Nach Einschätzung der von Bayer hinzugezogenen Experten wie die Deutsche Cyber-Sicherheitsorganisation (DCSO) deutet der Angriff auf die Gruppe "Wicked Panda" aus China hin, die mit Winnti zusammenhängt. Die Staatsanwaltschaft Köln ermittelt. Der Konzern könne sich deshalb nicht zu weiteren Details äußern.

Nach Angaben von Bayer haben die Experten des Cyber Defense Centers die betroffenen Systeme identifiziert, analysiert und bereinigt. Sie hätten dabei eng mit der DCSO und dem Landeskriminalamt in Nordrhein-Westfalen zusammengearbeitet. Wann genau die Hacker Zugriff auf das Netzwerk von Bayer erlangten, sei unklar, sagte der Sprecher. Sie hätten diesen aber unter Beobachtung bis Ende März dieses Jahres gehabt. "Die infizierten Systeme hat unser Cyber Defense Center bewusst zunächst nicht bereinigt, um potenzielle Kommunikation der Angreifer analysieren zu können", erklärten die Leverkusener. Ende März seien dann alle Systeme bereinigt worden. Bis dahin seien die Hacker nicht aktiv geworden.

Große Unternehmen zählen Cyber-Attacken inzwischen zu den größten Risikofaktoren für ihr Geschäft. Der Bundesnachrichtendienst (BND) erwartet immer mehr Angriffe durch Hacker. "Weltweit sinkt die Hemmschwelle, Cyber-Angriffe zur Erlangung von politischen, militärischen oder wirtschaftlichen Vorteilen einzusetzen", hatte BND-Präsident Bruno Kahl im Februar gewarnt. Deutschland sei davon genauso betroffen wie EU-Partner. Man könne sich nur durch ein gemeinsames Vorgehen dagegen wehren.

Nach einem Bericht des BR und des NDR fand sich die Winnti-Schadsoftware neben der Spähaktion bei Bayer bei mindestens drei Unternehmen aus dem deutschen Mittelstand. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) soll es sich dabei um Firmen handeln, die in den Bereichen Chemie, Maschinen- und Anlagenbau sowie Software tätig sind. Die Hackergruppe Winnti, die im Auftrag des chinesischen Staats agieren soll, soll auch hinter dem Cyber-Angriff auf ThyssenKrupp 2016 stecken.

rtr