Der deutsche Rüstungskonzern Diehl Defence ist kürzlich Opfer eines ausgeklügelten Cyberangriffs geworden. Die Attacke wird der nordkoreanischen Hackergruppe Kimsuky zugeschrieben, die im Auftrag der Regierung in Pjöngjang agiert.
Kimsuky, erstmals 2013 identifiziert und auch als Velvet Chollima bekannt, nutzte eine raffinierte Strategie, um in die Systeme von Diehl Defence einzudringen. Die Hacker erstellten gefälschte Jobangebote von US-Rüstungsfirmen, die als Köder dienten. Ahnungslose Mitarbeiter, die auf die vermeintlich attraktiven PDF-Dateien klickten, installierten unwissentlich Schadsoftware auf ihren Rechnern.
Diese Vorgehensweise ist typisch für nordkoreanische Cyberangriffe, die oft Phishing-Techniken einsetzen. Nordkorea betreibt seit den 1980er Jahren ein umfangreiches Cyberprogramm und setzt schätzungsweise 6.000 Hacker ein. Für das international sanktionierte Land sind Cyberangriffe zu einer wichtigen Einnahmequelle geworden.
Die Hacker von Kimsuky gingen bei ihrem Angriff auf Diehl Defence äußerst detailliert vor. Sie erstellten gefälschte Webseiten, die eine hohe Ähnlichkeit mit den Login-Seiten der Deutschen Telekom und des E-Mail-Anbieters GMX aufwiesen. Ziel war es, Zugangsdaten von deutschen Nutzern zu erbeuten. Besonders raffiniert war die Verwendung einer Serveradresse mit dem Namensbestandteil "Uberlingen", in Anlehnung an den Firmenstandort Überlingen am Bodensee, wo Diehl Defence ansässig ist.
Diehl Defence, 1960 gegründet und Teil der traditionsreichen Diehl-Gruppe, beschäftigt über 3.000 Mitarbeiter. Das Unternehmen ist bekannt für die Herstellung von Lenkflugkörpern des Typs Iris-T, die auch an das südkoreanische Militär geliefert werden. Die Entwicklung dieses Kurzstrecken-Luft-Luft-Lenkflugkörpers begann in den 1990er Jahren, und heute findet er auch in der Luftverteidigung Verwendung.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI), gegründet 1991 und zentrale IT-Sicherheitsbehörde Deutschlands, bestätigte eine "Deutschland-Kampagne" von Kimsuky. Ein Sprecher des BSI erklärte, dass weitere Organisationen in Deutschland von dieser Kampagne betroffen seien.
"Wir wappnen uns allgemein gegen alle Bedrohungen in der aktuellen Sicherheitslage."
Dieser Vorfall unterstreicht die zunehmende Bedrohung durch Cyberangriffe auf Rüstungsunternehmen weltweit. Er zeigt auch die Notwendigkeit erhöhter Wachsamkeit und verbesserter Cybersicherheitsmaßnahmen in allen Bereichen der Industrie.