01 ·
Staatlich gesponserte Threat Intel
Wir verfolgen APT28, APT41, Lazarus, MuddyWater aktiv gegen die europäische Luftfahrt-Lieferkette: Industriespionage, IP-Diebstahl, CAD-Modelle, Avionik-Code, Dual-Use-F&E. MITRE ATT&CK-gemappte Erkennung.
Luft- und Raumfahrtbranche, gegen APTs und Supply-Chain-Angriffe.
Die Luft- und Raumfahrtbranche und ihre gesamte zugehörige wirtschaftliche Lieferkette sind primäre Ziele für staatlich gesponserte APTs, die industrielles geistiges Eigentum treffen, und für Supply-Chain-Angriffe, die via E-Mail und Cloud-Verbindungen mit Lieferanten und Partnern eindringen. Erweiterter Sektor: OEMs, Generalauftragnehmer, Zulieferer, MRO, kommerzieller Weltraum, F&E — die gesamte europäische Luftfahrt-Wirtschaft.
Compliance
NIS2
ISO/IEC 27001
DSGVO
Standards
MITRE ATT&CK
ECSS · Weltraumstandards
AS9100 / EN 9100
IEC 62443 · OT
Warum Fortgale für die Luft- und Raumfahrtbranche
Drei branchenspezifische Anforderungen.
Die Luft- und Raumfahrtbranche ist nicht "Produzierendes Gewerbe wie alle anderen": der Gegner ist nationalstaatlich strukturiert, die Lieferkette hat 4-5 Tiefenschichten mit täglichen E-Mail- und Cloud-Verbindungen, und das industrielle IP hat mehrjährigen Wert. Drei Faktoren, die den geforderten Cyber-Schutz radikal verändern.
02 ·
Lieferkette via E-Mail
BEC (Business Email Compromise) auf kompromittierten Lieferanten-Konten ist der am häufigsten ausgenutzte Vektor: Ersatz-Rechnungen, manipulierte Zahlungsaufträge, von vertrauenswürdigen Partnern signierte Payloads. KI-Erkennung sprachlicher Anomalien und Muster.
03 ·
Lieferkette via Cloud
Cloud-Verbindungen sind der neue Vektor: OAuth-Consent-Phishing, Tenant-zu-Tenant-Trust-Missbrauch, API-Key-Kompromittierung, Federation-Angriff auf gemeinsames SSO, Injection in föderierte CI/CD-Pipelines. Cross-Tenant-Überwachung mit UEBA.
Verfolgte APTs · gegen die Luftfahrt-Lieferkette
Vier staatlich gesponserte Gruppen.
Fortgale verfolgt diese Gruppen aktiv auf Basis dokumentierter Vorfälle gegen die europäische Luftfahrt-Lieferkette in den letzten 24 Monaten. Die TTPs sind in Detection-Regeln integriert, IOCs speisen das SOC.
Russland · GRU
APT28 (Fancy Bear)
Industriespionage. Spear-Phishing auf technisches F&E-Personal, Ausnutzung von Exchange- und VPN-0-days. Langjähriges Ziel der europäischen Luftfahrt-Lieferkette.
China · MSS
APT41 / Mustang Panda
Langfristige Industriespionage. Luftfahrt-IP-Diebstahl, persistente Modifikationen an Build-Servern, mehrjähriger Zugriff. Zivile Luftfahrt und Dual-Use-Technologien.
Nordkorea
Lazarus / BlueNoroff
Industriespionage + Finanzen. Job-Offer-Impersonation via LinkedIn gegen Luftfahrt-Ingenieure, Lieferketten-Angriff auf Entwickler-Tools und CI/CD.
Iran · MOIS
MuddyWater · APT34
Massen-Phishing zu geringen Kosten, Credential Harvesting, Persistenz via PowerShell. Pivot zu regionalen Lieferketten-Partnern.
Supply-Chain-Angriff · E-Mail + Cloud
Zwei Vektoren, eine kompromittierte Lieferkette.
78 % der Angriffe auf die Luft- und Raumfahrtbranche im Jahr 2025 dringen nicht durch den direkten Perimeter des Opfers ein, sondern durch ein Glied der Lieferkette: einen Lieferanten, einen Partner, eine automatisierte Verbindung. E-Mail- und Cloud-Trust-Beziehungen sind die beiden dominierenden Vektoren.
