Ein mutmaßlicher Hackerangriff auf Rheinmetall legt vertrauliche Informationen offen. Laut Verteidigungsexperten kann das Datenleck Sabotage und Spionage erleichtern.
Am 4. April dieses Jahres poppt eine Warnung auf den Dark-Web-Überwachungssystemen des IT-Sicherheitsexperten Benjamin Mejri auf: Eine mutmaßlich Russland nahestehende Hackergruppe gibt an, Zugriff auf insgesamt 750 Gigabyte interne Daten des deutschen Rüstungskonzerns Rheinmetall erlangt zu haben. Sie veröffentlicht dazu einen Link zum Download von 1.400 Dokumenten und versichert, im Besitz zahlreicher weiterer Dokumente zu sein.
Diese könnten, so warnt Mejri, „von Nachrichtendiensten oder von kriminellen Angreifern in irgendeiner Form ausgewertet werden, um dann möglicherweise Störungen vorzunehmen.“ Er informiert die Rüstungsfirma über den brisanten Angriff. Das Bundesamt für Sicherheit in der Informationstechnik sowie die Datenschutzbehörde Nordrheinwestfalen bestätigen, sie hätten eine Benachrichtigung von Rheinmetall über den Vorfall erhalten.
Lieferdokumente von Rheinmetall veröffentlicht
Plusminus und die Datenjournalisten von br Data haben die 1.400 geleakten Dokumente ausgewertet. Es geht um Panzer wie den Puma, Motoren, Computer und um mechanische Eigenschaften von Materialien. Da sind Lieferscheine und weitere Dokumente, mit denen Zulieferfirmen gegenüber Rheinmetall die Qualität ihrer Produkte attestieren.
Rheinmetall schreibt auf Anfrage: „Tatsächlich stammen diese – nicht sensitiven – Daten aus einem fünf Jahre alten, lange abgeschlossenen Fall.“ Die Dokumente aus dem Datenleak, die Plusminus und br Data vorliegen, sind keine Verschlusssachen, also nicht als geheimhaltungsbedürftig eingestuft.
Militärexperten stufen Datenleck als heikel ein
Der international renommierte Verteidigungsexperte Oberst a. D. Ralph Thiele hält die Informationen für interessant für potenzielle Gegner und sogar für „lebensgefährlich“. Die Zertifikate über Tests würden zum Beispiel Aufschluss über Materialdichte und andere Eigenschaften geben.
„Beschusswinkel, Munition, Durchschlagsfähigkeiten: Das gibt gute Hinweise darauf, wie man die eigene Bekämpfung verbessern kann und wo verwundbare Stellen eines Panzers sind“, so Thiele. Da diese Waffensysteme häufig 30 bis 40 Jahre genutzt werden, hält Thiele es für zweitrangig, ob die geleakten Dokumente bereits fünf Jahre alt sind.
Indirekte Angriffswege: Die Bundeswehr als eigentliches Ziel
Solche Cyberangriffe auf Rüstungsfirmen sind Teil der hybriden Kriegsführung. Ohne Bezug zu einzelnen Vorfällen zu nehmen, zeigt sich der Leiter des Bundesamts für Verfassungsschutz (BfV), Sinan Selen, besorgt: „In jeder Branche haben wir entsprechende Angriffe zu verzeichnen. Natürlich steht die Rüstungsindustrie im primären Zielspektrum bestimmter fremder Mächte, auch Russlands.“
Das primäre Ziel solcher staatlichen Akteure sei nicht die Rüstungsindustrie, sondern die Bundeswehr und andere NATO-Armeen, so Generalmajor Jürgen Setzer. Der stellvertretende Inspekteur Cyber- und Informationsraum der Bundeswehr betont: „Wenn wir als Bundeswehr das Ziel sind, sind wir ja keine Insel, sondern wir arbeiten eng zusammen und brauchen auch die Dienstleistungen von Rüstungsunternehmen. Wenn man uns treffen will, kann man das auch über diejenigen versuchen, auf deren Leistungen wir angewiesen sind.“
Informationsdefizit bei Zuliefern nach Cyberangriff auf Rheinmetall?
Plusminus und br Data haben Dokumente über Materialsendungen an Rheinmetall von insgesamt mehr als 100 Zulieferbetrieben gefunden. Mit Abstand am häufigsten tauchen darin Daten der ESG GmbH auf, die nun zur Hensoldt AG gehört, mit zahlreichen Informationen über Lieferungen der Firma ESG an das zentrale Ersatzteillager der Bundeswehr ZEBEL. Auch das Transportunternehmen weisen die Lieferdokumente aus.
Rheinmetall hat die Firma ESG nach dem Hackerangriff nicht informiert, bestätigt die Hensoldt AG auf Anfrage. Auch weitere angefragte Lieferanten von Rheinmetall erklären, sie hätten erst durch die Recherchen von Plusminus und br Data erfahren, dass ihre Dokumente geleakt worden seien.
Hacker an Schwachstellen in der Lieferkette interessiert
BfV-Vizepräsident Selen erklärt, die hybride Kriegsführung beinhalte auch von langer Hand geplante Cyber-Operationen. Der Gegner mache sich ein sehr klares Bild darüber, welche Schwachstellen bestehen und wie diese genutzt werden könnten. Da gehöre die Lieferkette auch dazu. Aus der Gesamtheit dieser einzelnen Daten könne man Rückschlüsse ziehen, meint Generalmajor Setzer.
Warum Rheinmetall die Lieferdokumente als „nicht sensitiv“ einordnet und Lieferanten offenbar nicht informiert hat, will die Firma nicht beantworten. Rheinmetall teilte auf Anfrage gegenüber Plusminus mit: „Aus firmenvertraulichen Gründen können wir uns zu Ihren weiteren Fragen nicht äußern.“
Cyberrisiken in der Lieferkette: Kritik an mangelnder Informationspflicht
Auf Nachfragen bei staatlichen Stellen und Regierungsorganisationen erfährt man: Solange geleakte Dokumente nicht der Geheimhaltung unterliegen, gibt es keine rechtliche Verpflichtung, die Firmen in der Lieferkette zu informieren. Das kritisieren Sicherheitsexperten.
Denn mit Hilfe einer sogenannten KI-gestützten OSINT-Analyse, also der automatisierten Auswertung öffentlich zugänglicher Quellen wie Social-Media-Profilen, könnten Hacker weitere Informationen aus den geleakten Dokumenten gewinnen, warnt it-Sicherheitsexperte Mejri. Beispielsweise könnten sie die enthaltenen E-Mail-Adressen auswerten, um gezielte Phishing-Angriffe auf Mitarbeitende durchzuführen.
Über private Adressen bestünde zudem die Möglichkeit, Beschäftigte der Zulieferbetriebe oder des Rüstungskonzerns Rheinmetall mit kriminellen oder nachrichtendienstlichen Absichten direkt zu kontaktieren. Oberst a. D. Thiele betont, der Schutz der Lieferkette sei auch nach Cyberangriffen von entscheidender Bedeutung, denn letztlich gelte: Wer die Logistik nicht beherrsche, verliere den Krieg.
