Deutschland: „kolossaler“ Cyberangriff betäubt die Funke-Pressegruppe | Deutschland | Ausführliche Nachrichten und Berichterstattung aus Berlin und darüber hinaus DW

Eine der größten Medienorganisationen im deutschsprachigen Raum wurde in den Weihnachtsferien Opfer eines anhaltenden Cyberangriffs, der mehrere Zeitungen dazu zwang, stark reduzierte „Notausgaben“ abzusagen oder anzubieten. Der noch andauernde Angriff begann am vergangenen Dienstag.

Die Funke Media Gruppe, Das Unternehmen, das Dutzende von Zeitungen und Zeitschriften veröffentlicht und mehrere lokale Radiosender und Online-Nachrichtenportale betreibt, gab am Montag bekannt, dass rund 6.000 seiner Computer bei dem betroffenen Angriff „potenziell infiziert“ waren mehrere zentrale IT-Systeme an allen Standorten in Deutschland.

Andreas Tyrock, Chefredakteur der Firma Funke Westdeutsche Allgemeine Zeitung (WAZ), fügte in einer Erklärung hinzu, dass der „kolossale“ Angriff Daten auf seinen Computersystemen verschlüsselt und „vorerst unbrauchbar“ gemacht habe.

Alle Computersysteme mussten heruntergefahren werden, um weitere Schäden zu vermeiden. Dies bedeutete, dass „alle Redaktionssysteme und die Zeitungsproduktionstechnologie deaktiviert waren und selbst normale Fernarbeiten derzeit nicht möglich sind“. Tyrock schrieb. „Die Zeitungsseiten sind größtenteils handgefertigt, an vielen Orten in unserer Region.“

Die Funke Media Group veröffentlicht Dutzende von Zeitungen und Zeitschriften und betreibt mehrere lokale Radiosender und Online-Nachrichtenportale

Ein Quarantäne-Netzwerk

Die Gruppe würde Medienberichte nicht kommentieren, wonach Hacker ein Lösegeld in Bitcoin forderten. Staatsanwälte und Polizei ermitteln derzeit, während Funke sagte, er habe ein Team von Computerexperten gezwungen, ein „Quarantäne-Netzwerk“ aus intakten Computern und einem Skelett-Computersystem aufzubauen, um fortzufahren. zu bedienen.

Solche Angriffe sind albtraumhafte Szenarien für ein Medienunternehmen wie Funke, das in ganz Deutschland rund 6.000 Mitarbeiter beschäftigt, aber der Versuch, sie abzuwehren, ist laut Experten längst zur Routineaufgabe geworden.

„Es passiert ständig und hat sich jetzt als Geschäftsmodell etabliert“, sagte Thorsten Urbanski, Kommunikationsmanager beim internationalen Cybersicherheitsunternehmen ESET. Laut Urbanski können internationale Netzwerke von Hackern, die sich oft nicht kennen, bei einem Angriff zusammenarbeiten – je nach Angriff in Teams von drei bis zwanzig Personen.

„Es handelt sich um professionelle Strukturen, manchmal mit staatlichen Akteuren“, sagte er gegenüber der DW. „Es ist sehr lukrativ und die Arbeitsteilung ist organisiert: Ein Team entwickelt es, ein anderes verteilt es und dann gibt es einen Zahlungsdienst, der es verarbeitet, normalerweise Bitcoin.“

Um einen „Ransomware-Angriff“ einzuleiten, muss ein Mitarbeiter lediglich die falsche E-Mail mit der falschen Datei öffnen. Oft erscheinen diese E-Mails harmlos und plausibel – eine häufige Verkleidung ist eine Bewerbung, die ein Word-Dokument oder eine PDF-Datei enthält, die als Lebenslauf gekennzeichnet ist. Diese Dateien können jedoch häufig als Rechnungen geliefert oder mit Anhängen in verknüpft werden Dropboxen.

„Es ist eigentlich nicht so raffiniert“, sagte Christian Beyer von der deutschen Firma Securepoint. „Sie öffnen das Word-Dokument, das Dokument enthält ein Makro und das Makro lädt die Malware aus dem Internet herunter.“ Ein Makro ist eine Art Kurzanweisung für den Computer.

Infektionen nicht gefunden

Die Malware installiert sich dann selbst auf den Computern der Mitarbeiter und findet schnell einen Weg, ein gesamtes Netzwerk zu infiltrieren. Erschwerend kommt hinzu, dass diese Programme monatelang im Leerlauf bleiben können, bevor sie Daten aktivieren und verschlüsseln. Dies bedeutet, dass selbst die Unternehmens-IT die anfängliche „Infektion“ häufig nicht nachverfolgen kann.

Es gibt viele Sicherheitsunternehmen, die Tools zum Filtern dieser E-Mails erstellen, aber es ist nur ein menschlicher Fehler erforderlich, um die Malware einzulassen. „Die Herausforderung besteht darin, es so schwierig zu machen, dass sich die Operation nicht lohnt“, sagt Urbanski.

Beyer sagt, der Funke-Angriff sei eine relativ alte Geschichte: „Wir haben solche Angriffe seit etwa 2011 oder 2012 gesehen“, sagte er gegenüber DW. „Natürlich wurden sie im Laufe der Zeit immer ausgefeilter und fanden verschiedene Schwachstellen.“ Anfangs zielten solche Angriffe auf Teile eines Computersystems ab, auf die über das Internet zugegriffen werden konnte – jetzt versuchen sie zunehmend, Mitarbeiter zu täuschen. „Es gibt jeden Tag Tausende von Angriffen“, sagte er.

Ransomware-Angriffe können äußerst gefährlich sein: Im September 2020 zerstörte ein Cyberangriff kritische Systeme in einer Universitätsklinik in Düsseldorf. Medienberichten zufolge planten die Hacker tatsächlich, die Universität der Stadt anzugreifen. Berichten zufolge gaben sie den Entschlüsselungscode frei, als die Polizei ihnen mitteilte, dass Leben in Gefahr seien. Im Fall von Düsseldorf wäre die Erstinfektion neun Monate zuvor aufgetreten.

Der Fall machte jedoch deutlich, dass häufig finanziell angeschlagene Krankenhäuser potenziell flexible Ziele für Cyberangriffe sind. Deshalb investiert die Bundesregierung 15% ihres neuen Budgets in die Digitalisierung des Gesundheitssystems, um sich auf sich selbst zu konzentrieren. Computersicherheit.

Unklar bleibt, wie oft diese Lösegeldforderungen erfüllt werden. „Diejenigen, die bezahlen, reden nicht darüber“, sagte Beyer. „Aber das ist nicht ratsam, denn dann sind Sie markiert. Wer einmal zahlt, zahlt wieder.“

Und doch ist es verständlich, dass viele Unternehmen zahlen: Der von Funke eingeleitete Aufräumvorgang – die tatsächliche Einrichtung eines separaten und intakten IT-Systems – kann eine enorme Verschwendung von Arbeitskräften sein. und Ressourcen, die für ein kleines oder mittleres Unternehmen. kann ein verheerender Schlag sein. Und natürlich wird ein solcher Angriff auf Weihnachten, wenn viele Arbeiter im Urlaub sind, den Prozess noch weiter verlängern.