CoinbaseCartel beansprucht Zugriff auf Panasonic Avionics, Anbieter von IFE für über 200 Fluggesellschaften

Die Erpressungsgruppe CoinbaseCartel veröffentlichte am 22. Mai 2026 die Beanspruchung des Zugriffs auf die Domain panasonic.aero, betroffen ist die Panasonic Avionics Corporation, die für Bordunterhaltungssysteme, WLAN-Konnektivität und Flugzeugkommunikation verantwortlich ist. Die Bekanntgabe wurde vom Dienst Ransomware.live verfolgt und von SC Media berichtet. Panasonic Avionics hatte sich bis zum Redaktionsschluss dieses Artikels nicht öffentlich geäußert, und keine Aufsichtsbehörde hat den Vorfall unabhängig bestätigt.

Panasonic Avionics ist kein peripherer Anbieter für die Luftfahrtindustrie: Das Unternehmen beliefert über 200 Fluggesellschaften und deckt laut eigenen Daten etwa 70 % der globalen Flotte von Flugzeugen mit Bordunterhaltungssystemen (IFE) ab. Ihre eingebetteten Systeme sind in Flugzeugen von Boeing, Airbus und Bombardier im Einsatz. Ihre Cloud-Plattform verarbeitet Passagierdaten, Flugaufzeichnungen und digitale Inhaltsaktualisierungen in Echtzeit, was bedeutet, dass eine Kompromittierung ihrer Datenumgebung auch die Informationskette jedes Kundenbetreibers beeinflusst.

CoinbaseCartel: Erpressung ohne Verschlüsselung

Im Gegensatz zu Gruppen wie LockBit oder ALPHV verschlüsselt das CoinbaseCartel die Systeme der Opfer nicht. Ihr Betrieb basiert ausschließlich auf der Datenexfiltration, was bedeutet, dass die betroffenen Organisationen keine sofortige betriebliche Unterbrechung erfahren, sondern unter Druck gesetzt werden, vertrauliche Informationen öffentlich zu machen. Die Gruppe verzeichnet 170 bestätigte Opfer in 34 Ländern, wobei der Technologiesektor 49 dieser Fälle ausmacht, laut Daten von Ransomware.live.

Der anfängliche Zugang Vektor ist konsistent: gestohlene Anmeldeinformationen durch Infostealer, die ausgenutzt werden, bevor die Organisationen ihre Passwörter ändern. Forscher für Bedrohungsinformationen haben festgestellt, dass etwa 80 % der Opfer der Gruppe bereits kompromittierte und in Malware-Foren indexierte Anmeldeinformationen vor dem Angriff hatten. Nach dem Zugang verwendet die Gruppe native Cloud-Tools, ohne ausführbare Dateien im System des Opfers abzulegen. Das Opfer erhält innerhalb von 48 Stunden eine Benachrichtigung zur Kontaktaufnahme, was ein Verhandlungsfenster von zehn Tagen eröffnet. Die Gruppe wurde bereits dabei beobachtet, doppelte Erpressung zu praktizieren, indem sie zuerst für das Nicht-Veröffentlichen und dann für die Löschung der Sicherungskopien der exfiltrierten Daten Gebühren erhebt.

Warum die Luftfahrt ein wachsendes Ziel ist

Der Luftfahrtsektor konzentriert hochgradig wertvolle Daten, Systeme mit langen Lebenszyklen und eine komplexe Lieferkette, die von eingebetteten Systemen bis zu Bodensupport-Plattformen reicht. Erpressungsgruppen haben ihre Angriffe auf die Luftfahrt und den Aerospace-Sektor im Laufe von 2025 und 2026 intensiviert, gemäß einer Untersuchung von CybersecurityNews, angezogen durch die Kombination aus Passagierdaten, Wartungsaufzeichnungen und sensiblen Betriebsinformationen.

Im Fall von Panasonic Avionics ist das unmittelbarste Risiko für die Kundenfluggesellschaften reputations- und regulierungsbezogen: Wenn die Gruppe Daten von Passagieren exfiltriert hat, die von der IFE-Plattform verarbeitet wurden, sind die Betreiber den gesetzlichen Verpflichtungen zur Benachrichtigung gemäß DSGVO für Flüge mit europäischen Passagieren und CCPA für den nordamerikanischen Markt ausgesetzt, selbst wenn die Sicherheitslücke in der Infrastruktur eines Drittanbieters aufgetreten ist. Das Ignorieren dieses Punktes hat Unternehmen in den letzten Vorfällen mehr als 4 % des globalen Jahresumsatzes gekostet, gemäß den neuesten Vorgaben des europäischen Regulators.

Was sich für die Fluggesellschaften ändert

Die Frage, die die Sicherheitsteams der über 200 betroffenen Betreiber beantworten müssen, ist doppelt: Welche Daten wurden in den IFE-Verträgen mit Panasonic Avionics geteilt, und welche Haftungsklausel für Datenverstöße gilt in diesen Verträgen?

Der Standard des CoinbaseCartel, kompromittierte Anmeldeinformationen von Infostealern zu nutzen, verstärkt die Notwendigkeit eines sofortigen Austauschs von API-Tokens und Integrationsanmeldeinformationen, die in den Schnittstellen mit Panasonic verwendet werden. Das Fehlen von Verschlüsselung im Angriff sollte nicht zur Selbstzufriedenheit führen: exfiltrierte Daten werden zu permanenten Passiva und können in sekundären Angriffen gegen die Betreiber wiederverwendet werden.

Der Vorfall markiert die zweite bestätigte Kompromittierung von Panasonic Avionics in weniger als drei Jahren. Das Unternehmen hatte im Jahr 2023 eine Einbruch bekannt gegeben, die bis Dezember 2022 zurückreicht, mit einer Exposition von Namen, Gesundheitsdaten, Finanzinformationen und Ausweisnummern von Mitarbeitern. Die Häufigkeit von Angriffen gegen dasselbe Ziel in einem relativ kurzen Zeitraum zeigt, dass die Hygiene-Kontrollen von Anmeldeinformationen in der Abteilung noch nicht dem Standard entsprechen, der dem Bedrohungsprofil der Firma entspricht. Für IT-Beratungen mit Kunden in der Luftfahrt bietet dies die Möglichkeit für Gespräche über die Überprüfung von Anbieter-Verträgen und die Sicherheitsdue Diligence in Software-Lieferketten.

---

Transparenzhinweis (25.05.2026): Dieser Artikel wurde aktualisiert, um den Status des Vorfalls zu klären. Die ursprüngliche Version beschrieb den Bericht von SC Media als "Bestätigung" des Vorfalls, während SC Media und Ransomware.live die vom CoinbaseCartel veröffentlichten Ansprüche auf der Leak-Website berichteten. Bis zum Datum dieser Aktualisierung hatte sich Panasonic Avionics nicht offiziell geäußert. The New Times berichtet über die Ansprüche von Cyberkriminalitätsgruppen als Claims und verwendet