsführung.
Angriffsfläche im Blick behalten?

Wir kombinieren Asset-Monitoring, Threat Hunts und manuelle Exploits, um kritische Infrastruktur zu schützen. Kontaktieren Sie uns für ein maßgeschneidertes Programm.

Zurück zur Übersicht
Wir sind für Sie da

Sicherheitslage kontinuierlich verbessern?

Haben Sie Fragen zu unseren Dienstleistungen? Wir beraten Sie gerne und erstellen Ihnen ein individuelles Angebot.

Schnelle Antwort

Wir melden uns innerhalb von 24 Stunden bei Ihnen

Datenschutz

Ihre Daten werden vertraulich behandelt

Persönliche Beratung

Direkter Kontakt zu unseren Experten

Kontaktieren Sie DSecured