Hackergruppe Winnti attackiert nach Thyssenkrupp auch Bayer

Der Bayer-Konzern ist Opfer eines Hackerangriffs geworden. © Oliver Berg/dpa

Essen/Leverkusen. . Hacker haben das Firmennetzwerk von Bayer mit Schadsoftware angegriffen. Der Konzern bestätigte die Attacke. Die Staatsanwaltschaft ermittelt.

Mit dem Bayer-Konzern ist erneut ein Dax-Riese von einer hochprofessionellen Hackergruppe angegriffen worden, deren Financiers und Urheber von deutschen Sicherheitsbehörden in China vermutet werden. Wie hoch der Schaden ist und ob sensible Daten gestohlen wurden, ist dem Pharma- und Agrarchemiekonzern zufolge noch unklar. Bayer hat Anzeige erstattet, die Staatsanwaltschaft Köln ermittelt, wollte sich zum Stand aber noch nicht äußern.

Die offenkundig auf Hightech-Unternehmen spezialisierten Datendiebe hatten 2016 bereits den Essener Industriekonzern Thyssenkrupp attackiert und in einen sechsmonatigen Abwehrkampf verwickelt. Bayer brauchte noch länger, entdeckte die Cyber-Attacke bereits Anfang 2018, ohne rückverfolgen zu können, seit wann das Netzwerk infiziert war, wie ein Konzernsprecher unserer Redaktion sagte. Seit Ende März 2019 seien alle Systeme bereinigt. Dass dies 15 Monate gedauert habe, liege auch daran, dass die konzerneigene IT-Sicherheit zusammen mit der Deutschen Cyber-Sicherheitsorganisation DCSO bewusst die Aktivitäten beobachtet habe. Bis Ende März seien „die Angreifer nach unseren Erkenntnissen nicht aktiv geworden, um Informationen auszuleiten“, hieß es.

Bei der Schadsoftware, die sich Zugriff auf Unternehmensnetzwerke verschafft und nach Wegen sucht, wertvolle Daten herauszuschleusen, handelt es sich um das komplexe Spähprogramm namens „Winnti“. Daran besteht laut dem Horst-Görtz-Institut für IT-Sicherheit an der Ruhr-Universität Bochum kein Zweifel. Es hat nach eigener Aussage neben anderen Experten „Winnti bei Bayer auf mehreren infizierten Servern verifiziert“, sagte Thorsten Holz dieser Zeitung. „Das Produktionsprotokoll der Schadsoftware ist identisch mit dem, das bei Thyssenkrupp gefunden wurde“, erklärt der Leiter des Lehrstuhls für Systemsicherheit.

Was das Industriespionage-Programm im Bayer-System angerichtet hat und wie groß der entstandene Schaden ist, bleibt vorerst unklar. Es seien „insbesondere Systeme an der Schnittstelle vom Intranet zum Internet infiziert“ worden, teilte Bayer mit. Die Angreifer hätten „von dort aus versucht Zugang zu weiteren Systemen zu erhalten.“ Der Konzern spricht von einem „signifikanten Angriffsversuch auf das Unternehmen“, den man sehr ernst nehme. Dass kein Diebstahl festgestellt wurde, gibt allerdings keine Sicherheit, dass auch keiner stattgefunden hat.

Das Programm spioniert das Intranet aus

Informatiker Holz erklärt, wie Winnti funktioniert: Angreifer nutzen das Programm, um sich nach einem erfolgreichen Einbruch in einem Netzwerk zu verstecken. Das typische Ziel sei es, möglichst unentdeckt zu bleiben und interessante Daten aus dem Intranet aufzuspüren, die dann von den Angreifern heruntergeladen werden können.

Über den Angreifer kann bisher nur spekuliert werden. Das Bundesamt für Verfassungsschutz hatte zu Jahresbeginn vor zunehmender chinesischer Wirtschaftsspionage und dem fast unbegrenzten Spielraum des chinesischen Geheimdienstes gewarnt. Dass auch die Winnti-Attacken aus China erfolgten, glauben viele Experten, können es aber nicht nachweisen. Winnti sei zwar eine Art von Software, wie sie chinesische Gruppen häufig nutzten. Der aktuelle Angreifer und Auftraggeber könne aber auch aus den USA oder einem anderen Land kommen, meint Holz. Das sicher festzustellen, sei kaum möglich.

Industriespionage als „Wirtschaftsförderung“

Thorsten Urbanski, Security-Spezialist des IT-Sicherheitsherstellers Eset, betont: „Manche Staaten begreifen Industriespionage in der Tat als eine Art Wirtschaftsförderung.“ Er rät aber von voreiligen Schlüssen ab. Denn gerade wenn Staaten und ihre Geheimdienste in derlei Spähattacken involviert seien, könnten Fährten auch immer von interessierter Gegenseite gelegt worden sein.

Es gebe kein Unternehmen, das nicht permanent angegriffen werde. Der Hack auf Bayer sei aber gezielt und von langer Hand vorbereitet worden. Im Durchschnitt dauere es 180 Tage, bis Unternehmen eine Attacke bemerkten, „und viele bemerken sie nie – die Dunkelziffer ist riesig“, so Urbanski. US-Auswertungen zur Cyber-Kriminalität, die übers Darknet in Auftrag gegeben wird, beleuchten einen riesigen Markt. „Mit Online-Kriminalität wird weltweit mehr Geld umgesetzt als im Drogenhandel.“

Die Spanne sei enorm: Kreditkarten-Datensätze seien ab zwei Dollar zu haben, Angriffe auf Unternehmen für sechs- bis siebenstellige Summen, sagt Urbanski. Entscheidend sei dabei gar nicht so sehr die Größe eines Unternehmens, sondern welchen Wert sein Wissen für den Angreifer habe.

Der Bochumer Sicherheits-Software-Hersteller GData beobachtet, dass auch Mittelständler immer gezielter mit auf sie abgestimmter Software attackiert werden. „Die Zahl der Angriffe, vor allem aber ihre Qualität nimmt zu“, sagt Sicherheitsexperte Tim Berghoff. Mal stehlen die Angreifer Patente und Entwürfe, um etwa neue Produkte zu kopieren. Mal nutzen sie diese aber auch zu klassischer Erpressung von Lösegeld für gesperrte Daten, warnt er.

Attacken wie die auf Bayer seien besonders professionell vorbereitet, schließlich wüssten die Angreifer um die ebenfalls hochqualifizierten Abwehrabteilungen der Konzerne. Aber sie hätten einen großen Vorteil: „Wenn staatliche Gruppen im Spiel sind, verfügen die Hackergruppen fast unbegrenzt über Zeit, Geld und Personal.“