Security Mehrere Dax-Konzerne von Hackerangriff betroffen

Über Cyberangriffe sprechen Unternehmen nur ungern. Jetzt wurde eine große Angriffswelle bekannt, die sich gegen die Firmennetzwerke von mindestens acht deutschen Unternehmen richtete.

Mehrere deutsche Konzerne sind in der Vergangenheit von Hackern ausgespäht worden. Nach Recherchen von Bayerischem Rundfunk (BR) und Norddeutschem Rundfunk (NDR) waren mindestens acht deutsche Unternehmen von dem Cyber-Angriff betroffen, darunter sechs Dax-Konzerne. Zudem sei rund ein Dutzend weiterer Unternehmen aus dem Ausland attackiert worden.

Der Industrie-Konzern Siemens bestätigte am Mittwoch auf Anfrage, Anfang Juni 2016 Ziel eines Hacker-Angriffs gewesen zu sein. »Wir haben nach ausführlichen Analysen bis heute keine Hinweise darauf, dass bei diesem Angriff Daten abgeflossen sind«, sagte ein Konzernsprecher. Beim Kunststoffhersteller Covestro hieß es, man sei ebenfalls betroffen gewesen: »Es gab den Versuch, uns auszuspähen.« Es sei aber zu keinem Datenabfluss gekommen.

Anfang April hatte der Chemie-Riese Bayer bestätigt, Opfer eines Cyber-Angriffs gewesen zu sein. Bereits seit Anfang 2018 habe es Anzeichen dafür gegeben, dass das Firmennetzwerk mit Schadsoftware der »Winnti« genannten Hackergruppe angegriffen wurde.

Gefälschte Zertifikate

IT-Sicherheitsexperten und deutsche Sicherheitsbehörden vermuten, dass die Gruppe aus China stammt. Gesicherte Erkenntnisse darüber, wer sich dahinter verbirgt, gibt es allerdings nicht. Die Hackergruppe soll 2016 auch hinter einer Attacke gegen Thyssenkrupp gesteckt haben.

Die Hackergruppe wird schon seit 2011 von IT-Sicherheitsexperten von Kaspersky Lab beobachtet. Anfangs richtete sich deren Aktivität gegen Spielehersteller und Online-Spieler mit dem Ziel, Spielgeld abzugreifen. Die Masche von »Winnti« beruht u.a. auf der Fälschung von digitalen Zertifikaten. So gelang es den Hackern, über reguläre Update-Kanäle Malware auf die Computer der Opfer zu übertragen. Die Malware bestand aus einem gefälschten Treiber mit einer gültigen Signatur. In einer DLL Library des Treibers befand sich eine Hintertür, über die ein Fernwartungstool gestartet werden konnte. So hatten die Hacker Zugriff auf den Computer des Opfers, ohne dass dieses etwas davon bemerkte. Während der Untersuchung konnte Kaspersky mehr als hundert Varianten der von »Winnti« verbreiteten Schadsoftware identifizieren. Diese wurden jeweils individuell compiliert, um ein bestimmtes Unternehmen anzugreifen. Jedem Zielunternehmen wurden eigene Befehls- und Kontrolldomänen zugewiesen.

Das zeigt: Die Hackgruppe arbeitet hochprofessionell, Angriffe werden in der Regel überhaupt erst spät bemerkt. Nach der anfänglichen Konzentration auf Netzwerke für Online-Spiele hat sich der Fokus der Hacker inzwischen erweitert. Vermehrt sind große Industrie-Unternehmen, aber auch der Mittelstand in Deutschland zur Zielscheibe geworden.