Vektor 1 · E-Mail
Business Email Compromise & Lieferanten-Phishing
Der Angreifer spooft den Lieferanten nicht — er kompromittiert dessen echtes E-Mail-Konto und sendet von dort aus legitim aussehende Kommunikation. Beobachtete Muster: Ersatz-Rechnungen mit geänderter IBAN, Zahlungsaufträge von einem imitierten CFO, Firmware-Updates oder technische Dokumente mit signierten Payloads. Fortgale-Erkennung: KI-basierte Sprachanomalie-Prüfungen, Verhaltensbaseline für Zahlungsmuster, authentifiziertes Lookahead auf Lookalike-Domains, SOC-Korrelation von E-Mail- und Netzwerkereignissen.
Vektor 2 · Cloud
SaaS-Verbindungen, OAuth, Tenant-Trust
Luftfahrt-Lieferketten teilen täglich Cloud-Umgebungen: föderierte Microsoft-365-Tenants zwischen OEMs und Zulieferern, OAuth-Consent-Phishing auf F&E-Konten, API-Key-Kompromittierung auf ERP/CRM/PLM/MES-Integrationen, Federation-Angriff auf gemeinsames SSO, Injection in föderierte CI/CD-Pipelines (z. B. GitHub Actions mit Partner-Secrets). Fortgale-Erkennung: Cross-Tenant-UEBA, Überwachung ungewöhnlicher OAuth-Consent-Grants, kontinuierliches Audit der Entra-ID-Gastkonten, MITRE ATT&CK T1199 und T1078.004.
Proof · Skala Luft- und Raumfahrtbranche
Vier Zahlen zur Luftfahrt-Landschaft.
4
Staatlich gesponserte APTs
verfolgt auf EU-Lieferkette
verfolgt auf EU-Lieferkette
180+
Threat Actors
profiliert und blockiert
profiliert und blockiert
78 %
Angriffe via
Lieferkette (E-Mail + Cloud)
Lieferkette (E-Mail + Cloud)
24·7
Europäisches SOC
für Luftfahrt-Lieferkette
für Luftfahrt-Lieferkette
Branche · verifizierte Zahlen
Europäische Luftfahrt · die Risikoskala.
Die europäische Luftfahrt-Wirtschaft umfasst Tausende reine Branchenunternehmen — OEMs, Generalauftragnehmer, Zulieferer, MRO, kommerzieller Weltraum — mit über 70 % im Export. Einschließlich der induzierten Lieferkettenaktivität (spezialisierte Logistik, Zertifizierung, F&E) überschreitet die industrielle Basis Zehntausende Unternehmen. Diese Basis greifen staatlich gesponserte APTs an — und sie wird von NIS2 als wesentlich für den Weltraumsektor klassifiziert.
Quelle · Branchenverbände 2025
Tausende reine Branchen-KMU
Europäische Luftfahrtverbände: OEMs, Generalauftragnehmer, mechanische und elektronische Zulieferer, Embedded-Software, MRO. ~92 % sind KMU unter 250 Mitarbeitern — das am stärksten exponierte und am wenigsten verteidigte Segment der Lieferkette.
Quelle · Clusit 2026 H1
+58 % EU-Vorfälle 2025
Year-over-year-Wachstum dokumentierter Angriffe gegen europäische Luftfahrt-Ziele. 67 % werden staatlich gesponserten Gruppen zugeschrieben, APT28 und APT41 die häufigsten.
Quelle · ENISA Threat Landscape 2025
78 % via Lieferkette
ENISA-Schätzung des Anteils von Vorfällen in der Luft- und Raumfahrtbranche, die via Lieferkette (E-Mail-BEC, Cloud-Federation, kompromittierte Partner) statt direkten Perimeter eindringen. Mittlere Time-to-Detection: 287 Tage.
Quelle · Nationale CSIRT-Berichte 2025
Mehrheit der Weltraum-Vorfälle
Die meisten schwerwiegenden Weltraumsektor-Vorfälle, die nationalen CSIRTs im letzten Jahr gemeldet wurden, betrafen die Kompromittierung von F&E-Zugangsdaten oder den Zugriff auf Build-Server und CAD-Repositories.
Beobachtete TTPs · letzte 24 Monate
Reale Taktiken gegen die Luft- und Raumfahrtbranche.
MITRE ATT&CK-Mapping der Techniken, die Fortgale in realen Vorfällen und Intelligence-Advisories gegen europäische Luftfahrtziele beobachtet hat. Detections geschrieben und validiert auf Kunden-SOCs, keine Theorie.
