Neue Erkenntnisse zu Winnti Hacker griffen mindestens sechs Dax-Konzerne an

BASF, Bayer, Covestro: Auf der Liste der nachweislichen Ziele der Hackergruppe Winnti stehen die bekanntesten Firmen der deutschen Chemie- und Pharmabranche. Herausgefunden haben das Journalisten von NDR und BR.

"Keine Hinweise darauf, dass Daten abgeflossen sind": Zentrale der Siemens AG in München
DPA

"Keine Hinweise darauf, dass Daten abgeflossen sind": Zentrale der Siemens AG in München


Eine Hackergruppe, die Winnti genannt wird, hat noch mehr deutsche Unternehmen angegriffen, als bisher bekannt. Das haben Journalisten des Bayerischen Rundfunks (BR) und des Norddeutschen Rundfunk (NDR) zusammen mit IT-Sicherheitsforschern herausgefunden.

Demnach sind mindestens acht deutsche Unternehmen betroffen gewesen, darunter sechs Dax-Konzerne. Bekannt waren bisher Vorfälle bei Bayer und ThyssenKrupp sowie TeamViewer. Laut dem Bericht von BR und NDR hat Winnti mit der gleichnamigen Schadsoftware schon im Jahr 2011 die Spielefirma Gameforge gehackt, außerdem Siemens, BASF, Henkel und Covestro, also vor allem Chemie- und Pharmaunternehmen. Zudem seien rund ein Dutzend weiterer Unternehmen aus dem Ausland attackiert worden, darunter auch der Schweizer Pharmakonzern Roche.

Erstmals war die Hackergruppe im Oktober 2011 von Kaspersky Lab enttarnt worden. Sie gilt als hochprofessionell, Angriffe werden in der Regel erst spät bemerkt. Zunächst hatte sich die Gruppe nach Einschätzung von Experten auf Netzwerke für Onlinespiele spezialisiert und dort Spielgeld, digitale Zertifikate und Nutzerdaten abgegriffen.

Inzwischen sind vermehrt große Industrie-Unternehmen zur Zielscheibe geworden, genau wie der Mittelstand in Deutschland. Dafür gibt es offenbar eine spezialisierte, zweite Winnti-Gruppe.

Deren Opfer in Deutschland waren der Öffentlichkeit bisher größtenteils unbekannt. Die Journalisten des BR und des NDR haben aber IT-forensische Belege für die Angriffsversuche entdeckt. Vereinfacht gesagt bekamen sie einen Tipp, wie ein verräterisches Detail der Winnti-Schadsoftware aussieht. Damit konnten sie in der zu Google gehörenden Schadsoftware-Datenbank Virustotal nach Varianten von Winnti suchen. In den Treffern fanden sie hart codierte, letztlich also namentlich genannte Ziele von Servernamen bis Unternehmensnamen. Außerdem simulierten sie mit einer speziellen Software gewisse Steuerbefehle für Winnti, mit denen die Täter ihre in Firmennetze eingeschmuggelte Schadsoftware ansprechen. Diese spezielle Software ließen die Journalisten in einem sogenannten Nmap-Scan über die bekannten IP-Adressbereiche deutscher Firmen laufen. Bekamen sie eine Antwort, wussten sie, dass Winnti im Netzwerk der entsprechenden Firma installiert ist.

Zwar sagen die Recherchen nichts über den Erfolg oder Misserfolg der Hacker aus, also darüber, ob die Täter wertvolle Informationen auslesen konnten. Aber mit ihren Erkenntnissen konnten die Journalisten die Unternehmen konfrontieren und zu einer Reaktion bewegen.

Winnti wird in China vermutet

Siemens bestätigte dann auch, Anfang Juni 2016 Ziel eines Hackerangriffs gewesen zu sein. "Wir haben nach ausführlichen Analysen bis heute keine Hinweise darauf, dass bei diesem Angriff Daten abgeflossen sind", sagte ein Konzernsprecher. Beim Kunststoffhersteller Covestro hieß es, man sei ebenfalls betroffen gewesen: "Es gab den Versuch, uns auszuspähen." Es sei aber zu keinem Datenabfluss gekommen.

BASF teilte mit, dass es Hackern im Juli 2015 gelungen sei, "die ersten Ebenen" der Verteidigung zu überwinden. "Als unsere Experten feststellten, dass der Angreifer versuchte, die nächsten Verteidigungsebenen zu überwinden, wurde der Angreifer sofort und koordiniert aus dem BASF-Netzwerk entfernt."

Von Henkel hieß es laut BR: "Die Cyber-Attacke wurde im Sommer 2014 entdeckt, und Henkel hat schnell alle notwendigen Maßnahmen eingeleitet." Ein "sehr kleiner Teil" der weltweiten IT-Systeme sei betroffen gewesen, gemeint sind die Systeme in Deutschland. Es gebe keine Hinweise darauf, dass sensible Daten an die Täter ausgeleitet worden seien.

Bereits Anfang April hatte Bayer bestätigt, Opfer eines Cyberangriffs gewesen zu sein: Bereits seit Anfang 2018 habe es Anzeichen dafür gegeben, dass das Firmennetzwerk von Winnti angegriffen wurde.

IT-Sicherheitsexperten und deutsche Sicherheitsbehörden vermuten, dass die Hackergruppe aus China stammt und wahrscheinlich von staatlichen Stellen organisiert oder beauftragt wird. Gesicherte Erkenntnisse darüber, wer sich dahinter verbirgt, gibt es allerdings nicht.

Hinweis: In einer früheren Fassung dieses Artikels wurde Roche zu den betroffenen deutschen Pharmakonzernen gezählt. Roche ist aber ein Schweizer Unternehmen, die Passage wurde korrigiert.

pbe/dpa



insgesamt 10 Beiträge
Alle Kommentare öffnen
Seite 1
labuday 24.07.2019
1. Ziel von Hackergruppen sind ungefähr 10 Millionen Firmen auf der Welt,
meistens aber erfolglos.
deepocean 24.07.2019
2. ..... erratum!
Roche ist ein Schweizer Unternehmen.... ;-)
sozialismusfürreiche 24.07.2019
3. irgendwas passt nicht zusammen
Wenn auch vor kurzem noch Antworten auf gefakt-gesendete Steuerbefehle kamen, dann ist die Schadsoftware doch noch aktiv. Wie kann es dann sein, dass die Firmen das alles in die weite Vergangenheit wie 2014 / 2015 in ihren Aussagen legen?
Klaus David 24.07.2019
4. Schon klar
Aus dem Artikel: "IT-Sicherheitsexperten und deutsche Sicherheitsbehörden vermuten, dass die Hackergruppe aus China stammt und wahrscheinlich von staatlichen Stellen organisiert oder beauftragt wird. Gesicherte Erkenntnisse darüber, wer sich dahinter verbirgt, gibt es allerdings nicht." Vermutet wird grundsätzlich in östliche Richtung. Das zumindest hat System. :)
Patrick Beuth (SPON-Redakteur) 24.07.2019
5. @ deepocean
Sie haben recht, ich habe die Passage soeben korrigiert und kenntlich gemacht.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.