2016: Titelstory in der WirtschaftsWoche 51/2016 vom 9.12.2016 über den Cyberangriff auf Thyssenkrupp

Im Auge des Sturms

Hacker greifen den Industriekonzern an. Sie platzieren in den IT-Systemen versteckte Zugänge, um wertvolles Know-How auszuspähen. Ein exklusiver Report auf dem Inneren einer beispiellosen Abwehrschlacht.

An einem Samstagmorgen kurz vor Sonnenaufgang, in einem Bürobau mitten in Dortmund, bereitet sich Thyssenkrupp auf die entscheidende Schlacht vor: Die langen Flure sind leer, alle Arbeitsplätze geräumt - nur im Büro 232 brennt Licht. Hier sind für dieses eine Wochenende die zehn besten Computersicherheitsspezialisten eingezogen, die der Konzern hat. Einer hat seinen Urlaub abgebrochen, ein anderer den Umzug verschoben. Denn an diesem Wochenende will der Dax-Titan den dramatischsten Angriff abwehren, den es bisher auf seine Daten gegeben hat. White Amflora ist der Codename der geheimen Abwehroperation; benannt nach der ersten gentechnisch veränderten Kartoffel, die besonders viel Stärke enthält. Man arbeitet gerne mit Kartoffelnamen in Thyssenkrupps IT-Sicherheit.

Drei Kontrollmonitore hat jeder der Männer vor sich stehen, kaum jemals schaut einer von ihnen auf. In Griffweite die Nervennahrung: Großpackungen mit Gummibärchen füllen die Lücken zwischen den Computern. „Club-Mate“, in diesen Kreisen auch „Hackerbrause“ genannt, steht kistenweise als Wachmacher bereit. An der Wand pappt ein gelber Zettel mit der Nummer des nächsten Pizza-Taxis. „Das ist unser Warroom“, flüstert Christian Pagel, der als IT-Chef des Thyssenkrupp-Geschäftsbereichs Industrial Solutions der oberste Feldherr in dieser provisorisch verkabelten Kommandozentrale ist. Der 51-Jährige ist ein Typ, der gern Klartext redet und mit breitem Kreuz auch unpopuläre Entscheidungen durchdrückt. Die martialische Beschreibung aber ist in diesem Fall nicht übertrieben.

Thyssenkrupp kämpft an diesem Oktober-Wochenende die wohl wichtigste Schlacht in der 205-jährigen Geschichte des Konzerns. 70 Spezialisten sind im Einsatz, um alle befallenen IT-Systeme zu bereinigen und mit zusätzlichen Sicherheitsvorkehrungen so gut wieder zum Laufen zu bringen, dass alle Mitarbeiter weltweit am Montagmorgen weiterarbeiten können.

„Thyssenkrupp war seit Februar Ziel eines sehr professionellen Hackerangriffs“, sagt Martin Hölz, 47, als Chief Information Officer für alle IT-Systeme im Konzern verantwortlich. Er, Pagel und ihr Kollege Alpha Barry (er heißt wirklich so), 44-jähriger Chef der eigens eingesetzten Taskforce, sollen die Angreifer eliminieren: eine unbekannte Hackerbande, die in das weitverzweigte Unternehmensnetz eingedrungen ist und sich auf IT-Systemen und Netzknoten in aller Welt eingenistet hat, um Informationen abzugreifen. Bei einigen Datensätzen gelingt das sogar. Ein Anschlag auf Thyssenkrupp, das im Maschinen- und Anlagenbau mit einer zunehmend vernetzten Fabrik neue Großaufträge erobern will.

Mit White Amflora will Konzernchef Heinrich Hiesinger die Hoheit über alle Daten des Konzerns zurückgewinnen. Mit dem Versprechen, nur die Namen von drei direkt beteiligten IT-Chefs zu nennen, durfte die WirtschaftsWoche mit in den Cyberkrieg ziehen und den Frontkämpfern zusehen. Daraus entstand der bisher einmalige Report einer sechsmonatigen Abwehrschlacht aus einem Industriekonzern, der seit dem ersten Alarm im Frühjahr im permanenten Ausnahmezustand ist - ohne dass die über 150 000 Mitarbeiter davon etwas mitbekommen.

