Seit 2020 häufen sich die Hackerangriffe auf deutsche Medienhäuser: Die Funke-Mediengruppe-Titel „WAZ“, „Berliner Morgenpost“ oder „Hamburger Abendblatt“, die Zeitungen des Madsack-Verlags „Hannoversche Allgemeine Zeitung“ oder „Ostsee-Zeitung“ – sie alle waren in den letzten zwei Jahren von Cyberattacken betroffen und konnten gar nicht oder nur in abgespeckter Version erscheinen.

Das Vorgehen der Hacker war in diesen Fällen sehr ähnlich, sie benutzten sogenannte Ransomware: Ein Trojaner wurde ins Netzwerk der Medienhäuser eingeschleust, verbreitete sich dort und verschlüsselte wichtige Daten. Für die Entschlüsselung wurde dann ein Lösegeld gefordert.

„Nach wie vor investieren große Unternehmen und auch diese Verlagsgruppe zu wenig in die IT-Sicherheitsinfrastruktur“, sagte damals Constanze Kurz vom Chaos Computer Club. Obwohl man in den letzten Jahren eine Zunahme dieser Art von Hackerangriffen beobachten könne, drücke man bei der IT-Sicherheit oft ein Auge zu und mache es sich zu bequem, so Kurz im Deutschlandfunk.

Vergangene Woche reihte sich nun auch die „Heilbronner Stimme“ in die Liste der Opfer solcher Ransomware-Attacken ein: In der Nacht auf Freitag legten Hacker Systeme der Stimme Mediengruppe lahm. Die Tageszeitung konnte deshalb am Montag nicht als gedruckte Ausgabe erscheinen. Und nur wenige Tage später hat es nun die Nachrichtenagentur dpa getroffen, wie "Der Spiegel" berichtet. Hacker hatten einen Trojaner bei einem IT-Dienstleister der dpa eingeschleust.

Wurden hier gezielt Medienhäuser attackiert, um journalistische Infrastruktur zu beschädigen oder gar zu spionieren? Der Journalist und Digitalexperte Falk Steiner glaubt in diesen Fällen eher an „gewöhnliche Computerkriminalität“ – es deute nichts auf Spionage hin, obwohl Medienhäuser dafür grundsätzlich interessante Ziele seien.

„Medien haben umfangreiche Kontaktdatenbanken. Dann sind sie weniger das eigentliche Ziel als ein Sprungbrett, um weitere sogenannte 'Hochwertziele' zu erreichen – etwa, um an die Mobiltelefonnummern von Spitzenpolitikern zu kommen und um diese dann möglicherweise zu versuchen zu hacken. Das haben wir in anderen Kontexten auch bereits gesehen. Da muss man aber sagen: das haben wir in Deutschland in den letzten Monaten zumindest nicht bewusst wahrgenommen. Was aber nicht heißt, dass es nicht stattfgefunden hat.“

Im Fall der aktuellen Trojaner-Angriffe sei höchstwahrscheinlich die Aussicht auf Lösegeld der Antrieb der Hacker. Und der Umstand, dass die Netzwerke von Medien selten außerordentlich gut geschützt seien, so Steiner im Deutschlandfunk: „Sie müssen kommunizieren können und bieten deshalb grundsätzlich Einfallstore".

Ein Haupteinfallstor für Ransomware sei, wie bei allen anderen Unternehmen auch, der "berühmte leichtsinnige Mitarbeiter", der unverlangt zugesandte E-Mail-Anhänge öffnet.

"Hier ist aber bei Medien eben der Sonderfall, dass dort viele Menschen arbeiten, bei denen Neugierde zum Beruf gehört. Und wenn ich eine E-Mail verschicke mit einem Anhang, dann klickt möglicherweise jemand schneller drauf, wenn er in einem Medienhaus arbeitet."