Gelände der Firma BASF in Ludwighafen am Rhein (Foto: picture-alliance / Reportdienste, picture alliance/imageBROKER/Caroline Kreutzer)

Cyberattacke auf mehrere DAX-Konzerne BASF: Keine relevanten Daten bei Hackerangriff abgeflossen

Eine Hackergruppe hat offenbar deutsche Großunternehmen angegriffen, darunter den Chemiekonzern BASF in Ludwigshafen. Ziel sei es gewesen, die Unternehmen auszuspähen.

Recherchen von BR und NDR haben ergeben, dass mindestens acht deutsche Unternehmen betroffen sind, darunter sechs DAX-Konzerne. Zudem sind rund ein Dutzend weiterere Unternehmen aus dem Ausland angegriffen worden.

Im Fokus der Hacker war die Chemie- und Pharma-Branche, aber mutmaßlich auch Telekommunikationsunternehmen und eine Fluglinie. Auch auf eine Hotelkette haben die Hacker Angriffe vorbereitet.

BASF: Angreifer aus den Netzen entfernt

BASF bestätigte den Angriff. Man habe die Hacker aus den Netzen entfernen können und keine Hinweise, dass sensible Daten abgeflossen sind. Zum Ursprung und Ziel des Angriffs wollte sich der Chemiekonzern auf SWR-Anfrage nicht äußern.

Es werde "täglich" versucht, in die Datennetze einzudringen, sagte eine Sprecherin dem SWR. In seltenen Fällen gelinge es dabei einem Angreifer, die ersten Ebenen der Verteidigungsmechanismen zu überwinden. In diesem Fall würden die IT-Experten der BASF die Aktivitäten des Angreifers sehr genau beobachten, um mehr über dessen Vorgehen und Motivation zu erfahren.

Zusammenarbeit in der IT-Sicherheit mit anderen Unternehmen

Der Chemiekonzern stellt eine "zunehmende Professionalisierung von Cyberangriffen" fest. Um Angriffe abzuwehren, arbeite das Unternehmen mit Cybersicherheitsunternehmen, Hochschulen, staatlichen Stellen und anderen Industrieunternehmen zusammen. Dabei gehe es auch darum, denkbare Angriffsszenarien mit anderen Unternehmen auszutauschen.

Eine technische Analyse von BR und NDR zeigt, dass die Gruppe mutmaßlich neben BASF unter anderem auch gegen den Waschmittel-Hersteller Henkel, den Technologiekonzern Siemens, den Chemiekonzern Covestro und den Schweizer Pharma-Riesen Roche aktiv gewesen ist.

Hacker nutzten Schadsoftware "Winnti"

IT-Sicherheitsexperten haben die Gruppe und die von ihr benutzte Schadsoftware "Winnti" genannt. Um die betroffenen Unternehmen ausfindig zu machen, haben Reporter von BR und NDR mit der Hilfe von Wissenschaftlern der Ruhr-Uni Bochum Teile des Schadcodes analysiert, den die Hacker für die Angriffe verwendet haben.

In diesem Code hatten die Angreifer unter anderem vermerkt, gegen welche Konzerne sie die Schadprogramme einsetzen wollten. Inwiefern durch die Angriffe Daten der betroffenen Unternehmen kopiert worden sind, geht aus der Analyse nicht hervor.

Steht hinter den Hackern ein Staat?

Die industrienahe Deutsche Cybersicherheitsorganisation (DCSO) bezeichnet die "Winnti"-Hacker als "Söldnertruppe", die dem chinesischen Staat nahestehen soll. Man beobachte die Truppe schon sehr lang "so dass wir aus ganz vielen Indizien sagen können, dass 'Winnti' mit einer hohen Wahrscheinlichkeit chinesisch beziehungsweise chinesisch gesteuert ist", sagte ein Sprecher.

Viele der Hinweise, die nach China deuten, sind allerdings schon einige Jahre alt. Mitarbeiter einer deutschen Sicherheitsbehörde warnen davor, dass es theoretisch auch möglich wäre, dass andere Akteure die ursprüngliche "Winnti"-Gruppe bewusst imitieren.

Das Bundesinnenministerium erklärte auf Anfrage von BR und NDR, der Bundesregierung seien aus den vergangenen Jahren einige "Winnti"-Fälle bei deutschen Unternehmen bekannt. Zu den einzelnen Vorfällen wolle man sich nicht äußern. Die Bundesregierung nehme die Bedrohung durch Hacker, unabhängig von deren Ursprung, sehr ernst.

Deutsches Rotes Kreuz in RP Opfer von Cyberattacke

In Rheinland-Pfalz war erst in der vergangenen Woche das Deutsche Rote Kreuz (DRK) Opfer eines Hackerangriffs geworden. Rund eine Woche lang konnten die Computer zum Beispiel in den Kliniken Neuwied, Altenkirchen oder Bad Neuenahr nicht benutzt werden. In der Folge musste die Aufnahme von Patienten mit Bleistift, Kugelschreiber und Papier stattfinden. Insgesamt waren elf Einrichtungen betroffen.

Dauer
Sendedatum
Sendezeit
19:30 Uhr
Sender
SWR Fernsehen RP

Der Angriff auf das DRK ist nach Einschätzung der rheinland-pfälzischen Datenschutzbehörde der bisher größte dieser Art. Der Vorfall macht laut Landesdatenschutzbeauftragtem klar, dass beim Schutz der Krankenhäuser nachgebessert werden müsse.

STAND