Thyssenkrupp ist das erste bekannt gewordene prominente Opfer in einem Wirtschaftskrieg, vor dem kein Unternehmen mehr gefeit ist. Nie war die Welt so vernetzt. Nie war es so billig, Datenmassen zu speichern. Und nie waren die Sicherheitsmängel größer, um sensible Daten abfangen zu können. Inzwischen vergeht kaum ein Tag, an dem Cyberbanden nicht eine der vielen Unzulänglichkeiten im Web ausnutzen. Bei 900 000 Telekom-Kunden fielen erst kürzlich mehrere Tage Telefon, Internet und TV aus, weil Hacker die Router eines Herstellers kapern wollten. Und vergangene Woche hob die Polizei die Bande Avalanche aus, die mit gehackten Computern eine weltweite Schatteninfrastruktur aufbauen konnte und etwa die Konten von Onlinebanking-Kunden leer räumte. In Umfragen räumt nahezu jedes Unternehmen ein, schon mal Ziel von Cyberangriffen gewesen zu sein. Vor einem Jahr war es nur jedes zweite. 37 Prozent aller deutschen Unternehmen verloren während der vergangenen zwölf Monate wenigstens einmal Geschäftsdaten, geht aus der Studie Global Data Protection Index hervor (siehe Seite 62). Der Verband Bitkom schätzt den Schaden, der deutschen Unternehmen durch Cyberverbrechen entsteht, auf 50 Milliarden Euro pro Jahr. Und nun also Thyssenkrupp, der erste dokumentierte Angriff von Hackern auf eine Herzkammer der deutschen Industrie.

Wie die Hacker aufflogen

Thyssenkrupps Truppe, die bei jedem Angriff zuerst den Alarmknopf drückt, ist 18 Mann stark und in einem Verwaltungsgebäude im Essener Stadtteil Altendorf untergebracht, zehn Fußminuten von der Konzernzentrale entfernt. Kein Schild weist am Eingang darauf hin, dass hier das Computer Emergency Response Team (CERT) seine Büros hat. Das ist auch gut so. Denn hier gehen all die Meldungen ein, wenn auf einem Computer der 500 Thyssenkrupp-Tochtergesellschaften in aller Welt etwas Verdächtiges passiert.

Der Mann, der hier das Sagen hat, ragt schon mit seinem unkonventionellen Outfit aus der Kaste der Anzugträger heraus. Der Vollbart wirkt etwas zottelig. Seine blonden, schulterlangen Haare sind zu einem Zopf zusammengebunden. Stilecht, wie es sich für einen Computerfreak gehört, trägt er dazu ein pechschwarzes Kapuzen-Shirt. „Hacker“ steht dort in großen, weißen Buchstaben geschrieben - jeder soll sehen, in welchem Metier der Mann tätig ist. Seinen Klarnamen kennen nur wenige, und in der Zeitung will er ihn nicht lesen. Er stellt sich mit Klaus Langfeld vor. „Eine reine Vorsichtsmaßnahme“, wie er sagt - aus Angst vor Angriffen aus der Cyberunterwelt gegen sich und seine junge Familie.

Thyssenkrupp gehört zu den wenigen Unternehmen, die sich ein eigenes Notfallzentrum leisten. Die meisten Unternehmen scheuen die immensen Kosten und lagern die Abwehrarbeit an externe IT-Dienstleister aus. Doch so engagiert und genau gucken die dann auch nicht hin. „Ein externer Anbieter hätte den Angreifer wahrscheinlich gar nicht erst gesehen“, sagt der Taskforce-Chef Barry.

Forensische Analysen zeigen: Die Attacken gehen auf das Konto einer straff organisierten Cyberbande, die wahrscheinlich mit staatlicher Hilfe und den besten Angriffstechniken hochgerüstet ist. Ihre verdeckten Operationen startet sie mit durchaus geregelten Arbeitszeiten von irgendeinem fernen Großraumbüro. Insbesondere die ungewöhnlichen Angriffszeiten deuten darauf hin, dass die Attacken ihren Ursprung in China oder einem anderen Land in Südostasien haben. Natürlich kann das auch eine absichtlich falsch gelegte Fährte sein.

