piwik no script img

taz zahl ich

Hackerangriff auf Funke MediengruppeKritische Infrastruktur

Eine Cyberattacke blockiert seit sechs Tagen die Zeitungen des Essener Verlags Funke. Die Behörden stufen den Fall als besonders heikel ein.

Der Medienturm der Funke Mediengruppe
Lahmgelegt: der Medienturm der Funke Mediengruppe Foto: blickwinkel/imago
Peter Weissenburger
Von Peter Weissenburger

Wer nach den Feiertagen bei der Hotline der Funke Mediengruppe angerufen hat, um herauszukriegen, wo ihre oder seine Tageszeitung bleibt, hörte eine automatische Ansage. „Die Funke Mediengruppe ist Opfer eines Hackerangriffs geworden.“ Seit dem Dienstag vor Weihnachten sind bei dem Essener Verlag Tausende Rechner mit einer Schadsoftware infiziert.

Das betrifft die Systeme von Redaktion, Verlag und Druckstätten. Die automatische Ansage entschuldigt sich, dass viele Leser*innen keine oder nur eine seitenreduzierte Zeitung erhalten hätten.

Die Ermittlungen zum Angriff liegen mittlerweile bei der Staatsanwaltschaft Köln. Diese hat nämlich spezielle Dezernate für besonders heikle Fälle von Cyberkriminalität. Nämlich Angriffe, die „kritische Infrastruktur“ betreffen, also Institutionen der Grundversorgung oder der Demokratie.

Ein Sprecher der Staatsanwaltschaft sagte der taz am Montag, es werde nun ermittelt, über welche Sicherheitslücke der Angriff auf das Funke-System möglich war – und mittels welcher Schadsoftware. „Daraus lassen sich Rückschlüsse auf die Täterschaft ziehen“, sagte der Sprecher. Dass es sich um eine Erpressung von Lösegeld handelt, wie berichtet wurde, wollte er nicht bestätigen.

Vernetztes Arbeiten macht anfällig

Zu Funke gehört ein gutes Dutzend Tageszeitungen, vor allem in Nordrhein-Westfalen, Niedersachsen und Thüringen, darunter die Westdeutsche Allgemeine Zeitung. Die Täter hätten Daten in den elektronischen Systemen verschlüsselt und vorerst unbrauchbar gemacht, schreibt deren Chefredakteur Andreas Tyrock auf waz.de. „Um weitere Schäden an der Technik zu verhindern, wurden sämtliche IT-Systeme heruntergefahren.“ Damit sei ein normales Arbeiten nicht möglich gewesen. Am Sonntag meldete Funke, dass diese Woche wieder Zeitungen in größerem Umfang erscheinen würden. Der Verlag war am Montag für eine Anfrage nicht zu erreichen.

Die Funke-Mediengruppe ist eine hochgradig vernetzte Redaktion. Der Verlag hat in den letzten Jahren stark gespart, einzelne Redaktionen beliefern mittlerweile verschiedene Zeitungen. Zeitungsseiten kommen zum Teil aus Berlin und anderen Landesteilen. Für solche Arbeitsweisen nutzen viele journalistische Redaktionen heute IT-Systeme, die hochgradig vernetzt sind – was sie für Cyberangriffe bisweilen anfälliger macht.

Die Staatsanwaltschaft sieht bislang zwar keine Anhaltspunkte, dass die Täter*innen es auch auf andere journalistische Verlage abgesehen haben könnten. Ausschließen will der Sprecher das allerdings nicht.

40.000 mal Danke!

