Bochum. Nach Thyssenkrupp und Bayer wurden mindestens vier weitere Dax-Konzerne von der Hackergruppe Winnti attackiert. Das entdeckten Bochumer Experten.

Neben Thyssenkrupp und Bayer hat die „Winnti“ genannte Hacker-Gruppe mindestens vier weitere Dax-Konzerne attackiert. Das habe ein Team des Horst-Görtz-Instituts für IT-Sicherheit der Ruhr-Universität Bochum aufgedeckt, erklärte dessen Leiter Thorsten Holz am Mittwoch. Insgesamt seien die Netze von mindestens einem Dutzend Firmen von der Spähsoftware Winnti betroffen, im Fokus stehen Holz zufolge Unternehmen der chemischen Industrie, der Pharmaindustrie, der Halbleiter-Branche sowie Telekommunikationskonzerne und Hersteller von Computerspielen.

„Winnti operiert vermutlich seit mindestens zehn Jahren aus China heraus und späht Unternehmen weltweit aus“, erklärte der Bochumer Experte. Er wurde bereits von Bayer zu Rate gezogen, als die Leverkusener Anfang 2018 die Cyber-Attacke bemerkten. Seine neuen Analysen stellte Holz dem BR und NDR zur Verfügung.

Siemens, Covestro und Henkel bestätigen Attacke

Siemens, Henkel und Covestro bestätigten am Mittwoch, von „Winnti“ angegriffen worden zu sein. BASF erklärte, 2015 einen Angriff abgewehrt zu haben, nannte aber keinen Namen. Alle Konzerne Unternehmen betonen, die Angreifer hätten nach ihren Erkenntnissen keine wichtigen Daten entwendet.

Auch interessant

07.02.2019, Nordrhein-Westfalen, Wuppertal: Unter dem Bayer Kreuz am Werk in Wuppertal fahren Fahrzeuge hindurch. Der Bayer Konzern legt am 27.02.2019 seine Jahresbilanz vor. Foto: Oliver Berg/dpa +++ dpa-Bildfunk +++
Hackergruppe Winnti attackiert nach Thyssenkrupp auch Bayer
Von Stefan Schulte

Die Infektion mit der Schadsoftware erfolge oft über Phishing-Mails, so Holz. Klickt ein Nutzer auf einen Link in einer solchen Mail, installiert sich die Winnti-Software auf dem System. Auf einem infizierten Server verstecke sich die Software, bis sie von außen aktiviert werde und etwa Daten aus dem Firmennetzwerk an die Angreifer sende.

Bereits die dritte Generation des Spähprogramms

Inzwischen gebe es bereits drei Generationen der Winnti-Software, so Holz, der sich mit seinem Team auf die Analyse von Binärcodes spezialisiert hat. Das Spähprogramm sei wie ein Baukasten aufgebaut. „Daraus kann die Gruppe dann für den jeweiligen Zweck und die Opferfirma die passende Schadsoftware zusammensetzen.“

Die Datenströme vor allem von Industrieunternehmen interessieren die Hackergruppe Winnti.
Die Datenströme vor allem von Industrieunternehmen interessieren die Hackergruppe Winnti. © dpa-tmn | Ole Spata

Bayer hatte Anfang April die Winnti-Attacke bestätigt. Der Pharma- und Chemiekonzern gab an, sie bereits Anfang 2018 entdeckt und anschließend zunächst beobachtet zu haben. Wie lange das Firmennetz bereits infiziert war, konnte Bayer nicht feststellen. Ende März 2019 seien alle Systeme bereinigt gewesen. Daten seien nicht abgeflossen, hieß es aus Leverkusen.

Dem Bochumer Horst-Görtz-Institut zufolge bestand bei Bayer keinerlei Zweifel, dass die Urheber aus der von deutschen Sicherheitsbehörden in China vermuteten Hackergruppe Winnti stammten. „Das Produktionsprotokoll der Schadsoftware ist identisch mit dem, das bei Thyssenkrupp gefunden wurde“, sagte seinerzeit IT-Experte Holz unserer Redaktion.

Sechsmonatige Abwehrschlacht bei Thyssenkrupp

Der Essener Industriekonzern hatte Ende 2016 bekannt gegeben, einen massiven Cyberangriff abgewehrt zu haben. Ziel der Industriespionage war laut Thyssenkrupp seinerzeit vor allem die Anlagenbausparte Industrial Solutions. Mehrere Standorte in Europa, Indien, Argentinien und in den USA seien angegriffen worden, hieß es damals. In der Stahlsparte griffen die Hacker das Walzwerk Hohenlimburg in Hagen an. Auch Thyssenkrupp hatte damals nach der sechsmonatigen Abwehrschlacht ausgeschlossen, dass sensible Daten, etwa aus dem Marinebereich gestohlen worden sein könnten.