Für den Konzern geht es um viel. Wie schnell ein Unternehmen abstürzen kann, dessen Know-how offensichtlich von chinesischen Cyberspionen ausgeschlachtet wurde, hat der kanadische Netzausrüster Nortel erfahren. Ab dem Jahr 2000, damals war Nortel noch ein Vorzeigeunternehmen mit einem Börsenwert von 225 Milliarden Euro, konnten Hacker mehrere Jahre unerkannt aus den IT-Systemen technische Dokumentationen, Entwicklungsprojekte und Geschäftspläne ausspionieren. Mit dem Fall befasste Insider meinen, es sei kein Zufall, dass mit dem Abstieg von Nortel der Aufstieg des chinesischen Konkurrenten Huawei begann. 2009 musste Nortel Insolvenz anmelden, es hatte seinen Technologievorsprung verloren.

Wie bei Nortel gehen die Angreifer auch bei Thyssenkrupp äußerst zielgerichtet und vorsichtig vor. Die Spione wollen sich offenbar langfristig im Netz festsetzen, um - ohne dass die Betroffenen davon etwas ahnen - im Idealfall permanent Informationen abziehen zu können. Unauffälligkeit ist da wichtig.

Seit April geht es in der Sache dennoch hoch her: Da hat „Hacker“ Langfeld, der auch der Chef des CERT-Teams ist, in den Milliarden Bits und Bytes, die täglich durch das Unternehmensnetz rauschen, genau das eine Bit gesehen, das aus der Reihe tanzte. „Wir fanden eine winzige Stecknadel im Heuhaufen“, sagt Langfeld. „Und das auch nur deshalb, weil wir gezielt danach suchen und Anomalien konsequent nachgehen.“ Der Angreifer wollte seitwärts von einem IT-System, in das er bereits eingedrungen war, in das nächste spazieren und benutzte dabei einen etwas seltsamen Dateinamen.

Der Fund löste die bislang größte Suchaktion in den IT-Systemen von Thyssenkrupp aus. Auf welchen Weg ist der Angreifer eingedrungen? Seit wann versteckt er sich schon im Netz? Welche Rechner hat er schon besucht? Auf all diese Fragen brauchte Thyssenkrupp schnell Antworten.

Wie der Angreifer die vorhandenen Sicherheitsvorkehrungen überwinden konnte, weiß Thyssenkrupp bis heute nicht. „Wahrscheinlich hat ein Mitarbeiter aus Versehen eine der bösartigen Phishing-Mails geöffnet, die seit Jahresbeginn verstärkt an die Firmen-Accounts geschickt werden“, spekuliert Konzern-CIO Hölz.

Fest steht bisher nur: Die Spuren lassen sich bis in den Februar zurückverfolgen. Rund 45 Tage hat demnach Thyssenkrupp gebraucht, um den Eindringling zu entdecken. „Ein vergleichsweise guter Wert“, meint Hölz, „wenn man bedenkt, dass laut aktueller Untersuchungen die betroffenen Firmen bis dato durchschnittlich 146 Tage brauchen.“

Wie die Hacker arbeiten

Dabei haben die Hacker ihre Aktionen besonders geschickt getarnt. Sie setzen nicht etwa zehn Befehle - sogenannte Pings - ab, um zu erfahren, ob ein Computer über das Internet erreichbar ist. Sie beschränken sich auf genau einen. Um solche Aktionen zu verschleiern, legen sie sogar Pausen ein und sind zeitweise tagelang gar nicht aktiv. Selbst Spezialisten müssen dann auch Glück haben, um das zu sehen.

Noch schwerer zu durchschauen ist ein anderes Manöver. Jeden Rechner, den sie besuchen, säubern sie auch hinterher wieder und löschen alle Spuren. „Der Angreifer ist ein sehr ordentlicher Gast, der räumt sogar auf“, sagt CIO Hölz. Übrig bleiben am Ende nur winzig kleine Fragmente. Um die zu finden, muss Thyssenkrupp die betroffenen Festplatten schon sehr genau scannen. „Wir müssen auch unter den Radarschirm schauen“, sagt Hölz.