40.000 Menschen beteiligen sich bei taz zahl ich – weil unabhängiger, kritischer Journalismus in diesen Zeiten gebraucht wird. Weil es die taz braucht. Dafür möchten wir uns herzlich bedanken! Ihre Solidarität sorgt dafür, dass taz.de für alle frei zugänglich bleibt. Denn wir verstehen Journalismus nicht nur als Ware, sondern als öffentliches Gut. Was uns besonders macht? Sie, unsere Leser*innen. Sie wissen: Zahlen muss niemand, aber guter Journalismus hat seinen Preis. Und immer mehr machen mit und entscheiden sich für eine freiwillige Unterstützung der taz! Dieser Schub trägt uns gemeinsam in die Zukunft. Wir suchen auch weiterhin Unterstützung: suchen wir auch weiterhin Ihre Unterstützung. Setzen auch Sie jetzt ein Zeichen für kritischen Journalismus – schon mit 5 Euro im Monat! Jetzt unterstützen

Themen #Funke Mediengruppe #Cyberkriminalität #WAZ
Feedback Kommentieren Fehlerhinweis
Mehr zum Thema
Totenkopf auf einem Bildschirm

Sicherheitslücke in Deutschland

Mangelhafte Cyber-Abwehr

Die sogenannte Log4j-Sicherheitslücke ist ein Einfallstor für Kriminelle. Eine konzentrierte Kontrollmacht fehlt. Jetzt wäre ein guter Zeitpunkt.
Von Wolfgang Mulke
Ein Kind ist als ein Charakter des Videospiels Minecraft an Halloween verkleidet. Es hat eine große, breite Maske auf, die ein verpixeltes Gesicht zeigt. In der Hand hält es ein Schwert aus Pappe. Im Hintergrund sind viele Menschen zu sehen

Sicherheitslücke Log4Shell

Warnstufe Rot

Die Sicherheitslücke Log4jShell gefährdet weltweit Millionen Online-Anwendungen und Apps. Nicht wenige warnen vor drastischen Folgen.
Von Malaika Rivuzumwami
Ein Mann trägt Handschuhe und tippt auf einer Tastatur, deren Buchstaben rot leuchten

Aufdecken von IT-Sicherheitslücken

Der Botin gebührt Dank

Kommentar von Svenja Bergt
Wer Cyber-Sicherheitslücken aufdeckt, darf nicht bestraft werden, das Gegenteil sollte der Fall sein. Daran erinnert der Fall der CDU-App.

taz Wahlabo 10 Wochen für 10 Euro

taz digital + wochentaz print testen

Was außer warm anziehen hilft, steht bei uns: Jede Woche mit Schwerpunktthema und auf täglichen Sonderseiten zur heißen Phase des Wahlkampfs.
Jetzt bestellen

18 Kommentare

 / 
  • P

    Gespart wird an Bildung und der IT. :) Was glaubt ihr wieso wir so gut bezahlt werden ;)

    Wer nicht hören will muss eben leiden. Zusätzlich ist das größte IT Sicherheitsproblem noch immer der Mensch... so gut wie jeder Mensch ist unglaublich naiv und leicht zu knacken. Ohne Menschen sind die meisten Netze sicher!

    Bezahlt die IT und schafft euch ordentliche, erfahrene ITler an :)

  • C

    Ich fürchte, einige hier unterschätzen das Erpressungspotential und die "Kritikalität" der Infrastruktur für die Demokratie.



    Seit die meisten Unternehmen vernünftige Backup-Strategien haben lautet die Drohung der Erpresser meist nicht mehr, die Daten verschlüsselt zu lassen, sondern sie zu veröffentlichen.



    Für einen Zeitungsverlag, in dessen Systemen potentiell vertrauliche Informationen von Informanten liegen (sollten natürlich nicht in der allgemeinen Infrastruktur landen, aber ich kann mir nicht vorstellen, dass da nicht doch wenigstens ein paar Mails liegen oder gar ein Hinweisportal mit betroffen ist) ist das extrem bedrohlich. Ebenso wie für die Informanten und damit auch für die Demokratie.



    Wenn es eine Lektion geben soll, muss sie "Datensparsamkeit" lauten. Denn nur, was nicht gespeichert ist, kann auch nicht leaken..

