Abo
  • Services:

Industriespionage: Wie Thyssenkrupp seine Angreifer fand

Wie schützt man sein Netzwerk, wenn man 150.000 Mitarbeiter und 500 Tochterunternehmen hat? Thyssenkrupp lernte nach einem Angriff, dass es zwei Dinge braucht: Ausreichend Ressourcen und Freiheit für das Team.

Artikel veröffentlicht am ,
Logo von Thyssenkrupp
Logo von Thyssenkrupp (Bild: Patrik Stollarz/Getty Images)

Der Technologiekonzern Thyssenkrupp war in diesem Jahr Ziel eines offenbar ausgefeilten Angriffs auf die eigene IT-Infrastruktur, wie die Wirtschaftswoche berichtet. Das Unternehmen sei von einer Gruppe angegriffen worden, die vermutlich staatliche Unterstützer hat und sehr planmäßig vorgegangen sein soll.

Stellenmarkt
  1. CSL Behring GmbH, Marburg, Hattersheim am Main
  2. Robert Bosch GmbH, Stuttgart

Nach Angaben der Wirtschaftswoche fielen dem hauseigenen Cert des Unternehmens im Frühjahr nicht näher benannte Anomalien im Datenverkehr auf, die das Team als Anlass für eine genauere Untersuchung nahm. Das ist jedoch deutlich komplizierter, als es klingt. Denn Thyssenkrupp hat allein mehr als 500 Tochergesellschaften - weltweit. Und die Angreifer sollten nicht mitbekommen, dass das Unternehmen ihre Spuren bereits entdeckt hatte.

Der erste Angriff erfolgte Anfang des Jahres offenbar über eine Spear-Phishing-E-Mail an einen oder mehrere der mehr als 150.000 Mitarbeiter. Von den ersten infizierten Rechnern tasteten die Angreifer sich per Lateral Movement weiter, um an die Systeme zu gelangen, die die Betriebsgeheimnisse des Unternehmens enthalten. Ob und welche Daten kopiert wurden, ist bislang nicht restlos geklärt.

Starke eigene IT-Abteilung

Thyssenkrupp kam offenbar zugute, dass sich das Unternehmen eine eigene IT-Sicherheitsabteilung leistet, die besser mit den eigenen Systemen vertraut ist, als es jeder eingekaufte Dienstleister sein könnte. Das Krisenreaktionsteam arbeitete der Darstellung der Wirtschaftswoche zufolge mit großer Autonomie und freier Ressourcenplanung. "Wenn jemand sagt, ich bekomme das auch mit Nachtschichten nicht hin, dann hole ich weitere Spezialisten an Bord", sagte der Chef der Thyssen-internen Taskforce Alpha Barry (nach Angaben des Blattes tatsächlich sein richtiger Name). "Ich erkläre dem Topmanagement dann später, warum das notwendig war. In so einer Notsituation haben wir nur dann eine Chance, wenn wir genauso schnell und flexibel arbeiten wie der Angreifer."

Der Angriff soll nur rund 45 Tage nach der ersten Infektion erkannt worden sein. Das wäre für ein Unternehmen von der Größe tatsächlich ein sehr guter Wert. Oft dauert es 100 oder mehr Tage, bis entsprechende Angriffe entdeckt werden.

Wurden Rechner in ausländischen Filialen von Thyssenkrupp verdächtigt, mit der Schadsoftware infiziert zu sein, wurden die Mitarbeiter angewiesen, forensische Kopien der befallenen Festplatten zu erstellen und diese an das Mutterhaus zu senden. Das Beispiel zeigt, wie schwer es ist, im Falle einer Penetration des Netzwerkes Untersuchungen anzustellen, ohne die Angreifer zu alarmieren - damit diese alle Spuren verwischen. "Ich kann aber nicht jeden Administrator weltweit anrufen und anordnen: ‚Wir sind gehackt worden. Such mal bitte diesen unbekannten Server'", sagte Barry der Wirtschaftswoche.

Künftig will das Team daran arbeiten, Angriffe noch schneller zu erkennen. Dabei sollen auch Notabschaltungen von Servern und interne Schulungen der Mitarbeiter helfen, ein Bewusstsein zu schaffen und den Schaden zu minimieren.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

Wurschtb3mme 12. Dez 2016

+1 :D

sav 12. Dez 2016

Dann verwendet aber auch nicht so einen verheißungsvoll Titel...

Cerdo 12. Dez 2016

"Der Rüstungskonzern thyssenkrupp" sollte das heißen. Das erklärt auch besser, warum die...

bernd71 12. Dez 2016

Willkommen in der Realität. ;-) Wobei die Hacker ja meist nicht direkt auf entsprechende...

AgentBignose 10. Dez 2016

Klingt genauso wie die Feierei über sich selbst die die Telekom nach ihrem Versagen...


Folgen Sie uns
       


Asus ROG Phone - Fazit

Asus' Gaming-Smartphone ROG Phone zeichnet sich durch eine gute Hardware und vor allem reichlich Zubehör aus. Wie Golem.de im Test herausfinden konnte, sind aber nicht alle Zubehörteile wirklich sinnvoll.

Asus ROG Phone - Fazit Video aufrufen
Schwer ausnutzbar: Die ungefixten Sicherheitslücken
Schwer ausnutzbar
Die ungefixten Sicherheitslücken

Sicherheitslücken wie Spectre, Rowhammer und Heist lassen sich kaum vollständig beheben, ohne gravierende Performance-Einbußen zu akzeptieren. Daher bleiben sie ungefixt. Trotzdem werden sie bisher kaum ausgenutzt.
Von Hanno Böck

  1. Sicherheitslücken Bauarbeitern die Maschinen weghacken
  2. Kilswitch und Apass US-Soldaten nutzten Apps mit fatalen Sicherheitslücken
  3. Sicherheitslücke Kundendaten von IPC-Computer kopiert

Nubia Red Magic Mars im Hands On: Gaming-Smartphone mit Top-Ausstattung für 390 Euro
Nubia Red Magic Mars im Hands On
Gaming-Smartphone mit Top-Ausstattung für 390 Euro

CES 2019 Mit dem Red Magic Mars bringt Nubia ein interessantes und vor allem verhältnismäßig preiswertes Gaming-Smartphone nach Deutschland. Es hat einen Leistungsmodus und Schulter-Sensortasten, die beim Zocken helfen können.
Ein Hands on von Tobias Költzsch

  1. ATH-ANC900BT Audio Technica zeigt neuen ANC-Kopfhörer
  2. Smart Clock Lenovo setzt bei Echo-Spot-Variante auf Google Assistant
  3. Smart Tab Lenovo zeigt Mischung aus Android-Tablet und Echo Show

WLAN-Tracking und Datenschutz: Ist das Tracken von Nutzern übers Smartphone legal?
WLAN-Tracking und Datenschutz
Ist das Tracken von Nutzern übers Smartphone legal?

Unternehmen tracken das Verhalten von Nutzern nicht nur beim Surfen im Internet, sondern per WLAN auch im echten Leben: im Supermarkt, im Hotel - und selbst auf der Straße. Ob sie das dürfen, ist juristisch mehr als fraglich.
Eine Analyse von Harald Büring

  1. Gefahr für Werbenetzwerke Wie legal ist das Tracking von Online-Nutzern?
  2. Landtagswahlen in Bayern und Hessen Tracker im Wahl-O-Mat der bpb-Medienpartner
  3. Tracking Facebook wechselt zu First-Party-Cookie

    •  /