Mehrere Dax-Konzerne von Hackerangriff betroffen

– Eine Hackergruppe hat offenbar in großem Umfang deutsche Unternehmen ausgespäht. Recherchen von BR und NDR haben ergeben, dass mindestens acht deutsche Unternehmen betroffen sind, darunter sechs DAX-Konzerne. Zudem sind rund ein Dutzend weiterer Unternehmen aus dem Ausland angegriffen worden. Ziel der Hacker ist die Chemie- und Pharma-Branche, aber mutmaßlich auch Telekommunikationsunternehmen und eine Fluglinie. Auch auf eine Hotel-Kette haben die Hacker Angriffe vorbereitet.

Eine technische Analyse von BR und NDR zeigt, dass die Gruppe mutmaßlich unter anderem gegen den Waschmittel-Hersteller Henkel, gegen den Technologiekonzern Siemens, die Chemie-Konzerne BASF und Covestro und den Schweizer Pharma-Riesen Roche aktiv gewesen ist. Zudem infizierte die Gruppe offenbar die Systeme der Fluglinie Lion Air aus Indonesien und versuchte die US-Hotelkette Marriott anzugreifen.

Henkel bestätigte den Vorfall auf Anfrage. Das Unternehmen teilte mit, dass man keine Hinweise darauf habe, dass Firmengeheimnisse kopiert worden seien. Auch BASF, Covestro und Siemens bestätigten, dass sie attackiert worden sind. Alle drei Unternehmen sagten, man habe die Hacker aus den Netzen entfernen können. Man habe keine Hinweise, dass sensible Daten abgegriffen worden sind. Roche antwortete nur pauschal auf eine Anfrage, dass man IT-Sicherheit ernst nehme. Die übrigen Unternehmen ließen die Anfrage zunächst unbeantwortet.

IT-Sicherheitsexperten haben die Gruppe und die von ihr benutzte Schadsoftware “Winnti” genannt. Zu den weiteren mutmaßlich von „Winnti“ befallenen Konzernen gehört offenbar der US-amerikanische Software-Hersteller Valve, der für die Spiele-Plattform Steam bekannt ist. Das legen Spuren im Schadcode nahe. Auch zwei japanische Industriekonzerne, Shin-Etsu und Sumitomo, wurden offenbar von der Gruppe attackiert. Die Unternehmen antworteten auf Anfrage nicht. BR und NDR hatten im April bereits berichtet, wie der Chemie-Konzern Bayer von der Gruppe ausgespäht worden ist. Schon im Jahr 2016 war Thyssen-Krupp erfolgreich von „Winnti“ angegriffen worden. Der Spiegel hatte zudem berichtet, dass das deutsche Software-Haus Teamviewer Opfer von „Winnti“ gewesen sei.

Um die betroffenen Unternehmen ausfindig zu machen, haben Reporter von BR und NDR mit der Hilfe von Wissenschaftlern der Ruhr-Uni Bochum Teile des Schadcodes analysiert, den die Hacker für die Angriffe verwendet haben. In diesem Code hatten die Angreifer unter anderem vermerkt, gegen welche Konzerne sie die Schadprogramme einsetzen wollten. Inwiefern durch die Angriffe Daten der betroffenen Unternehmen kopiert worden sind, geht aus der Analyse nicht hervor.

Zuletzt sind die „Winnti“-Hacker wohl dazu übergegangen, ihr Aufgabengebiet um politische Spionage zu erweitern. So fanden BR und NDR heraus, dass IT-Systeme der Regierung von Hongkong mit der Schadsoftware infiziert gewesen sind. Ein Regierungssprecher bestätigte den Vorfall auf Anfrage.

Die industrienahe Deutsche Cybersicherheitsorganisation (DCSO) bezeichnet die „Winnti“-Hacker als „Söldnertruppe“, die dem chinesischen Staat nahestehen soll. Man beobachte die Truppe schon sehr lang „so dass wir aus ganz vielen Indizien sagen können, dass ‚Winnti‘ mit einer hohen Wahrscheinlichkeit chinesisch beziehungsweise chinesisch gesteuert ist“, sagte ein Sprecher.

Die US-Justiz hat im vergangenen Jahr Anklage gegen einen chinesischen Staatsbürger wegen eines Hacker-Angriffs auf einen Hersteller von Gasturbinen erhoben. Laut Gerichtsunterlagen soll der Mann „Winnti“-Schadcode im Staatsauftrag verwendet haben.

Viele der Hinweise, die nach China deuten, sind allerdings schon einige Jahre alt. Inwiefern sich die aktuellen, zum Teil bis Mitte 2019 reichenden Angriffe damit Hackern aus dem Land technisch zuordnen lassen, ist unklar. Mitarbeiter einer deutschen Sicherheitsbehörde warnen davor, dass es theoretisch auch möglich wäre, dass andere Akteure die ursprüngliche „Winnti“-Gruppe bewusst imitieren.

Das chinesische Außenministerium und die Botschaft in Berlin ließen Anfragen zu „Winnti“ unbeantwortet. Das Bundesinnenministerium erklärte auf Anfrage, der Bundesregierung seien aus den vergangenen Jahren einige „Winnti“-Fälle bei deutschen Unternehmen bekannt. Zu den einzelnen Vorfällen wolle man sich nicht äußern.

Generell seien Hackerangriffe „als wichtige Methode der Informationsgewinnung für ausländische Nachrichtendienste fest etabliert und werden zur Durchführung von Wirtschaftsspionage eingesetzt“, teilte ein Sprecher mit. Diese Angriffe seien kostengünstig, in Realzeit durchführbar und besäßen eine hohe Erfolgswahrscheinlichkeit. „Ernsthafte politische oder strafrechtliche Risiken bestehen für die Angreifer aufgrund vielfältiger Verschleierungsmöglichkeiten nicht“, sagte das Innenministerium. Die Bundesregierung nehme die Bedrohung durch Hacker, unabhängig von deren Ursprung, sehr ernst.