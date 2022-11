Schon seit Wochen herrscht Alarmstimmung an der Vahrenwalder Straße in Hannover, wo der Autozulieferer Continental seine Hauptverwaltung hat. Nachdem Hacker in einer Attacke rund 40 Terabyte an Daten vom Konzern erbeutet haben – ein Volumen, das rund 260 Millionen Dokumentenseiten entspricht –, läuft die interne Untersuchung auf Hochtouren. Aufsichtsräte wollen wissen, wie kritisch die Informationen sind, die abgesaugt wurden. Bislang gebe es dazu noch viel zu wenig Klarheit, sagt ein Kontrolleur. Einen ersten Zwischenstand bekam das Gremium vergangene Woche auf einer Sondersitzung. Bis zum nächsten regulären Treffen am 14. Dezember sollen nun weitere Antworten her.

Den wichtigsten und – nach allem, was bekannt ist – einzigen Anhaltspunkt liefert eine Liste, die die Hackergruppe „Lockbit 3.0“ auf einem Blog im Darknet veröffentlicht hat. Auf Millionen von Zeilen werden dort Dateien aufgeführt, die angeblich aus den Systemen von Conti herauskopiert wurden, von technischen Skizzen bis zur Korrespondenz mit Kunden und persönlichen Informationen von Mitarbeitern. In mühevoller Kleinarbeit suchen Spezialisten des Autozulieferers jetzt die Originaldateien auf den eigenen Computern und Netzwerkrechnern. Sie öffnen jede einzelne und versuchen zu bewerten, welche Gefahr besteht, wenn diese in falsche Hände gerät. Unterstützt werden sie dabei nach Informationen der F.A.Z. von der Wirtschaftsprüfungsgesellschaft KPMG.

Zuerst hatten die Hacker 50 Millionen Dollar von Conti gefordert, um die Daten zu vernichten. Wenn der Konzern nicht zahlt, so die Drohung, werde man die Informationen veröffentlichen oder an Dritte verkaufen, ebenfalls zum Preis von 50 Millionen Dollar. Am Dienstagabend um Punkt 22.19 Uhr meldeten sich die Angreifer auf ihrem Blog abermals zu Wort – und senkten die Forderung auf 40 Millionen Dollar. Conti zeigt aber keine Bereitschaft, zu verhandeln, und will sich nicht erpressen lassen, eine Strategie, die nicht alle Betroffenen solcher Angriffe wählen. Viele zahlen still und heimlich und bieten den Hackern dadurch immer neue Anreize für ihr Geschäft.

Offiziell teilt der Dax-Konzern nur mit, er untersuche den Vorfall und stehe „mit nationalen und internationalen Sicherheits- und Datenschutzbehörden“ im Austausch. „Die Untersuchung dauert derzeit noch an und erfolgt mit höchster Priorität.“ In Deutschland wurden unter anderem das Bundesamt für Sicherheit in der Informationstechnik, das Landeskriminalamt Niedersachsen und der Arbeitsbereich Wirtschaftsschutz des niedersächsischen Verfassungsschutzes eingeschaltet. International ist das amerikanische Federal Bureau of Investigation, kurz FBI, aktiv geworden. Es ermittelt schon länger im Umfeld der Lockbit-Bande, einem Netzwerk, das Ransomware, auch Erpressungstrojaner genannt, entwickelt und anwendet. In der Regel sperren solche Programme die Systeme ihrer Opfer, sodass diese nicht mehr an Daten herankommen. Als Nächstes fordern Hacker dann Lösegeld, um die Rechner wieder freizuschalten.

Conti hatte im August zunächst mitgeteilt, eine solche Attacke auf seine IT abgewendet zu haben. Erst später stellte sich heraus, das zwar keine Systeme gesperrt, aber Daten abgesaugt wurden. Da die Ereignisse auch den Aktienkurs beeinflussen, schaut sich die Finanzdienstleistungsaufsicht Bafin den Fall „routinemäßig“ an, wie sie auf Anfrage der F.A.Z. mitteilt. Man prüfe, „ob infolge des Hacker-Angriffs Umstände eingetreten sind, die für Continental eine Insiderinformation darstellen“. Dahinter steht die Frage, ob das Management Anleger früher hätte informieren müssen, was Conti bestreitet. Auswirkungen auf die Vermögens-, Finanz- und Ertragslage seien nicht abschätzbar, und es sei unklar, ob solche Folgen überhaupt einträten, heißt es im Konzern. Insofern habe man keinerlei Transparenzpflichten verletzt.

Klar ist indes, dass Conti schon länger wusste, dass in Sachen IT-Sicherheit einiges zu tun ist. Schon vor Monaten hatte der Konzern beschlossen, seine Sicherheitssysteme zu ertüchtigen. Für mehr Schutz sollte unter anderem ein Programm des US-Anbieters Crowdstrike sorgen, wie aus informierten Kreisen verlautet. Dessen Spezialisten machen sich seit Jahren einen Namen in der Szene, etwa als sie 2015 in die Aufklärung eines Angriffs auf Sony Pictures durch Hacker aus Nordkorea involviert waren. Im Fall von Conti kam der Einsatz aber zu spät. Noch bevor die neuen Systeme ausgerollt wurden, verschaffte sich die Lockbit-Gruppe Zugriff. Als wahrscheinlich gilt, dass ein Conti-Mitarbeiter zuvor unbedacht einen Link öffnete und damit die Tür für die Schadsoftware aufstieß.

Jetzt schlägt der Fall hohe Wellen in der deutschen Wirtschaft. Denn Datendiebstähle solchen Ausmaßes sind hierzulande bisher kaum bekannt geworden, auch wenn sich die Fälle von Angriffen wie in allen Ländern häufen. Kunden in der Automobilindustrie sind alarmiert, etwa der Volkswagen -Konzern aus Wolfsburg. Man nehme jegliche Schwachstellen auch in etwaig betroffenen IT-Systembereichen von Partnern und Zulieferern sehr ernst, heißt es dort. „Vor dem Hintergrund des Hacker-Angriffs auf IT-Systeme der Continental AG sind wir im Austausch mit den zuständigen Stellen im Hause Continental.“

Ähnlich hatte sich zuletzt Mercedes geäußert. Dass schnell Klarheit herrscht, ist aber nicht zu erwarten. Es könne Wochen, wenn nicht Monate dauern, bis man ein komplettes Bild der möglichen Folgen für Conti und seine Kunden habe, lautet eine gängige Einschätzung am Stammsitz des Konzerns in Hannover.