Mehr als blamabel: Der Cyberangriff auf Rheinmetall offenbart systemisches Versagen in Sachen IT-Sicherheit. Aber der Reihe nach: Ein Rüstungskonzern wird gehackt. 1.400 interne Dokumente landen im Darknet. Die Angreifer behaupten, sie hätten noch 750 Gigabyte mehr. Der Konzern wiegelt ab: Alles halb so wild, alte Unterlagen, nichts Geheimes. Gehts noch?
Wir reden hier nicht über eine kleine Behörde mit veraltetem Server im Keller. Wir reden über Rheinmetall. Ein international tätiger Hightechkonzern. Ein Unternehmen, das modernste Militärtechnologie für NATO-Staaten entwickelt. Und dann sowas?
Veröffentlicht wurden u. a. detaillierte technische Daten über Panzer, Materialeigenschaften, Lieferdokumente und Prüfberichte. Militärexperten warnen: Selbst vermeintlich „banale“ Daten können reichen, um Schwachstellen in Waffensystemen zu identifizieren. Der Beschusswinkel, die Materialdichte, die Panzerung – alles Hinweise, wie man ein System effizient zerstören kann. Und Rheinmetall behauptet, das sei nicht sensibel?
Das ist nicht naiv. Das ist brandgefährlich.
Rheinmetall hat sich mit diesem Vorfall bis auf die Knochen blamiert. Ein Unternehmen, das sich selbst als technologischer Vorreiter inszeniert, als unentbehrlicher Partner westlicher Streitkräfte, lässt sich offenbar von ein paar gut organisierten Hackern vorführen wie ein Schuljunge beim ersten Versuch, ein Passwort zu erraten.
Wer Systeme baut, die im Ernstfall Leben retten oder nehmen, muss auch in der Lage sein, diese Systeme zu schützen. Punkt.
Wenn ein Rüstungskonzern nicht einmal seine eigenen Lieferketten im Blick hat, wie will er dann garantieren, dass komplexe Waffenplattformen nicht längst kompromittiert sind?
Überraschungseffekt dahin
Der hierbei übersehene, aber entscheidende Aspekt: Der Überraschungseffekt ist dahin. Neue Waffentechnologien entfalten ihre volle Wirkung nur dann, wenn der Gegner sie nicht kennt – weder in ihrer Funktionsweise noch in ihrer Verwundbarkeit. Genau dieser Informationsvorsprung wurde Rheinmetall jetzt durch den Cyberangriff genommen. Der Gegner weiß nun, was kommt. Und kann sich vorbereiten.
Das ist mehr als nur ein Datenleck – das ist ein strategischer Verlust. Wer frühzeitig Zugriff auf technische Parameter, Materialeigenschaften, Softwarearchitekturen und Logistikdaten hat, kann Gegenmaßnahmen entwickeln, Schwachstellen gezielt ausnutzen oder Verteidigungsmaßnahmen anpassen, noch bevor die Systeme überhaupt einsatzbereit sind.
Im schlimmsten Fall bedeutet das: Der Gegner hat nicht nur die technische Blaupause – sondern auch den Taktikvorsprung. Er weiß, wie man die neue Technologie neutralisiert, bevor sie überhaupt ihre Wirkung entfalten kann. Und das nimmt der Bundeswehr und den NATO-Partnern die Initiative – politisch, taktisch und operativ.
Cyberangriffe wie dieser rauben uns nicht nur Kontrolle über unsere Daten, sondern wie in diesem Fall über unsere Fähigkeit zur Abschreckung und zur effizienten Verteidigung. Und das ist im geopolitischen Kontext möglicherweise der gefährlichste Effekt von allen.
Sicherheitspolitischer Offenbarungseid
Der Imageschaden ist enorm – und verdient. Während man sich auf Messen mit Hochglanztechnik präsentiert und mit nationaler Sicherheitsverantwortung wirbt, hat man grundlegende IT-Hygiene offenbar vernachlässigt. Statt Angriffserkennung, Incident Response und Notfallkommunikation: Funkstille, Beschwichtigung, Schweigen.
Das ist nicht nur ein Kommunikationsdesaster. Das ist ein sicherheitspolitischer Offenbarungseid.
