Datendiebstahl ThyssenKrupp bestätigt massiven Cyberangriff

Unbekannte sind in die Computer des ThyssenKrupp-Konzerns eingedrungen. Der Angriff wurde eher zufällig entdeckt, die Abwehr dauerte Monate.
ThyssenKrupp-Zentrale

ThyssenKrupp-Zentrale

Foto: thyssenKrupp

Der Industriekonzern ThyssenKrupp ist Ziel einer großangelegten Cyberattacke geworden. Ein Sprecher des Unternehmens bestätigte am Donnerstag einen entsprechenden Bericht der "Wirtschaftswoche ". Demnach ist es den offenbar gut organisierten Angreifern bereits im Frühjahr gelungen, in die IT-Systeme des Unternehmens einzudringen.

Die Unbekannten hätten technologisches Know-how und Forschungsergebnisse in einigen Bereichen der Anlagenbautochter Industrial Solutions und der europäischen Stahlsparte entwenden wollen. Es sei unklar, ob durch den Datenabfluss ein Schaden, etwa geistigen Eigentums, entstanden sei. Der Konzern habe Anzeige erstattet.

"Es handelte sich um einen professionellen Angriff", erklärte das Unternehmen. Die Attacken konnten dem Bericht zufolge erst nach einer "sechsmonatigen Abwehrschlacht" erfolgreich abgewehrt werden. Den Eindringlingen sei allerdings dennoch gelungen, Informationen aus den Netzwerken des Konzerns abzugreifen.

Keine Spionage

Aufgefallen sei dies, nachdem es mehrere fehlerhafte Anmeldeversuche auf einem Server gegeben habe. Speziell abgesicherte IT-Systeme für besonders kritische Bereiche wie die für den U-Boot-Bau zuständige Sparte Marine Systems oder die Produktions-IT der in Duisburg betriebenen Hochöfen und Kraftwerke seien nicht betroffen gewesen.

Anhaltspunkte für Sabotage seien nicht entdeckt worden, erklärte der Konzern. Es gebe auch keine Hinweise auf eine Manipulation von Daten oder Applikationen. "Es wurde festgestellt, dass über die betroffenen Bereiche Daten-Fragmente gestohlen worden sind. Der Inhalt des Datenabflusses ist mit Ausnahme bestimmter Projektdaten in einer operativen Einheit aus dem Bereich Anlagenbau bisher noch nicht bekannt."

Die Angreifer versuchen es immer noch

Forensische Analysen hätten ergeben, dass die Täter aller Voraussicht nach "mit staatlicher Hilfe und den besten Angriffstechniken hochgerüstet" gewesen seien, wie die Zeitschrift in ihrer aktuellen Ausgabe berichtet. Aus den Uhrzeiten, zu denen die Angriffe durchgeführt wurden, schloss die firmeninterne IT-Abwehr, dass die Angreifer ihren Ursprung in China oder einem anderen Land in Südostasien haben.

Die Angreifer hatten sich demnach nahezu perfekt getarnt und richteten in den IT-Systemen des Unternehmens Hintertüren ein, um über diese zu einem späteren Zeitpunkt auf Unternehmensrechner zuzugreifen. Dem 18-köpfigen Sicherheitsteam des Konzerns gelang es dennoch, den Angriff aufzuspüren.

"Wir fanden eine winzige Stecknadel im Heuhaufen", sagte der Leiter des Teams der "Wirtschaftswoche". "Und das auch nur deshalb, weil wir gezielt danach suchen und Anomalien konsequent nachgehen."

Seit der erfolgreichen Abwehr Ende Oktober hätten die Cyberangreifer weiter wiederholt versucht, sich erneut Zugang zu verschaffen, seien aber an den erhöhten Schutzwällen bisher gescheitert. Das sei aber nur eine Frage der Zeit.

mak/dpa/Reuters