T1566.001 · APT28 · APT41
Spearphishing Attachment
Office-Makro-Dokumente mit gültigen Zertifikaten signiert (von Partnern entwendet). Wiederkehrende Themen: "AS9100-Zertifizierungsupdate", "Tier-1-Lieferanten-Benachrichtigung", "OEM-Qualitätsaudit". Ziele: F&E-Ingenieure, Einkaufsleiter, Sicherheitsmanager.
T1566 · APT28 · BEC
Business Email Compromise
Echte E-Mail-Konten von Lieferanten verwendet, um Ersatz-Rechnungen mit geänderter IBAN, Zahlungsaufträge, technische Dokumente mit Payloads zu senden. Mittlere Zugriffspersistenz vor Erkennung: 23 Tage.
T1190 · APT28 · MuddyWater
Exploit Public-Facing Application
Ausnutzung von ungepatchten Legacy-SSL-VPNs (Pulse Secure, Fortinet FortiOS, Citrix NetScaler) als initialer Zugang. Mittlere Zeit beobachtet von öffentlicher CVE bis Ausnutzung gegen europäische Luftfahrt-Ziele: 9 Tage.
T1078.004 · Lazarus · IAB
Valid Accounts · Cloud
Microsoft-365-Zugangsdaten von F&E-Personal über Infostealer-Logs (RedLine, Lumma, Vidar) erworben und in Underground-Foren weiterverkauft. MFA-Bypass via Session-Token-Hijack oder Token-Reissue.
T1199 · APT41 · Mustang Panda
Trusted Relationship · Supply Chain
Kompromittierung von System-Integratoren oder Software-Unter-Zulieferern mit Site-to-Site-VPNs zu Generalauftragnehmer-Systemen. Mittlere Persistenz vor Erkennung beobachtet: 187 Tage.
T1528 · APT29 · Cloud
OAuth Consent Phishing
Täuschung von F&E-Benutzern, OAuth-Zustimmung an bösartige Apps mit Mail.Read, Files.Read.All, offline_access-Berechtigungen zu erteilen. Persistenz via Refresh-Tokens, überlebt Passwort-Reset.
Operative Bereiche
Sechs Bereiche der Luft- und Raumfahrtbranche.
01 · Branche
Luftfahrt-OEMs & Generalauftragnehmer
Hauptproduzenten: Zellen, Triebwerke, Avionik, kommerzielle Satelliten, Antriebssysteme. Multi-Standort-Perimeter mit geteilten Build-Servern und CAD-Repositories.
02 · Branche
Luftfahrt-Zulieferer
Mechanische und elektronische Komponenten, Embedded-Software, Qualitätszertifizierung (AS9100, EN 9100). KMU mit gemischten IT/OT-Perimetern — das am stärksten exponierte Glied der Lieferkette.
03 · Branche
Kommerzieller Weltraum
Zivile Satellitenbetreiber, Bodensegment, kommerzielle Payloads, Earth Observation, Satellitentelekommunikation, kommerzielle Trägerraketen. NIS2-wesentliche Einrichtungen.
04 · Branche
MRO & technische Services
Wartung, Reparatur, Überholung: gemischte IT/OT-Umgebungen mit proprietären Tools, vernetzte Aircraft-Diagnose-Zugriffe, Airworthiness-Zertifizierungs-ERP.
05 · Branche
Logistik & Distribution
Luftfahrt-Lieferketten: spezialisierter Transport, Reinraum-Lagerung, Chargenrückverfolgbarkeit, Qualitätszertifizierungen der Lieferkette.
06 · Branche
F&E und Forschungszentren
Universitäten, Konsortien, zivile F&E-Labore mit Zugang zu nationalen und europäischen Programmen (Horizon Europe, ESA). Wiederkehrende Ziele für Pre-Patent-IP-Diebstahl.
Verwandte Services
Drei Komponenten für die Luft- und Raumfahrtbranche.
CTI · proprietär
Cyber Threat Intelligence
180+ profilierte Akteure, Fokus auf staatlich gesponserte APTs und Access-Broker, die in der Luftfahrt-Lieferkette aktiv sind. Vertikale Berichte und Advisories.
CTI entdecken →Europäisches SOC
MDR 24·7
MITRE ATT&CK-gemappte Erkennung, mediane Eindämmung ~11 min. Erweitert auf kritische Zulieferer via geteiltes SOC.