Aber denken wir mal weiter: Was ist, wenn die Kriminellen nicht nur PDF-Dateien kopiert haben, sondern längst in sensiblere Systeme vorgedrungen sind? In Steuersoftware? In Sensorik? In Kommunikationsschnittstellen von Waffenplattformen?
Was, wenn der Leopard 2 A8 mitten im Einsatz plötzlich durch manipulierte Software gestört wird? Ich stelle mir das so vor: Auf dem Display des Kommandanten erscheint eine nette Dame, die vorschlägt, den Raketenabschuss lieber in Ruhe auszudiskutieren – Gewalt sei schließlich keine Lösung …“
Klingt lächerlich? Willkommen in der Welt hybrider Kriegsführung.
Der Cyberangriff auf Rheinmetall wirft Fragen auf:
Ist das Management arrogant, selbstherrlich, überheblich?
Ein weiterer Maximalaufreger ist der Umgang mit den Zulieferern. Über 100 Unternehmen sind betroffen, ihre internen Lieferdaten tauchen auf – und die Unternehmensleitung hat es nicht nötig die Zulieferer zu informieren. Nach Gutsherren-Manier entscheidet Rheinmetall im stillen Kämmerlein, dass die Zulieferer nicht informiert werden müssen, weil der Vorfall „nicht so schlimm“ sei. Ein internes Problem – das nach grober Fehleinschätzung der Konzernleitung keine Auswirkung auf die Zulieferer hat.
Liebe Vorstandsmitglieder von Rheinmetall: Haben Sie immer noch nicht verstanden, dass Sie keine leckeren Bonbons kochen, sondern hochbrisante, hochtechnologische Kriegs- und Abwehrinstrumente bauen, von denen jedes einzelne Detail für potentielle Angreifer massiv interessant ist. Nein, es besteht (noch) keine rechtliche Pflicht die Lieferkette zu informieren. Aber wenn Sie verstanden hätten, wie angreifbar diese nun durch Spear- Phishingattacken ist, dann hätten Sie – so wie ich jetzt – mit Sicherheit einige unruhige Nächte gehabt.
Daraus kann man nur ableiten, dass die Vorstandsetage von Rheinmetall die Geschehnisse nach wie vor grandios unterschätzt und die eigenen Abwehrstrategien massiv überschätzt. Das hat schon damals nicht funktioniert. Die Titanic ist auch gesunken. Und dass Firmen wie ESG erst aus der Presse erfahren, dass ihre Daten im Darknet kursieren, ist ein Skandal.
Diese IT-Sicherheitslücke bei Rheinmetall ist ein Beweis für systemisches Versagen.
IT-Sicherheit – nur ein Kostenfaktor?
Diese Gleichgültigkeit zieht Kreise. Solche Angriffe treffen nicht nur das einzelne Unternehmen, sondern die ganze Lieferkette – und letztlich uns alle. Die Bundeswehr, NATO-Partner, die zivile Infrastruktur. IT-Sicherheit wird immer noch wie ein Kostenfaktor behandelt, nicht wie das, was sie ist: Überlebenswichtig. Im wörtlichen Sinne.
Was wir brauchen, ist keine neue Taskforce, keine Pressemitteilung, kein Business-as-usual. Wir brauchen ein Umdenken. Sofort. Bewußtsein für IT-Sicherheit rettet Leben. Sicherheit ist kein Feature, das man dazukauft. Es ist die Voraussetzung dafür, dass alles andere überhaupt funktioniert. Und wer das 2025 immer noch nicht verstanden hat, hat im Hightechsektor nichts verloren.
Wenn jetzt kein Umdenken passiert, passiert irgendwann Schlimmeres. Und dann wird niemand mehr sagen können: Das kam überraschend.
Brauchen Sie Unterstützung oder überlegen Sie einen externen Datenschutzbeauftragten bestellen? Dann nehmen Sie doch einfach Kontakt auf. Datenschutz kann auch Spaß machen!
Ansprechpartner:
Anke Blömer
Datenschutzbeauftragter Münsterland
Telefon: 0 25 43 / 9 30 20 29