Eine der größten Medienorganisationen im deutschsprachigen Raum wurde in den Weihnachtsferien Opfer eines anhaltenden Cyberangriffs, bei dem mehrere Zeitungen gezwungen waren, stark reduzierte „Notausgaben“ abzusagen oder anzubieten. Der noch andauernde Angriff begann am vergangenen Dienstag.
Die Funke Media Gruppe, Das Unternehmen, das Dutzende von Zeitungen und Zeitschriften veröffentlicht und mehrere lokale Radiosender und Online-Nachrichtenportale betreibt, gab am Montag bekannt, dass rund 6.000 seiner Computer bei dem Angriff „potenziell infiziert“ waren, von dem mehrere betroffen waren zentrale IT-Systeme an allen Standorten in Deutschland.
Andreas Tyrock, Chefredakteur der Firma Funke Westdeutsche Allgemeine Zeitung (WAZ), fügte in einer Erklärung hinzu, dass der „kolossale“ Angriff Daten auf seinen Computersystemen verschlüsselt und „vorerst unbrauchbar“ gemacht habe.
Alle Computersysteme mussten heruntergefahren werden, um weitere Schäden zu vermeiden. Dies bedeutete, dass „alle Redaktionssysteme und die Zeitungsproduktionstechnologie deaktiviert waren und selbst normale Fernarbeiten derzeit nicht möglich sind“. Tyrock schrieb. „Die Zeitungsseiten sind an vielen Orten in unserer Region im Wesentlichen handgefertigt.“
Die Funke Media Group veröffentlicht Dutzende von Zeitungen und Zeitschriften und betreibt mehrere lokale Radiosender und Online-Nachrichtenportale
Ein Quarantäne-Netzwerk
Die Gruppe würde Medienberichte nicht kommentieren, wonach Hacker ein Lösegeld in Bitcoin forderten. Staatsanwälte und Polizei ermitteln derzeit, während Funke sagte, er habe ein Team von Computerexperten gezwungen, ein „Quarantäne-Netzwerk“ aus intakten Computern und einem Skelett-Computersystem für aufzubauen weiter betreiben.
Solche Angriffe sind albtraumhafte Szenarien für ein Medienunternehmen wie Funke, das in ganz Deutschland rund 6.000 Mitarbeiter beschäftigt, aber der Versuch, sie abzuwehren, ist laut Experten längst zur Routineaufgabe geworden.
„Es passiert ständig und hat sich jetzt als Geschäftsmodell etabliert“, sagte Thorsten Urbanski, Kommunikationsmanager beim internationalen Cybersicherheitsunternehmen ESET. Laut Urbanski können internationale Netzwerke von Hackern, die sich oft nicht kennen, bei einem Angriff zusammenarbeiten – je nach Angriff in Teams von drei bis zwanzig Personen.
„Es handelt sich um professionelle Strukturen, manchmal mit staatlichen Akteuren“, sagte er gegenüber der DW. „Es ist sehr lukrativ und die Arbeitsteilung ist organisiert: Ein Team entwickelt es, ein anderes verteilt es und dann gibt es einen Zahlungsdienst, der es verarbeitet, normalerweise mit Bitcoins.“
Um einen „Ransomware-Angriff“ einzuleiten, muss ein Mitarbeiter lediglich die falsche E-Mail mit der falschen Datei öffnen. Oft scheinen diese E-Mails harmlos und plausibel zu sein – eine häufige Verkleidung ist eine Bewerbung, die ein Word-Dokument oder eine PDF-Datei enthält, die als Lebenslauf gekennzeichnet ist. Diese Dateien können jedoch häufig als Rechnungen geliefert oder mit Anhängen in verknüpft werden Dropboxen.
„Es ist eigentlich nicht so raffiniert“, sagte Christian Beyer von der deutschen Firma Securepoint. „Sie öffnen das Word-Dokument, das Dokument enthält ein Makro und das Makro lädt Malware aus dem Internet herunter.“ Ein Makro ist eine Art Kurzanweisung für den Computer.
Infektionen nicht gefunden
Die Malware installiert sich dann selbst auf den Computern der Mitarbeiter und findet schnell einen Weg, ein gesamtes Netzwerk zu infiltrieren. Erschwerend kommt hinzu, dass diese Programme monatelang im Leerlauf bleiben können, bevor sie Daten aktivieren und verschlüsseln. Dies bedeutet, dass selbst die Unternehmens-IT die anfängliche „Infektion“ häufig nicht nachverfolgen kann.
Es gibt viele Sicherheitsunternehmen, die Tools zum Filtern dieser E-Mails erstellen, aber es ist nur ein menschlicher Fehler erforderlich, um die Malware einzulassen. „Die Herausforderung besteht darin, es so schwierig zu machen, dass sich die Operation nicht lohnt“, sagt Urbanski.
Beyer sagt, der Funke-Angriff sei eine relativ alte Geschichte: „Wir haben solche Angriffe seit etwa 2011 oder 2012 gesehen“, sagte er gegenüber DW. „Natürlich wurden sie im Laufe der Zeit immer raffinierter und fanden verschiedene Schwachstellen.“ Anfangs zielten solche Angriffe auf Teile eines Computersystems ab, auf die über das Internet zugegriffen werden konnte – jetzt versuchen sie zunehmend, Mitarbeiter zu täuschen. „Es gibt jeden Tag Tausende von Angriffen“, sagte er.
Ransomware-Angriffe können äußerst gefährlich sein: Im September 2020 zerstörte ein Cyber-Angriff kritische Systeme in einer Universitätsklinik in Düsseldorf. Medienberichten zufolge wollten die Hacker tatsächlich die Universität der Stadt angreifen. Berichten zufolge gaben sie den Entschlüsselungscode frei, als die Polizei ihnen mitteilte, dass Leben in Gefahr seien. Im Fall von Düsseldorf wäre die Erstinfektion neun Monate zuvor aufgetreten.
Der Fall macht jedoch deutlich, dass häufig finanziell angeschlagene Krankenhäuser potenziell flexible Ziele für Cyber-Angriffe sind. Deshalb investiert die Bundesregierung 15% ihres neuen Budgets in die Digitalisierung des Gesundheitssystems, um sich selbst zu schützen. sich der Computersicherheit widmen.
Unklar bleibt, wie oft diese Lösegeldforderungen erfüllt werden. „Diejenigen, die bezahlen, reden nicht darüber“, sagte Beyer. „Aber das ist nicht ratsam, denn dann sind Sie markiert. Wer einmal zahlt, zahlt wieder.“
Und doch ist es verständlich, dass viele Unternehmen zahlen: Der von Funke eingeleitete Aufräumvorgang – die tatsächliche Einrichtung eines separaten und intakten IT-Systems – kann eine enorme Verschwendung von Arbeitskräften sein. und Ressourcen, die für ein kleines oder mittleres Unternehmen. kann ein verheerender Schlag sein. Und natürlich wird ein solcher Angriff an Weihnachten, wenn viele Arbeiter im Urlaub sind, den Prozess noch weiter verzögern.
Wannabe Internet-Spezialist. Alkohol-Nerd. Hardcore-Kaffee-Anwalt. Ergebener Twitter-Enthusiast.
+ There are no comments
Add yours