Zurück zur Startseite
Wirtschaft
Zurück zur Startseite
Wirtschaft

Hackerangriffe auf DAX-Konzerne: Auch Siemens betroffen | BR24

© BR

Eine mutmaßlich chinesische Hackergruppe mit dem Namen "Winnti" hat über Jahre hinweg Konzerne ausspioniert. Recherchen von BR und NDR ergeben, dass ihr Schwerpunkt auf Deutschland lag. Sicherheitsbehörden beobachten die Hacker mit großer Sorge.

8
Per Mail sharen
Teilen
  • Artikel mit Audio-Inhalten

Hackerangriffe auf DAX-Konzerne: Auch Siemens betroffen

Eine mutmaßlich chinesische Hackergruppe mit dem Namen "Winnti" hat über Jahre hinweg Konzerne ausspioniert. Recherchen von BR und NDR ergeben, dass ihr Schwerpunkt auf Deutschland lag. Sicherheitsbehörden beobachten die Hacker mit großer Sorge.

8
Per Mail sharen
Teilen

Eine Hackergruppe hat offenbar in großem Umfang deutsche Unternehmen ausgespäht, darunter auch den Münchner Technologiekonzern Siemens. Recherchen von BR und NDR haben ergeben, dass mindestens acht deutsche Unternehmen betroffen sind, sechs davon DAX-Konzerne. Zudem sind rund ein Dutzend weiterer Unternehmen aus dem Ausland angegriffen worden. Betroffen ist die Chemie- und Pharma-Branche, aber mutmaßlich auch Telekommunikationsanbieter und eine Fluglinie. Auch auf eine Hotel-Kette haben die Hacker Angriffe vorbereitet.

Eine technische Analyse von BR und NDR zeigt, dass die Gruppe mutmaßlich unter anderem auch gegen den Waschmittel-Hersteller Henkel, die Chemie-Konzerne BASF und Covestro und den Schweizer Pharma-Riesen Roche aktiv gewesen ist. Die Reporterinnen und Reporter fanden zudem infizierte Systeme der Fluglinie Lion Air aus Indonesien und Spuren eines Angriffsversuchs auf die US-Hotelkette Marriott.

Indizien, etwa die für den Angriff eingesetzten Computer, deuten darauf hin, dass es sich bei den Angreifern um eine staatlich unterstützte Gruppe aus China handelt. IT-Sicherheitsforscher haben der Gruppe den Namen Winnti gegeben.

Siemens: Hacker "zügig erkannt"

Siemens bestätigt den Vorfall auf Anfrage von BR und NDR. Anfang Juni 2016 sei das Unternehmen Ziel des Winnti-Angriffs geworden, der "zügig erkannt und bewältigt" worden sei. Siemens zufolge gebe es nach ausführlichen Analysen keine Hinweise darauf, dass Daten abgeflossen sind. Welche Firmenteile angegriffen wurden, ließ der Konzern offen. Die betroffenen Systeme hätten jedoch keine Kundendaten enthalten.

Auch BASF, Covestro und Henkel bestätigten, dass sie attackiert worden sind. Alle drei Unternehmen sagten, man habe die Hacker aus den Netzen entfernen können. Man habe keine Hinweise, dass sensible Daten abgegriffen worden sind. Roche antwortete nur pauschal auf eine Anfrage, dass man IT-Sicherheit ernst nehme. Die übrigen Unternehmen ließen eine Anfrage unbeantwortet.

Erste Angriffe bereits 2016

Zu den weiteren mutmaßlich von Winnti befallenen Konzernen gehört offenbar der US-amerikanische Software-Hersteller Valve, der für die Spiele-Plattform Steam bekannt ist. Das legen Spuren im Schadcode nahe. Auch zwei japanische Industriekonzerne, Shin-Etsu Chemical und Sumitomo, wurden offenbar von der Gruppe attackiert. Die Unternehmen antworteten auf Anfragen nicht.

BR und NDR haben im April bereits berichtet, wie der Chemie-Konzern Bayer von der Gruppe ausgespäht worden ist. Schon im Jahr 2016 war Thyssen-Krupp erfolgreich von Winnti angegriffen worden. Der "Spiegel" hatte zudem berichtet, dass das deutsche Software-Haus Teamviewer Opfer von Winnti gewesen sei.

Reporter haben Teile des Schadcodes untersucht

Um die betroffenen Unternehmen ausfindig zu machen, haben Reporter von BR und NDR Teile des Schadcodes, sogenannte Samples, analysiert. Mit dessen Hilfe haben sich die Hacker Zugang zu den Systemen der Konzerne verschafft. Ein Ergebnis der Analyse war, dass die Hacker innerhalb des Codes offenbar eine Art Hinweis hinterlassen, gegen welchen Konzern das Programm eingesetzt werden soll.