  • M

    Kommentar entfernt. Bitte halten Sie sich an die Netiquette.

    Danke, die Moderation

    • A
      @Megatronic:

      Super, und was ist Ihrer Meinung nach mit den tausenden Mitarbeitern, die dann arbeitslos werden. Gefällt Ihnen das?

      • FV
        @Antina:

        Die vielen tausende MitarbeiterInnen, die die Funke Mediengruppe im Zuge ihrer Sparmaßnahmen in die Arbeitslosigkeit geschickt hat, haben in der Öffentlichkeit so gut wie keine Aufmerksamkeit gehabt. Die Qualität der Funke- Printmedien ist derart schlecht geworden und hat jeglichen Regionalcharakter auf ein Minimum reduziert, dass es nicht verwunderlich ist, wenn die Auflagen stark gesunken sind.

  •

    Hier zeigt sich erneut, wie ungemein wichtig eine gut durchdachte, konsequente Backup-Strategie ist. Ich könnte dazu jetzt ein ganz brauchbares Backup-Programm benennen, tu' ich aber lieber nicht. Nachher steckt da auch wieder so'n Trojaner drin. (;-))



    „Das Internet ist nicht tot, es riecht nur komisch.“ (frei nach Frank Zappa)

    • E
      @Rainer B.:

      Da mal wieder ein kleiner Disput ausgebrochen ist. Ich habe persönlich soetwas als IT-Verantwortlicher mehrmals durchgesessen.

      1) Man kann nie verhindern das soetwas sich nicht in ein System einschleicht.



      2) Man muss eine mehrspurige recovery Strategie mit Offline Backups fahren.

      Die Strategie muss so aussehen das man mit minimalen Zeitverlust einen Notbetrieb wieder erreicht, das kann man durch wiederherstellen der Virtuellen Server etc erreichen.



      Dafür ist es notwendig eine Offline Backup Strategie mit rotierenden Backups zu fahren, und einen Seedserver vorweg bereit zu halten.



      Dann trennt man alle zugänge und fährt ein System nach den anderen neu an. Dann müssen alle Client's (PC, Mitarbeiter Notebooks) einmal platt gemacht werden.

      Notbetrieb ist innerhalb eines Tages möglich, alle Clients wieder einzuspeisen kann dauern.

      Da der Notbetrieb solange dauerte klingt es für mich nach einer unterbesetzten IT, die nicht genügend Zeit und Mittel für Vorbereitungen im Notfall hatte. Aber es scheint zumindest pläne gegeben zu haben sonst wären sie nicht am Sonntag wieder angefahren.

      Emotet ist ein ganz übler Geselle, ich hatte glücklicherweise nur WannaCry zu verarzten, und trotz das alles gehalten hat, minimaler Arbeitsverlust an nur einem Arbeitsplatz eingetreten ist, wurde nochmal alles überprüft und verstärkt.

      •
        @Elkarlo77:

        Wo immer es möglich ist, sollte man schon Offline-Backups anlegen. Manchmal ist es auch gar nicht klar erkennbar, ob es sich um Hardwarefehler, Softwarefehler, oder gezielte Schadprogramme handelt. Hatte mal folgenden Fall: Am Dienstag Mittag fiel bei einem Praxisserver (ca. 30 Clients) eine Festplatte aus dem Raid-Verbund von drei Festplatten. Soweit noch kein Problem für das integrierte Servermanagement. Am Mittwoch neue Festplatte reingeschoben - alles wieder im grünen Bereich. Am Samstag dann der Supergau. Die beiden anderen Festplatten schmieren ebenfalls kurz nacheinander ab. Raid zerstört. Glücklicherweise war die letzte Bandsicherung in der Nacht von Freitag auf Samstag 100% erfolgreich durchgelaufen. Datenverlust gab's deshalb am Ende nicht, nur drei (vermeintlich kaputte) Festplatten, die jedenfalls nicht mehr zusammen arbeiten wollten. Die Auswertung der Protokolle ergab keine plausible Fehlerursache. Dass mal eine Festplatte spinnt, kommt schon vor, aber auch nur selten. Dass drei Festplatten so kurz nacheinander den Geist aufgeben, ist eigentlich mehr als unwahrscheinlich.

    •
      @Rainer B.:

      Und dann ein Restore auf den verseuchten Rechner mit nachfolgendem Full Backup ....

    • A
      @Rainer B.:

      Ist halt nicht "nur" ein Virus. Ist eine Ransomware, da gestaltet sich einiges etwas schwieriger, auch mit einem guten Backup.



      Zunächst einmal ist der operative Aufwand nach einem solchen Angriff enorm. Die befallenen Rechner sind zu reinigen, mit den »gesunden« Daten aus dem Backup zu rekonstruieren und wieder hochzufahren. In virtuellen Umgebungen müssen die infizierten Systeme gelöscht, durch ihre »gesunden« Vorgänger ersetzt und ebenfalls neu gestartet werden.



      Das dauert ntürlich recht lange.

      •
        @Antina:

        Das Backup-Image eines sauberen Rechners zurückzuspielen dauert - je nach Festplattengröße - zwischen 10 Minuten und ca. drei Stunden. Produktivdaten, die nach dem Befall eines Rechners mit Ransomware abgespeichert wurden, dürften i.d.R. ohnehin für immer unbrauchbar bleiben.

  • 0G
    07324 (Profil gelöscht)

    Der Titel ist irreführend. Eine private Mediengesellschaft zählt sicher nicht zur kritischen Infrastruktur. Vielleicht kritisch für das Unternehmen, aber ansonsten ist kritische Infrastruktur auf staatlicher Seite zu finden oder wenn in privater Hand, dann ist das zb. Stromversorgung, Telekommunikation oder Krankenhäuser.

    • HH
      @07324 (Profil gelöscht):

      Nur ob der liebe Vladimir das auch so sieht ... ?

      • J
        @Hannes Hegel:

        ach jetzt waren es schon wieder die bösen Russen?

        • MB
          @joaquim:

          Weil sie es können.

        • HH
          @joaquim:

          Woher soll ich das wissen? Mir ist auch ziemlich egal, wer den Laden aufgemacht hat.

          Das Interessante an Angriffen über das Internet besteht darin, dass sie im Grunde nicht zurück verfolgt werden können.



          Mein Kommentar bezieht sich auf den Umstand, dass es Kreise gibt, die Medien durchaus als lohnenswerte Ziel von Angriffen sehen. Herr Putin hat das nur schon vergleichsweise lange und offen etabliert (netzpolitik.org/20...er-auslandsmedien/, en.wikipedia.org/w...attacks_on_Ukraine, www.deutschlandfun...book-auf-irrwegen), aber das heißt nicht, dass andere - Trump/Biden/Xi/Bolsonaro/Zuckerberg/Bezos - das nicht im Rahmen ihrer Weltanschauung genau so sehen.

  • HH

    Erst schön schlank gespart, alles in 'die Cloud' gepackt, und wenn's einem auf die Füße fällt noch schön steuerbezahlte Expertise vom BSI einsacken. Und dann mit den Schultern zucken ('waren Hacker, kann man nix machen'), und weiterfahren.

meistkommentiert

1

Macrons Krisengipfel

Und Trump lacht sich eins

2

Maßnahmenkatalog vor der Bundestagswahl

Grünen-Spitze will „Bildungswende“

3

+++ Nachrichten im Ukraine-Krieg +++

USA und Russland besetzen ihre Botschaften wieder regulär

4

Frieden in der Ukraine

Europa ist falsch aufgestellt

5

Die Neuen in der Linkspartei

Jung, links und entschlossen

6

Gentrifizierung in Großstädten

Meckern auf hohem Niveau