Funke-Zeitungen wieder da: Ende der Notausgaben

Nach dem Hackerangriff erscheinen die Zeitungen der Funke Mediengruppe wieder regulär. Unklar bleibt, wer hinter der Attacke steckt.

Funke funkelt wieder Foto: biky/imago

BOCHUM taz | Gut einen Monat nach dem massiven Hacker­angriff vom 22. Dezember sind die Notausgaben der Essener Funke Mediengruppe Geschichte. Alle Tageszeitungen des Konzerns erscheinen „wieder in alter Form, Optik und Umfang“, erklärte Funke-Geschäftsführer Andreas Schoo am Mittwochmorgen im Karrierenetzwerk Linkedin.

Auch in den Redaktionen ist die Erleichterung riesig: Die Westdeutsche Allgemeine sei „wieder auf Kurs“, schrieb der Chefredakteur des Funke-Flaggschiffs in Nordrhein-Westfalen, Andreas Tyrock, in einem Editorial auf Seite 1. „Endlich wieder Lokalausgaben“, jubelte auch der Geschäftsführer der zu Funke gehörenden Mediengruppe Thüringen, Michael Tallai, in der Thüringer Allgemeinen.

Die Funke Mediengruppe war zwei Tage vor Weihnachten Opfer einer Cyberattacke geworden. „Ihr Netzwerk wurde gehackt“, war auf Englisch auf den Computerbildschirmen zu lesen. Bei den bundesweit 13 Zeitungen des Konzerns, der in Nordrhein-Westfalen Blätter wie die NRZ oder die Westfalenpost, aber auch das Hamburger Abendblatt oder die Berliner Morgenpost herausgibt, ging danach nicht mehr viel: Die Funke-Titel erschienen nur noch in Notausgaben – oder gar nicht. Die WAZ etwa konnte lediglich acht Seiten produzieren.

Im internen „Havarie-Kanal“ standen „seit 5.49 Uhr die ersten Meldungen der Kollegen, Netzwerkprobleme hier, Serverausfälle dort, und dann ging es im Minutentakt weiter“, klagte Funkes Chief Information Officer (CIO) Heiko Weigelt gegenüber der Frankfurter Allgemeinen. „Es war, technisch gesehen, nichts mehr da, das Firmennetzwerk existierte nicht mehr, es war alles kompromittiert.“

Hochgradig vernetzt

Die Lokalteile des hochgradig vernetzten Konzerns erschienen zunächst gar nicht und dann über Wochen mit verminderter Seitenzahl – um die Le­se­r:in­nen zu versorgen, schaltete Funke die Internet-Paywalls ab, machte die Onlineausgaben frei zugänglich.

Auch das Anzeigengeschäft war massiv beeinträchtigt. „Kein Redaktionssystem, keine Zugänge zu E-Mails oder zu Archiven; in der Druckerei gibt es keine Planungstools für die Rotationsmaschinen, die Übermittlung der fertigen Seiten an die Druckerei funktioniert nicht auf normalem Weg.“ So beschrieb die zu Funke gehörende Braunschweiger Zeitung die Folgen der Attacke.

Offiziell unklar bleibt aber, ob es sich um Erpressung oder einen Angriff auf die Informations- und Meinungsfreiheit gehandelt hat. „Aus ermittlungstaktischen Gründen kann ich leider gar nichts sagen“, so der Sprecher der nordrhein-westfälischen Zentral- und Ansprechstelle Cybercrime (ZAC NRW), Christoph Hebbecker, am Mittwoch der taz. Wie schon seit Wochen bekomme er dazu „kein grünes Licht von den ermittelnden Kollegen“, so der Staatsanwalt aus Köln.

Schon früh war aber spekuliert worden, dass Erpressung das Motiv der Hacker sei. Schon am Tag nach Weihnachten berichtete der WDR, es gebe „eine Lösegeldforderung in Form der Digitalwährung Bitcoin“. Offiziell bestätigen wollen das bis heute aber weder Staatsanwalt Hebbecker noch die Sprecherin der Funke-Gruppe, Jasmin Fischer.

Diverse Gangs

Unbekannt bleibt damit auch, aus welchem Staat heraus die Hacker angegriffen haben. Eine Ransomware-Attacke (Lösegeld heißt auf Englisch ransom) gilt aber als wahrscheinlich: Unter Namen wie „Clop“, „Doppelpaymer“ oder „Avaddon“ sind online diverse Gangs unterwegs, die digitale Erpressung zum Tagesgeschäft gemacht haben.

Sicher scheint dagegen, dass Funke auf Forderungen nicht eingegangen ist – schließlich blieben die IT-Systeme der Essener massiv beeinträchtigt. „Wir schreiben nicht im Redaktionssystem, sondern in Word. Dann mailen wir unsere Texte von unseren privaten Accounts an externe Firmen, die dann die Seiten bauen“, hieß es über Wochen von Re­dak­teu­r:in­nen des Konzerns.

Gleichzeitig wurde die IT mit mehr als 1.000 betroffenen Servern neu aufgesetzt: In sogenannten Waschstraßen stand die Entfernung sämtlicher Software von mehr als 6.600 Endgeräten und deren virenfreie Neuinstallierung an.

Immerhin: Daten von Kun­d:in­nen oder Abon­nen­t:in­nen sollen die Hacker nicht erbeutet haben. Die Höhe des Gesamtschadens der Attacke lässt Geschäftsführer Andreas Schoo dagegen nicht mitteilen: „Für einen Kassensturz“, heißt es aus der Konzernzentrale, sei es „derzeit noch zu früh“.