IT-Sicherheit:Wie sich Medienunternehmen vor Hackern schützen

IT-Sicherheit: Am vergangenen Montag ohne gedruckte Zeitung: die von einem Ransomware-Angriff gebeutelte "Heilbronner Stimme".

Am vergangenen Montag ohne gedruckte Zeitung: die von einem Ransomware-Angriff gebeutelte "Heilbronner Stimme".

(Foto: Christoph Schmidt/dpa)

Erst traf es die Funke-Gruppe, dann die Heilbronner Stimme. Und immer noch wehren sich Medienhäuser nur schlecht gegen Cyberangriffe.

Von Max Muth

Die Funke-Mediengruppe macht alles richtig. Sie hat ein Sicherheitskonzept aus einem Guss, Cloud-Sicherheit auf dem neuesten Stand, ein IT-Sicherheitsunternehmen, dass sie extern berät. Sie hat sogar einen CISO, einen Chief Information Security Officer, also jemand, der im Management dafür sorgen soll, dass die Sicherheit eine Priorität bleibt. Einziger Schönheitsfehler: Sie hat sich all das erst besorgt, nachdem sie im Dezember 2020 Opfer eines höchst peinlichen Ransomware-Angriffs wurde. Kurz vor Weihnachten gelang es damals kriminellen Hackern die Systeme der Zeitung zu verschlüsseln und die Mediengruppe ins Chaos zu stürzen. Mehrere Zeitungen der Gruppe, zu der die Berliner Morgenpost, und WAZ gehören, erscheinen in den darauf folgenden Tagen nur in Notausgaben, weil Layouter die Zeitungsseiten komplett neu bauen müssen und die Dateien per USB-Sticks in die Druckerei gebracht werden müssen. Arbeiten wie in den 90er Jahren, bei der Funke Mediengruppe ist das an Weihnachten 2020 wieder Realität.

Ein Weckruf für alle Medien? Kaum. Gerade kämpft die Heilbronner Stimme mit den Folgen eines Angriffs, am Montag erschien keine gedruckte Zeitung, auch einen dpa-Dienstleister erwischte es. Medienunternehmen sind zwei Jahre nach dem Vorfall bei Funke kaum besser geschützt. Eileen Walther ist Deutschland-Chefin von Northwave, dem IT-Sicherheitsunternehmen, das bei Funke erst aufgeräumt hat, und seitdem für Schutz sorgt. "Ein bisschen besser ist es nach 2020 schon geworden, intern sprechen wir bei Northwave sogar vom "Funke-Effekt", sagt sie. "Im Großen und Ganzen ist IT-Sicherheit in den Medien aber immer noch genauso schlecht wie in anderen Branchen." Dabei sind Redaktionen, wenn irgendetwas, dann noch anfälliger für derartige Angriffe. Ransomware-Angreifer kommen meist über verseuchte E-Mail-Anhänge ins System. Einem Journalisten zu verbieten, auf Anhänge unbekannter Absender zu klicken, ist jedoch ein beinahe komischer Vorschlag. Solche Klicks gehören zu ihrem Kerngeschäft.

Redaktionen sind lohnende Ziele

Aber es muss nicht immer Ransomware sein. Seit Beginn des russischen Angriffskriegs auf die Ukraine sind sogenannten DDoS-Attacken auf ukrainische Medien an der Tagesordnung. Diese überlasten die Webseiten mit tausendfachen Anfragen und werfen sie so aus dem Netz. Dem Unternehmen Cloudflare zufolge, dass Schutz vor solchen Attacken anbietet, haben die Top-Fünf der meistattackierten Branchen dort mit der Medienproduktion zu tun. Für die russischen Angreifer sind Zeitungen, TV-Stationen und Radiosender lohnende Ziele im hybriden Krieg. Wenn gesicherte Informationen schwer zu bekommen sind, ist die Bevölkerung anfälliger für russische Desinformationskampagnen.

Ransomware und DDoS sind eher grobschlächtige Angriffsarten. Die Hacker dahinter interessieren sich selten für konkrete Informationen. Sie wollen nur Chaos anrichten. Anders liegt der Fall bei gezielten Spionageaktionen, bei denen etwa besonders die Investigativeinheiten der Medienhäuser im Fokus stehen. Quellenschutz ist für sie das wichtigste Gut, um den zu garantieren koppeln sich die Einheiten oft lieber vom Rest der Redaktion ab.

Redaktionen, die sich angesichts der jüngsten Angriffe nun doch ein bisschen für Cybersicherheit interessieren, empfiehlt die Northwave-Expertin Walther vor allem drei Schritte: Medien müssten sich zuerst überlegen, was ihre konkreten Risiken seien, ob auf der Business- oder der redaktionellen Seite. Ebenso wichtig sei Awareness-Training für Mitarbeiter. Ob 40 Prozent von ihnen auf einen schädlichen Anhang klicken oder nur drei könne den Unterschied ausmachen. Drittens empfiehlt sie die Einrichtung eines Security Operation Centers (SOC), also Mitarbeitern, die in den Netzen nach auffälligem Verhalten forschen. Denn gerade bei Medienunternehmen sei es utopisch, alle Angreifer draußen zu halten. Auch ein Planspiel "Ransomware-Angriff" könne durchaus Sinn ergeben. Auch bei guter Sicherheit, es könne immer etwas schiefgehen. "Prepare for the worst", so Walther.

Zur SZ-Startseite

SZ PlusCyberangriff auf Funke
:Acht Seiten

Vor einem Jahr wird die WAZ Ziel eines Cyberangriffs. Die Zeitung soll trotzdem erscheinen. Bloß wie? Eine Geschichte über Improvisation und die Frage, was man aus einer Krise lernen kann.

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: