Ein klitzekleiner Fehler, dann nahm die Katastrophe ihren Lauf: "Wir konnten mit den externen Kollegen, die uns unterstützt haben, letzten Endes den Rechner Null, also den den Patient Null identifizieren. Das war ein Endgerät, was eben eine Phishing Mail geöffnet hat mit einem Schad-Anhang. Und das hat letzten Endes den Angriff ausgelöst", so Heiko Weigelt, Chef der Informationstechnik in der Funke-Mediengruppe.
Er erzählt, wie eine Mail, die am 18. Dezember unvorsichtigerweise geöffnet wurde, vier Tage später die gesamte Verlagsgruppe nahezu zum Stillstand brachte.
"Uns ist eben sehr kurz vor sechs Uhr morgens aufgefallen, dass aus verschiedenen Standorten Meldungen eintrafen, dass Netzwerkprobleme sind, dass Systeme nicht erreichbar sind und auch nach und nach, dass das eine oder andere Endgerät, also ein Notebook, einfach technische Probleme hatte. Binnen weniger Minuten verdichteten sich diese Meldungen extrem schnell, sodass wir relativ schnell den Eindruck hatten, dass das ein groß angelegter Cyberangriff ist, der bereits dann seine Wirkung verbreitet."
Betroffen war in den zurückliegenden Monaten nicht nur Funke, auch Madsack und Radio Energy in Hamburg meldeten schwerwiegende Cyber-Angriffe.
Das Problem der Ransom-Ware-Attacken
Drei Medienunternehmen angegriffen innerhalb kurzer Zeit – rollt hier eine Angriffswelle gegen deutsche Medien? Ein Blick auf die Wirtschaft insgesamt zeigt: Die Medienunternehmen sind nicht mehr und nicht weniger betroffen als andere. Vielmehr hat die Gesamtzahl der erfolgreichen Angriffe zugenommen. Sehr oft sind es sogenannte Ransom-Ware-Attacken, bei denen die Systeme der Opfer verschlüsselt werden und anschließend Lösegeld erpresst wird.
Mehr und vor allem mehr Ransom-Ware-Angriffe – das zeigen auch die Berichte des deutschen Bundesamts für die Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamts.
Neu ist, dass die Angriffe zunehmend gezielt ausgeführt werden, berichtet der IT-Sicherheitsberater bei der HiSolutions AG, Manuel Atug: "Ransome-Ware-Angriffe gehen quer durch alle Branchen und alle Größen. Die Angreifer interessiert nicht, ob jemand groß oder ein großer Konzern ist oder Mittelstand. Den Angreifer interessiert einzig und allein, kann ich da maximalen Profit mit möglichst wenig Aufwand irgendwie rausholen. Wir reden ja bei Ransom-Ware-Angriffen nicht von irgendeinem 20-jährigen Mittelhessen im Kinderzimmer, der noch bei seiner Mama lebt und auf Rechnern rumhackt. Wir reden hier von organisierter Kriminalität. Das ist Bandenkriminalität und die ziehen Millionenbeträge aus den durch Lösegeld erpressten Unternehmen raus. Und die gucken sich sehr genau ihre Opfer aus und sondieren den Markt sozusagen, weil sie eine große Vielfalt erhalten haben, die sie missbrauchen können"
"Cyber-Sicherheit noch nicht auf der Führungsebene angekommen"
Möglich wird ein großer Teil der Angriffe durch Sicherheitslücken, die entweder noch unbekannt sind oder die schlicht noch nicht gestopft wurden. Aber, das betonen Sicherheitsexperten wie Atug und viele andere, es werde immer noch nicht genug für IT-Sicherheit getan. Oft auch, weil es Unternehmen schlicht zu teuer ist/sei.
Sebastian Artz, verantwortlich für die Bereiche Informationssicherheit und Sicherheitspolitik beim IT-Branchenverband Bitkom: "Bei vielen kleineren Unternehmen ist natürlich nach wie vor das Problem, aber eben auch bei vielen großen, dass es nicht von der Hand zu weisen ist, dass Cyber-Sicherheit eben auch noch nicht auf der Führungsebene angekommen ist. Es ist natürlich so, dass wenn eben im Führungsgremium, IT-Sicherheit oder Cyber-Sicherheit nicht mitgedacht wird, dann werden eben auch keine ausreichenden Ressourcen abgestellt, keine Mittel bereitgestellt für beispielsweise die Sicherheitsbeauftragten oder die ganze IT-Abteilung, die sich dann eben auch mit Blick auf die Gefahrenlage adäquat aufstellen kann, was eben Mensch, Technologie und Organisation angeht."
"Zum falschen Zeitpunkt beim falschen Endanwender"
Welcher Art Angriff die Funke-Mediengruppe traf oder ob Lösegeld gezahlt wurde, dazu gibt das Unternehmen keinen Kommentar ab. Im Gespräch mit Heiko Weigelt wird aber deutlich: Das Unternehmen hatte möglicherweise einfach Pech. Denn der eine Rechner, auf dem die ursächliche Mail geöffnet wurde, hatte einen Update-Lauf verpasst.
"Die Mail kam einfach leider zum falschen Zeitpunkt bei dem falschen Endanwender bei uns an, der zufällig auch genau in dem Moment eigentlich eine Mail erwartet hat, die diese Phishing Mail eigentlich simuliert hat. Also eine elektronische Unterschrift unter ein Dokument, also quasi aus Sicht der Angreifer der passende Kontext mit dem passenden Anwender zur passenden Zeit."
Wochenlang zog sich bei Funke die Bewältigung des Vorfalls hin. Wie der CIO sagt, konnte der Betrieb nur dank viel Kreativität und gemeinsamen Engagements alle Mitarbeitenden aufrecht erhalten werden. Heiko Weigelt: "Wir haben natürlich die Erkenntnis, dass das Thema Sicherheit und dass das Verständnis für Angriffe oder für Betrugsversuche bei den Endusern gesteigert werden muss. Das ist aus meiner Sicht das zentrale 'lessons learned'."