IT-Kriminalität Wie es nach dem Hackerangriff am Fraunhofer-Institut in Halle weitergeht

Ein großer Mann mit Locken und Brille steht vor einer Betonwand.
Bildrechte: MDR/Viktoria Schackow

Vor einem Monat ist bekannt geworden, dass kriminelle Hacker in das IT-System des Fraunhofer-Instituts in Halle eingedrungen sind, Daten gestohlen und das Institut erpresst haben. Nach wie vor bieten sie diese Daten im Darknet zum Verkauf an. Das Landeskriminalamt ermittelt. Das Fraunhofer-Institut ist jetzt wieder weitestgehend arbeitsfähig.

Kabel und LED-Leuchten eines Servers im Rechenzentrum
Nach einem Hackerangriff im April kann das Fraunhofer-Institut in Halle mittlerweile wieder weitestgehend arbeiten. (Symbolbild) Bildrechte: IMAGO / photothek

Im April bekommt eine Firma aus Wolfen eine E-Mail vom Fraunhofer-Institut. Die Firma arbeitet mit dem Institut schon seit Jahren erfolgreich in Forschungsfragen zusammen, um die Qualität seiner Produkte zu verbessern. In der Fraunhofer-E-Mail heißt es, dass Kriminelle Daten vom Institut gestohlen haben – auch Daten der Firma in Wolfen seien betroffen.

Außerdem wird die Firma davor gewarnt, dass sie Nachrichten im Namen des Fraunhofer-Instituts Halle bekommen könnte und darauf nicht reagieren sollte. Wochenlang kommunizieren die Firmenmitarbeiter und die Forscher aus Halle deshalb ausschließlich per Telefon oder in persönlichen Gesprächen.

Screenshots aus dem Darknet
Eine Firma aus Wolfen arbeitet mit dem Fraunhofer-Institut zusammen: Auch Daten aus diesem Projekt bieten Kriminelle in Darknet zum Kauf an. Bildrechte: MDR

Das kriminelle Geschäft der Hacker

Hackerangriffe sind ein kriminelles Geschäft mit klaren Opfern: das Fraunhofer-Institut für Mikrostruktur von Werkstoffen und Systemen (IMWS) in Halle, seine Beschäftigten und Geschäftspartner. Und als Opfer eines solchen Falles sind Betroffene noch machtloser als nach einem klassischen Einbruch: Denn das Opfer kann quasi zuschauen, wie sein Eigentum auf der gegenüberliegenden Straßenseite verkauft wird, ohne Verkäufer und Käufer zu erkennen. Und mitunter erkennt das Opfer noch nicht einmal das Diebesgut.

Im April hatten sich Kriminelle Zugang zum IT-System des halleschen Instituts verschafft, Daten kopiert und auf den Rechnern in Halle verschlüsselt. Die verschlüsselten Daten konnten nicht wiederhergestellt werden, schreibt das Fraunhofer-Gesellschaft auf Anfrage von MDR SACHSEN-ANHALT.

Das Ziel der Kriminellen: Geld. Zuerst versuchen sie, das Institut zu erpressen. Vermutlich hatten die Kriminellen sogar per E-Mail oder Chat Kontakt mit dem Institut, bevor sie die Daten auf einem Marktplatz im Darknet anbieten, um sie dort zu Geld zu machen.

Fünf Tage nach Bekanntwerden des Vorfalls geht eine E-Mail an alle Beschäftigte der Fraunhofer-Gesellschaft. Darin heißt es, dass etwa 60 Prozent der Daten in Halle verschlüsselt, aber nur ein Prozent entwendet wurden. "Der Angriff erfolgte durch eine bekannte Ransomware-Gruppe." Es würden keine Erkenntnisse vorliegen, dass die Gruppe mit staatlichen Akteuren zusammenarbeite.

Diebesgut: private Daten und Forschungsdaten

Derzeit geht das Fraunhofer-Institut offiziell davon aus, "dass die Tätergruppierungen vorrangig wissenschaftliche Daten aus öffentlich geförderten und projektbezogenen Aufträgen entwenden konnten".

Recherchen von MDR SACHSEN-ANHALT zeigen, dass die Kriminellen auch private Unterlagen wie Lebensläufe, Fotos oder Riester-Vertragsunterlagen erbeutet haben. Andere Ordner heißen "Patente", "Vertragsunterlagen" "interne Besprechung", "Förderbescheid" oder "Geheimhaltung". Insgesamt geben die Kriminellen die Datenmenge mit 320 GB an – eine Datenmenge, die in mehr als 64.000 Bibeln steckt.

Screenshots aus dem Darknet
Unter den angebotenen Daten finden sich offenbar auch private Daten. Bildrechte: MDR

Datenhandel strafbar für Diebe und Käufer

Die gestohlenen Daten sind nach wie vor im Darknet. Pro Datei verlangen die Kriminellen einen Dollar in der Kryptowährung Bitcoin. Die Täter machen es ihren potenziellen Kunden einfach, sie zu finden: Sie betreiben eine normale Internet-Seite, ein Twitter-Konto mit mehr als 3.000 Followern und einen Telegram-Kanal mit mehr als 8.000 Abonnenten. Über all diese Wege teilen sie die direkten Links zu ihrer Präsenz im Darknet. Klar ist: Wer dort eine Datei kauft, macht sich der Datenhehlerei strafbar. Sie kann mit bis zu drei Jahren Gefängnis bestraft werden.

Für die Datendiebe selbst kommen mehrerer Straftaten infrage, schreibt das Landeskriminalamt Sachsen-Anhalt auf Anfrage von MDR SACHSEN-ANHALT: Computersabotage, Ausspähen von Daten, Datenveränderung und Erpressung – Taten, die jeweils mit mehrjährigen Haftstrafen belegt werden können.

Wegen der laufenden Ermittlung hält sich das Landeskriminalamt mit Informationen zurück. Die Ermittlungen würden "im engen Zusammenwirken mit unseren Partnern im In- und Ausland geführt". Es würden Rechtshilfeersuchen im Ausland gestellt. Das dauere.

Aufwand und Kosten bislang nicht zu beziffern

Die Fraunhofer-Gesellschaft sagt, absolute Priorität hätte es gehabt, das Institut und seine Mitarbeitenden wieder arbeitsfähig zu machen. Und: "Die Arbeitsfähigkeit ist mittlerweile weitestgehend wiederhergestellt." Wie viel Kosten und zusätzliche Arbeitszeit angefallen sind, sei derzeit nicht abzuschätzen. "In jedem Fall ist ein Schaden am Institut entstanden, da sich die Abarbeitung von Projekten verzögert und zahlreiche Mehraufwände unter teils großem persönlichem Einsatz betrieben wurden."

Wie Kriminelle Updates für Software für Angriffe ausnutzen

Schon immer sagen Expertinnen und Experten, dass Updates für Software so schnell wie möglich installiert werden sollen. Ein Grund dafür: Sind die Updates und Patches für Sicherheitslücken in Software bekannt, werden auch die Lücken selbst bekannt. Etwa so, als würde man Menschen einen Stöpsel geben und ihnen das Loch zeigen, in das der Stöpsel passt.

Die Fraunhofer-Gesellschaft schreibt dazu auf Anfrage von MDR SACHSEN-ANHALT: "Im Bereich der bekannten Sicherheitslücken ist festzuhalten, dass sich aus dem Patch in der Regel mit überschaubarem Aufwand die Lücke rekonstruieren lässt. Auch die vorhandenen Publikationen zu möglichen Angriffswegen, die vom Hersteller der Software bereitgestellt werden, um Kunden bei der Absicherung zu unterstützen, können aufschlussreich sein. Die Entwicklung eines funktionierenden Exploits dafür ist zwar nicht zwingend trivial, aber durch Reverse Engineering des Patches in überschaubarer Zeit realisierbar. Diese Exploits finden dann auch den Weg auf einschlägige Marktplätze. Daher gilt: Ist eine Lücke einmal bekannt (das ist der Fall, wenn ein Patch existiert), sollte man möglichst schnell den Patch installieren, da die Exploits zeitnah folgen und die ‘Nachzügler’ beim Patchen durch zum Beispiel Scannen von Systemen im Internet angegriffen werden."

Innerhalb der Fraunhofer-Gesellschaft habe es eine große Solidarität gegeben, um den Vorfall aufzuarbeiten. Die Fraunhofer-Gesellschaft gilt mit ihren 76 weitgehend unabhängigen Forschungseinrichtungen und 30.000 Beschäftigten als Europas größte Forschungsorganisation und sieht sich selbst als "weltweit führende Organisation für anwendungsorientierte Forschung".

Screenshots aus dem Darknet
Die Kriminellen betreiben für ihren Marktplatz auch einen Kanal beim Messengerdienst Telegram. Bildrechte: MDR

Einrichtungen der Fraunhofer-Gesellschaft forschen selbst zur Cybersicherheit. Die Gesellschaft betreibt zum Beispiel mit der TU Darmstadt und der Hochschule Darmstadt das nationale Forschungszentrum für angewandte Cybersicherheit "ATHENE". Es ist nach Angaben der Einrichtung das größte Forschungszentrum für Cybersicherheit in Europa. Außerdem gebe es den "Arbeitskreis Informationssicherheit der deutschen Forschungseinrichtungen", dem auch die Max-Planck-Gesellschaft, die Leibniz-Gemeinschaft und die Helmholtz-Gemeinschaft angehörten. Fraunhofer betreibt außerdem ein Lernlabor zur Cybersicherheit, das unter anderem Weiterbildungen zur IT-Sicherheit für Fachkräfte aus Industrie und Verwaltung anbietet.

Ist Fraunhofer um seinen Ruf besorgt?

Screenshot des Twitter-Kontos des Darknet-Marktplatzes
Auch bei Twitter versuchen die Kriminellen auf ihren illegalen Marktplatz im Darknet aufmerksam zu machen. Bildrechte: MDR

Von Kunden und Partnern in Politik und Behörden habe man für den Umgang mit dem Vorfall positive Rückmeldungen bekommen: "Gerade Wissenschaftsorganisationen müssen ihre Ergebnisse vor Ausspähung schützen", schreibt der Pressesprecher der Fraunhofer-Gesellschaft. "Intern existiert ein eigenes Fraunhofer Security Operations Center, das die Fraunhofer-Gesellschaft und ihre Institute bei der Erkennung und Bearbeitung von Cyberangriffen unterstützt." Man verstehe sich weiterhin als "verlässlicher Partner und Berater von Wirtschaft und Politik in Sachen Cybersicherheit".

IT-Sicherheitsmaßnahmen und Schulungen würden auch nach dem Vorfall in Halle laufend überprüft. "Dass sich der Vorfall nicht auf weitere Institute ausgeweitet hat, zeigt, dass die bereits vor dem Vorfall bestehenden Maßnahmen greifen", so die Gesellschaft.

Die einzelnen Institute sind allerdings in ihrer Organisation seit jeher weitgehend unabhängig. Die Fraunhofer-Gesellschaft ist dezentral organisiert – das ist in diesem Fall vermutlich ein Vorteil, weil deshalb nicht weitere Fraunhofer-Institute Opfer der Kriminellen werden konnten.

Chef der Cyberagentur: Angst vor Reputationsverlust Teils des Problems

Der Chef der Cyberagentur des Bundes in Halle, Christian Hummert, sagt, die Sorge vor Reputationsverlust sei Teil des Problems. Denn sie würde vor allem bei Unternehmen dazu führen, dass sie den Kriminellen Geld zahlen würden. Das gehe nicht.

Hummert sieht die ganze Gesellschaft in der Verantwortung: "Vielleicht müssen wir uns als Gesellschaft daran gewöhnen, dass hin und wieder etwas schiefgeht und dass wir auch nachsichtiger sind und nicht auf das Opfer zeigen und sagen: 'Ihr wart zu blöd, euer System abzudichten.'"

Hummert fordert, die Cybersicherheit zu stärken. Verwaltung, Strafverfolgungsbehörden und Gesellschaft müssten resilienter werden. "Jeder Einzelne ist dafür verantwortlich, sein eigenes System sicher zu gestalten."

Nächstes Ziel: Täter fassen

Gerüchten zufolge könnten die Täter von Osteuropa aus arbeiten. Sie zu fassen, ist nun das Ziel der Sicherheitsbehörden. Und werden sie gefasst, lässt sich auch der Darknet-Markplatz schließen, so dass niemand mehr die Daten der Hallenser Forscher bekommen kann, sagt Christian Hummert: "Es gab bereits viele Fälle, wo Plattformen im Darknet auch durch deutsche Sicherheitsbehörden geschlossen wurden." Allerdings lassen sich die Daten, die bereits jemand widerrechtlich gekauft hat, nicht zurückholen.

Screenshot, der im Darknet zum Verkauf stehende gehackte Daten zeigt. Teilweise ist das Bild unkenntlich gemacht worden.
Der Datensatz ist seit Anfang Mai im Darknet zu finden. Bildrechte: Screenshot: MDR SACHSEN-ANHALT

Darüber macht sich die Firma aus Wolfen allerdings keine allzu großen Sorgen: "Das sind Forschungsergebnisse – unsere Kompetenz liegt in der Produktion und Herstellung und dieses Wissen lag nicht auf Computern beim Fraunhofer-Institut."

Die IT-Erpressung des Fraunhofer-Instituts in Halle macht mindestens zwei Dinge deutlich:

  1. Firmen und Organisationen müssen den schlimmsten anzunehmenden Fall wenigstens gedanklich durchspielen und sich darauf vorbereiten.
  2. Und: Was gehackt werden kann, wird gehackt.

Mehr zum Thema: Hacker-Angriff auf das Fraunhofer-Institut in Halle

MDR (Marcel Roth)

Dieses Thema im Programm: MDR SACHSEN-ANHALT – Das Radio wie wir | 06. Juni 2022 | 17:00 Uhr

404 Not Found

Not Found

The requested URL /api/v1/talk/includes/html/9155fc37-f4e2-41ec-bad1-280300e1ee97 was not found on this server.

Mehr aus dem Raum Halle und Leipzig

Mehr aus Sachsen-Anhalt