In mühevoller, wochenlanger Sisyphusarbeit konnte Thyssenkrupp so ein sehr exaktes Bewegungsprofil erstellen. Sein erstes Ziel erreichte der Angreifer bereits im März: einen Computer im Produktionsprozess des hochmodernen Walzwerkes Hohenlimburg in Hagen, der Teil des Qualitätsmanagements ist und alle Messwerte im Hochofen überwacht.

Warum gerade der?

Die Experten rätseln noch heute: Die Daten sind gar nicht so kritisch, selbst einen theoretischen Zugriff auf die Hochöfen gibt es nicht. „Vielleicht wollte er das System nur als Sprungbrett nutzen, um seine Angriffe von hier aus auf andere IT-Systeme im Konzern auszuweiten“, sagt Taskforce-Leiter Barry. Solch ein Qualitätsmanagementsystem eignet sich dafür besonders gut. Denn es läuft - anders als beispielsweise Bürocomputer - rund um die Uhr.

Kurz darauf baut der Angreifer weitere Stützpunkte auf - und einmal kommt er sogar dem Vorstand gefährlich nahe. Ein Computer am Empfang von Q10, einem Nebengebäude der Konzernzentrale in Essen, bekommt plötzlich auch Besuch. Dort kontrollieren Mitarbeiter einer Sicherheitsfirma, wer ein- und ausgeht. „Der Rechner als solches ist beliebig uninteressant“, sagt Barry. Dort kommen auch keine Gäste des Vorstandes vorbei. Deswegen sei auch die Besucherliste uninteressant. „Den Rechner nutzt der Angreifer nur dafür, seinen Datenverkehr dort durchlaufen zu lassen - in der Hoffnung: Auf das Gerät schaut keiner.“ Thyssenkrupp lässt den Rechner danach bewusst weiterlaufen. „Dann haben wir den Angreifer wenigstens im Blick“, sagt Barry.

Wie die Verteidiger kämpfen

Erst Ende April tastet sich der Angreifer an sein eigentliches Ziel - den Geschäftsbereich Industrial Solutions - heran. Die Sparte ist auf den Bau von Großanlagen - insbesondere für die Chemie- und Zementindustrie - spezialisiert. Erst dringt er in die IT-Systeme von fünf deutschen Standorten in Duisburg, Essen, Beckum, Dortmund und Berlin ein. Kurz darauf finden sich seine Spuren auch in Niederlassungen in den USA, Indien, Südafrika, Argentinien und der Schweiz. „Das Ganze ist vergleichbar mit einem Tumor. Oft kennt man zwar den Herd, aber man weiß nicht, wie weit er schon gestreut hat“, sagt Hölz.

Insbesondere für Megaprojekte - wie die weltgrößte Zementfabrik in der Wüste Saudi-Arabiens - stellt die Sparte Industrial Solutions große Teams mit Ingenieuren zusammen. Die arbeiten nicht nur vor Ort vor den Toren der Hauptstadt Riad, sondern entwerfen multikulturell und eng vernetzt auch an anderen Standorten - wie in diesem Fall - in Deutschland, Indien und Vietnam gemeinsam die Baupläne. In solchen Zeichnungen steckt wertvolles Know-how über neue Produktionsprozesse. Wenn die in fremde Hände fallen, wäre der Schaden für Thyssenkrupp hoch. Bei einem Projekt gelingt das dem Angreifer. Er könnte also durchaus das langfristige Ziel verfolgen, im Anlagenbau Fuß zu fassen.

In diesem Moment ist auch dem Letzten im Notfallzentrum klar: Die Hacker greifen auf breiter Front an. „Major Incident“ heißt das bei den Profis. Auf Deutsch: Großalarm. Das Notfallzentrum muss nachrüsten, um auch in den letzten Winkeln der weitverstreuten IT-Systeme nach verdächtigen Spuren suchen zu können. Starke Rechner zur Analyse der riesigen Datenmengen werden angeschafft und direkt neben die alten gestellt. Denn wo auch immer die Datendetektive Spuren des Angreifers finden, jedes Mal werden Kopien der betroffenen Festplatte erstellt und zur Beweissicherung per Flugzeug oder Kurier ins Essener Notfallzentrum gebracht. Drei bis fünf Tage dauert es dann, bis so ein Abgleich mit den bereits vorliegenden Log-Daten durchgelaufen ist. Ist die Spur heiß, werden die Scanner im Netz erneut gefüttert. Taucht eine neue Anomalie auf, geht der gesamte Prozess wieder von vorne los. Zeit zum Aufräumen hat hier niemand.

