5735020

Hackerangriff auf Funke Mediengruppe: Kritische Infrastruktur

Eine Cyberattacke blockiert seit sechs Tagen die Zeitungen des Essener Verlags Funke. Die Behörden stufen den Fall als besonders heikel ein.

Der Medienturm der Funke Mediengruppe

Lahmgelegt: der Medienturm der Funke Mediengruppe Foto: blickwinkel/imago

Wer nach den Feiertagen bei der Hotline der Funke Mediengruppe angerufen hat, um herauszukriegen, wo ihre oder seine Tageszeitung bleibt, hörte eine automatische Ansage. „Die Funke Mediengruppe ist Opfer eines Hackerangriffs geworden.“ Seit dem Dienstag vor Weihnachten sind bei dem Essener Verlag Tausende Rechner mit einer Schadsoftware infiziert.

Das betrifft die Systeme von Redaktion, Verlag und Druckstätten. Die automatische Ansage entschuldigt sich, dass viele Leser*innen keine oder nur eine seitenreduzierte Zeitung erhalten hätten.

Die Ermittlungen zum Angriff liegen mittlerweile bei der Staatsanwaltschaft Köln. Diese hat nämlich spezielle Dezernate für besonders heikle Fälle von Cyberkriminalität. Nämlich Angriffe, die „kritische Infrastruktur“ betreffen, also Institutionen der Grundversorgung oder der Demokratie.

Ein Sprecher der Staatsanwaltschaft sagte der taz am Montag, es werde nun ermittelt, über welche Sicherheitslücke der Angriff auf das Funke-System möglich war – und mittels welcher Schadsoftware. „Daraus lassen sich Rückschlüsse auf die Täterschaft ziehen“, sagte der Sprecher. Dass es sich um eine Erpressung von Lösegeld handelt, wie berichtet wurde, wollte er nicht bestätigen.

Vernetztes Arbeiten macht anfällig

Zu Funke gehört ein gutes Dutzend Tageszeitungen, vor allem in Nordrhein-Westfalen, Niedersachsen und Thüringen, darunter die Westdeutsche Allgemeine Zeitung. Die Täter hätten Daten in den elektronischen Systemen verschlüsselt und vorerst unbrauchbar gemacht, schreibt deren Chefredakteur Andreas Tyrock auf waz.de. „Um weitere Schäden an der Technik zu verhindern, wurden sämtliche IT-Systeme heruntergefahren.“ Damit sei ein normales Arbeiten nicht möglich gewesen. Am Sonntag meldete Funke, dass diese Woche wieder Zeitungen in größerem Umfang erscheinen würden. Der Verlag war am Montag für eine Anfrage nicht zu erreichen.

Die Funke-Mediengruppe ist eine hochgradig vernetzte Redaktion. Der Verlag hat in den letzten Jahren stark gespart, einzelne Redaktionen beliefern mittlerweile verschiedene Zeitungen. Zeitungsseiten kommen zum Teil aus Berlin und anderen Landesteilen. Für solche Arbeitsweisen nutzen viele journalistische Redaktionen heute IT-Systeme, die hochgradig vernetzt sind – was sie für Cyberangriffe bisweilen anfälliger macht.

Die Staatsanwaltschaft sieht bislang zwar keine Anhaltspunkte, dass die Täter*innen es auch auf andere journalistische Verlage abgesehen haben könnten. Ausschließen will der Sprecher das allerdings nicht.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • panda

    Gespart wird an Bildung und der IT. :) Was glaubt ihr wieso wir so gut bezahlt werden ;)

    Wer nicht hören will muss eben leiden. Zusätzlich ist das größte IT Sicherheitsproblem noch immer der Mensch... so gut wie jeder Mensch ist unglaublich naiv und leicht zu knacken. Ohne Menschen sind die meisten Netze sicher!

    Bezahlt die IT und schafft euch ordentliche, erfahrene ITler an :)

  • Clamus

    Ich fürchte, einige hier unterschätzen das Erpressungspotential und die "Kritikalität" der Infrastruktur für die Demokratie.

