Eine der größten Medienorganisationen im deutschsprachigen Raum wurde in den Weihnachtsferien Opfer eines anhaltenden Cyberangriffs, der mehrere Zeitungen dazu zwang, stark verkürzte „Notfall“ -Ausgaben abzusagen oder anzubieten. Der noch andauernde Angriff begann am vergangenen Dienstag.
Die Funke Media Group, Das Unternehmen, das Dutzende von Zeitungen und Zeitschriften veröffentlicht und mehrere lokale Radiosender und Online-Nachrichtenportale betreibt, gab am Montag bekannt, dass etwa 6.000 seiner Computer durch den Angriff „potenziell infiziert“ wurden, von dem mehrere zentrale Computersysteme an allen Standorten in Deutschland betroffen waren.
Andreas Tyrock, Chefredakteur der Funke Westdeutsche Allgemeine Zeitung (WAZ) fügte in einer Erklärung hinzu, dass der „kolossale“ Angriff Daten auf seinen IT-Systemen verschlüsselt und „vorübergehend unbrauchbar“ gemacht habe.
Alle IT-Systeme mussten heruntergefahren werden, um weitere Schäden zu vermeiden. „Alle Redaktionssysteme und die gesamte Zeitungsproduktionstechnologie wurden heruntergefahren, und selbst normale Arbeiten aus der Ferne sind derzeit nicht möglich“, schrieb Tyrock. „Die Zeitungsseiten sind im Wesentlichen handgefertigt, an vielen Orten von zu Hause aus.“
Die Funke Media Group veröffentlicht Dutzende von Zeitungen und Zeitschriften und betreibt mehrere lokale Radiosender und Online-Nachrichtenportale
Ein Quarantäne-Netzwerk
Die Gruppe lehnte es ab, Medienberichte zu kommentieren, wonach die Hacker ein Lösegeld in Bitcoin gefordert hatten. Staatsanwälte und Polizei leiten derzeit die Ermittlungen, während Funke sagte, es habe ein Team von IT-Experten zusammengebracht, um ein „Quarantänenetzwerk“ aus nicht kontaminierten Computern und ein Skelett-IT-System aufzubauen, um weiterarbeiten zu können.
Solche Angriffe sind Alptraumszenarien für ein Medienunternehmen wie Funke, das in ganz Deutschland rund 6.000 Mitarbeiter beschäftigt. Der Versuch, sie abzuwehren, ist laut Experten längst zur Routine geworden.
„Dies geschieht ständig und hat sich nun als Geschäftsmodell etabliert“, sagte Thorsten Urbanski, Leiter Kommunikation beim internationalen Cybersicherheitsunternehmen ESET. Laut Urbanski können internationale Netzwerke von Hackern, die sich oft nicht kennen, bei einem Angriff zusammenarbeiten – je nach Angriff in Teams zwischen drei und 20 Personen.
„Dies sind professionelle Strukturen, manchmal mit staatlichen Akteuren dahinter“, sagte er gegenüber der DW. „Es ist sehr lukrativ und die Arbeitsteilung ist organisiert: Ein Team entwickelt es, das andere verteilt es und dann gibt es einen Zahlungsdienst, der es verarbeitet, normalerweise mit Bitcoins.“
Alles, was Sie brauchen, um einen „Ransomware-Angriff“ zuzulassen, ist, dass ein Mitarbeiter die falsche E-Mail mit der falschen Datei öffnet. Oft sehen diese E-Mails harmlos und plausibel genug aus – eine häufige Verkleidung ist eine Anwendung mit einem Word-Dokument oder einer PDF-Datei, die als Lebenslauf gekennzeichnet ist. Solche Dateien können jedoch häufig als Rechnungen geliefert oder an Anhänge in angehängt werden Dropboxen.
„Es ist eigentlich nicht so weit fortgeschritten“, sagt Christian Beyer von der deutschen Firma Securepoint. „Sie öffnen das Word-Dokument, das Dokument enthält ein Makro und das Makro lädt die Malware aus dem Internet herunter.“ Ein Makro ist eine Art verkürzte Anweisung für den Computer.
Nicht nachweisbare Infektionen
Die Malware installiert sich dann selbst auf den Computern der Mitarbeiter und findet schnell einen Weg, ein gesamtes Netzwerk zu infiltrieren. Erschwerend kommt hinzu, dass solche Programme monatelang inaktiv bleiben können, bevor sie aktiviert und mit der Verschlüsselung von Daten begonnen werden. Dies bedeutet, dass selbst die IT-Abteilung des Unternehmens die anfängliche „Infektion“ häufig nicht nachverfolgen kann.
Es gibt viele Sicherheitsunternehmen, die Tools zum Filtern solcher E-Mails erstellen, aber es ist nur ein menschlicher Fehler erforderlich, um die Malware einzulassen. „Die Herausforderung besteht darin, es so schwierig zu machen, dass sich die Operation nicht lohnt“, sagt Urbanski.
Beyer sagt, der Funke-Angriff sei eine relativ alte Geschichte: „Wir haben solche Angriffe seit etwa 2011 oder 2012 gesehen“, sagte er gegenüber DW. „Natürlich sind sie im Laufe der Zeit immer ausgefeilter geworden und haben einige Schwächen gefunden.“ Anfänglich zielten solche Angriffe auf Teile eines IT-Systems ab, auf die über das Internet zugegriffen werden konnte. Jetzt geht es ihnen zunehmend darum, Mitarbeiter irrezuführen. „Es gibt jeden Tag Tausende von Angriffen“, sagte er.
Lösegeldangriffe können äußerst gefährlich sein: Im September 2020 wurden bei einem Cyberangriff kritische Systeme in einer Universitätsklinik in Düsseldorf abgeschaltet. Medienberichten zufolge wollten die Hacker die Universität der Stadt angreifen. Berichten zufolge gaben sie den Entschlüsselungscode frei, als die Polizei ihnen mitteilte, dass Leben in Gefahr seien. Im Fall von Düsseldorf wird angenommen, dass die erste Infektion neun Monate zuvor stattgefunden hat.
Der Fall machte jedoch deutlich, dass Krankenhäuser, denen oft das Geld fehlt, potenziell weiche Ziele für Cyber-Angriffe sind, weshalb die Bundesregierung 15% ihres neuen Budgets in die Digitalisierung des Gesundheitssystems in die IT-Sicherheit investiert.
Unklar bleibt, wie oft solche Lösegeldforderungen erfüllt werden. „Wer bezahlt, redet nicht darüber“, sagte Beyer. ‚Aber es wird nicht empfohlen, denn dann bist du markiert. Leute, die einmal bezahlen, zahlen wieder. ‚
Und doch ist es verständlich, dass viele Unternehmen zahlen: Der von Funke begonnene Aufräumvorgang – im Grunde genommen die Einrichtung eines separaten, unberührten IT-Systems – kann einen massiven Arbeits- und Ressourcenverbrauch bedeuten, der für kleine und mittlere Unternehmen verheerend sein kann geschlagen sein. Und natürlich wird ein solcher Angriff zu Weihnachten, wenn viele Arbeiter im Urlaub sind, den Prozess noch länger verlängern.
