Der Chemie-Konzern Bayer tut fast so, als hätte er bei den jetzt bekannt gewordenen Hackerangriff alles im Griff. Offenbar ist die gleiche Gruppe, die 2016 hinter der Spionageattacke auf den Industriekonzern Thyssenkrupp steckte, nun auch in das Firmennetz des Bayer-Konzerns eingedrungen. Anfang 2018 hat es bei Bayer die ersten Anzeichen gegeben, dass die offenbar aus China operierende Gruppe „Winnti“ ein neues Opfer in Deutschland gefunden hat. Es gebe bisher keine Indizien dafür, dass Daten abgeflossen seien, hält Bayer den Ball flach. Inzwischen seien alle IT-Systeme bereinigt. Kein Grund zur Beunruhigung also, suggerieren die offiziellen Stellen.
Doch hat die Abwehr wirklich funktioniert? Zweifel sind angebracht. Denn wären die Cybersicherheitsteams tatsächlich so perfekt aufgestellt, wie Bayer behauptet, hätte „Winnti“ die virtuellen Schutzwälle in Leverkusen gar nicht durchbrechen dürfen. Eigentlich hält die Bayer AG alle Trümpfe in der Hand, damit solch ein Angriff der „Winnti“-Gruppe in Deutschland kein zweites Mal passieren kann.
Bayer hat nicht nur ein eigenes, gut ausgestattetes Cyberabwehrzentrum. Noch wichtiger ist: Neben Volkswagen, BASF und der Allianz-Versicherung gehört der Chemiekonzern auch zu den Gründungsmitgliedern der Deutschen Cyber-Sicherheitsorganisation (DCSO). Deren Aufgabe ist, alle Informationen zwischen den Gesellschaftern und Gründungsmitgliedern auszutauschen. Da die DCSO aus ihrem monatelangen Großeinsatz bei Thyssenkrupp mit allen Angriffstaktiken und Eigenarten der von Winnti im Umlauf gebrachten Schadprogramme vertraut war, hätte also auch die Muttergesellschaft Bayer bestens vorbereitet sein können.
Aus vielen Gesprächen während der Recherchen für die WirtschaftsWoche-Titelstory „Im Auge des Sturms“ weiß ich: Schon während der Abwehrschlacht bei Thyssenkrupp war allen beteiligten IT-Sicherheitsexperten klar, dass sich Winnti nicht so einfach aus Deutschland verjagen lässt. Entweder, so die eine, oft geäußerte Vermutung, sind sie in ihrer Hacker-Ehre so verletzt, dass sie versuchen, ein zweites Mal bei Thyssenkrupp einzudringen. Das ist offenbar nicht geschehen. Oder, so das zweite Szenario: sie suchen sich ein neues Ziel und weichen auf ein anderes deutsches Unternehmen aus. Genau das ist dann auch passiert. Was liegt da näher, als sich einen Gesellschafter der Firma auszusuchen, die mitgeholfen hat, Winnti bei Thyssenkrupp zu eliminieren.
Als Gesellschafter der DCSO hätte Bayer besser als jedes andere deutsche Unternehmen darauf vorbereitet sein können. Und hat sich trotzdem überrumpeln lassen. Wie das geschehen konnte, dieser Frage sollten die Sicherheitschefs von Bayer jetzt einmal genauer nachgehen.
