Cyberspionage gegen VW soll über Jahre gelaufen sein – Hacker im Auftrag Pekings erbeuteten 19.000 Dateien

Am Montag, 15. April, zeigte sich Bundeskanzler Olaf Scholz vor Studenten der Tongji-Universität in Shanghai noch gelassen. Er sprach sich gegen Protektionismus und für fairen Wettbewerb aus. Angesichts des wachsenden Marktanteils von E-Autos aus China in Deutschland verwies er laut „Tagesschau“ auf Erfahrungen früherer Jahrzehnte:

„Es gibt jetzt japanische Autos in Deutschland und deutsche Autos in Japan. Und das Gleiche gilt für China und Deutschland.“

Ob und inwieweit japanische Autokonzerne Industriespionage in Europa oder den USA betrieben haben, ist möglicherweise ein interessantes Thema für Historiker. Was es von Japan heraus augenscheinlich jedoch bisher nicht gegeben hat, ist ein vom Staat mobilisiertes, speziell auf das Eindringen in die Netze privater Autohersteller ausgerichtetes Netzwerk professioneller Hacker.

Hacker bei VW: Microsoft sprach vom „größten Cyberangriff weltweit“

Dass demgegenüber die Kommunistische Partei Chinas (KPC) zu solchen Mitteln greift, haben westliche Nachrichtendienste hingegen seit Langem vermutet. Nun scheint es auch eine offizielle Bestätigung dafür zu geben. Im Rahmen einer internationalen Kooperation sind der „Spiegel“ und „ZDF frontal“ jüngst an 40 interne Dokumente gelangt. Diese sollen aus einer chinesischen Hackergruppe stammen und Einblick in deren Strategie und Arbeitsweise eröffnen.

Wie das ZDF berichtet, haben Hacker im Auftrag des KP-Regimes zwischen 2010 und 2015 systematisch VW ins Visier genommen. Dem Bericht zufolge haben sie im ersten Jahr die IT-Infrastruktur des Konzerns ins Visier genommen. In den darauffolgenden Jahren seien sie mehrfach erfolgreich an Daten gelangt.

Microsoft sprach anhand des Aufwandes, der zum neuerlichen Aufsetzen der Systeme erforderlich war, vom „größten Cyberangriff weltweit“. Insgesamt sollen etwa 19.000 Dokumente in die Hände der Hacker gelangt sein.

Cyberspionage lässt sich in das Umfeld der PLA zurückverfolgen

IT-Experten waren an die Unterlagen gelangt, indem sie gelöschte Dateien wiederherstellen konnten, die die Beteiligten zuvor auf eigene Server geschickt hatten. Einerseits betrafen diese die Entwicklung von Ottomotoren und bestimmte Aspekte der Entwicklung von Getrieben. Allerdings soll das Interesse auch bereits gezielt der Entwicklung von E-Autos gegolten haben.

Es sei den IT-Experten gelungen, die IP-Adressen involvierter Personen bis nach Peking zurückzuverfolgen. Räumlich sollen diese sogar in die Nähe von Einrichtungen der chinesischen Volksbefreiungsarmee (PLA) gereicht haben. Dies, so das ZDF, weise auf den dortigen Militärgeheimdienst als möglicher Auftraggeber oder zumindest involvierte Stelle hin.

Für Peking als Urheber sprächen zudem zeitliche Anker und die Verwendung von Software, die vorwiegend in China Verwendung finde. Die chinesische Botschaft wies jedwede Beteiligung staatlicher Stellen allerdings als „empörend“ zurück. Die Führung in Peking habe jede Form der Cyberspionage „schon immer klar verurteilt und bekämpft“. VW bestätigte auf Anfrage, dass es vor zehn Jahren Vorfälle der genannten Art gegeben habe.

Whistleblower lud interne Dokumente auf GitHub hoch

Bereits im Februar schrieb das Portal des Senders von Dateien, die anonym auf Server der US-Programmierer-Plattform GitHub geladen worden seien. Die 570 Dokumente sollen dem offiziell privaten, in Shanghai ansässigen Unternehmen I-Soon zuzuordnen sein.

Den Dokumenten zufolge sollen die Armee, das Ministerium für Staatssicherheit und Dutzende weitere öffentliche Auftraggeber zu dessen Kunden gehört haben. Die Aufträge sollen auf gezieltes Ausspionieren von E-Mail-Konten, das Eindringen in WLAN-Netze oder das Aushebeln von Zwei-Faktor-Authentifizierungen gelautet haben.

Dass die Daten an amerikanische Stellen gelangt waren, könnte mehrere denkbare Hintergründe gehabt haben. Einerseits befinde sich I-Soon in einem Rechtsstreit mit einem anderen Unternehmen, das mit Hacking in Verbindung gebracht wird. Zum anderen scheint es in Teilen der Belegschaft Unmut über schlechte Bezahlung zu geben.

FBI-Chef Wray: Cyberspionage nicht mehr alleiniges Interesse der Hacker

In den USA hat erst am Donnerstag, 18. April, FBI-Direktor Christopher Wray in einer Rede an der Vanderbilt-Universität in Nashville, Tennessee, vor einer neuen Qualität der Bedrohung durch chinesische Hacker gewarnt. Wie die englischsprachige Epoch Times berichtet, sieht Wray die Bedrohung konkreter werden und näher kommen. Er äußerte:

„Vor ein paar Jahren hätten wir vielleicht gesagt, dass China die größte langfristige Bedrohung darstellt. Das ist nicht mehr die beste Art, die Gefahr zu beschreiben.“

Bereits jetzt laufe eine breit angelegte Kampagne, die als „Volt Typhoon“ bekannt sei. Diese, so Wray, habe sich bereits in zahlreiche kritische Sektoren wie Telekommunikation, Infrastruktur und Wasserversorgung eingegraben. Allein 23 Betreiber von Pipelines seien ins Visier der Hacker geraten.

Bereits 2011 haben Cybersicherheitsdienste der USA Wray zufolge erfahren, dass sich von der Chinas KP gesteuerte Hacker für potenzielle Angriffe auf kritische Infrastruktur in Stellung gebracht hätten. Während in früheren Jahren der Schwerpunkt auf Industriespionage gelegen habe, gehe es mittlerweile um die Fähigkeit, sensible Einrichtungen anzugreifen:

„Ihr Plan ist es, die zivile Infrastruktur mit leichten Schlägen zu treffen, um eine Panik auszulösen.“

Die Hacker hätten sich bereits seit Längerem systematisch in Netzwerken eingenistet und verfolgten eine sogenannte „Living-off-the-land“-Taktik. Das bedeute, bereits jetzt seien Tools infiziert, die nicht den Verdacht von Netzwerkverteidigern erregten.

Wie gefährlich und effektiv die Strategie sein könne, habe der Cyberangriff auf Microsoft Exchange im Jahr 2021 gezeigt. Bei diesem seien mehr als 10.000 US-Netzwerke kompromittiert worden. Die Cyber-Streitmacht der KP Chinas sei dem entsprechenden Fachpersonal des FBI zahlenmäßig mindestens 50 zu 1 überlegen. Sie sei größer als die jeweiligen Cyberkräfte Russlands, des Iran oder Nordkoreas zusammen.