https://www.faz.net/-gqz-a7puj

Funke nach dem Cyberangriff : Wir haben ihre Daten!

Infektion der anderen Art: Hacker erpressten die Funke-Mediengruppe durch sogenannte Ransomware. Bild: dpa

Nachdem die Funke-Mediengruppe Ende Dezember Opfer eines Cyberangriffs geworden war, musste sie ihre gesamte IT-Struktur binnen weniger Wochen wieder aufbauen. Nun will man den Notfallmodus wieder verlassen.

          3 Min.

          Knapp einen Monat nach einer Cyberattacke auf die Funke-Mediengruppe, zu der Regionalzeitungen wie die „Berliner Morgenpost“, das „Hamburger Abendblatt“, die „Thüringische Landeszeitung“ oder die „Braunschweiger Zeitung“ sowie Zeitschriften wie die „Hörzu“ oder das „Goldene Blatt“ gehören, meldete sich der Medienkonzern nach längerer Sendepause am Dienstag mit einem „Update“: „Wir sind, Stand heute, sehr optimistisch, den Notfallmodus noch diese Woche zu verlassen.“

          Axel Weidemann

          Redakteur im Feuilleton.

          Ein Angriff, wie ihn der Verlag aus Essen erlitten hat, ist ein kriminelles Geschäft, das besonders an Feiertagen blüht. Dann, wenn Unternehmen in ausgedünnter Besetzung und mit Angestellten arbeiten, die ihre Aufmerksamkeit auf viele Fronten verteilen müssen. Sie fehlt dann im Zweifel bei der einen Mail von Hunderten, die auf den ersten Blick aussieht wie all die anderen; deren Anhang aber von Hackern präpariert worden ist: Ein Klick öffnet ihnen eine Tür ins Computersystem des Unternehmens. Dort stehlen sie sensible Daten, verschlüsseln die Datenbanken mit sogenannter Ransomware, so dass sie für die Angestellten ohne den entsprechenden Schlüssel nicht mehr zugänglich sind, und fordern anschließend ein sattes Lösegeld in einer gängigen Kryptowährung wie Bitcoin, die sich schwer verfolgen lässt. Alles ganz professionell und klar kommuniziert – denn wer würde sonst eine Lösegeld zahlen?

          Laut dem Branchenverband Bitkom betrug der Schaden durch derartige Cyberkriminalität im Jahr 2019 weltweit mehr als hundert Milliarden Euro. Erschwerend, schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem „Managementabstract“ zur Ransomware noch Mitte Juni 2020, komme durch die „Covid-19-Pandemie für viele Organisationen ein wirtschaftlicher und finanzieller Ausnahmezustand“ hinzu, der eine unter normalen Umständen mögliche Erholung von einem derartigen Angriff „stark hemmt oder gar unmöglich“ mache.

          „Es war, technisch gesehen, nichts mehr da“

          Am 22. Dezember des vergangenen Jahres, dem Tag, an dem man bei Funke die ersten Auswirkungen des Angriffs registrierte, sah sich Heiko Weigelt (Chief Information Officer, CIO) früh mit den ersten Meldungen im unternehmensinternen „Havarie-Kanal“ konfrontiert: „Da standen dann schon ab 5.49 Uhr die ersten Meldungen der Kollegen, Netzwerkprobleme hier, Serverausfälle dort, und dann ging es im Minutentakt weiter.“ In einem internen Interview beschreibt er den Angriff nach einem für seine IT-Abteilung ohnehin anstrengenden Jahr als „Marathon nach dem Marathon“. Ein Krisenstab wird eingerichtet, ein Team des IT-Sicherheitspartners Northwave rückt an, auch Kripo und LKA sind bald vor Ort. Die Herausforderung: die Spurensuche unterstützen, während der Wiederaufbau auf Hochtouren läuft. „Es war, technisch gesehen, nichts mehr da, das Firmennetz existierte nicht mehr, es war alles kompromittiert“, sagt Weigelt. Man müsse sich das vorstellen, „als liege eine ganze Stadt in Trümmern“.

          Für ein Medienhaus, in dem viele Prozesse auf unterschiedlichen Ebenen ineinandergreifen, ist ein derartiger Angriff ein GAU: zig verschiedene Regionalausgaben, Tausende von Zeitungsseiten, die parallel entstehen und irgendwo gebündelt werden müssen – da könne man nicht einfach „ein System neu starten, auf den grünen Knopf drücken, und alles ist gut“. Zwar sichert auch Funke seine Systeme durch sogenannte Backups, also Sicherheitskopien. Trotzdem sind dem Unternehmen flächendeckend Daten im Zeitwert von zwei Wochen abhandengekommen.

          Von PR-Seite bemüht man sich, die Krise nun als Aufbruch in eine technisch besser aufgestellte und sicherere Arbeitswelt umzudeuten. Es sind Schritte, die der Verlag sich zwar längst vorgenommen hatte, die nun aber binnen weniger Wochen umgesetzt werden mussten. Bis dato mussten etwa fünftausend Computer „gereinigt“ werden. Sie sind laut Pressemitteilung vom Dienstag wieder bei den Kolleginnen und Kollegen in den Redaktionen und in der Verwaltung im Einsatz. Die „Berliner Morgenpost“ erscheine wieder im „Regelumfang“. Das „Hamburger Abendblatt“ sei am vergangenen Samstag sogar mit 48 Seiten erschienen, „wenn auch ohne die Regionalausgaben“. In Nordrhein-Westfalen produziere man für die vier Titel inzwischen wieder fast dreißig unterschiedliche Lokalausgaben mit jeweils sechs Seiten lokalen Inhalten. In Thüringen seien es aktuell zwei Lokalteile (Ost und West) für die drei Titel. Der weitere Ausbau der Lokalausgaben „steht zeitnah an“. Gleiches gelte für Braunschweig. Nur zu den finanziellen Auswirkungen könne man derzeit noch wenig sagen. „Viele Abteilungen haben noch immer nur eingeschränkt Zugriff auf die Daten aus der Zeit vor dem Cyberangriff.“ Auch für einen Kassensturz sei es „derzeit noch zu früh“.

          Weitere Themen

          Topmeldungen

          Klimaaktivisten von Fridays for Future auf einer Demonstration im September in Frankfurt

          Hanks Welt : Mehr Diktatur wagen?

          Sollen wir unsere ordnungspolitischen Prinzipien über Bord werfen und den Klimawandel so autoritär bekämpfen wie die Pandemie?

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.