Das Bild zeigt die BMW-Zentrale in München. | Bildquelle: dpa

Autoindustrie im Visier BMW von Hackern ausgespäht

Stand: 06.12.2019 06:00 Uhr

Einer Hackergruppe ist es nach Informationen des BR gelungen, in Computernetzwerke von BMW einzudringen. Es soll sich um eine Gruppe handeln, die im Auftrag des Staates Vietnam agiert.

Von Hakan Tanriverdi und Josef Streule, BR

Der Angriff der mutmaßlich vietnamesischen Hackergruppe begann im Frühjahr 2019. Am vergangenen Wochenende nahm der Automobilkonzern aus München die betroffenen Rechner schließlich vom Netz. Zuvor hatten IT-Sicherheitsexperten des Konzerns die Hacker über Monate hinweg beobachtet. Das ergeben Recherchen des Bayerischen Rundfunks. Auch auf den südkoreanischen Auto-Hersteller Hyundai hatten es die Hacker demnach abgesehen.

Vietnamesische Gruppe hackt BMW
tagesschau24 11:00 Uhr, 06.12.2019, Josef Streule, BR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Auf Anfrage teilt BMW mit, zu Einzelfällen wolle man sich nicht äußern. Allgemein heißt es: "Wir haben Strukturen und Prozesse implementiert, die das Risiko von unerlaubten externen Zugriffen auf unsere Systeme minimieren und uns im Ereignisfall eine schnelle Entdeckung, Aufklärung und Wiederherstellung ermöglichen." Hyundai ließ mehrere Anfragen unbeantwortet.

Websites gefälscht und Werkzeug installiert

Im Fall von BMW griffen Hacker nach Informationen von BR Recherche einen Rechner an. So gelang es ihnen, ein Werkzeug namens "Cobalt Strike" zu installieren. "Cobalt Strike" verwenden Hacker, um Rechner bequem aus der Ferne auszuspionieren und zu steuern.

Dazu richteten die Hacker eine Webseite ein, die den Eindruck erweckte, zur BMW-Niederlassung in Thailand zu gehören. Auch im Fall von Hyundai setzten die Hacker eine Fake-Webseite auf.

So können sich Hacker in den Netzwerken umschauen und herausfinden, welche Ordner und Dateien es gibt, und welche Nutzer angemeldet sind. Diese Schritte helfen ihnen dabei, sich auf weitere Rechner auszubreiten.

Hakan Tanriverdi, BR, mit Details zum Angriff und dem "Besonderen" daran
tagesschau24 11:00 Uhr, 06.12.2019

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Keine vorschnelle Reaktion

Sind Hacker in ein Unternehmensnetz eingedrungen, versuchen sie üblicherweise, sich möglichst unauffällig umzusehen. Sobald ein Unternehmen die Angreifer entdeckt hat, ist es wichtig herauszufinden, wie weit die Hacker sich ausbreiten konnten. Dafür werden sie beobachtet, manchmal über Monate hinweg.

"Typischerweise nutzt man den Vorteil, dass man jemanden entdeckt hat, um zu schauen, wo weitere Kompromittierungen vorliegen", erklärt Andreas Rohr von der IT-Sicherheitsfirma Deutsche Cybersicherheitsorganisation (DCSO). Ziel sei es, den Angreifer - am Wochenende typischerweise - aus dem Netzwerk zu werfen.

Bei BMW sollen keine sensiblen Daten abgeflossen seien, erzählt ein IT-Sicherheitsexperte, der anonym bleiben will. Auch hätten es die Hacker nicht geschafft, auf Systeme am Unternehmenssitz in München zuzugreifen.

Hacker aus Vietnam?

Die eingesetzten Werkzeuge und das Vorgehen der Hacker deuten auf eine Gruppe hin, die "OceanLotus" genannt wird. Die Gruppe ist IT-Sicherheitsexperten seit 2014 bekannt. Vermutet wird, dass diese Hacker für den Staat Vietnam spionieren.  "Gesicherte Belege, dass die Gruppe im staatlichen Auftrag handelt, gibt es nicht", sagt Dror-John Röcher, der ebenfalls für die DCSO arbeitet. "Wenn wir uns jedoch die Vorfälle anschauen und wenn wir die Ziele analysieren, dann gibt es starke Indizien, dass mindestens mit Billigung des vietnamesischen Staates agiert wird." Die vietnamesische Botschaft in Berlin ließ eine Anfrage des BR unbeantwortet.

Automobilindustrie als Ziel

Die Automobilindustrie sei erst in letzter Zeit in den Fokus gerückt, seit Ende 2018, erklärt IT-Experte Röcher. Im Juni 2019 eröffnete der vietnamesische Mischkonzern Vingroup ein erstes Werk, in dem Autos gebaut werden. Die Marke heißt Vinfast.

Deutsche Unternehmen spielen als Zulieferer eine zentrale Rolle: Lizenzgeber der ersten beiden Modelle ist BMW, Siemens vernetzt die Fabrik. In einem Interview mit dem "Handelsblatt" betonte ein Manager in Vietnam: "Die Fertigung ist fast zu 100 Prozent deutsch."

Zu den Angriffszielen von "OceanLotus" gehörten über Jahre hinweg Dissidenten und Staaten, die von Vietnam als Konkurrenz oder Bedrohung wahrgenommen wurden. Laut Röcher fällt auf, dass die Gruppe genau dann anfing, Auto-Hersteller anzugreifen, als in Vietnam begonnen wurde, Autos zu bauen.

Sicherheitsbehörden warnen

Auch das Bundesamt für Verfassungsschutz verfolgt die Hacker von OceanLotus. "Die Gruppierung 'OceanLotus' ist schon wichtig geworden, und man sollte die Entwicklung im Auge behalten, insbesondere wegen des Zielspektrums Automobilbranche", so eine Sprecherin.

Im Sommer verschickte der Verband der Automobilindustrie (VDA) eine E-Mail an seine Mitglieder. Der Betreff lautete: "Warnmeldung des Bundesamts für Verfassungsschutz zu möglichen Cyber-Angriffen (OceanLotus) auf deutsche Automobilunternehmen." In der E-Mail, die BR Recherche vorliegt, wird das Vorgehen der Hacker detailliert beschrieben.

Ob weitere deutsche Automobilhersteller und Zulieferer ausgespäht wurden, ist nicht bekannt.

Über dieses Thema berichtete tagesschau24 am 06. Dezember 2019 um 11:00 Uhr.

Darstellung: