piwik no script img

taz zahl ich

Hackerangriff auf Funke MediengruppeKritische Infrastruktur

Eine Cyberattacke blockiert seit sechs Tagen die Zeitungen des Essener Verlags Funke. Die Behörden stufen den Fall als besonders heikel ein.

Der Medienturm der Funke Mediengruppe
Lahmgelegt: der Medienturm der Funke Mediengruppe Foto: blickwinkel/imago
Peter Weissenburger
Von Peter Weissenburger

Wer nach den Feiertagen bei der Hotline der Funke Mediengruppe angerufen hat, um herauszukriegen, wo ihre oder seine Tageszeitung bleibt, hörte eine automatische Ansage. „Die Funke Mediengruppe ist Opfer eines Hackerangriffs geworden.“ Seit dem Dienstag vor Weihnachten sind bei dem Essener Verlag Tausende Rechner mit einer Schadsoftware infiziert.

Das betrifft die Systeme von Redaktion, Verlag und Druckstätten. Die automatische Ansage entschuldigt sich, dass viele Leser*innen keine oder nur eine seitenreduzierte Zeitung erhalten hätten.

Die Ermittlungen zum Angriff liegen mittlerweile bei der Staatsanwaltschaft Köln. Diese hat nämlich spezielle Dezernate für besonders heikle Fälle von Cyberkriminalität. Nämlich Angriffe, die „kritische Infrastruktur“ betreffen, also Institutionen der Grundversorgung oder der Demokratie.

Ein Sprecher der Staatsanwaltschaft sagte der taz am Montag, es werde nun ermittelt, über welche Sicherheitslücke der Angriff auf das Funke-System möglich war – und mittels welcher Schadsoftware. „Daraus lassen sich Rückschlüsse auf die Täterschaft ziehen“, sagte der Sprecher. Dass es sich um eine Erpressung von Lösegeld handelt, wie berichtet wurde, wollte er nicht bestätigen.

Vernetztes Arbeiten macht anfällig

Zu Funke gehört ein gutes Dutzend Tageszeitungen, vor allem in Nordrhein-Westfalen, Niedersachsen und Thüringen, darunter die Westdeutsche Allgemeine Zeitung. Die Täter hätten Daten in den elektronischen Systemen verschlüsselt und vorerst unbrauchbar gemacht, schreibt deren Chefredakteur Andreas Tyrock auf waz.de. „Um weitere Schäden an der Technik zu verhindern, wurden sämtliche IT-Systeme heruntergefahren.“ Damit sei ein normales Arbeiten nicht möglich gewesen. Am Sonntag meldete Funke, dass diese Woche wieder Zeitungen in größerem Umfang erscheinen würden. Der Verlag war am Montag für eine Anfrage nicht zu erreichen.

Die Funke-Mediengruppe ist eine hochgradig vernetzte Redaktion. Der Verlag hat in den letzten Jahren stark gespart, einzelne Redaktionen beliefern mittlerweile verschiedene Zeitungen. Zeitungsseiten kommen zum Teil aus Berlin und anderen Landesteilen. Für solche Arbeitsweisen nutzen viele journalistische Redaktionen heute IT-Systeme, die hochgradig vernetzt sind – was sie für Cyberangriffe bisweilen anfälliger macht.

Die Staatsanwaltschaft sieht bislang zwar keine Anhaltspunkte, dass die Täter*innen es auch auf andere journalistische Verlage abgesehen haben könnten. Ausschließen will der Sprecher das allerdings nicht.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Themen #Funke Mediengruppe #Cyberkriminalität #WAZ
Feedback Kommentieren Fehlerhinweis
Mehr zum Thema
Totenkopf auf einem Bildschirm

Sicherheitslücke in Deutschland

Mangelhafte Cyber-Abwehr

Die sogenannte Log4j-Sicherheitslücke ist ein Einfallstor für Kriminelle. Eine konzentrierte Kontrollmacht fehlt. Jetzt wäre ein guter Zeitpunkt.
Von Wolfgang Mulke
Ein Kind ist als ein Charakter des Videospiels Minecraft an Halloween verkleidet. Es hat eine große, breite Maske auf, die ein verpixeltes Gesicht zeigt. In der Hand hält es ein Schwert aus Pappe. Im Hintergrund sind viele Menschen zu sehen

Sicherheitslücke Log4Shell

Warnstufe Rot

Die Sicherheitslücke Log4jShell gefährdet weltweit Millionen Online-Anwendungen und Apps. Nicht wenige warnen vor drastischen Folgen.
Von Malaika Rivuzumwami
Ein Mann trägt Handschuhe und tippt auf einer Tastatur, deren Buchstaben rot leuchten

Aufdecken von IT-Sicherheitslücken

Der Botin gebührt Dank

Kommentar von Svenja Bergt
Wer Cyber-Sicherheitslücken aufdeckt, darf nicht bestraft werden, das Gegenteil sollte der Fall sein. Daran erinnert der Fall der CDU-App.

10 Ausgaben für 10 Euro

Die Wochenzeitung mit taz-Blick

Unsere wochentaz bietet jeden Samstag Journalismus, der es nicht allen recht macht und Stimmen, die man woanders nicht hört. Jetzt zehn Wochen lang kennenlernen.
Jetzt bestellen

18 Kommentare

 / 
  • P

    Gespart wird an Bildung und der IT. :) Was glaubt ihr wieso wir so gut bezahlt werden ;)

    Wer nicht hören will muss eben leiden. Zusätzlich ist das größte IT Sicherheitsproblem noch immer der Mensch... so gut wie jeder Mensch ist unglaublich naiv und leicht zu knacken. Ohne Menschen sind die meisten Netze sicher!

    Bezahlt die IT und schafft euch ordentliche, erfahrene ITler an :)

  • C

    Ich fürchte, einige hier unterschätzen das Erpressungspotential und die "Kritikalität" der Infrastruktur für die Demokratie.



    Seit die meisten Unternehmen vernünftige Backup-Strategien haben lautet die Drohung der Erpresser meist nicht mehr, die Daten verschlüsselt zu lassen, sondern sie zu veröffentlichen.



    Für einen Zeitungsverlag, in dessen Systemen potentiell vertrauliche Informationen von Informanten liegen (sollten natürlich nicht in der allgemeinen Infrastruktur landen, aber ich kann mir nicht vorstellen, dass da nicht doch wenigstens ein paar Mails liegen oder gar ein Hinweisportal mit betroffen ist) ist das extrem bedrohlich. Ebenso wie für die Informanten und damit auch für die Demokratie.



    Wenn es eine Lektion geben soll, muss sie "Datensparsamkeit" lauten. Denn nur, was nicht gespeichert ist, kann auch nicht leaken..

  • M

    Kommentar entfernt. Bitte halten Sie sich an die Netiquette.

    Danke, die Moderation

    • A
      @Megatronic:

      Super, und was ist Ihrer Meinung nach mit den tausenden Mitarbeitern, die dann arbeitslos werden. Gefällt Ihnen das?

      • FV
        @Antina:

        Die vielen tausende MitarbeiterInnen, die die Funke Mediengruppe im Zuge ihrer Sparmaßnahmen in die Arbeitslosigkeit geschickt hat, haben in der Öffentlichkeit so gut wie keine Aufmerksamkeit gehabt. Die Qualität der Funke- Printmedien ist derart schlecht geworden und hat jeglichen Regionalcharakter auf ein Minimum reduziert, dass es nicht verwunderlich ist, wenn die Auflagen stark gesunken sind.

  •

    Hier zeigt sich erneut, wie ungemein wichtig eine gut durchdachte, konsequente Backup-Strategie ist. Ich könnte dazu jetzt ein ganz brauchbares Backup-Programm benennen, tu' ich aber lieber nicht. Nachher steckt da auch wieder so'n Trojaner drin. (;-))



    „Das Internet ist nicht tot, es riecht nur komisch.“ (frei nach Frank Zappa)

    • E
      @Rainer B.:

      Da mal wieder ein kleiner Disput ausgebrochen ist. Ich habe persönlich soetwas als IT-Verantwortlicher mehrmals durchgesessen.

      1) Man kann nie verhindern das soetwas sich nicht in ein System einschleicht.



      2) Man muss eine mehrspurige recovery Strategie mit Offline Backups fahren.

      Die Strategie muss so aussehen das man mit minimalen Zeitverlust einen Notbetrieb wieder erreicht, das kann man durch wiederherstellen der Virtuellen Server etc erreichen.



      Dafür ist es notwendig eine Offline Backup Strategie mit rotierenden Backups zu fahren, und einen Seedserver vorweg bereit zu halten.



      Dann trennt man alle zugänge und fährt ein System nach den anderen neu an. Dann müssen alle Client's (PC, Mitarbeiter Notebooks) einmal platt gemacht werden.

      Notbetrieb ist innerhalb eines Tages möglich, alle Clients wieder einzuspeisen kann dauern.

      Da der Notbetrieb solange dauerte klingt es für mich nach einer unterbesetzten IT, die nicht genügend Zeit und Mittel für Vorbereitungen im Notfall hatte. Aber es scheint zumindest pläne gegeben zu haben sonst wären sie nicht am Sonntag wieder angefahren.

      Emotet ist ein ganz übler Geselle, ich hatte glücklicherweise nur WannaCry zu verarzten, und trotz das alles gehalten hat, minimaler Arbeitsverlust an nur einem Arbeitsplatz eingetreten ist, wurde nochmal alles überprüft und verstärkt.

      •
        @Elkarlo77:

        Wo immer es möglich ist, sollte man schon Offline-Backups anlegen. Manchmal ist es auch gar nicht klar erkennbar, ob es sich um Hardwarefehler, Softwarefehler, oder gezielte Schadprogramme handelt. Hatte mal folgenden Fall: Am Dienstag Mittag fiel bei einem Praxisserver (ca. 30 Clients) eine Festplatte aus dem Raid-Verbund von drei Festplatten. Soweit noch kein Problem für das integrierte Servermanagement. Am Mittwoch neue Festplatte reingeschoben - alles wieder im grünen Bereich. Am Samstag dann der Supergau. Die beiden anderen Festplatten schmieren ebenfalls kurz nacheinander ab. Raid zerstört. Glücklicherweise war die letzte Bandsicherung in der Nacht von Freitag auf Samstag 100% erfolgreich durchgelaufen. Datenverlust gab's deshalb am Ende nicht, nur drei (vermeintlich kaputte) Festplatten, die jedenfalls nicht mehr zusammen arbeiten wollten. Die Auswertung der Protokolle ergab keine plausible Fehlerursache. Dass mal eine Festplatte spinnt, kommt schon vor, aber auch nur selten. Dass drei Festplatten so kurz nacheinander den Geist aufgeben, ist eigentlich mehr als unwahrscheinlich.

    •
      @Rainer B.:

      Und dann ein Restore auf den verseuchten Rechner mit nachfolgendem Full Backup ....

    • A
      @Rainer B.:

      Ist halt nicht "nur" ein Virus. Ist eine Ransomware, da gestaltet sich einiges etwas schwieriger, auch mit einem guten Backup.



      Zunächst einmal ist der operative Aufwand nach einem solchen Angriff enorm. Die befallenen Rechner sind zu reinigen, mit den »gesunden« Daten aus dem Backup zu rekonstruieren und wieder hochzufahren. In virtuellen Umgebungen müssen die infizierten Systeme gelöscht, durch ihre »gesunden« Vorgänger ersetzt und ebenfalls neu gestartet werden.



      Das dauert ntürlich recht lange.

      •
        @Antina:

        Das Backup-Image eines sauberen Rechners zurückzuspielen dauert - je nach Festplattengröße - zwischen 10 Minuten und ca. drei Stunden. Produktivdaten, die nach dem Befall eines Rechners mit Ransomware abgespeichert wurden, dürften i.d.R. ohnehin für immer unbrauchbar bleiben.

  • 0G
    07324 (Profil gelöscht)

    Der Titel ist irreführend. Eine private Mediengesellschaft zählt sicher nicht zur kritischen Infrastruktur. Vielleicht kritisch für das Unternehmen, aber ansonsten ist kritische Infrastruktur auf staatlicher Seite zu finden oder wenn in privater Hand, dann ist das zb. Stromversorgung, Telekommunikation oder Krankenhäuser.

    • HH
      @07324 (Profil gelöscht):

      Nur ob der liebe Vladimir das auch so sieht ... ?

      • J
        @Hannes Hegel:

        ach jetzt waren es schon wieder die bösen Russen?

        • MB
          @joaquim:

          Weil sie es können.

        • HH
          @joaquim:

          Woher soll ich das wissen? Mir ist auch ziemlich egal, wer den Laden aufgemacht hat.

          Das Interessante an Angriffen über das Internet besteht darin, dass sie im Grunde nicht zurück verfolgt werden können.



          Mein Kommentar bezieht sich auf den Umstand, dass es Kreise gibt, die Medien durchaus als lohnenswerte Ziel von Angriffen sehen. Herr Putin hat das nur schon vergleichsweise lange und offen etabliert (netzpolitik.org/20...er-auslandsmedien/, en.wikipedia.org/w...attacks_on_Ukraine, www.deutschlandfun...book-auf-irrwegen), aber das heißt nicht, dass andere - Trump/Biden/Xi/Bolsonaro/Zuckerberg/Bezos - das nicht im Rahmen ihrer Weltanschauung genau so sehen.

  • HH

    Erst schön schlank gespart, alles in 'die Cloud' gepackt, und wenn's einem auf die Füße fällt noch schön steuerbezahlte Expertise vom BSI einsacken. Und dann mit den Schultern zucken ('waren Hacker, kann man nix machen'), und weiterfahren.

meistkommentiert

1

Müntefering und die K-Frage bei der SPD

Pistorius statt Scholz!

2

Krieg in der Ukraine

Russland droht mit „schärfsten Reaktionen“

3

Israel demoliert beduinisches Dorf

Das Ende von Umm al-Hiran

4

Angeblich zu „woke“ Videospiele

Game­r:in­nen gegen Gendergaga

5

Haldenwang über Wechsel in die Politik

„Ich habe mir nichts vorzuwerfen“

6

Israelis wandern nach Italien aus

Das Tal, wo Frieden wohnt