Abo
  • IT-Karriere:

Industriespionage: Wie Thyssenkrupp seine Angreifer fand

Wie schützt man sein Netzwerk, wenn man 150.000 Mitarbeiter und 500 Tochterunternehmen hat? Thyssenkrupp lernte nach einem Angriff, dass es zwei Dinge braucht: Ausreichend Ressourcen und Freiheit für das Team.

Artikel veröffentlicht am ,
Logo von Thyssenkrupp
Logo von Thyssenkrupp (Bild: Patrik Stollarz/Getty Images)

Der Technologiekonzern Thyssenkrupp war in diesem Jahr Ziel eines offenbar ausgefeilten Angriffs auf die eigene IT-Infrastruktur, wie die Wirtschaftswoche berichtet. Das Unternehmen sei von einer Gruppe angegriffen worden, die vermutlich staatliche Unterstützer hat und sehr planmäßig vorgegangen sein soll.

Stellenmarkt
  1. Cegeka Deutschland GmbH, Flughafen Frankfurt
  2. Stadt Norderney, Norderney

Nach Angaben der Wirtschaftswoche fielen dem hauseigenen Cert des Unternehmens im Frühjahr nicht näher benannte Anomalien im Datenverkehr auf, die das Team als Anlass für eine genauere Untersuchung nahm. Das ist jedoch deutlich komplizierter, als es klingt. Denn Thyssenkrupp hat allein mehr als 500 Tochergesellschaften - weltweit. Und die Angreifer sollten nicht mitbekommen, dass das Unternehmen ihre Spuren bereits entdeckt hatte.

Der erste Angriff erfolgte Anfang des Jahres offenbar über eine Spear-Phishing-E-Mail an einen oder mehrere der mehr als 150.000 Mitarbeiter. Von den ersten infizierten Rechnern tasteten die Angreifer sich per Lateral Movement weiter, um an die Systeme zu gelangen, die die Betriebsgeheimnisse des Unternehmens enthalten. Ob und welche Daten kopiert wurden, ist bislang nicht restlos geklärt.

Starke eigene IT-Abteilung

Thyssenkrupp kam offenbar zugute, dass sich das Unternehmen eine eigene IT-Sicherheitsabteilung leistet, die besser mit den eigenen Systemen vertraut ist, als es jeder eingekaufte Dienstleister sein könnte. Das Krisenreaktionsteam arbeitete der Darstellung der Wirtschaftswoche zufolge mit großer Autonomie und freier Ressourcenplanung. "Wenn jemand sagt, ich bekomme das auch mit Nachtschichten nicht hin, dann hole ich weitere Spezialisten an Bord", sagte der Chef der Thyssen-internen Taskforce Alpha Barry (nach Angaben des Blattes tatsächlich sein richtiger Name). "Ich erkläre dem Topmanagement dann später, warum das notwendig war. In so einer Notsituation haben wir nur dann eine Chance, wenn wir genauso schnell und flexibel arbeiten wie der Angreifer."

Der Angriff soll nur rund 45 Tage nach der ersten Infektion erkannt worden sein. Das wäre für ein Unternehmen von der Größe tatsächlich ein sehr guter Wert. Oft dauert es 100 oder mehr Tage, bis entsprechende Angriffe entdeckt werden.

Wurden Rechner in ausländischen Filialen von Thyssenkrupp verdächtigt, mit der Schadsoftware infiziert zu sein, wurden die Mitarbeiter angewiesen, forensische Kopien der befallenen Festplatten zu erstellen und diese an das Mutterhaus zu senden. Das Beispiel zeigt, wie schwer es ist, im Falle einer Penetration des Netzwerkes Untersuchungen anzustellen, ohne die Angreifer zu alarmieren - damit diese alle Spuren verwischen. "Ich kann aber nicht jeden Administrator weltweit anrufen und anordnen: ‚Wir sind gehackt worden. Such mal bitte diesen unbekannten Server'", sagte Barry der Wirtschaftswoche.

Künftig will das Team daran arbeiten, Angriffe noch schneller zu erkennen. Dabei sollen auch Notabschaltungen von Servern und interne Schulungen der Mitarbeiter helfen, ein Bewusstsein zu schaffen und den Schaden zu minimieren.



Anzeige
Top-Angebote
  1. (aktuell u. a. AMD Ryzen 7 2700X + Corsair H115i Pro für 369€ statt ca. 414€ im Vergleich...
  2. 39€ (Bestpreis!)
  3. 29,99€ (Bestpreis!)
  4. 44,90€ + Versand (Vergleichspreis 63,39€)

Wurschtb3mme 12. Dez 2016

+1 :D

sav 12. Dez 2016

Dann verwendet aber auch nicht so einen verheißungsvoll Titel...

Cerdo 12. Dez 2016

"Der Rüstungskonzern thyssenkrupp" sollte das heißen. Das erklärt auch besser, warum die...

bernd71 12. Dez 2016

Willkommen in der Realität. ;-) Wobei die Hacker ja meist nicht direkt auf entsprechende...

AgentBignose 10. Dez 2016

Klingt genauso wie die Feierei über sich selbst die die Telekom nach ihrem Versagen...


Folgen Sie uns
       


Google Nest Hub im Hands on

Ende Mai 2019 bringt Google den Nest Hub auf den deutschen Markt. Es ist das erste smarte Display direkt von Google. Es kann dank Google Assistant mit der Stimme bedient werden und hat zusätzlich einen 7 Zoll großen Touchscreen. Darauf laufen Youtube-Videos auf Zuruf. Der Nest Hub erscheint für 130 Euro.

Google Nest Hub im Hands on Video aufrufen
Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    Projektmanagement: An der falschen Stelle automatisiert
    Projektmanagement
    An der falschen Stelle automatisiert

    Kommunikationstools und künstliche Intelligenz sollen dabei helfen, dass IT-Projekte besser und schneller fertig werden. Demnächst sollen sie sogar Posten wie den des Projektmanagers überflüssig machen. Doch das wird voraussichtlich nicht passieren.
    Ein Erfahrungsbericht von Marvin Engel


      WD Blue SN500 ausprobiert: Die flotte günstige Blaue
      WD Blue SN500 ausprobiert
      Die flotte günstige Blaue

      Mit der WD Blue SN500 bietet Western Digital eine spannende NVMe-SSD an: Das M.2-Kärtchen basiert auf einem selbst entwickelten Controller und eigenem Flash-Speicher. Das Resultat ist ein schnelles, vor allem aber günstiges Modell als bessere Alternative zu Sata-SSDs.
      Von Marc Sauter

      1. WD Black SN750 ausprobiert Direkt hinter Samsungs SSDs
      2. WD Black SN750 Leicht optimierte NVMe-SSD mit 2 TByte
      3. Ultrastar DC ME200 Western Digital baut PCIe-Arbeitsspeicher mit 4 TByte

        •  /