Der Rüstungskonzern Rheinmetall ist nach NDR-Recherchen von einem Datenleck betroffen: Mehr als 1000 interne Unterlagen kursieren im Netz, auch zu Panzerfahrzeugen. Neben dem Image-Schaden droht dem Konzern ein Bußgeld.

Von Volkmar Kabisch, Jan Lukas Strozyk und Benedikt Strunz, NDR

Interne Unterlagen des größten deutschen Rüstungskonzern Rheinmetall sind im Internet aufgetaucht, nachdem Hacker die Daten kopiert und zum Kauf angeboten hatten. Ein Aktivist kaufte die insgesamt 1400 Dateien nach eigener Aussage und stellte den Datensatz dann für jedermann zugänglich zum Download bereit. Das ist das Ergebnis einer Recherche des NDR.

Die Dokumente sind zum Teil mehrere Seiten lang und betreffen einen Zeitraum von etwa einem Jahr, die jüngsten Unterlagen sind auf Ende Januar dieses Jahres datiert. Der Datensatz liegt dem NDR vor. Es handelt sich überwiegend um Lieferscheine von Zulieferern und Dokumente aus der Qualitätssicherung von Rheinmetall.

Darunter sind auch Konstruktionspläne von Bauteilen gepanzerter Fahrzeuge, wie die Modelle Fuchs, Boxer, Yak und Scout. Die Bundeswehr und ausländische Armeen nutzen diese Fahrzeuge aktuell, auch in Auslandseinsätzen. Einige der Dokumente beinhalten Vertraulichkeitsvereinbarungen der Zulieferer, zum Teil tragen die Unterlagen Prüfstempel des Bundesamts für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr.

Daten von externem Dienstleister?

Woher die Daten genau stammen, ist unklar. Rheinmetall erklärt auf Anfrage, dass die konzerneigene IT nicht gehackt worden sei. Vielmehr sei ein externer Dienstleister, der für zwei Rheinmetall-Tochtergesellschaften tätig war, von dem "unzulässigen Datenabgriff durch Dritte" betroffen gewesen. Es handle sich demnach um "Lieferscheine sowie etwaige Begleitdokumente aus lokaler Warenanlieferung an einem deutschen Standort der beiden Rheinmetall-Tochtergesellschaften", so ein Sprecher.

"Verschlusssachen und sonstige geheime Informationen" seien davon nicht betroffen. Man habe die Zusammenarbeit mit dem Dienstleister eingestellt und "alle notwendigen Maßnahmen ergriffen, um die Schwachstelle zu identifizieren, den Fehler abzustellen und vergleichbare Vorfälle für die Zukunft auszuschließen", teilte der Konzern-Sprecher weiter mit. Man habe außerdem die Behörden informiert und Anzeige gegen Unbekannt erstattet. Um welche Behörden es sich handelt, wollte der Sprecher auf Nachfrage nicht mitteilen.

Das Bundesverteidigungsministerium erklärte auf Anfrage, man schätze das Datenleck als unkritisch für die Bundeswehr ein. Ob auch andere Nationen, deren Armeen Rheinmetall-Fahrzeuge einsetzen, informiert wurden und die Papiere sichten konnten, dazu äußerte sich Rheinmetall nicht.

"Besorgniserregender Vorfall"

Tobias Lindner, sicherheitspolitischer Sprecher der Grünen im Bundestag, nennt den Vorfall "besorgniserregend". Er fordert Transparenz von dem Konzern. "Rheinmetall muss sicherstellen, dass alle betroffenen Kunden über den Vorfall informiert werden. Denn die müssen sich ja selbst ein Bild von dem Schaden machen", sagte er dem NDR. Solange man nicht wisse, was der Firma abhandengekommen sei, könne man auch nicht beurteilen, ob es sicherheitsrelevant sei.

"Abrechnungen oder Lieferscheine können natürlich Informationen beinhalten, die von einer gewissen Relevanz sind", sagte Lindner. Darunter fielen etwa Materialstärken und Materialspezifikationen bei geschützten Fahrzeugen. Das sei "natürlich von besonderem Interesse und auch geheimhaltungsbedürftig".

Auch wenn das Datenleck die Sicherheit der Bundeswehr nicht gefährdet, könnte der Vorgang für Rheinmetall in Deutschland unangenehme Folgen haben. Die Datenschutzbehörde Nordrhein-Westfalen, wo Rheinmetall seinen Hauptsitz hat, sagte auf Anfrage, dass sie über den Vorfall zumindest nicht informiert worden sei. Auch auf wiederholte Nachfrage wollte sich Rheinmetall nicht dazu äußern, ob überhaupt eine Datenschutzbehörde über den Vorfall in Kenntnis gesetzt wurde.

Der Hamburger Datenschutzbeauftragte Johannes Caspar erklärt, dass Unternehmen eine enge Frist haben, um derartige Vorfälle zu melden. "Die Meldung muss grundsätzlich innerhalb von 72 Stunden nach Bekanntwerden der Verletzung durch die Verantwortliche Stelle erfolgen", sagte er dem NDR. Je nach Art der Information müssten zudem die Betroffenen, also etwa Mitarbeiter oder Kunden, darüber informiert werden. "Verletzungen der Benachrichtigungs- und Meldepflicht (...) können eine empfindliche Geldbuße nach sich ziehen. Die gesetzlichen Regelungen gehen dahin, dass Geldbußen in einer Höhe bis zu zehn Millionen Euro oder zwei Prozent des jährlichen Umsatzes zugrunde gelegt werden können", so Caspar.

Daten "aus Protest" veröffentlicht

NDR-Reporter konnten die Person recherchieren, die die Daten mutmaßlich veröffentlicht hat. Der Mann veröffentlicht regelmäßig im sogenannten Darknet – einem Bereich des Internets, der nur mit besonderer Software zugänglich ist und als besonders anonym gilt - gehackte Informationen. Er sagt von sich selbst, dass er aus aktivistischen Beweggründen gehandelt habe: "Ich habe die Daten veröffentlicht, weil ich gegen den Handel mit Waffen bin", schrieb er dem NDR.

Das Veröffentlichen der Daten sei für ihn "ein Weg des Protests". Nach eigenen Angaben kaufte er die Rheinmetall-Daten für 600 US-Dollar von einem ihm bekannten Hacker. Dieser habe bewusst einen deutschen Dienstleister aus der Rüstungsindustrie ins Visier genommen und dabei die Rheinmetall-Daten kopiert. Überprüfen lassen sich diese Aussagen nicht, der Hacker selbst war nach Aussage des Aktivisten nicht zu einem Gespräch bereit.

Bei einem anderen Vorfall war Rheinmetall im September 2019 von Hackern angegriffen worden. Dabei konnten die Angreifer nach Angaben des Konzerns eine Schadsoftware einschleusen, die die Produktion des Konzerns in Nord- und Südamerika stark beeinträchtigt hatte. In Brasilien, Mexiko und den USA sei die Produktion daraufhin eingestellt oder stark behindert worden. Rheinmetall stellt in den damals betroffenen Fabriken Bauteile für die Autoindustrie her.

Datenleck bei Rheinmetall

Benedikt Strunz, NDR

28.04.2020 21:38 Uhr Download der Audiodatei Wir bieten dieses Audio in folgenden Formaten zum Download an: mp3 Ogg Vorbis Hinweis: Falls die Audiodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.