Ein vernichtender Bundesprüfbericht hat eklatante Schwächen in der Cybersicherheit im Zentrum der amerikanischen Luftfahrtinfrastruktur offenbart und zeigt, dass die Federal Aviation Administration (FAA) Dutzende ihrer sicherheitskritischsten Systeme gefährlich unzureichend geschützt zurückgelassen hat, wodurch die Aussicht auf einen katastrophalen Cyberangriff auf den Luftraum des Landes steigt.

Das Office of the Inspector General (OIG) des Department of Transportation veröffentlichte die Ergebnisse Anfang dieses Monats nach einer Überprüfung, die von Oktober 2024 bis Januar 2026 durchgeführt wurde. Die Prüfung bewertete alle 45 hochwirksamen IT-Systeme der FAA innerhalb des National Airspace System (NAS), dem Rückgrat der zivilen Luftfahrt der USA, und umfasste Kontrolltürme, Navigation, Kommunikation und Flughafeninfrastruktur. Dabei handelt es sich um Systeme, die das National Institute of Standards and Technology (NIST) als solche einstuft, deren Beeinträchtigung ein schweres bis katastrophales Risiko darstellt.

Die Erkenntnisse der Prüfer waren alarmierend.

{{AD}}

Dem OIG-Bericht zufolge entsprechen 15 der 45 FAA-Systeme weiterhin veralteten NIST-Standards, und die FAA hatte 1.836 von 16.245 vorgeschriebenen Sicherheitskontrollen nicht vollständig umgesetzt, das sind 11,3 Prozent. Diese vorgeschriebenen Kontrollen umfassen Penetrationstests, Schutz der Lieferkette und Zugriffsverwaltung – genau die Mechanismen, die feindliche Akteure fernhalten sollen.

Das OIG stellte fest, dass alle Systeme, die Automatisierungs-, Kommunikations-, Navigations- und Wetterfunktionen unterstützen, Schwachstellen aufwiesen, die im ressortweiten System nicht gemeldet, nachverfolgt und behoben wurden; dasselbe Problem betraf 14 von 17 Überwachungssystemen. 

Zu allem Übel umging die FAA die offizielle Cybersicherheits-Tracking-Infrastruktur der Regierung vollständig. Statt das ressortweite primäre System zur Bewertung und Verwaltung der Cybersicherheit zu nutzen, verwendete die FAA ein internes Nachverfolgungstool, um Schwachstellen zu dokumentieren und zu verwalten, und übertrug die Daten manuell in das föderale System, was zu Verzögerungen bei der Berichterstattung führte. Das OIG machte unmissverständlich deutlich, was das bedeutet: 

„Die FAA schafft keine Transparenz gegenüber dem restlichen DOT. Fehlende Transparenz erhöht das Risiko, dass die FAA und das Department gemeinsame Bedrohungen und Schwachstellen nicht identifizieren können oder kein umfassendes Tracking und Reporting von IT‑Schwächen liefern können.“ 

Die Prüfung ergab außerdem, dass der eigene Dokumentationsbestand der FAA nicht zuverlässig ist. Prüfer berichteten, dass einige Kontrollen als umgesetzt gekennzeichnet waren, obwohl sie die Anforderungen nicht erfüllten, wodurch die Verantwortlichen keine verlässlichen Informationen darüber hatten, wie die Schutzmaßnahmen tatsächlich funktionierten. 

Die Einsätze könnten kaum höher sein. Im Januar 2023 löste eine beschädigte Datenbankdatei im Notice to Air Missions (NOTAM)-System den ersten landesweiten Ground Stop seit dem 11. September 2001 aus und verzögerte nahezu 10.000 Flüge. Obwohl dieser Ausfall durch einen Fehler eines Auftragnehmers und nicht durch einen Cyberangriff verursacht wurde, macht die Prüfung deutlich, dass ein gezielter Eindringversuch, der die dokumentierten Lücken ausnutzt, Folgen gleichen oder größeren Ausmaßes haben könnte. 

{{REC}}

Dies ist nicht das erste Mal, dass das OIG Alarm schlägt. Eine OIG‑Prüfung aus dem Jahr 2021 hatte bereits festgestellt, dass die FAA die NIST‑Sicherheitsstandards nicht erfüllte, nachdem das NAS als hochwirksames System neu eingestuft worden war. Eine separate Untersuchung des Government Accountability Office aus dem Jahr 2024 ergab, dass 105 von 138 Flugsicherungssystemen der FAA „nicht nachhaltig“ seien. Das Muster ist deutlich, und die Reaktion blieb durchgehend unzureichend.

Die FAA erklärte, die Governance‑Lücken rührten von Finanzierungsbeschränkungen, technischen Einschränkungen und betrieblichen Komplexitäten her und wies darauf hin, dass viele ihrer bestehenden Systeme erhebliche technische Änderungen oder komplett neue Beschaffungen benötigen würden, was zu Kostenüberschreitungen und Zeitverzögerungen führen könne. Kritiker halten diese Begründung angesichts des Ausmaßes des Risikos für wenig überzeugend.

Ohne Abhilfemaßnahmen warnte das OIG: „Die FAA kann nicht gewährleisten, dass die erforderlichen Schutzmaßnahmen vorhanden sind, um die Systeme vor einer Kompromittierung zu schützen, was schwerwiegende Auswirkungen auf das NAS und die fliegende Öffentlichkeit haben könnte.“ 

Die FAA ihrerseits übernahm Verantwortung. „Basierend auf unserer Überprüfung des Entwurfs des Berichts stimmen wir den vier Empfehlungen in der vorliegenden Form zu und planen, sie bis zum 31. Dezember 2026 vollständig umzusetzen,“ teilte die FAA als Reaktion auf die Prüfung mit. 

Der Kongress ist in dieser Angelegenheit aktiv geworden. Durch den FAA Reauthorization Act of 2024, der im Mai 2024 in Kraft trat, erteilte der Kongress der FAA die alleinige Regelsetzungsbefugnis für die Cybersicherheit in der Luftfahrt und wies die Behörde an, Prozesse zum Management von Cyberbedrohungen für das NAS einzurichten. Die FAA hat seitdem im März 2026 eine Markterhebung zur Cybersicherheit veröffentlicht, um Anbieter zu identifizieren, die bei der Modernisierung der Sicherheit des NAS helfen könnten, als Teil ihres umfassenderen Versprechens, bis Ende 2028 ein neues Flugsicherungssystem bereitzustellen. 

{{AD}}

Zu den vorausschauenderen Zusagen der Behörde gehört, dass die FAA plant, die NAS‑, ATC‑ und IT‑Systeminfrastruktur auf Post‑Quantum‑Kryptographie umzustellen — ein Konzept, das darauf abzielt, Angriffe künftiger Quantencomputer durch neue Verschlüsselungsverfahren abzumildern. Die Behörde brachte die Umstellung in ihrer eigenen Marktforderung deutlich auf den Punkt:

 „Ohne quantenresistente, crypto‑agile Sicherheit kann das NAS nicht die Zuverlässigkeit, Leistungsfähigkeit oder internationale Führungsrolle erreichen, die in den kommenden Jahrzehnten erforderlich sein wird.“

Ob diese Ambitionen verwirklicht werden können, bevor ein Bedrohungsakteur die vom OIG bereits dokumentierten Schwachstellen ausnutzt, bleibt die zentrale Frage und, für die Millionen von Passagieren, die täglich über amerikanischem Himmel fliegen, eine unangenehm offene Frage.