Industriespionage im großen Stil:Der große Hack bei VW - China im Fokus
von Julia Klaus und Hakan Tanriverdi
|
Volkswagen wurden brisante Daten gestohlen. Spuren weisen zu Hackern aus China. Recherchen von ZDF frontal und "Spiegel" zeigen, was die Datendiebe erbeutet haben.
Volkswagen wurden brisante Daten gestohlen. Spuren weisen zu Hackern aus China. Das zeigen mehr als 40 interne Dokumente, die "frontal" gemeinsam mit "DER SPIEGEL" einsehen konnte.23.04.2024 | 6:45 min
Wenn in Peking kommende Woche die Automobilmesse "Auto China" beginnt, werden deutsche Konzerne ihre neuen Modelle präsentieren - und darauf hoffen, dass die Mahnung des deutschen Kanzlers in China auch gehört wird: "Das Einzige, was immer klar sein muss, ist, dass der Wettbewerb fair sein muss", sagte Olaf Scholz (SPD) Anfang dieser Woche während seiner China-Reise und fügte hinzu:
In der Vergangenheit lief das mitunter ganz anders: Das zeigen mehr als 40 interne Dokumenten, die der "Spiegel" gemeinsam mit ZDF frontal im Rahmen einer internationalen Kooperation zu chinesischen Spionagetätigkeiten in Europa einsehen konnte. Mutmaßlich chinesische Staatshacker nahmen die Volkswagen-Gruppe ab 2010 für mehrere Jahre ins Visier. Den Hackern gelang es mehrfach, tief in die Netzwerke von Volkswagen einzudringen und geistiges Eigentum zu stehlen.
Eigentlich sollte die China-Strategie der Bundesregierung längst vorliegen. Doch die Koalition streitet über den richtigen Umgang mit dem wichtigsten Handelspartner.27.06.2023 | 8:55 min
Der Hack von VW - eine Rekonstruktion
Anhand der internen Unterlagen und Gesprächen mit einem Dutzend Personen, die den Fall kennen, lässt sich rekonstruieren, wie die Hacker agierten und für welche Daten sie sich interessierten.
Der Fall spielt sich zwischen 2010 und 2015 ab - doch er hat Folgen bis in die Gegenwart. Denn die Hacker hatten es unter anderem auf E-Mobilität abgesehen. Und damit jenen Markt, in dem sich deutsche Konzerne besonders gegen chinesische Konkurrenten behaupten müssen und große Probleme haben, Autos zu verkaufen.
Der Angriff kam in mehreren Wellen. Die Hacker hatten bereits 2010 damit begonnen, die IT-Infrastruktur von VW zu analysieren, um über mögliche Lücken einzudringen. Das gelang ihnen schon ein Jahr später. Zwischen 2011 und 2014 flossen mehrfach Daten ab, wie die internen Unterlagen zeigen. Microsoft soll vom größten Cyberangriff weltweit gesprochen haben - ausgehend von den Systemen, die neu aufgesetzt werden mussten.
Zur Volkswagen-Gruppe gehören neben der Kernmarke VW unter anderem auch Audi, Lamborghini, MAN, Porsche, Skoda und Bentley. Neben Pkw zählen auch Motorräder und Nutzfahrzeuge wie Busse und Lkw zum Unternehmens-Portfolio. Produziert werden die Fahrzeuge in Werken auf der ganzen Welt.
Wofür sich die Hacker interessierten
In den Unterlagen werden "identifizierte Ziele" der Hacker genannt, darunter:
die Entwicklung von Ottomotoren
die Getriebeentwicklung sowie
speziell Doppelkupplungsgetriebe
Abgeflossen sind demnach auch Daten zu E-Mobilität, alternativen Antrieben wie der Brennstoffzelle sowie zu Automatikgetrieben. Wie IT-Experten, die den Fall betreuten, das herausfanden? Ihnen gelang es, Dateien wiederherzustellen, die die Hacker auf eigene Server geschickt und anschließend gelöscht hatten. Insgesamt sollen die Hacker rund 19.000 Dokumente gestohlen haben.
