Dienstag, 22. Oktober 2019

Winnti Hacker griffen mindestens sechs Dax-Konzerne an

"Der Angreifer wurde sofort und koordiniert aus dem BASF-Netzwerk entfernt"

Siemens, Bayer, Covestro und anderen deutsche Konzern sind massiv von Hacker angegriffen worden. Ernsthaften Schaden hätte die Gruppe mit dem Namen "Winnti" angeblich nicht angerichtet. Die kriminellen Angriffe könnten aus China gesteuert werden, Beweise dafür gibt es aber nicht.

Eine Hackergruppe namens "Winnti" hat in der Vergangenheit zahlreiche deutsche Unternehmen ausgespäht, darunter auch sechs Dax-Konzerne, berichten Bayerischer Rundfunk (BR) und Norddeutscher Rundfunk (NDR) auf Basis von intensiven Recherchen.

Der Industrie-Konzern Siemens bestätigte am Mittwoch auf Anfrage, Anfang Juni 2016 Ziel eines Hacker-Angriffs gewesen zu sein. "Wir haben nach ausführlichen Analysen bis heute keine Hinweise darauf, dass bei diesem Angriff Daten abgeflossen sind", sagte ein Konzernsprecher. Beim Kunststoffhersteller Covestro hieß es, man sei ebenfalls betroffen gewesen: "Es gab den Versuch, uns auszuspähen." Es sei aber zu keinem Datenabfluss gekommen.

IT-Sicherheitsexperten und deutsche Sicherheitsbehörden vermuten, dass die Gruppe aus China stammt. Gesicherte Erkenntnisse darüber, wer sich dahinter verbirgt, gibt es allerdings nicht. Die Hackergruppe soll 2016 auch hinter einer Attacke gegen Thyssenkrupp gesteckt haben.

Erstmals war die Hackergruppe im Oktober 2011 von IT-Sicherheitsexperten von Kaspersky Lab enttarnt worden. Sie gilt als hochprofessionell, Angriffe werden in der Regel überhaupt erst spät bemerkt. Zunächst hatten sich die Angreifer nach Einschätzung von Experten auf Netzwerke für Online-Spiele spezialisiert und griffen dort Spielgeld, digitale Zertifikate und Nutzerdaten ab. Inzwischen sind vermehrt große Industrie-Unternehmen, aber auch der Mittelstand in Deutschland zur Zielscheibe geworden.

Anfang April hatte der Chemie-Riese Bayer bestätigt, Opfer eines Cyber-Angriffs gewesen zu sein. Bereits seit Anfang 2018 habe es Anzeichen dafür gegeben, dass das Firmennetzwerk mit Schadsoftware der "Winnti" genannten Hackergruppe angegriffen wurde.

BASF wiederum ließ mitteilen, dass es Hackern im Juli 2015 gelungen sei, "die ersten Ebenen" der Verteidigung zu überwinden. "Als unsere Experten feststellten, dass der Angreifer versuchte, die nächsten Verteidigungsebenen zu überwinden, wurde der Angreifer sofort und koordiniert aus dem BASF-Netzwerk entfernt."

Henkel schließlich erklärte gegenüber dem Bayerischen Rundfunk: "Die Cyber-Attacke wurde im Sommer 2014 entdeckt, und Henkel hat schnell alle notwendigen Maßnahmen eingeleitet." Ein "sehr kleiner Teil" der weltweiten IT-Systeme sei betroffen gewesen, gemeint sind die Systeme in Deutschland. Es gebe keine Hinweise darauf, dass sensible Daten an die Täter ausgeleitet worden seien.

Journalisten konfrontierten Dax-Konzerne mit IT-forensischen Belegen

Wie kamen die Journalisten den Ausspähversuchen auf die Schliche? Die Exprten des BR und des NDR hatten IT-forensische Belege für die Angriffsversuche entdeckt. Vereinfacht gesagt bekamen sie einen Tipp, wie ein verräterisches Detail der Winnti-Schadsoftware aussieht. Damit konnten sie in der zu Google gehörenden Schadsoftware-Datenbank Virustotal nach Varianten von Winnti suchen.

In den Treffern fanden sie hart codierte, letztlich also namentlich genannte Ziele von Servernamen bis Unternehmensnamen. Außerdem simulierten sie mit einer speziellen Software gewisse Steuerbefehle für Winnti, mit denen die Täter ihre in Firmennetze eingeschmuggelte Schadsoftware ansprechen. Diese spezielle Software ließen die Journalisten in einem sogenannten Nmap-Scan über die bekannten IP-Adressbereiche deutscher Firmen laufen. Bekamen sie eine Antwort, wussten sie, dass Winnti im Netzwerk der entsprechenden Firma installiert ist.

Zwar sagen die Recherchen nichts über den Erfolg oder Misserfolg der Hacker aus, also darüber, ob die Täter wertvolle Informationen auslesen konnten. Aber mit ihren Erkenntnissen konnten die Journalisten die Unternehmen konfrontieren und zu einer Reaktion bewegen.

rei/dpa

© manager magazin 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung