Als ThyssenKrupp 2016 einem Hackerangriff zum Opfer gefallen war, hinter dem die chinesische "Winnti"-Gruppe gesteckt haben soll, half die Deutsche Cyber-Sicherheitsorganisation (DSCO) bei der Abwehr. Nun ist mit Bayer eines der DSCO-Gründungsmitglieder ins Visier der Kriminellen geraten.

Der Chemiekonzern bestätigte, dass die Schadsoftware bis Ende März im Firmennetzwerk ihr Unwesen trieb. Erste Anzeichen für die Infektion habe das hauseigene Cyber-Abwehrzentrum bereits Anfang 2018 bemerkt und anschließend Analysen eingeleitet. Wann genau die Hacker in das Netz eingedrungen seien, lasse sich nicht rekonstruieren.

Mitarbeiter des Bayrische Rundfunks hatten die Malware per Daten-Scan auf den Systemen der Leverkusener entdeckt und das Unternehmen informiert. Daraufhin hat Bayer damit begonnen, die Systeme zu bereinigen.

Gezielter Angriff

Laut Tagesschau.de deutet der Befall mit der Winnti-Schadsoftware darauf hin, dass es sich um einen gezielten Angriff gehandelt hat. Die Malware fand sich auf Systemen an der Schnittstelle vom Intranet zum Internet sowie auf Autorisierungssystemen.

Trotz der langen Zeitspanne seien laut Bayer keine Daten abgeflossen. Der Konzern stellte Strafanzeige bei der Staatsanwaltschaft Köln.

Der BR berichtet, dass seit Anfang 2019 neben dem DAX-Konzern noch mindestens drei weitere mittelständische Unternehmen in Deutschland von Winnti betroffen waren. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) stammen die Firmen aus den Bereichen Chemie, Maschinen- und Anlagenbau sowie Software.

Verschiedene Experten vermuten, dass die Angreifer vom chinesischen Staat unterstützt werden. Die Wirtschaftswoche spricht gar von einen Racheakt für die Hilfe bei der Bekämpfung des Angriffs auf ThyssenKrupp.

Laut Thomas Uhlemann vom Security-Softwarehersteller ESET ist aber "eine eindeutige Zuordnung zu einem Staat oder einer verbrecherischen Großorganisation nicht zweifelsfrei möglich." Die Hacker hätten zu viele Möglichkeiten, ihre Spuren zu verwischen und falsche Fährten zu legen.

Uhlemann betont jedoch auch, dass die eingesetzte Schadsoftware und andere Tools extra für diesen Angriff entwickelt und wahrscheinlich nur für diesen Zweck benutzt worden seien. Um eine solche Aktion zu finanzieren, bräuchten die Angreifer viele Ressourcen darunter fähige Entwickler, Infrastruktur und Geld. Über derartige Ausstattung verfügten in der Regel nur Großkonzerne oder Staaten.

Was ist Winnti

Die Winnti-Gruppe wurde 2011 von Kaspersky enttarnt (PDF) und ist seit mindestens 2009 aktiv. Sie begann ihre Aktivitäten im Online-Gaming-Bereich, um virtuelle Spiel-Währungen zu erbeuten und anschließend in Echtgeld zu tauschen. Zudem hatte es die Gruppe auf Quellcode, Nutzerdaten und Zertifikate anderer Softwareanbieter abgesehen.

Mittlerweile wird die Trojaner-Malware häufiger im Kontext der Industrie- und Wirtschaftsspionage entdeckt und zielt auf große und mittelständische Industrieunternehmen ab. Die Angriffe sind hochprofessionell und schwer zu entdecken. Zugang zum Unternehmensnetz erhält die Schadsoftware meist über eine PDF-Datei, die eine Sicherheitsanfälligkeit des Adobe Reader ausnutzt.