Winnti-Hacker spionieren den Bayer-Konzern aus

Der 'Bayerische Rundfunk' (BR) meldet, der Chemie- und Pharmakonzern Bayer sei gehackt worden. Bayer bestätigt, dass Hacker ins Netzwerk des Konzerns eindringen konnten: "Unser Cyber Defense Center hat Anfang 2018 Anzeichen von Winnti-Infektionen detektiert und umfangreiche Analysen gestartet", teilte der Konzern schriftlich mit.
 
Seit wann die Hacker sich im Bayer-Netzwerk tummelten, lasse sich nicht rekonstruieren, so der Multi. Ende März sei jedenfalls damit Schluss gewesen. Man habe betroffene Systeme identifiziert, analysiert und bereinigt. Beweise für einen Datenabfluss habe man keine.
 
Die Hacker der Winnti-Gruppe haben gemäss Aussagen von Bayer spezifisch "Systeme an der Schnittstelle vom Intranet zum Internet sowie Autorisierungssysteme" infiziert.
 
Winnti ist nicht unbekannt, es handelt sich um eine Gruppe, die seit 2010 aktiv sein soll und mit "Blackfly" identisch. Die Hackergruppe ist spezialisiert auf Advanced-Persistent-Threat-Attacken (APT). Das deutsche Bundesamt für Informationssicherheit BSI nennt im Lagebericht "IT-Sicherheit in Deutschland 2018" sowohl "High-Tech" als auch "Gesundheit" als primäre Zielbranchen für Winnti. Das BSI, Kaspersky Labs, Mitre oder auch die Security-Firma 401TRG glauben, dass die Hacker aus China kommen. Es wird vermutet, dass dieselbe, offenbar hochkarätige Gruppe 2016 auch den Industriekonzern Thyssenkrupp gehackt hat.
 
Journalisten entdeckten Infektion
Bayer besteht aus 237 Gesellschaften und zählt rund 100'000 Mitarbeitende. Unter dem Begriff "Compliance" hält der Konzern fest, man habe alle Mitarbeitenden für IT-Security sensibilisiert. "Auch werden die verschiedenen IT-Sicherheitsmassnahmen im Konzern weltweit kontinuierlich überwacht und in einem konzernweiten Programm angepasst. Dazu gehören technische Massnahmen, die Einstufung der Daten nach ihrer Empfindlichkeit und die Umsetzung geeigneter Schutzmassnahmen", heisst es da.
 
Entdeckt allerdings wurde die Winnti-Infektion auch von Aussenstehenden: "Ein mit der Winnti-Schadsoftware infiziertes System hatten Datenjournalisten des BR mit Hilfe eines Netz-Scans gefunden und daraufhin den Konzern kontaktiert", so der Artikel des 'Bayerischen Rundfunk (BR)'. Wie dies den Journalisten gelang, wird nicht offengelegt. Aber es existiert ein Nmap-Script auf Github mit dessen Hilfe man Winnti-Infektionen aufspüren könne, so das Versprechen der Autoren des Scripts.
 
Eine Interpretation: Möglicherweise hatte Bayer, welche schon Anfang 2018 vom Hack gewusst haben will, ein kompromittiertes System offengelassen und versucht, die Angreifer in eine Falle zu locken.
 
Bayer stellte nun Strafanzeige, weitere Detailinformationen sind also unwahrscheinlich. (mag)