https://www.faz.net/-gqz-a7puj

Funke nach dem Cyberangriff : Wir haben ihre Daten!

Infektion der anderen Art: Hacker erpressten die Funke-Mediengruppe durch sogenannte Ransomware. Bild: dpa

Nachdem die Funke-Mediengruppe Ende Dezember Opfer eines Cyberangriffs geworden war, musste sie ihre gesamte IT-Struktur binnen weniger Wochen wieder aufbauen. Nun will man den Notfallmodus wieder verlassen.

          3 Min.

          Knapp einen Monat nach einer Cyberattacke auf die Funke-Mediengruppe, zu der Regionalzeitungen wie die „Berliner Morgenpost“, das „Hamburger Abendblatt“, die „Thüringische Landeszeitung“ oder die „Braunschweiger Zeitung“ sowie Zeitschriften wie die „Hörzu“ oder das „Goldene Blatt“ gehören, meldete sich der Medienkonzern nach längerer Sendepause am Dienstag mit einem „Update“: „Wir sind, Stand heute, sehr optimistisch, den Notfallmodus noch diese Woche zu verlassen.“

          Axel Weidemann
          Redakteur im Feuilleton.

          Ein Angriff, wie ihn der Verlag aus Essen erlitten hat, ist ein kriminelles Geschäft, das besonders an Feiertagen blüht. Dann, wenn Unternehmen in ausgedünnter Besetzung und mit Angestellten arbeiten, die ihre Aufmerksamkeit auf viele Fronten verteilen müssen. Sie fehlt dann im Zweifel bei der einen Mail von Hunderten, die auf den ersten Blick aussieht wie all die anderen; deren Anhang aber von Hackern präpariert worden ist: Ein Klick öffnet ihnen eine Tür ins Computersystem des Unternehmens. Dort stehlen sie sensible Daten, verschlüsseln die Datenbanken mit sogenannter Ransomware, so dass sie für die Angestellten ohne den entsprechenden Schlüssel nicht mehr zugänglich sind, und fordern anschließend ein sattes Lösegeld in einer gängigen Kryptowährung wie Bitcoin, die sich schwer verfolgen lässt. Alles ganz professionell und klar kommuniziert – denn wer würde sonst eine Lösegeld zahlen?

          Laut dem Branchenverband Bitkom betrug der Schaden durch derartige Cyberkriminalität im Jahr 2019 weltweit mehr als hundert Milliarden Euro. Erschwerend, schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem „Managementabstract“ zur Ransomware noch Mitte Juni 2020, komme durch die „Covid-19-Pandemie für viele Organisationen ein wirtschaftlicher und finanzieller Ausnahmezustand“ hinzu, der eine unter normalen Umständen mögliche Erholung von einem derartigen Angriff „stark hemmt oder gar unmöglich“ mache.

          „Es war, technisch gesehen, nichts mehr da“

          Am 22. Dezember des vergangenen Jahres, dem Tag, an dem man bei Funke die ersten Auswirkungen des Angriffs registrierte, sah sich Heiko Weigelt (Chief Information Officer, CIO) früh mit den ersten Meldungen im unternehmensinternen „Havarie-Kanal“ konfrontiert: „Da standen dann schon ab 5.49 Uhr die ersten Meldungen der Kollegen, Netzwerkprobleme hier, Serverausfälle dort, und dann ging es im Minutentakt weiter.“ In einem internen Interview beschreibt er den Angriff nach einem für seine IT-Abteilung ohnehin anstrengenden Jahr als „Marathon nach dem Marathon“. Ein Krisenstab wird eingerichtet, ein Team des IT-Sicherheitspartners Northwave rückt an, auch Kripo und LKA sind bald vor Ort. Die Herausforderung: die Spurensuche unterstützen, während der Wiederaufbau auf Hochtouren läuft. „Es war, technisch gesehen, nichts mehr da, das Firmennetz existierte nicht mehr, es war alles kompromittiert“, sagt Weigelt. Man müsse sich das vorstellen, „als liege eine ganze Stadt in Trümmern“.

