In einer globalen Kampagne spioniert eine Hackergruppe, die im Auftrag Nordkoreas agieren soll, Konzerne der Raumfahrt- und Rüstungsindustrie aus. Recherchen des BR zeigen: Auch Rheinmetall ist betroffen.

Von Philipp Grüll und Hakan Tanriverdi, BR

Die Hacker melden sich über eine Chat-Nachricht. "Ich habe mir Ihr Profil angeschaut und Ihr Enthusiasmus gefällt mir", schreiben sie im sozialen Netzwerk LinkedIn. Ein paar Nachrichten später folgt ein Job-Angebot. Ob man sich vorstellen könne, für eine andere Firma zu arbeiten? Man solle sich eine PDF-Datei herunterladen, um mehr über die Details zu erfahren.

Mit solchen angeblichen Jobangeboten beginnt eine seit über einem Jahr laufende digitale Spionage-Kampagne gegen Rüstungskonzerne. Wird die PDF-Datei geöffnet, installiert sie unbemerkt Schadsoftware auf dem Rechner. Die Hacker können nun auf Daten zugreifen - und sich anschließend im Netzwerk des Unternehmens bewegen.

IT-Sicherheitsexperten gehen davon aus, dass die sogenannte "Lazarus"-Gruppe für die Cyber-Spionage verantwortlich ist. Der US-Behörde FBI zufolge agieren die Hacker im Auftrag des nordkoreanischen Staates. Ziel sei es, "Informationen zu Schlüsseltechnologien aus den Bereichen Militär und Energie zu sammeln".

Auch Rheinmetall und Renk im Fokus

Auch deutsche Rüstungskonzerne standen nach Informationen von BR-Recherche und dem ARD-Magazin "report München" in den vergangenen Monaten im Fokus der Hacker: Rheinmetall und die Renk AG. Rheinmetall ist der größte deutsche Rüstungskonzern. Das Unternehmen mit Sitz in Düsseldorf produziert Panzer, Geschütze und Munition und zählt auch zu den führenden Herstellern von Simulationstechnik, Sensorik und Feuerleittechnik. Die Augsburger Renk AG baut Getriebe für Kriegsschiffe und Panzer wie den Puma oder den Leopard 2.

Nach Einschätzung des Bundesverbands der Deutschen Industrie (BDI) stellen Cyberangriffe auf deutsche Rüstungsunternehmen ein zunehmendes Problem dar. Ein Grund dafür sei, dass viele deutsche Firmen gerade im Hochtechnologiebereich "weltweit führende Expertise" hätten, sagt Matthias Wachter, der beim BDI die Abteilung Sicherheit und Rohstoffe leitet.

BDI-Experte Wachter sieht in der Industriespionage ein zunehmendes Problem.

Gleichzeitig aber seien für bestimmte Länder - darunter Nordkorea - Rüstungsexporte aus Deutschland kategorisch ausgeschlossen. "Deshalb ist es natürlich besonders für diese Länder attraktiv, Informationen auf illegalem Weg zu erhalten und mit der erbeuteten Technologie eigene Systeme weiterzuentwickeln", sagt BDI-Experte Wachter.

"Sehr sorgfältig vorbereitet"

Im Fall der Renk AG mit Sitz in Augsburg wurden im Oktober unter anderem Webseiten aufgesetzt, die wie ein Mail-Postfach aussahen, in das Mitarbeiter ihre Zugangsdaten eingeben sollten.

Peter Kálnai von der slowakischen IT-Sicherheitsfirma Eset hat sich ausführlich mit den "Lazarus"-Hackern auseinandergesetzt. In zwei Fällen hat seine Firma Unternehmen dabei geholfen, die Gruppe aus den Netzen zu entfernen. "Sie haben ihr Vorgehen sehr sorgfältig vorbereitet", sagt er. Mitunter seien Wochen vergangen, in denen die Hacker versuchten, im Chat Vertrauen aufzubauen, bevor sie das angebliche Jobangebot verschickten. Seiner Meinung nach sei ein professionelles Team am Werk. Ob ein Staat hinter der Gruppe steckt, darüber will Kalnai nicht mutmaßen.

Laufende Ermittlungen

Ein Pressesprecher der Renk AG wollte den Vorfall auf Anfrage weder bestätigen noch dementieren. Nicht immer könne verhindert werden, heißt es allgemein, dass Mitarbeiter auf Mitarbeiter schädlichen Mails zum Opfer fielen. "Für den Fall, dass es Hackern gelingt, die ersten Hürden zu nehmen, stehen uns im mehrstufigen Verteidigungsmodell sowohl die technischen als auch personellen Ressourcen zur Verfügung, um effektiv dagegen vorzugehen." Rheinmetall teilte mit, sich nicht zum Vorfall äußern zu können - aufgrund von laufenden Ermittlungen.

Ein Pressesprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI) teilte mit, dass die Hacker von "Lazarus" mit dem Mittel der Cyberspionage versuchten, "technologische oder unternehmerisch relevante Informationen zu stehlen". Die Gruppe zeichne sich dadurch aus, dass sie offenbar über ein großes Arsenal an Schadprogrammen verfüge und dieses kontinuierlich weiterentwickle.

BSI gibt sich bedeckt

Generell heißt es, dass das BSI im Zuge des Austausches im Cyber-Abwehrzentrum - in dem auch das Bundesamt für Verfassungsschutz, der Bundesnachrichtendienst und das Bundeskriminalamt vertreten sind - Kenntnis "von Cyber-Angriffen auf Unternehmen der Rüstungsindustrie erlangt" habe. Zu Tätern und betroffenen Unternehmen wolle man sich nicht äußern.

IT-Sicherheitsforscher Kálnai von Eset geht davon aus, dass die Kampagne weitergehe. Doch mittlerweile habe sich der Fokus der Hacker erweitert. Im Rahmen der Corona-Pandemie nehme "Lazarus" nun Unternehmen der Pharma-Industrie ins Visier. Über das Vorgehen berichtete zuletzt die Nachrichtenagentur Reuters, Ziel der Hacker könnte es sein, an Informationen über Corona-Impfstoffe zu gelangen.