Leverkusen/Frankfurt - Die berüchtigte Hacker-Gruppe Winnti hat offenbar länger als ein Jahr den Leverkusener Pharma- und Agrochemiekonzern Bayer attackiert. „Die Angreifer gingen hoch professionell vor und haben sich Zugänge zum Bayer-Netzwerk geschaffen“, sagte ein Sprecher. An der Schnittstelle vom Intranet zum Internet sei das Netzwerk bereits Anfang 2018 infiziert worden, um von dort aus Zugang zu weiteren Systemen zu erhalten. Ob dies gelungen sei und auf welche Informationen es die Hacker abgesehen hätten, wollte der Sprecher nicht preisgeben.

Bayer habe umgehend Analyse- und Monitoring-Werkzeuge eingesetzt und das Löschen der Schadsoftware vorbereitet, jedoch nicht sofort eingegriffen, um das Verhalten der Hacker beobachten zu können: „Die infizierten Systeme hat unser Cyber Defense Center bewusst zunächst nicht bereinigt, um potenzielle Kommunikation der Angreifer analysieren zu können“, so der Bayer-Sprecher.

Dabei ging der Konzern nach eigener Darstellung in enger Abstimmung mit dem Landeskriminalamt in Nordrhein-Westfalen und der „Deutschen Cyber-Sicherheitsorganisation“ (DCSO) vor. Zur Abwehr von Cyber-Attacken hatte Bayer ebendiese 2015 gemeinsam mit BASF, der Allianz-Versicherung und Volkswagen gegründet.

Ende März 2019 seien die Systeme schließlich bereinigt worden: „Bis zu diesem Zeitpunkt sind die Angreifer nach unseren Erkenntnissen nicht aktiv geworden, um Informationen auszuleiten.“ Es sei jedoch nicht hundertprozentig auszuschließen, dass die Hacker Daten heruntergeladen hätten.

Bayer betrachte die Infektion seines Netzwerks „als signifikanten Angriffsversuch auf das Unternehmen“, so der Sprecher: „Auch wenn es keine Evidenz für einen Datenverlust gibt, nehmen wir solche Angriffsversuche sehr ernst“.

Experten vermuten, dass die Winnti-Spezialisten im Auftrag des chinesischen Staates arbeiten. Das macht die Sache auch politisch brisant. Seit Wochen wird hierzulande darüber diskutiert, ob im Zuge des Ausbaus der Mobilfunknetze mit dem neuen 5G-Standard das chinesische Unternehmen Huawei bei der Vergabe der Aufträge zum Zuge kommen soll. Die US-Regierung unterstellt dem Konzern, mit dem chinesischen Geheimdienst zu kooperieren. Beweise dafür wurden bislang aber nicht vorgelegt. Huawei ist in der 5G-Technik weltweit führend. Am Donnerstag hat die EU-Kommission gemahnt, bei 5G-Projekten nicht nur finanzielle Belange zu beachten.

Ermittlungen der Kölner Staatsanwaltschaft

Die Kölner Staatsanwaltschaft hat im Fall Bayer Ermittlungen aufgenommen. Unklar sind die genauen Motive der Angreifer. Die Winnti-Gruppe ist indes seit vielen Jahren bekannt. Der IT-Sicherheitsspezialist Kaspersky machte erstmals 2011 seine Erkenntnisse über die Hacker publik, die in der Branche auch unter den Namen Axiom oder Wicked Panda bekannt sind. „Diese Art von Angriffen weist nach Erkenntnissen von Sicherheits-Experten auf die Gruppe »Wicked Panda« aus China hin“, teilt Bayer daher im aktuellen Fall mit.

2013 wurde eine umfängliche Dokumentation über Aktivitäten der Gruppe veröffentlicht. Zunächst waren demnach Unternehmen, die Online-Spiele im Internet anbieten, Opfer der Attacken. Spielgeld und Nutzerdaten wurden unter anderem abgegriffen. Winnti-Leute wurden dann bei Telekommunikationsunternehmen aktiv, die auch Internet-Games offerieren.

2015 veröffentlichte Kaspersky dann einen Report, wonach es den Hackern gelungen sei, Viren in die Netzwerke „eines sehr bekannten internationalen Pharma-Unternehmens mit Sitz in Europa“ einzuschleusen. Der Name des Unternehmens wurde allerdings nicht genannt. Die Branche scheint für die Winnti-Gruppe besonders interessant zu sein, denn in dem Kaspersky-Papier wird auch erwähnt, dass die Hacker digitale Zertifikate eines japanischen Unternehmens gestohlen hätten, das sich „mit der Entwicklung und Herstellung von Medikamenten und medizinischer Ausrüstung“ befasst.

Die Kaspersky-Experten sind davon überzeugt, dass die Hacker aus China kommen. Auch deutsche Sicherheitsbehörden vertreten diese These. Es könnte sich um eine Gruppe oder mehrere Gruppen handeln, die im Auftrag der chinesischen Regierung Industriespionage vor allem für staatsnahe Firmen betreiben soll. Beweise dafür gibt es nicht. Klar ist allerdings, dass die Hacker über enorme finanzielle Mittel verfügen können, und dass es sich um eine große Zahl von Spezialisten handeln muss.

Malware nur schwer zu finden

Die Malware wird so geschickt in den Computersystemen versteckt, dass sie nur schwer zu finden ist. Außerdem wird sie in der Regel an vielen verschiedenen Stellen in Netzwerken platziert, was es schwer macht, alle Viren zu eliminieren. Branchenkenner gehen davon aus, dass in Europa eine große Zahl von Unternehmen aus verschiedenen Branchen von Winnti attackiert wurde und noch immer wird.

Der bislang spektakulärste Fall wurde 2016 bekannt. Seinerzeit kämpften die Sicherheitsexperten des Industriekonzerns Thyssenkrupp über mehr als ein halbes Jahr gegen immer neue Angriffe, nachdem die Hacker zunächst unbemerkt in die Rechnernetze eingedrungen waren.

Laut Bayerischem und Norddeutschem Rundfunk ist Winnti-Malware in den vergangenen Wochen auch bei drei Firmen aus dem deutschen Mittelstand entdeckt worden. Sie sollen aus den Sparten Chemie, Maschinenbau und Software stammen.

Das Bundesamt für Sicherheit in der Informationstechnik hat zuletzt immer wieder vor steigenden Gefahren für Unternehmen durch Hacker-Attacken gewarnt.

Die DCSO geht davon aus, dass die chinesische Regierung Wirtschaftsspionage über das Internet gezielt einsetzt, um an Know-how zu kommen, das der Umsetzung der industriepolitischen Ziele der Volksrepublik dient. Spitzenpositionen in strategisch wichtigen Branchen werden angestrebt. Chemie und Pharma gehören dazu.