    Seit die meisten Unternehmen vernünftige Backup-Strategien haben lautet die Drohung der Erpresser meist nicht mehr, die Daten verschlüsselt zu lassen, sondern sie zu veröffentlichen.

    Für einen Zeitungsverlag, in dessen Systemen potentiell vertrauliche Informationen von Informanten liegen (sollten natürlich nicht in der allgemeinen Infrastruktur landen, aber ich kann mir nicht vorstellen, dass da nicht doch wenigstens ein paar Mails liegen oder gar ein Hinweisportal mit betroffen ist) ist das extrem bedrohlich. Ebenso wie für die Informanten und damit auch für die Demokratie.

    Wenn es eine Lektion geben soll, muss sie "Datensparsamkeit" lauten. Denn nur, was nicht gespeichert ist, kann auch nicht leaken..

  • Megatronic

    Kommentar entfernt. Bitte halten Sie sich an die Netiquette.

    Danke, die Moderation

    • Antina

      @Megatronic Super, und was ist Ihrer Meinung nach mit den tausenden Mitarbeitern, die dann arbeitslos werden. Gefällt Ihnen das?

      • Frau von vorgestern und übermorgen

        @Antina Die vielen tausende MitarbeiterInnen, die die Funke Mediengruppe im Zuge ihrer Sparmaßnahmen in die Arbeitslosigkeit geschickt hat, haben in der Öffentlichkeit so gut wie keine Aufmerksamkeit gehabt. Die Qualität der Funke- Printmedien ist derart schlecht geworden und hat jeglichen Regionalcharakter auf ein Minimum reduziert, dass es nicht verwunderlich ist, wenn die Auflagen stark gesunken sind.

  • Rainer B.

    Hier zeigt sich erneut, wie ungemein wichtig eine gut durchdachte, konsequente Backup-Strategie ist. Ich könnte dazu jetzt ein ganz brauchbares Backup-Programm benennen, tu' ich aber lieber nicht. Nachher steckt da auch wieder so'n Trojaner drin. (;-))

    „Das Internet ist nicht tot, es riecht nur komisch.“ (frei nach Frank Zappa)

    • Elkarlo77

      @Rainer B. Da mal wieder ein kleiner Disput ausgebrochen ist. Ich habe persönlich soetwas als IT-Verantwortlicher mehrmals durchgesessen.

      1) Man kann nie verhindern das soetwas sich nicht in ein System einschleicht.

      2) Man muss eine mehrspurige recovery Strategie mit Offline Backups fahren.

      Die Strategie muss so aussehen das man mit minimalen Zeitverlust einen Notbetrieb wieder erreicht, das kann man durch wiederherstellen der Virtuellen Server etc erreichen.

      Dafür ist es notwendig eine Offline Backup Strategie mit rotierenden Backups zu fahren, und einen Seedserver vorweg bereit zu halten.

      Dann trennt man alle zugänge und fährt ein System nach den anderen neu an. Dann müssen alle Client's (PC, Mitarbeiter Notebooks) einmal platt gemacht werden.

      Notbetrieb ist innerhalb eines Tages möglich, alle Clients wieder einzuspeisen kann dauern.

      Da der Notbetrieb solange dauerte klingt es für mich nach einer unterbesetzten IT, die nicht genügend Zeit und Mittel für Vorbereitungen im Notfall hatte. Aber es scheint zumindest pläne gegeben zu haben sonst wären sie nicht am Sonntag wieder angefahren.

      Emotet ist ein ganz übler Geselle, ich hatte glücklicherweise nur WannaCry zu verarzten, und trotz das alles gehalten hat, minimaler Arbeitsverlust an nur einem Arbeitsplatz eingetreten ist, wurde nochmal alles überprüft und verstärkt.

      • Rainer B.

        @Elkarlo77 Wo immer es möglich ist, sollte man schon Offline-Backups anlegen. Manchmal ist es auch gar nicht klar erkennbar, ob es sich um Hardwarefehler, Softwarefehler, oder gezielte Schadprogramme handelt. Hatte mal folgenden Fall: Am Dienstag Mittag fiel bei einem Praxisserver (ca. 30 Clients) eine Festplatte aus dem Raid-Verbund von drei Festplatten. Soweit noch kein Problem für das integrierte Servermanagement. Am Mittwoch neue Festplatte reingeschoben - alles wieder im grünen Bereich. Am Samstag dann der Supergau. Die beiden anderen Festplatten schmieren ebenfalls kurz nacheinander ab. Raid zerstört. Glücklicherweise war die letzte Bandsicherung in der Nacht von Freitag auf Samstag 100% erfolgreich durchgelaufen. Datenverlust gab's deshalb am Ende nicht, nur drei (vermeintlich kaputte) Festplatten, die jedenfalls nicht mehr zusammen arbeiten wollten. Die Auswertung der Protokolle ergab keine plausible Fehlerursache. Dass mal eine Festplatte spinnt, kommt schon vor, aber auch nur selten. Dass drei Festplatten so kurz nacheinander den Geist aufgeben, ist eigentlich mehr als unwahrscheinlich.

    • Rudolf Fissner

      @Rainer B. Und dann ein Restore auf den verseuchten Rechner mit nachfolgendem Full Backup ....

    • Antina

      @Rainer B. Ist halt nicht "nur" ein Virus. Ist eine Ransomware, da gestaltet sich einiges etwas schwieriger, auch mit einem guten Backup.

      Zunächst einmal ist der operative Aufwand nach einem solchen Angriff enorm. Die befallenen Rechner sind zu reinigen, mit den »gesunden« Daten aus dem Backup zu rekonstruieren und wieder hochzufahren. In virtuellen Umgebungen müssen die infizierten Systeme gelöscht, durch ihre »gesunden« Vorgänger ersetzt und ebenfalls neu gestartet werden.

      Das dauert ntürlich recht lange.

      • Rainer B.

        @Antina Das Backup-Image eines sauberen Rechners zurückzuspielen dauert - je nach Festplattengröße - zwischen 10 Minuten und ca. drei Stunden. Produktivdaten, die nach dem Befall eines Rechners mit Ransomware abgespeichert wurden, dürften i.d.R. ohnehin für immer unbrauchbar bleiben.

  • 07324 (Profil gelöscht)

    Gast

    Der Titel ist irreführend. Eine private Mediengesellschaft zählt sicher nicht zur kritischen Infrastruktur. Vielleicht kritisch für das Unternehmen, aber ansonsten ist kritische Infrastruktur auf staatlicher Seite zu finden oder wenn in privater Hand, dann ist das zb. Stromversorgung, Telekommunikation oder Krankenhäuser.

    • Hannes Hegel

      @07324 (Profil gelöscht) Nur ob der liebe Vladimir das auch so sieht ... ?

      • joaquim

        @Hannes Hegel ach jetzt waren es schon wieder die bösen Russen?

        • Maria Burger

          @joaquim Weil sie es können.

        • Hannes Hegel

          @joaquim Woher soll ich das wissen? Mir ist auch ziemlich egal, wer den Laden aufgemacht hat.

          Das Interessante an Angriffen über das Internet besteht darin, dass sie im Grunde nicht zurück verfolgt werden können.

          Mein Kommentar bezieht sich auf den Umstand, dass es Kreise gibt, die Medien durchaus als lohnenswerte Ziel von Angriffen sehen. Herr Putin hat das nur schon vergleichsweise lange und offen etabliert (netzpolitik.org/20...er-auslandsmedien/, en.wikipedia.org/w...attacks_on_Ukraine, www.deutschlandfun...book-auf-irrwegen), aber das heißt nicht, dass andere - Trump/Biden/Xi/Bolsonaro/Zuckerberg/Bezos - das nicht im Rahmen ihrer Weltanschauung genau so sehen.

  • Hannes Hegel

    Erst schön schlank gespart, alles in 'die Cloud' gepackt, und wenn's einem auf die Füße fällt noch schön steuerbezahlte Expertise vom BSI einsacken. Und dann mit den Schultern zucken ('waren Hacker, kann man nix machen'), und weiterfahren.