          Für ein Medienhaus, in dem viele Prozesse auf unterschiedlichen Ebenen ineinandergreifen, ist ein derartiger Angriff ein GAU: zig verschiedene Regionalausgaben, Tausende von Zeitungsseiten, die parallel entstehen und irgendwo gebündelt werden müssen – da könne man nicht einfach „ein System neu starten, auf den grünen Knopf drücken, und alles ist gut“. Zwar sichert auch Funke seine Systeme durch sogenannte Backups, also Sicherheitskopien. Trotzdem sind dem Unternehmen flächendeckend Daten im Zeitwert von zwei Wochen abhandengekommen.

          Von PR-Seite bemüht man sich, die Krise nun als Aufbruch in eine technisch besser aufgestellte und sicherere Arbeitswelt umzudeuten. Es sind Schritte, die der Verlag sich zwar längst vorgenommen hatte, die nun aber binnen weniger Wochen umgesetzt werden mussten. Bis dato mussten etwa fünftausend Computer „gereinigt“ werden. Sie sind laut Pressemitteilung vom Dienstag wieder bei den Kolleginnen und Kollegen in den Redaktionen und in der Verwaltung im Einsatz. Die „Berliner Morgenpost“ erscheine wieder im „Regelumfang“. Das „Hamburger Abendblatt“ sei am vergangenen Samstag sogar mit 48 Seiten erschienen, „wenn auch ohne die Regionalausgaben“. In Nordrhein-Westfalen produziere man für die vier Titel inzwischen wieder fast dreißig unterschiedliche Lokalausgaben mit jeweils sechs Seiten lokalen Inhalten. In Thüringen seien es aktuell zwei Lokalteile (Ost und West) für die drei Titel. Der weitere Ausbau der Lokalausgaben „steht zeitnah an“. Gleiches gelte für Braunschweig. Nur zu den finanziellen Auswirkungen könne man derzeit noch wenig sagen. „Viele Abteilungen haben noch immer nur eingeschränkt Zugriff auf die Daten aus der Zeit vor dem Cyberangriff.“ Auch für einen Kassensturz sei es „derzeit noch zu früh“.

          Weitere Themen

          Skulpturen auf Bleistiftspitzen Video-Seite öffnen

          Kunstwerke in XXS : Skulpturen auf Bleistiftspitzen

          Der bosnische Künstler und Bildhauer Jasenko Đorđević schafft es, unglaublich winzige und dennoch detailreiche Skulpturen aus Bleistiftminen zu erschaffen. Seine Miniaturkunst zeigt er in Ausstellungen in ganz Europa.

          Topmeldungen

          Hauptsache dagegen: Mehr als Zweitausend Impfgegner, Coronaleugner und Querdenker demonstrieren in der Innenstadt von Frankfurt am Main gegen die Corona-Maßnahmen.

          Corona-Proteste : Wo bleibt der Widerspruch?

          Seit Wochen bestimmen die Aufmärsche der „Querdenker“ die Bilder und Nachrichten. Dabei kann die große Mehrheit mit der Radikalopposition der Bewegung nichts anfangen. Warum sind die Besonnenen und Vernünftigen im Moment so still?
          Vorsichtig bleiben und die Impfungen vorantreiben: Die Ministerpräsidentenkonferenz am Montag, unter anderem mit Hendrik Wüst (CDU, vorne rechts), ging ohne neue Maßnahmen zu Ende

          Ministerpräsidentenkonferenz : Was Bund und Länder beschlossen haben

          Alles bleibt, wie es ist: Bundeskanzler Olaf Scholz und die Ministerpräsidenten der Länder setzen ihren bisherigen Corona-Kurs fort. Eine neue Kampagne soll die Impfquote steigern.
          Am Tatort: Spurensicherung

          Amoklauf in Heidelberg : Im Hörsaal getötet

          Ein Student dringt mit mehreren Waffen in einen Hörsaal ein, und eröffnet das Feuer. Eine Frau stirbt nach einem Kopfschuss. Hinter dem Angriff soll eine Beziehungstat stecken.