IT-Kriminalität Wie es nach dem Hackerangriff am Fraunhofer-Institut in Halle weitergeht

• Das Fraunhofer-Institut in Halle ist im April von kriminellen Hackern angegriffen worden, die Daten des Instituts verschlüsselt und gestohlen haben.
• Die gestohlenen Daten verkaufen die Kriminellen weiterhin im sogenannten Darknet. Das Landeskriminalamt ermittelt.
• Die Fraunhofer-Gesellschaft forscht selbst zu Cybersicherheit. Von Kunden und Partnern hat die Gesellschaft nach eigenen Angaben positive Rückmeldungen zum Umgang mit dem Vorfall bekommen.

Im April bekommt eine Firma aus Wolfen eine E-Mail vom Fraunhofer-Institut. Die Firma arbeitet mit dem Institut schon seit Jahren erfolgreich in Forschungsfragen zusammen, um die Qualität seiner Produkte zu verbessern. In der Fraunhofer-E-Mail heißt es, dass Kriminelle Daten vom Institut gestohlen haben – auch Daten der Firma in Wolfen seien betroffen.

Außerdem wird die Firma davor gewarnt, dass sie Nachrichten im Namen des Fraunhofer-Instituts Halle bekommen könnte und darauf nicht reagieren sollte. Wochenlang kommunizieren die Firmenmitarbeiter und die Forscher aus Halle deshalb ausschließlich per Telefon oder in persönlichen Gesprächen.

Hackerangriffe sind ein kriminelles Geschäft mit klaren Opfern: das Fraunhofer-Institut für Mikrostruktur von Werkstoffen und Systemen (IMWS) in Halle, seine Beschäftigten und Geschäftspartner. Und als Opfer eines solchen Falles sind Betroffene noch machtloser als nach einem klassischen Einbruch: Denn das Opfer kann quasi zuschauen, wie sein Eigentum auf der gegenüberliegenden Straßenseite verkauft wird, ohne Verkäufer und Käufer zu erkennen. Und mitunter erkennt das Opfer noch nicht einmal das Diebesgut.

Im April hatten sich Kriminelle Zugang zum IT-System des halleschen Instituts verschafft, Daten kopiert und auf den Rechnern in Halle verschlüsselt. Die verschlüsselten Daten konnten nicht wiederhergestellt werden, schreibt das Fraunhofer-Gesellschaft auf Anfrage von MDR SACHSEN-ANHALT.

Das Ziel der Kriminellen: Geld. Zuerst versuchen sie, das Institut zu erpressen. Vermutlich hatten die Kriminellen sogar per E-Mail oder Chat Kontakt mit dem Institut, bevor sie die Daten auf einem Marktplatz im Darknet anbieten, um sie dort zu Geld zu machen.

Fünf Tage nach Bekanntwerden des Vorfalls geht eine E-Mail an alle Beschäftigte der Fraunhofer-Gesellschaft. Darin heißt es, dass etwa 60 Prozent der Daten in Halle verschlüsselt, aber nur ein Prozent entwendet wurden. "Der Angriff erfolgte durch eine bekannte Ransomware-Gruppe." Es würden keine Erkenntnisse vorliegen, dass die Gruppe mit staatlichen Akteuren zusammenarbeite.

Derzeit geht das Fraunhofer-Institut offiziell davon aus, "dass die Tätergruppierungen vorrangig wissenschaftliche Daten aus öffentlich geförderten und projektbezogenen Aufträgen entwenden konnten".

Recherchen von MDR SACHSEN-ANHALT zeigen, dass die Kriminellen auch private Unterlagen wie Lebensläufe, Fotos oder Riester-Vertragsunterlagen erbeutet haben. Andere Ordner heißen "Patente", "Vertragsunterlagen" "interne Besprechung", "Förderbescheid" oder "Geheimhaltung". Insgesamt geben die Kriminellen die Datenmenge mit 320 GB an – eine Datenmenge, die in mehr als 64.000 Bibeln steckt.

Die gestohlenen Daten sind nach wie vor im Darknet. Pro Datei verlangen die Kriminellen einen Dollar in der Kryptowährung Bitcoin. Die Täter machen es ihren potenziellen Kunden einfach, sie zu finden: Sie betreiben eine normale Internet-Seite, ein Twitter-Konto mit mehr als 3.000 Followern und einen Telegram-Kanal mit mehr als 8.000 Abonnenten. Über all diese Wege teilen sie die direkten Links zu ihrer Präsenz im Darknet. Klar ist: Wer dort eine Datei kauft, macht sich der Datenhehlerei strafbar. Sie kann mit bis zu drei Jahren Gefängnis bestraft werden.

Für die Datendiebe selbst kommen mehrerer Straftaten infrage, schreibt das Landeskriminalamt Sachsen-Anhalt auf Anfrage von MDR SACHSEN-ANHALT: Computersabotage, Ausspähen von Daten, Datenveränderung und Erpressung – Taten, die jeweils mit mehrjährigen Haftstrafen belegt werden können.

Wegen der laufenden Ermittlung hält sich das Landeskriminalamt mit Informationen zurück. Die Ermittlungen würden "im engen Zusammenwirken mit unseren Partnern im In- und Ausland geführt". Es würden Rechtshilfeersuchen im Ausland gestellt. Das dauere.