MDR entdecken →IT/OT
Industrielle Cybersicherheit
Pillar kritisches Produzierendes Gewerbe. Lösungen für Industriemaschinen, Produktionslinien und MRO-Umgebungen.
Entdecken →FAQ · Luft- und Raumfahrtbranche
Häufige Fragen aus der Branche.
Welche Cyber-Vorschriften gelten für die Luft- und Raumfahrtbranche in Europa?
NIS2 umfasst den Weltraumsektor als wesentliche Einrichtung und kritisches Produzierendes Gewerbe (das einen Großteil der Luftfahrt-Lieferkette abdeckt) als wichtige Einrichtung. Hinzu kommen vertragliche Anforderungen von OEMs und Generalauftragnehmern (z. B. ISO/IEC 27001, NIST CSF, IEC 62443 für OT), ECSS-Standards für kommerzielle Raumfahrtmissionen und DSGVO für personenbezogene Daten. Fortgale erstellt eine einheitliche Mapping-Matrix.
Warum greifen staatlich gesponserte APTs die Luft- und Raumfahrtbranche an?
Drei Gründe: (1) extrem wertvolles geistiges Eigentum (Designs, Patente, Avionik-Code, CAD-Modelle, Dual-Use-F&E-Daten); (2) Zugang zu einer geschichteten Lieferkette mit Hunderten miteinander verbundener Unter-Zulieferer; (3) Fähigkeit, zu weniger verteidigten Zulieferern zu pivotieren, um die großen OEMs zu erreichen. Dokumentierte Gruppen: APT28 (Russland), APT41 (China), Lazarus (Nordkorea), MuddyWater (Iran).
Wie verteidigt man die Luftfahrt-Lieferkette gegen E-Mail-Angriffe?
E-Mail-basierte Supply-Chain-Angriffe sind der am häufigsten ausgenutzte Vektor: Business Email Compromise (BEC) mit einem kompromittierten echten Lieferanten-Konto, Ersatz-Rechnungen, manipulierte Zahlungsaufträge, von vertrauenswürdigen Partnern signierte Payloads. Vier Maßnahmen: (1) DMARC/DKIM/SPF-Durchsetzung; (2) KI-Erkennung sprachlicher Anomalien und Zahlungsmuster; (3) authentifiziertes Lookahead auf Lookalike-Domains; (4) MDR mit SOC, das E-Mail-Anomalien mit Netzwerkereignissen korreliert.
Welche Cyber-Risiken entstehen aus Cloud-Verbindungen mit Lieferanten?
Cloud-Verbindungen sind der neue Vektor für Lieferketten-Angriffe: (1) OAuth-Consent-Phishing auf Microsoft-365-Tenants der Lieferanten; (2) Tenant-zu-Tenant-Trust-Missbrauch via Entra-ID-Gastkonten; (3) API-Key-Kompromittierung auf SaaS-Integrationen (ERP, CRM, PLM, MES); (4) Federation-Angriff auf gemeinsames SSO; (5) Injection in föderierte CI/CD-Pipelines. Fortgale überwacht Cross-Tenant-Zugriffe mit UEBA und MITRE ATT&CK-gemappter Erkennung (T1199, T1078.004, T1528).
Sind europäische Luft- und Raumfahrt-Unternehmen NIS2-Einrichtungen?
Ja. Der Weltraumsektor ist ausdrücklich unter den NIS2-wesentlichen Einrichtungen aufgeführt. Viele europäische Luftfahrtunternehmen fallen außerdem unter die Klassifizierung kritisches Produzierendes Gewerbe (wichtig). Wenn mehrere Qualifizierungen koexistieren, gilt die strengste. Fortgale unterstützt NIS2-Selbstbewertung und Control-Mapping.
Staatlich gesponserte APTs + Lieferkette · gegen die Lieferkette
Ihr Gegner ist nicht opportunistisch.
Wenn das Ziel die europäische Luftfahrt-Lieferkette ist, ist der Angreifer strukturiert, finanziert und geduldig — und dringt oft durch ein schwaches Glied der Lieferkette ein, nicht durch Ihren direkten Perimeter. Threat-Briefing anfordern zu den APT-Gruppen, die gegen Ihre Branche aktiv sind, und zu den via E-Mail und Cloud beobachteten Supply-Chain-Angriffsmustern.