IT-Sicherheitsexperten sprechen von einer Kampagne gegen ein Unternehmen oder gegen eine ganze Branche. Diese Kampagnen-Hinweise konnten mit Hilfe von Forschern der Ruhr-Uni Bochum entschlüsselt werden. Inwiefern durch die Angriffe Daten der betroffenen Unternehmen kopiert worden sind, geht aus der Analyse nicht hervor.

Neuer Schwerpunkt: Politische Spionage?

Zuletzt sind die Winnti-Hacker wohl dazu übergegangen, ihr Aufgabengebiet um politische Spionage zu erweitern. So fanden BR und NDR heraus, dass IT-Systeme der Regierung von Hongkong mit der Schadsoftware infiziert gewesen sind. Ein Regierungssprecher bestätigte den Vorfall auf Anfrage.

Anti-Viren-Hersteller und Sicherheitsexperten beobachten die Gruppe Winnti schon seit einigen Jahren. Mehrere Personen, mit denen Reporter von BR und NDR sprechen konnten, gehen davon aus, dass die Hacker aus China heraus arbeiten. Mehrere Dax-Konzerne, darunter auch BASF und Bayer, haben im Oktober 2016 die Deutsche Cybersicherheitsorganisation (DCSO) gegründet, um sich im Kampf gegen Hacker auszutauschen.

Die DCSO spricht im Fall von Winnti von einer "Söldnertruppe", die dem chinesischen Staat nahestehen soll. Man beobachte die Truppe schon sehr lang, "so dass wir aus ganz vielen Indizien sagen können, dass Winnti mit einer hohen Wahrscheinlichkeit chinesisch beziehungsweise chinesisch gesteuert ist", sagte ein Sprecher.

Die Hacker gehen dabei arbeitsteilig und koordiniert vor, darauf deuten auch die Kampagnen-Hinweise im Schadcode hin. Ein Forscher des Anti-Virus-Anbieters Kaspersky hat den Spitznamen eines mutmaßlichen Winnti-Hacker mit Hilfe von dessen Aktivitäten in Internet-Foren identifizieren können.

Mutmaßlicher Winnti-Hacker in USA angeklagt

Gegen einen Chinesen, der denselben sehr ungewöhnlichen Spitznamen verwendet hat, läuft aktuell ein Verfahren wegen Computer-Kriminalität in den USA. Er soll auch in diesem Fall - ein Angriff auf einen Hersteller von Gasturbinen - die Schadsoftware von Winnti eingesetzt haben. Die US-Ermittler gehen in ihrer Anklage davon aus, dass der Mann vom chinesischen Staat beauftragt worden ist.

Viele der Hinweise, die nach China deuten, sind allerdings schon einige Jahre alt. Inwiefern sich die aktuellen, zum Teil bis Mitte 2019 reichenden Angriffe damit Hackern aus dem Land technisch zuordnen lassen, ist unklar. Mitarbeiter einer deutschen Sicherheitsbehörde warnen davor, dass es theoretisch auch möglich wäre, dass andere Akteure die ursprüngliche Winnti-Gruppe bewusst imitieren.

Bundesregierung nimmt Vorfälle sehr ernst

Das chinesische Außenministerium und die chinesische Botschaft in Berlin ließen Anfragen zu Winnti unbeantwortet. Das Bundesinnenministerium erklärte auf Anfrage, der Bundesregierung seien aus den vergangenen Jahren einige Winnti-Fälle bei deutschen Unternehmen bekannt. Zu den einzelnen Vorfällen wolle man sich nicht äußern.

Generell seien Hackerangriffe "als wichtige Methode der Informationsgewinnung für ausländische Nachrichtendienste fest etabliert und werden zur Durchführung von Wirtschaftsspionage eingesetzt", teilte ein Sprecher mit. Diese Angriffe seien kostengünstig, in Realzeit durchführbar und besäßen eine hohe Erfolgswahrscheinlichkeit. "Ernsthafte politische oder strafrechtliche Risiken bestehen für die Angreifer aufgrund vielfältiger Verschleierungsmöglichkeiten nicht", sagte das Innenministerium. Die Bundesregierung nehme die Bedrohung durch Hacker, unabhängig von deren Ursprung, sehr ernst.

© BR

Professionelle Hacker haben deutsche Dax-Konzerne angegriffen - mutmaßlich gesteuert aus China. Exklusive Recherchen von BR und NDR geben Einblick, wen die Hacker ins Visier nahmen und wie sie vorgehen.