Essen. . Thyssen-Krupp musste einen massiven Hacker-Angriff abwehren. Die Chancen, die Täter zu fassen, sind gering.

Hacker-Angriffe auf Großkonzerne gehören mittlerweile zum Alltag – und doch war diese Attacke auf Thyssen-Krupp nicht alltäglich. „Das Angriffsmuster lässt auf einen professionellen Angreifer mit großen Ressourcen schließen“, erklärte der Essener Industriekonzern. Die Tageszeiten der Aktivitäten der Hacker legten den Verdacht nahe, dass sich die Angreifer im südostasiatischen Raum befinden.

Ziel der Spionage war vor allem die Thyssen-Krupp-Anlagenbausparte Industrial Solutions. Mehrere Standorte in Europa, Indien, Argentinien und in den USA sollen betroffen gewesen sein. In der Stahlsparte griffen die Hacker das Walzwerk Hohenlimburg in Hagen an.

Zu Industrial Solutions gehört auch der Marineschiffbau mit militärisch sensiblen Informationen zur Konstruktion von ­U-Booten. Thyssen-Krupp schließt allerdings aus, dass Geheiminformationen aus diesem Bereich abgeflossen sind. Auch speziell abgesicherte Systeme für Bereiche wie die Produktions-IT der in Duisburg betriebenen Hochöfen und Kraftwerke seien nicht betroffen gewesen, betonte das Unternehmen. Von Sabotage mit Auswirkungen auf die Produktion sei nicht auszugehen.

Entdeckt hat Thyssen-Krupp den Angriff bereits im April dieses Jahres. Zu diesem Zeitpunkt sei der Angreifer schon seit Februar 2016 im Netzwerk des Konzerns gewesen sei. Seit April sei die Lage fortlaufend von der konzerneigenen IT-Sicherheitszentrale CERT („Computer Emergency Response Team“) beobachtet und analysiert worden. Der Konzernvorstand um Heinrich Hiesinger sei frühzeitig und laufend informiert worden.

Im August habe Thyssen-Krupp dann die Datensysteme des Standorts Hohenlimburg bereinigt, im Oktober folgte die Anlagenbausparte weltweit. Nach einer „sechsmonatigen Abwehrschlacht“ seien die Attacken erfolgreich abgewehrt worden. Die Angreifer ließen seit Oktober zwar nicht locker, die inzwischen errichteten höheren Schutzwälle hätten sie aber nicht überwinden können.

Dass der Gegenangriff so lange auf sich warten ließ, habe Gründe gehabt. Es gehe in einer derartigen Situation darum, zunächst die Präsenz des Angreifers im weltweiten Netzwerk genau einzugrenzen und ihn dann in einer Aktion gleichzeitig von allen betroffenen Computer-Servern zu entfernen. „Einzelmaßnahmen würden den Angreifer frühzeitig warnen. Dies wiederum hätte zur Folge, dass er sich ,schlafen legt’ oder aber den Angriff in Richtung Sabotage oder Erpressung eskaliert“, heißt es im Konzern. Aus diesem Grund sei am Standort Hohenlimburg auch ein Produktionsstillstand als für den Angreifer „plausibler Hintergrund“ für einen Neustart der dortigen Server gewählt worden.

Derzeit könne nicht verlässlich eingeschätzt werden, ob durch den Angriff ein Schaden entstanden sei – etwa ein Verlust geistigen Eigentums. Es sei aber klar, dass Daten-Fragmente gestohlen worden seien. Der Inhalt des Datenabflusses sei noch weitgehend unbekannt. Die Ermittlungen laufen. Thyssen-Krupp hatte beim Landeskriminalamt NRW Strafanzeige erstattet. Große Hoffnungen, dass die Täter gefasst werden, gibt es offenbar nicht. Die Chancen seien gering, da der Angriff offensichtlich aus dem außereuropäischen Ausland kam.