Autozulieferer rechnet mit wochenlanger Untersuchung
Der Autozulieferer äußert sich erstmals öffentlich zum Datenabfluss.
Düsseldorf Die Aufarbeitung des Cyberangriffs auf Continental wird laut Unternehmen noch „mehrere Wochen“ dauern. Das hat der Dax-Konzern am Montag in einem Beitrag auf seiner Website mitgeteilt. Es ist das erste Mal seit Bekanntwerden der Attacke im Sommer, dass der Konzern in einer öffentlichen Mitteilung über den Stand der Ermittlungen informiert.
Conti hat den Angriff im August selbst bekannt gemacht. Damals hieß es, die Attacke sei abgewendet worden. Das Handelsblatt berichtete Anfang November, dass die Hacker rund 40 Terabyte Daten des Dax-Konzerns entwendet hatten – darunter offenbar auch sensible Daten von Kunden wie Volkswagen, Informationen über Aufsichtsratssitzungen und Korrespondenz des Chefkontrolleurs Wolfgang Reitzle.
Auch aktive und ehemalige Mitarbeiter sind demnach betroffen. Eine Liste der erbeuteten Daten, die die Hacker im Darknet veröffentlichten, legt nahe, dass personenbezogene Daten wie Gehaltsbriefe, Personalausweise, Bewerbungsschreiben und Geburtsurkunden in die Hände der Cyberkriminellen gerieten.
Continental hat auf seiner Website nun acht Fragen und Antworten veröffentlicht, die sich vor allem an die eigenen Mitarbeiter richten. Darin heißt es, dass der Konzern als Arbeitgeber alles tue, „um die Daten hinsichtlich einer möglichen Betroffenheit von sensiblen personenbezogenen Daten zu analysieren und zu bewerten“.
Top-Jobs des Tages
Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.
Welche Folgen sich „für potenziell betroffene Beschäftigte und andere Bezugsgruppen des Unternehmens“ ergeben, könne Conti wegen der andauernden Untersuchung noch nicht sagen. Auch zu den möglichen wirtschaftlichen Folgen macht der Dax-Konzern in der Mitteilung keine Angaben.
Hacker haben „getarnte Schadsoftware“ verwendet
Grund für die langwierigen internen Ermittlungen sei einerseits das Ausmaß des Datenlecks. So müsse das Unternehmen mehr als 55 Millionen Dateieinträge aus der Liste im Darknet analysieren. Andererseits seien bei der Prüfung „umfängliche rechtliche Rahmenbedingungen zu beachten“ – etwa im Bereich Datenschutz.
Die Datenschutz-Grundverordnung (DSGVO) sieht vor, dass Unternehmen von Datenlecks Betroffene informieren müssen, wenn „ein hohes Risiko für die persönlichen Rechte und Freiheiten“ besteht. Ist die Benachrichtigung jedes Einzelnen unverhältnismäßig aufwendig, muss beispielsweise eine öffentliche Bekanntmachung erfolgen.
Die nun veröffentlichte Mitteilung erfolgte einem Konzernsprecher zufolge unabhängig von den DSGVO-Vorgaben. Bei den Fragen und Antworten handele es sich demnach „um eine grundsätzliche Transparenzmaßnahme“. Mit den Datenschutzbehörden steht Conti weiter im Austausch.
Das Unternehmen teilte mit, dass es bei der Datenanalyse „mit einer renommierten Wirtschaftsprüfungsgesellschaft“ zusammenarbeite. Dabei handelt es sich Handelsblatt-Informationen zufolge um KPMG. Zuerst hatte die „Frankfurter Allgemeine Zeitung“ darüber berichtet.
In der Mitteilung von Montag bestätigte der Konzern auch Handelsblatt-Informationen zu den ersten Ergebnissen der forensischen Analyse. Demnach verschafften sich die Angreifer Zugang zu den Systemen „mittels einer getarnten Schadsoftware“, die durch einen einzelnen Beschäftigten ausgeführt worden sei.
Die Conti-Daten selbst sind noch nicht veröffentlicht worden. Die Cyberkriminellen haben zunächst 50 Millionen Dollar für den Datensatz verlangt. In der vergangenen Woche senkten sie den Preis auf 40 Millionen Dollar. Continental betont, dass der Konzern sich nicht auf Lösegeldzahlungen einlasse.
