Sensible Daten im Netz: Hacker erbeuten Pläne von Atomanlagen
Hacker haben Tausende sensibler Dateien von den Servern eines französischen Konzerns gestohlen. Das Unternehmen ist auch am Bau von Atomanlagen und Gefängnissen beteiligt.
Bei einem Angriff auf ein französisches Bauunternehmen konnten Hacker zahlreiche Dokumente zu kritischer Infrastruktur wie Atomkraftwerken, Gefängnissen und Straßenbahnnetzen erbeuten. Der Konzern Ingérop, der seinen Hauptsitz nahe Paris hat und weltweit an großen Bauprojekten beteiligt ist, bestätigte den Angriff auf Anfrage.
Der dabei kopierte Datensatz, der dem NDR vorliegt und den die Reporter gemeinsam mit Kollegen der "Süddeutschen Zeitung" und "Le Monde" ausgewertet haben, umfasst mehr als 65 Gigabyte. Darunter sind Pläne der Standorte von Videokameras, die in einem französischen Hochsicherheitsgefängnis eingesetzt werden sollten, Unterlagen zu einem geplanten Atommüll-Endlager im Nordosten Frankreichs und persönliche Informationen zu mehr als 1.200 Ingérop-Mitarbeiterinnen und Mitarbeitern. Auch einige firmeninterne E-Mails sind Teil des Datenlecks.
Projekte in Frankreich, Spanien und Südamerika
Insgesamt handelt es sich um mehr als 11.000 Dateien, die laut einer Sprecherin von Ingérop aus einem Dutzend Projekten stammen, an denen die Firma arbeitet. Darunter sind vor allem Bauvorhaben in Frankreich, aber auch Projekte in Spanien und Südamerika.
Laut Ingérop wurden nicht alle der Pläne umgesetzt. Einige entstammen demnach Planungen, die verworfen worden sind. Ingérop hat nach eigenen Angaben die betroffenen Kunden über den Datendiebstahl in Kenntnis gesetzt und nicht näher genannte Sicherungsmaßnahmen der eigenen IT eingerichtet.
Spur führt nach Deutschland
Eine Spur führt in das Ruhrgebiet: Anfang Juli durchsuchten Ermittler des Landeskriminalamts im Zusammenhang mit dem Ingérop-Hack in Dortmund das Kulturzentrum "Langer August". In den Räumen befindet sich auch der "Wissenschaftsladen Dortmund†œ, der Server vermietet. Von einem dieser Server war ein Teil der Ingérop-Daten kurzfristig zum Download verfügbar.
Eine Sprecherin des "Wissenschaftsladens" sagte, sie wusste nicht, dass die Daten bei ihnen gespeichert gewesen sind. Der Server sei von einer Gruppe aus Rostock betrieben worden. Die Gruppe bestätigte das auf Anfrage, erklärte aber, den oder die Hacker nicht zu kennen.
Daten im Darknet aufgetaucht
Nach den Durchsuchungen in Dortmund, bei denen auch Server beschlagnahmt wurden, waren die Daten zunächst größtenteils aus dem Netz verschwunden. Vor einigen Wochen wurde im sogenannten Darknet jedoch erneut ein umfangreicheres Datenpaket aus dem Hack veröffentlicht. Das Darknet ist ein Teil des Internets, zu dem man nur mit bestimmter Software Zugang hat. Dort wird der Standort der Server verschleiert - theoretisch sind die Daten aber für jedermann abrufbar, der die entsprechende Adresse kennt.
Möglicherweise Ziel von Atomkraftgegnern
Deutsche und französische Anti-Atomkraftaktivisten hatten Ingérop in den vergangenen Monaten dafür kritisiert, dass der Konzern sich an der Planung des Atommüll-Endlagers in Bure in Lothringen im Nordosten Frankreichs beteiligt. Dort soll, rund 125 Kilometer von der deutschen Grenze entfernt, in den kommenden Jahren ein unterirdisches Atommüll-Endlager entstehen. Das Projekt befindet sich noch in der Planungsphase.
E-Mails aus dem Datenleck deuten darauf hin, dass Ingérop die Landwirte in der Region klassifiziert hat: in "kontrollierbar" und "nicht kontrollierbar". Das ist möglicherweise ein Versuch, dem Widerstand gezielt entgegen zu wirken.
Phishing-Kampagne gegen Ingérop-Mitarbeiter
Französische Aktivisten hatten zuletzt dazu aufgerufen, geheime Informationen aus dem Unternehmen an die Öffentlichkeit zu spielen. Ingérop selbst sagt dazu auf Nachfrage, dass der Angriff vor diesem Aufruf stattgefunden hat. Man habe den Angriff entdeckt, als man eine sogenannte Phishing-Kampagne untersucht habe, bei der E-Mails mit gefälschten Absendern an Mitarbeiter gesendet worden seien, um sie auf Seiten mit Schadsoftware zu locken.
In Folge dieser E-Mail-Attacken habe man eine IT-Sicherheitsfirma beauftragt, erklärte Francois Lacroix, IT-Direktor von Ingérop, im Gespräch mit NDR, "SZ" und "Le Monde". Die E-Mails seien demnach "technisch gut vorbereitet aber nicht sonderlich ausgefeilt" gewesen. Inwiefern ein Zusammenhang zwischen dem Datendiebstahl und den gefälschten E-Mails besteht, ist bislang unklar.
Schutz vor Hackern
Dass ein Unternehmen, das im Bereich kritischer Infrastruktur aktiv ist, von Hackern angegriffen wird, ist nicht ungewöhnlich. Entscheidend ist, wie im Falle eines erfolgreichen Angriffs Schaden minimiert wird. Daher werden Daten unterschiedlicher Projekte üblicherweise voneinander getrennt gespeichert, etwa auf unterschiedlichen Firmen-Servern.
Damit soll verhindert werden, dass einem Angreifer mit Zugang zu einem einzelnen Server alle Informationen des Unternehmens in die Hände fallen können. Experten sprechen von "lateral movement" eines Hackers, also einer Seitwärtsbewegung von einem Speicherort zum nächsten.
Genau dazu ist es bei Ingérop offenbar gekommen. Warum die internen Mechanismen des Konzerns nicht verhinderten, dass der oder die Angreifer Daten zu gleich einem Dutzend kritischer Infrastrukturprojekte kopieren konnten, ist unklar. Eine Ingérop-Sprecherin sagte dazu lediglich: "Die Daten, die aus dem Informationssystem von Ingérop gestohlen wurden, stammen aus separaten Arbeitsbereichen."
Ermittlungen laufen
Die französische Polizei wollte sich auf Anfrage nicht zu dem Vorgang äußern. Wie ernst man den Vorfall in Frankreich allerdings offenbar nimmt, zeigt die Tatsache, dass laut Justizkreisen der französische Inlandsgeheimdienst Ermittlungen aufgenommen hat.
In der Antwort auf eine Kleine Anfrage teilte die Landesregierung von Nordrhein-Westfalen mit, aus Sicht "der französischen Behörden war die Offenlegung der Daten geeignet, die nationale Sicherheit Frankreichs zu gefährden." Ein Sprecher der Staatsanwaltschaft Köln sagte, man prüfe noch, ob und wo "die einschlägigen Daten (erneut) veröffentlicht worden sind". Um die Ermittlungen nicht zu gefährden, könnten keine weiteren Auskünfte erteilt werden.
Quelle: