piwik no script img

Funke-Zeitungen wieder daEnde der Notausgaben

Nach dem Hackerangriff erscheinen die Zeitungen der Funke Mediengruppe wieder regulär. Unklar bleibt, wer hinter der Attacke steckt.

Funke funkelt wieder Foto: biky/imago

BOCHUM taz | Gut einen Monat nach dem massiven Hacker­angriff vom 22. Dezember sind die Notausgaben der Essener Funke Mediengruppe Geschichte. Alle Tageszeitungen des Konzerns erscheinen „wieder in alter Form, Optik und Umfang“, erklärte Funke-Geschäftsführer Andreas Schoo am Mittwochmorgen im Karrierenetzwerk Linkedin.

Auch in den Redaktionen ist die Erleichterung riesig: Die Westdeutsche Allgemeine sei „wieder auf Kurs“, schrieb der Chefredakteur des Funke-Flaggschiffs in Nordrhein-Westfalen, Andreas Tyrock, in einem Editorial auf Seite 1. „Endlich wieder Lokalausgaben“, jubelte auch der Geschäftsführer der zu Funke gehörenden Mediengruppe Thüringen, Michael Tallai, in der Thüringer Allgemeinen.

Die Funke Mediengruppe war zwei Tage vor Weihnachten Opfer einer Cyberattacke geworden. „Ihr Netzwerk wurde gehackt“, war auf Englisch auf den Computerbildschirmen zu lesen. Bei den bundesweit 13 Zeitungen des Konzerns, der in Nordrhein-Westfalen Blätter wie die NRZ oder die Westfalenpost, aber auch das Hamburger Abendblatt oder die Berliner Morgenpost herausgibt, ging danach nicht mehr viel: Die Funke-Titel erschienen nur noch in Notausgaben – oder gar nicht. Die WAZ etwa konnte lediglich acht Seiten produzieren.

Im internen „Havarie-Kanal“ standen „seit 5.49 Uhr die ersten Meldungen der Kollegen, Netzwerkprobleme hier, Serverausfälle dort, und dann ging es im Minutentakt weiter“, klagte Funkes Chief Information Officer (CIO) Heiko Weigelt gegenüber der Frankfurter Allgemeinen. „Es war, technisch gesehen, nichts mehr da, das Firmennetzwerk existierte nicht mehr, es war alles kompromittiert.“

Hochgradig vernetzt

Die Lokalteile des hochgradig vernetzten Konzerns erschienen zunächst gar nicht und dann über Wochen mit verminderter Seitenzahl – um die Le­se­r:in­nen zu versorgen, schaltete Funke die Internet-Paywalls ab, machte die Onlineausgaben frei zugänglich.

Daten von Kun­d:in­nen oder Abon­nen­t:in­nen sollen die Hacker nicht erbeutet haben

Auch das Anzeigengeschäft war massiv beeinträchtigt. „Kein Redaktionssystem, keine Zugänge zu E-Mails oder zu Archiven; in der Druckerei gibt es keine Planungstools für die Rotationsmaschinen, die Übermittlung der fertigen Seiten an die Druckerei funktioniert nicht auf normalem Weg.“ So beschrieb die zu Funke gehörende Braunschweiger Zeitung die Folgen der Attacke.

Offiziell unklar bleibt aber, ob es sich um Erpressung oder einen Angriff auf die Informations- und Meinungsfreiheit gehandelt hat. „Aus ermittlungstaktischen Gründen kann ich leider gar nichts sagen“, so der Sprecher der nordrhein-westfälischen Zentral- und Ansprechstelle Cybercrime (ZAC NRW), Christoph Hebbecker, am Mittwoch der taz. Wie schon seit Wochen bekomme er dazu „kein grünes Licht von den ermittelnden Kollegen“, so der Staatsanwalt aus Köln.

Schon früh war aber spekuliert worden, dass Erpressung das Motiv der Hacker sei. Schon am Tag nach Weihnachten berichtete der WDR, es gebe „eine Lösegeldforderung in Form der Digitalwährung Bitcoin“. Offiziell bestätigen wollen das bis heute aber weder Staatsanwalt Hebbecker noch die Sprecherin der Funke-Gruppe, Jasmin Fischer.

Diverse Gangs

Unbekannt bleibt damit auch, aus welchem Staat heraus die Hacker angegriffen haben. Eine Ransomware-Attacke (Lösegeld heißt auf Englisch ransom) gilt aber als wahrscheinlich: Unter Namen wie „Clop“, „Doppelpaymer“ oder „Avaddon“ sind online diverse Gangs unterwegs, die digitale Erpressung zum Tagesgeschäft gemacht haben.

Sicher scheint dagegen, dass Funke auf Forderungen nicht eingegangen ist – schließlich blieben die IT-Systeme der Essener massiv beeinträchtigt. „Wir schreiben nicht im Redaktionssystem, sondern in Word. Dann mailen wir unsere Texte von unseren privaten Accounts an externe Firmen, die dann die Seiten bauen“, hieß es über Wochen von Re­dak­teu­r:in­nen des Konzerns.

Gleichzeitig wurde die IT mit mehr als 1.000 betroffenen Servern neu aufgesetzt: In sogenannten Waschstraßen stand die Entfernung sämtlicher Software von mehr als 6.600 Endgeräten und deren virenfreie Neuinstallierung an.

Immerhin: Daten von Kun­d:in­nen oder Abon­nen­t:in­nen sollen die Hacker nicht erbeutet haben. Die Höhe des Gesamtschadens der Attacke lässt Geschäftsführer Andreas Schoo dagegen nicht mitteilen: „Für einen Kassensturz“, heißt es aus der Konzernzentrale, sei es „derzeit noch zu früh“.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Mehr zum Thema

2 Kommentare

 / 
Kommentarpause ab 30. Dezember 2024

Wir machen Silvesterpause und schließen ab Montag die Kommentarfunktion für ein paar Tage.
  • Hmm.. Hackerangriff hin oder her.



    So massive Auswirkungen werfen schon genau das richtige Licht auf die Funke-Mediengruppe.

    Mal ehrlich:



    Dass einem das Portemonnaire geklaut wird, kann vorkommen.



    Aber wenn neben dem Bargeld und allerlei Zahlungskarten auch die Bankkarten-PINs, das Amazon-Passwort, der Paypal-Zugang und die Bitcion-ID darin zu finden wären...

    Niemand würde das machen, oder ?

    Ist eigendlich bekannt geworden ob auch Kundendaten bzw. Zugangsdaten zu den Online-Diensten abgeflossen sind ?

    • @Bolzkopf:

      Für einen ähnlichen Vorfall war ich gerade bei einem Kunden aktiv. Da ware fast alle Windows-Server betroffen. Und da hätten Sie auch schon die Adresse, auf die Sie das richtige Licht werfen können....