Computer und Aufforderung, Passwort einzugeben | Bildquelle: dpa

Industriespionage Hacker greifen mehrere Dax-Konzerne an

Stand: 24.07.2019 08:47 Uhr

BASF, Siemens, Henkel: Weltweit waren Unternehmen jahrelang Angriffen einer mutmaßlich chinesischen Hackergruppe ausgesetzt. Recherchen von BR und NDR ergeben, dass die Gruppe auch politische Ziele angriff.

Von Hakan Tanriverdi, Maximilian Zierer, Rebecca Ciesielski (BR), Svea Eckert, Jan Lukas Strozyk (NDR)

Eine Hackergruppe hat offenbar in großem Umfang deutsche Unternehmen ausgespäht. Recherchen von BR und NDR haben ergeben, dass mindestens acht deutsche Unternehmen betroffen sind, darunter sechs Dax-Konzerne. Zudem wurden rund ein Dutzend weiterer Unternehmen aus dem Ausland angegriffen.

Betroffen sind die Chemie- und Pharmabranche, aber mutmaßlich auch Telekommunikationsanbieter und eine Fluglinie. Auch auf eine Hotelkette bereiteten die Hacker Angriffe vor.

Hakan Tanriverdi, BR, über die Recherche der Hackerangriffe auf deutsche Konzerne
tagesschau24 11:00 Uhr, 24.07.2019

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Technische Analyse offenbart Angriffe

Eine technische Analyse von BR und NDR zeigt, dass die Gruppe mutmaßlich unter anderem gegen den Waschmittelhersteller Henkel, Siemens, die Chemiekonzerne BASF sowie Covestro und den Schweizer Pharma-Riesen Roche aktiv war.

BR und NDR fanden zudem infizierte Systeme der Fluglinie Lion Air aus Indonesien und Spuren eines Angriffsversuchs auf die US-Hotelkette Marriott. Indizien, etwa die für den Angriff eingesetzten Computer, deuten darauf hin, dass es sich bei den Angreifern um eine staatlich unterstützte Gruppe aus China handelt. IT-Sicherheitsforscher haben der Gruppe den Namen Winnti gegeben.

Henkel bestätigte den Vorfall auf Anfrage. Das Unternehmen teilte mit, dass man keine Hinweise darauf habe, dass die Angreifer Firmengeheimnisse kopieren konnten. Auch BASF, Covestro und Siemens bestätigten, dass sie attackiert wurden.

Alle drei Unternehmen sagten, man habe die Hacker aus den Netzen entfernen können. Man habe keine Hinweise, dass sensible Daten abgegriffen wurden. Roche antwortete nur pauschal auf eine Anfrage, dass man IT-Sicherheit ernst nehme. Die übrigen Unternehmen ließen eine Anfrage bisher unbeantwortet.

Spähangriff auf Dax-Unternehmen
tagesschau24 11:00 Uhr, 24.07.2019, S. Eckert, NDR, H. Tanriverdi, BR, M. Zierer, BR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Teile des Schadcodes untersucht

Zu den weiteren mutmaßlich von Winnti befallenen Konzernen gehört offenbar der US-amerikanische Softwarehersteller Valve, der für die Spieleplattform Steam bekannt ist. Das legen Spuren im Schadcode nahe. Auch zwei japanische Industriekonzerne, Shin-Etsu und Sumitomo, wurden offenbar von der Gruppe attackiert. Die Unternehmen antworteten auf Anfragen nicht.

BR und NDR berichteten bereits im April, wie der Chemie-Konzern Bayer von der Gruppe ausgespäht wurde. Schon im Jahr 2016 war ThyssenKrupp erfolgreich von Winnti angegriffen worden. Der "Spiegel" hatte zudem berichtet, dass das deutsche Softwarehaus Teamviewer Opfer von Winnti gewesen sei.

Um die betroffenen Unternehmen ausfindig zu machen, analysierten Reporter von BR und NDR Teile des Schadcodes, sogenannte Samples, mit dessen Hilfe sich die Hacker Zugang zu den Systemen der Konzerne verschafft haben. Ein Ergebnis der Analyse war, dass die Hacker innerhalb des Codes offenbar eine Art Hinweis hinterlassen, gegen welchen Konzern das Programm eingesetzt werden soll.

IT-Sicherheitsexperten sprechen von einer Kampagne gegen ein Unternehmen oder gegen eine ganze Branche. Diese Kampagnenhinweise konnten mit Hilfe von Forschern der Ruhr-Universität Bochum entschlüsselt werden. Inwiefern durch die Angriffe Daten der betroffenen Unternehmen kopiert wurden, geht aus der Analyse nicht hervor.

Hacker griffen auch politische Ziele an

Zuletzt gingen die Winnti-Hacker wohl dazu über, ihr Aufgabengebiet um politische Spionage zu erweitern. So fanden BR und NDR heraus, dass IT-Systeme der Regierung von Hongkong mit der Schadsoftware infiziert waren. Ein Regierungssprecher bestätigte den Vorfall auf Anfrage.

Anti-Viren-Hersteller und Sicherheitsexperten beobachten die Gruppe Winnti schon seit einigen Jahren. Mehrere Personen, mit denen Reporter von BR und NDR sprechen konnten, gehen davon aus, dass die Hacker aus China heraus arbeiten. Mehrere Dax-Konzerne, darunter auch BASF und Bayer, gründeten im Oktober 2016 die Deutsche Cybersicherheitsorganisation (DCSO), um sich im Kampf gegen Hacker auszutauschen. 

Forscher der Ruhr-Uni Bochum konnten Kampagnenhinweise entschlüsseln.
galerie

Mithilfe von Forschern der Ruhr-Uni Bochum konnten Kampagnenhinweise entschlüsselt werden.

Experten sprechen von "Söldnertruppe"

Die DCSO spricht im Fall von Winnti von einer "Söldnertruppe", die dem chinesischen Staat nahestehen soll. Man beobachte die Truppe schon sehr lang, "so dass wir aus ganz vielen Indizien sagen können, dass Winnti mit einer hohen Wahrscheinlichkeit chinesisch beziehungsweise chinesisch gesteuert ist", sagte ein Sprecher. 

Die Hacker gehen dabei arbeitsteilig und koordiniert vor, darauf deuten auch die Kampagnenhinweise im Schadcode hin. Ein Forscher des Anti-Virus-Anbieters Kaspersky konnte den Spitznamen eines mutmaßlichen Winnti-Hackers mit Hilfe von dessen Aktivitäten in Internetforen identifizieren.

Mutmaßlicher Winnti-Hacker in USA angeklagt

Gegen einen Chinesen, der denselben, sehr ungewöhnlichen Spitznamen verwendete, läuft aktuell ein Verfahren wegen Computerkriminalität in den USA. Er soll auch in diesem Fall - ein Angriff auf einen Hersteller von Gasturbinen - die Schadsoftware von Winnti eingesetzt haben. Die US-Ermittler gehen in ihrer Anklage davon aus, dass der Mann vom chinesischen Staat beauftragt wurde.

Viele der Hinweise, die nach China deuten, sind allerdings schon einige Jahre alt. Inwiefern sich die aktuellen, zum Teil bis Mitte 2019 reichenden Angriffe damit Hackern aus dem Land technisch zuordnen lassen, ist unklar. Mitarbeiter einer deutschen Sicherheitsbehörde warnen davor, dass es theoretisch auch möglich wäre, dass andere Akteure die ursprüngliche Winnti-Gruppe bewusst imitieren.

Bundesregierung nimmt Vorfälle sehr ernst

Das chinesische Außenministerium und die chinesische Botschaft in Berlin ließen Anfragen zu Winnti unbeantwortet. Das Bundesinnenministerium erklärte auf Anfrage, der Bundesregierung seien aus den vergangenen Jahren einige Winnti-Fälle bei deutschen Unternehmen bekannt. Zu den einzelnen Vorfällen wolle man sich nicht äußern.

Generell seien Hackerangriffe "als wichtige Methode der Informationsgewinnung für ausländische Nachrichtendienste fest etabliert und werden zur Durchführung von Wirtschaftsspionage eingesetzt", teilte ein Sprecher mit. Diese Angriffe seien kostengünstig, in Realzeit durchführbar und besäßen eine hohe Erfolgswahrscheinlichkeit.

"Ernsthafte politische oder strafrechtliche Risiken bestehen für die Angreifer aufgrund vielfältiger Verschleierungsmöglichkeiten nicht", sagte das Innenministerium. Die Bundesregierung nehme die Bedrohung durch Hacker, unabhängig von deren Ursprung, sehr ernst.

Über dieses Thema berichtete Inforadio am 24. Juli 2019 um 06:10 Uhr.

Darstellung: