Florian Oelmaier leitet das Fachgebiet IT-Sicherheit und Computerkriminalität bei der Corporate Trust, Business Risk & Crisis Management GmbH. Seine Spezialgebiete sind aktuelle Angriffe auf Applikationen und Netzwerke sowie Sicherheitskonzeptionen in Softwareprojekten.
WirtschaftsWoche: Bei einer Cyber-Attacke auf eine EU-Behörde haben die Täter offenbar Daten zu Impfstoffen der Hersteller BioNTech und Pfizer erbeutet. Sie betreuen für das Münchener Sicherheitsunternehmen Corporate Trust Unternehmen, die Opfer von Hackern werden. Haben Impfstoffhersteller in den vergangenen Monaten Ihre Dienste in Anspruch genommen?
Florian Oelmaier: Bei Corporate Trust haben wir in den letzten drei Monaten zwei Mandate von Unternehmen bekommen, die wegen ihrer Mitwirkung zur Verteilung des Corona-Impfstoffs Ziel von Cyberkriminellen wurden. Dabei handelt es sich um zwei deutsche Firmen aus der Logistik-Branche, die an der Lagerung und Lieferung des Corona-Impfstoffs beteiligt sind. Ich bitte allerdings um Ihr Verständnis, dass ich die Namen der Unternehmen nicht nennen kann.
Wie sind diese Angriffe erfolgt und was haben die Täter dabei erbeutet?
Eines der Unternehmen ist ein kleinerer Logistiker, der sich auf die Lagerung und den Transport der Trägerflüssigkeit spezialisiert hat, den es für den Covid-Impfstoff braucht. Das Unternehmen hat uns Anfang Oktober hinzugezogen, nachdem es eindeutige Hinweise auf einen Hack gegeben hatte. Wir können den Angriff mittlerweile größtenteils rekonstruieren. So ist es den Tätern offenbar gelungen, an das Passwort eines Systemadministrators zu gelangen. Wahrscheinlich konnten die Täter das Passwort erfahren, weil der Mitarbeiter es auch zum Login für ein Internetforum benutzte, das einmal gehackt wurde und dessen Daten dann im Darknet zu finden waren. In diesem Punkt gibt es allerdings Unsicherheiten. Was wir bestimmt wissen, ist, wie die Täter dann vorgegangen sind: Sie haben sämtliche E-Mail-Korrespondenz über den Impfstoff und besonders jene zu Forschung und Entwicklung automatisch an eine von Ihnen eingerichtete E-Mail-Adresse in Kopie weiterleiten lassen. Dadurch konnten sie mehr als zwei Monate lang Know-How der Firma absaugen.
Wie ist der Betrug aufgefallen?
Den Tätern ist ein winziger Fehler unterlaufen. Ihre E-Mail-Adresse war für kurze Zeit nicht erreichbar und der Server hat in dieser Zeit an alle E-Mail-Absender eine Fehlermeldung geschickt. So wurden den Mitarbeitern bewusst, dass Dritte ihre Korrespondenz mitlesen. Der Logistiker hat uns dann hinzugerufen und wir haben das Netzwerk gesichert.
Haben Sie oder die Polizei Erkenntnisse über die Täter?
Die Polizei hat in diesem Fall nicht ermittelt, weil der Kunde die Polizei nicht hinzuziehen wollte. Deshalb waren nur wir als privates Unternehmen hinzugezogen. Da die E-Mail-Adresse zu einem sogenannten Bullet-Proof-Server führte, also einem Anbieter, der seinen Kunden hundertprozentige Anonymität verspricht, können wir über die Täter keine konkreten Aussagen treffen. Vergleichbare Fälle zeigen jedoch, dass diese Hacks ausschließlich von Nachrichtendiensten begangen werden und nicht von Gruppen der Organisierten Kriminalität. Informationen zum Impfstoff sind übrigens für alle Geheimdienste von Belang. Auch die EU hat etwa ein Interesse zu erfahren, wie viel des Impfstoffs in andere Länder geht und wie viel für die EU-Länder selbst übrig bleibt.
Sie erwähnten, dass auch ein zweites Unternehmen, das Sie betreuen, von Hackern angegriffen wurde?
Auch in diesem Fall handelte es sich um ein Logistik-Unternehmen, das mit dem Impfstoff zu tun hat. Das Unternehmen ist an der Verpackung des Impfstoffs beteiligt. In diesem Fall sind die Cyberangreifer durch die Firewall des Unternehmens gelangt. Der Angriff ist jedoch schnell aufgefallen und konnte rechtzeitig gestoppt werden. Die Täter haben in diesem Fall keinerlei Daten abgreifen können.
Ist es möglich, dass gehackte Daten zum Impfstoff nun zum Handelsgut werden? Gibt es im Darknet Foren zum Kauf solcher Daten?
Darüber ist mir nichts bekannt und das würde ich auch eher ausschließen. Der Impfstoff und alle Daten rund um den Impfstoff sind Ziel von Nachrichtendiensten. Die brauchen diese Daten entweder zu einem Informationsvorsprung gegenüber anderen Ländern oder um den Impfstoff selbst herstellen zu können. Eine Verbreitung oder ein Verkauf der gestohlenen Daten würden keinen Sinn ergeben.
Kann die Ausrollung des Covid-Impfstoffs durch die Cyberangriffe auf Impfstoffhersteller und Logistiker verzögert werden?
Das primäre Ziel der Angreifer ist die Erbeutung von Know-How. Wir haben bei den Aktivitäten, die wir beobachtet haben, keinerlei Anzeichen von Sabotage entdecken können. So ging es den Tätern im Fall des gehackten Logistikers für die Trägerflüssigkeit nicht darum, Produkte umzuleiten oder Daten zu löschen. Es ging ausschließlich um die Abschöpfung von Know-How. Deshalb erwarte ich keine Verzögerung der Impfprogramme in Deutschland durch diese Angriffe.
Mehr zum Thema: Im Schatten von Phishing- und Erpressungsattacken gewinnt eine gefährliche Form von Cyberangriffen immer mehr an Relevanz.