Und wenn etwas fehlt, bringen die Spezialisten das einfach von zu Hause mit und arbeiten weiter. Wie das Klimagerät, das mitten im Raum leise vor sich hin surrt. Bei einer Abwärme von mindestens 40 Grad, die einige Power-Rechner produzieren, kommen sich die Mitarbeiter an heißen Tagen vor wie im Brutkasten. „Das Fensterbrett könnten wir auch mal wieder abstauben“, meint einer. Die Putzkolonnen, die in den anderen Etagen saugen und wischen, dürfen hier schon länger nicht mehr rein. Aber daran nimmt im Moment niemand Anstoß.

Was tun? Sofort Alarm schlagen und im gesamten Konzern Panik auslösen? Oder mit dem Gegenschlag warten und den Angreifer heimlich auf Schritt und Tritt verfolgen? Thyssenkrupp entscheidet sich nach reiflicher Überlegung für die zweite Variante und ordnet absolute Geheimhaltung an. Nur ein extrem kleiner Kreis von Führungskräften ist eingeweiht. Jeder Mitwisser wird schriftlich zum Stillschweigen verpflichtet. Denn der Angreifer darf auf keinen Fall erfahren, dass er beobachtet wird. Sonst wächst die Gefahr, dass er sich noch tiefer in den IT-Systemen versteckt.

Damit das so bleibt, dürfen sich die Spezialisten nur noch per Telefon und SMS, aber nicht mehr per E-Mail abstimmen. Zwischendurch hatte der Angreifer auch mal bei Mailservern vorbeigeschaut. „Um Mails mitzulesen, muss er ja nicht in den Mailservern sitzen“, sagt einer der Spezialisten. „Er kann sich ja auch im Netzknoten einnisten und den Mailverkehr nach Schlüsselwörtern durchsuchen.“

Barry wird so etwas wie der oberste Troubleshooter im Konzern. Jeden Montag treffen sich die fünf Mitglieder, vier Männer und eine Frau, der von ihm geleiteten Taskforce in seinem kleinen Büro im Essener Thyssenkrupp-Quartier. Sie gehen den „streng vertraulichen“ Status-Report durch, den einmal pro Woche der Vorstand erhält.

Die Taskforce bringt ihren Chef auf den neuesten Stand. „Die IT-Systeme von Vorstand, Aufsichtsrat und dem Geschäftsbereich Marine Systems, der Schiffe und U-Boote für Militärs baut, sind weiterhin sicher“, berichtet der Erste. Für diese hochsensiblen Konzernbereiche hat Thyssenkrupp schon vor Jahren Hochsicherheitszonen eingerichtet, die ähnlich stark abgeschottet sind wie das Netz der Bundesregierung. „Die Kosten sind um den Faktor zehn höher“, schätzt Barry. Wegen dieser extremen Zusatzkosten kann Thyssenkrupp deshalb nicht für alle 150 000 Mitarbeiter im Konzern solche Sicherheitszellen einrichten, sondern nur sehr gezielt in besonders schützenswerten Bereichen. „Wir werden damit leben müssen, dass sich ein Angreifer die Speisekarte der Kantine anschaut“, sagt Barry.

Der nächste Tagesordnungspunkt bereitet Barry umso mehr Bauchschmerzen. 9500 Server hat das CERT bereits durchleuchtet, aber niemand im Konzern weiß, ob das wirklich alle sind. Der Taskforce-Chef fürchtet, dass es wahrscheinlich weitere 1000 Server an längst vergessenen Stellen gibt. Das wäre ein echtes Problem. Dabei wäre es extrem wichtig, alle ohne Ausnahme zu durchleuchten. Denn nur so sei sichergestellt, dass sich der Angreifer nicht genau dort zurückzieht. „Ich kann aber nicht jeden Administrator weltweit anrufen und anordnen: 'Wir sind gehackt worden. Such mal bitte diesen unbekannten Server.' Dafür brauchen wir noch eine Lösung.“

Barrys wichtigste Aufgabe ist, die traditionellen Entscheidungswege im Konzern aufzubrechen und unorthodoxe Lösungen zu finden. Vor allem die Experten in den Niederlassungen haben Angst, eigene Entscheidungen zu treffen. „Wir kommen traditionell aus einer Unternehmenskultur mit langwierigen internen Abstimmungsprozessen“, erklärt Barry. „Ich sage dann: Mache es, du brauchst keine Angst vor Strafen zu haben, ich nehme das auf meine Kappe.“ Das Wichtigste ist: „Wenn wirklich mal ein Datenabfluss droht, dann müssen wir sofort den Stecker ziehen.“

Der Vorstand hat ihm quasi Prokura für alle erforderlichen Sach- und Personalinvestitionen erteilt. Anders lässt sich auch solch ein Angriff nicht abwehren. „Wenn jemand sagt, ich bekomme das auch mit Nachtschichten nicht hin, dann hole ich weitere Spezialisten an Bord“, sagt Barry. „Ich erkläre dem Topmanagement dann später, warum das notwendig war. In so einer Notsituation haben wir nur dann eine Chance, wenn wir genauso schnell und flexibel arbeiten wie der Angreifer.“

Für solch einen Angriff liegen auch keine Alarmpläne in den Schubladen. „Wenn ein Feuer ausbricht, dann wissen die meisten, wo die Fluchtwege sind. Das üben wir jedes Jahr“, sagt Barry. „Für diesen Notfall gab es aber noch nicht mal ein Manöver.“

Am Ende großes Aufatmen. Das Krisenmanagement hat wie geplant funktioniert. Ende Oktober konnten die IT-Spezialisten beim weltweiten Großreinemachen den Spion aus den IT-Systemen vertreiben. Mehrmals hat er seitdem versucht, wieder in die Rechner einzudringen. Doch überwunden hat er die viel höheren Schutzwälle bisher nicht.

Wie Unternehmen vorgehen können

Doch dies ist nur eine Momentaufnahme, sind sich alle Experten bei Thyssenkrupp einig. 100-prozentigen Schutz wird es auch in Zukunft nicht im Konzern geben. „Er wird versuchen, wieder bei uns einzubrechen“, prophezeit Taskforce-Chef Barry. „Aber er wird natürlich nicht mehr das Brecheisen einsetzen, das wir bereits kennen. In Zukunft wird er uns mit ganz anderen Werkzeugen überraschen.“

In so einem Fall will Thyssenkrupp nicht erst nach 45 Tagen die Verfolgung aufnehmen. Bessere Früherkennungssysteme kommen inzwischen flächendeckend in allen IT-Systemen und Netzen zum Einsatz. Der erste Alarm könnte dann aus Danzig kommen. Dort entsteht gerade das erste Global Control Center, in dem alle Fäden zusammenlaufen und das in enger Zusammenarbeit mit dem Notfallzentrum in Essen allen merkwürdigen Spuren in den IT-Systemen nachgehen soll.

Konzernchef Hiesinger denkt aber schon weiter und arbeitet an besser abgesicherten Datentransfers für die Fabrik 4.0. Gemeinsam mit anderen deutschen Unternehmen gründete Thyssenkrupp die Initiative Industrial Data Space. Ihr Ziel: einen geschützten Datenraum zu bauen, in dem sich die deutsche Industrie sicher miteinander vernetzen kann.

Noch wichtiger ist aber, dass sich alle Mitarbeiter der hohen Risiken bewusst werden. Wenn nur einer auf eine bösartige Mail hereinfällt, geht das Katz-und-Maus-Spiel von vorne los. Mit einer globalen Sensibilisierungskampagne will Thyssenkrupp-Chef Hiesinger verhindern, dass allzu große Sorglosigkeit den Konzern in neue Abenteuer stürzt. Die kann er gerade gar nicht gebrauchen. „So einen Angriff möchte ich nicht noch einmal erleben“, sagt Barry.