Die Fraunhofer-Gesellschaft sagt, absolute Priorität hätte es gehabt, das Institut und seine Mitarbeitenden wieder arbeitsfähig zu machen. Und: "Die Arbeitsfähigkeit ist mittlerweile weitestgehend wiederhergestellt." Wie viel Kosten und zusätzliche Arbeitszeit angefallen sind, sei derzeit nicht abzuschätzen. "In jedem Fall ist ein Schaden am Institut entstanden, da sich die Abarbeitung von Projekten verzögert und zahlreiche Mehraufwände unter teils großem persönlichem Einsatz betrieben wurden."

Innerhalb der Fraunhofer-Gesellschaft habe es eine große Solidarität gegeben, um den Vorfall aufzuarbeiten. Die Fraunhofer-Gesellschaft gilt mit ihren 76 weitgehend unabhängigen Forschungseinrichtungen und 30.000 Beschäftigten als Europas größte Forschungsorganisation und sieht sich selbst als "weltweit führende Organisation für anwendungsorientierte Forschung".

Einrichtungen der Fraunhofer-Gesellschaft forschen selbst zur Cybersicherheit. Die Gesellschaft betreibt zum Beispiel mit der TU Darmstadt und der Hochschule Darmstadt das nationale Forschungszentrum für angewandte Cybersicherheit "ATHENE". Es ist nach Angaben der Einrichtung das größte Forschungszentrum für Cybersicherheit in Europa. Außerdem gebe es den "Arbeitskreis Informationssicherheit der deutschen Forschungseinrichtungen", dem auch die Max-Planck-Gesellschaft, die Leibniz-Gemeinschaft und die Helmholtz-Gemeinschaft angehörten. Fraunhofer betreibt außerdem ein Lernlabor zur Cybersicherheit, das unter anderem Weiterbildungen zur IT-Sicherheit für Fachkräfte aus Industrie und Verwaltung anbietet.

Von Kunden und Partnern in Politik und Behörden habe man für den Umgang mit dem Vorfall positive Rückmeldungen bekommen: "Gerade Wissenschaftsorganisationen müssen ihre Ergebnisse vor Ausspähung schützen", schreibt der Pressesprecher der Fraunhofer-Gesellschaft. "Intern existiert ein eigenes Fraunhofer Security Operations Center, das die Fraunhofer-Gesellschaft und ihre Institute bei der Erkennung und Bearbeitung von Cyberangriffen unterstützt." Man verstehe sich weiterhin als "verlässlicher Partner und Berater von Wirtschaft und Politik in Sachen Cybersicherheit".

IT-Sicherheitsmaßnahmen und Schulungen würden auch nach dem Vorfall in Halle laufend überprüft. "Dass sich der Vorfall nicht auf weitere Institute ausgeweitet hat, zeigt, dass die bereits vor dem Vorfall bestehenden Maßnahmen greifen", so die Gesellschaft.

Die einzelnen Institute sind allerdings in ihrer Organisation seit jeher weitgehend unabhängig. Die Fraunhofer-Gesellschaft ist dezentral organisiert – das ist in diesem Fall vermutlich ein Vorteil, weil deshalb nicht weitere Fraunhofer-Institute Opfer der Kriminellen werden konnten.

Der Chef der Cyberagentur des Bundes in Halle, Christian Hummert, sagt, die Sorge vor Reputationsverlust sei Teil des Problems. Denn sie würde vor allem bei Unternehmen dazu führen, dass sie den Kriminellen Geld zahlen würden. Das gehe nicht.

Hummert sieht die ganze Gesellschaft in der Verantwortung: "Vielleicht müssen wir uns als Gesellschaft daran gewöhnen, dass hin und wieder etwas schiefgeht und dass wir auch nachsichtiger sind und nicht auf das Opfer zeigen und sagen: 'Ihr wart zu blöd, euer System abzudichten.'"

Hummert fordert, die Cybersicherheit zu stärken. Verwaltung, Strafverfolgungsbehörden und Gesellschaft müssten resilienter werden. "Jeder Einzelne ist dafür verantwortlich, sein eigenes System sicher zu gestalten."

Gerüchten zufolge könnten die Täter von Osteuropa aus arbeiten. Sie zu fassen, ist nun das Ziel der Sicherheitsbehörden. Und werden sie gefasst, lässt sich auch der Darknet-Markplatz schließen, so dass niemand mehr die Daten der Hallenser Forscher bekommen kann, sagt Christian Hummert: "Es gab bereits viele Fälle, wo Plattformen im Darknet auch durch deutsche Sicherheitsbehörden geschlossen wurden." Allerdings lassen sich die Daten, die bereits jemand widerrechtlich gekauft hat, nicht zurückholen.

Darüber macht sich die Firma aus Wolfen allerdings keine allzu großen Sorgen: "Das sind Forschungsergebnisse – unsere Kompetenz liegt in der Produktion und Herstellung und dieses Wissen lag nicht auf Computern beim Fraunhofer-Institut."

Die IT-Erpressung des Fraunhofer-Instituts in Halle macht mindestens zwei Dinge deutlich:

1. Firmen und Organisationen müssen den schlimmsten anzunehmenden Fall wenigstens gedanklich durchspielen und sich darauf vorbereiten.
2. Und: Was gehackt werden kann, wird gehackt.