Auto-Expertin: Dieses Wissen spielt weiterhin "sehr große Rolle"
China ist für Volkswagen noch immer der größte Absatzmarkt. Lange waren die Wolfsburger beim Autoverkauf in China führend, rutschten im vergangenen Jahr allerdings auf Platz zwei ab. Der Markt ist stark umkämpft. Welche Rolle spielen geklaute Daten und gestohlenes Wissen im Wettbewerb der Autokonzerne?
Professorin Helena Wisbert forscht und lehrt an der Hochschule Ostfalia zu Wettbewerbsstrategien in der Automobilwirtschaft. Sie weiß, wer die Pläne der Konkurrenz kennt, ist im Vorteil:
Putin und Xi wollen ihre Nationen zu neuer, alter Größe führen. Und dafür sind sie bereit, viel zu riskieren. Gemeinsamer Gegner: der Westen.25.07.2023 | 43:49 min
Chinesische Botschaft empört sich über Hacking-Vorwurf
Bei allen drei Angriffen soll es sich um dieselben Hacker gehandelt haben, heißt es in den internen VW-Unterlagen. China selbst wird nicht direkt beschuldigt, doch alle Gesprächspartner von ZDF frontal und "Spiegel" teilen mit, dass die Spur Richtung China geführt habe. "Wir konnten die IP-Adresse bis nach Peking zurückverfolgen, sogar bis in die Nähe der PLA", sagt ein Cybersicherheits-Experte, der mit dem Fall vertraut ist. Mit PLA ist die Volksbefreiungsarmee gemeint, das chinesische Militär. Ein endgültiger Beweis fehle aber.
Die chinesische Botschaft in Berlin betont auf Anfrage, dass China "jede Form von Cyber-Spionage schon immer klar verurteilt und bekämpft" habe. Die Behauptung, dass die chinesische Regierung Hackergruppen einsetze, um Cyberangriffe durchzuführen, sei "empörend".
Quelle: ZDF
Mehr zu dem Thema sehen Sie am Dienstag bei frontal. Am 23. April um 21 Uhr im ZDF und in der ZDF-Mediathek.
Diese Spuren weisen nach China: IP-Adresse, Software, Zeitzone
Aus den Dokumenten geht auch hervor, dass Volkswagen an einem Freitag begann, die Hacker aus den Netzwerken zu entfernen - und zwar, sobald es 16 Uhr in China war, die Hacker also mutmaßlich Feierabend hatten. Die chinesische Zeitzone wird explizit in den Dokumenten erwähnt.
Auch die eingesetzte Hacking-Software lasse einen Rückschluss zu, so IT-Experte Christoph Fischer: "’China Chopper' und 'Plug X' ist aus chinesischer Hand und wurde sehr oft von den Chinesen verwendet. Man kann nicht mit hundertprozentiger Wahrscheinlichkeit sagen, dass nur die Chinesen das verwendet haben, aber mit Sicherheit ist der größte Teil der Anwendungen aus China gekommen."
Fischer, der den Bundestags-Hack 2015 mit aufgearbeitet hat und auch für die deutsche Automobilindustrie arbeitet, sagt mit Blick auf diese Hinweise:
Chinesische Hersteller laufen deutschen E-Autos den Rang ab. ZDFheute live diskutiert mit Ökonomin Malmendier und Autoexpertin Wisbert über die Zukunft der Industrie. 06.09.2023 | 31:42 min
VW bestätigt den "Vorfall" - IT-Sicherheit sei verbessert worden
Auf Anfrage bestätigt Volkswagen den Vorfall und weist darauf hin, dass dieser zehn Jahre zurückliegt. "Wir waren zu dieser Zeit bereits dabei, im Rahmen kontinuierlicher Sicherheitsprogramme erheblich in unsere IT-Sicherheit zu investieren und strategisch zu verstärken", teilt ein VW-Sprecher mit. "Der Vorfall führte uns die Richtigkeit und Dringlichkeit nochmals vor Augen."
Das für die Cybersicherheit zuständige Bundesamt warnt dennoch vor weiteren Attacken:
Deutschland habe - so BSI-Chefin Plattner - in diesen Bereichen "ein starkes Know-how, einen großen Wissensschatz", der Begehrlichkeiten wecke. "Und insofern, ja, wir sind da ein attraktives Ziel."