Hackerangriff auf Thyssenkrupp: "Winnti" spioniert deutsche Wirtschaft aus
Der massive Spionageangriff auf den Thyssenkrupp geht nach Informationen der WirtschaftsWoche aus IT-Sicherheitskreisen offenbar auf das Konto einer Hackergruppe mit dem Codenamen "Winnti".
Der massive Spionageangriff auf den Industriekonzern Thyssenkrupp geht nach Informationen der WirtschaftsWoche aus IT-Sicherheitskreisen offenbar auf das Konto einer Hackergruppe mit dem Codenamen „Winnti“. Demnach ist „Winnti“ nicht nur in die weltweit verzweigten Firmennetze und IT-Systeme von Thyssenkrupp eingedrungen, sondern greift inzwischen auch andere deutsche Unternehmen an. Das konzerneigene Notfallzentrum (Computer Emergency Response Team) von Thyssenkrupp geht dieser Spur nach. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigte der „WirtschaftsWoche“ auf Anfrage, dass „Winnti“ bereits einige Unternehmen in Deutschland infiltriert hat: „Es sind uns mehrere Fälle bekannt.“
Das von Thyssenkrupp erstellte Täterprofil passt auf „Winnti“. Die Bande ist hochprofessionell, kommt wahrscheinlich aus China oder einem anderen südostasiatischen Land und ist schon seit 2009 aktiv. Ihr Spezialgebiet ist der Einbau gut versteckter Zugänge in Netzen und IT-Systemen. Bekannt wurde „Winnti“ durch erfolgreiche Angriffe auf Gaming-Plattformen - mit dem Ziel, das dort verwendete Spielgeld abzuzweigen und auf dem Schwarzmarkt gegen echtes Geld einzutauschen. Seit 2015 dehnt die Gruppe ihre Aktivitäten auf Cyberspionage gegen Unternehmen aus – nun offenbar auch in Deutschland.
Allerdings können die BSI-Spezialisten nicht eindeutig feststellen, ob tatsächlich nur eine einzige Hackergruppe hinter den Spionageangriffen steckt. „Mittlerweile hat sich das Einsatzspektrum so stark ausgeweitet, dass denkbar ist, dass Winnti als ein relativ fortgeschrittenes und komfortables Werkzeug von mehreren Gruppen eingesetzt wird“, heißt es vom BSI. Die Experten halten es demnach für möglich, dass das Tool der Hacker die Runde macht und von weiteren kriminellen Organisationen genutzt wird.
Welche Unternehmen und Branchen schon Opfer von „Winnti“ in Deutschland geworden sind, hält die Behörde unter Verschluss. Es seien aber mehrere Wirtschaftszweige betroffen. In Großbritannien waren Pharma-Unternehmen das Ziel solcher Späh-Attacken. Informationen darüber, ob das auch in Deutschland der Fall ist, liegen dem BSI bisher nicht vor.
In der deutschen Wirtschaft wächst die Angst, das weitere Technologie-Unternehmen das Opfer von professionellen Spionageattacken werden. Nach der sechsmonatigen Abwehrschlacht bei Thyssenkrupp könnten sich die Angreifer neuen Zielen zuwenden. Insbesondere die Industrie-Unternehmen wollen deshalb künftig enger zusammenarbeiten und den bisher eher informellen Austausch auf eine stabilere Grundlage stellen.
Im vergangenen Jahr gründeten die vier Dax-Konzerne Volkswagen, BASF, Bayer und die Allianz bereits die Deutsche Cyber-Sicherheitsorganisation (DCSO) mit Sitz in Berlin, die eng mit dem Bundesinnenministerium kooperiert. Zu den Mitgliedern der ersten Stunde zählt auch Thyssenkrupp. Die IT-Verantwortlichen in Essen setzten sofort einen Notruf ab, als die ersten Spuren der Cyberspione in den IT-Systemen gefunden wurden.
Ein Rettungsteam des DCSO rückte aus und gehörte während der gesamten, sechs Monate dauernden Abwehrschlacht zu den von Thyssenkrupp extern zu Rate gezogenen Sicherheitsspezialisten. Dieses Know-how kann die DCSO jetzt an die nächsten Opfer weitergeben.
Sie lesen eine Vorabmeldung aus der aktuellen WirtschaftsWoche. Mit dem WiWo-Digitalpass erhalten Sie die Ausgabe bereits am Donnerstagabend in der App oder als eMagazin. Alle Abo-Varianten finden Sie auf unserer Info-Seite.
