Wer am Dienstag versuchte, die Pressestelle der Funke-Mediengruppe zu erreichen, landete in einer Hotline mit einer vielsagenden Bandauskunft: "Wegen eines technischen Fehlers" könne es sein, dass der Anruf nicht entgegen genommen werden könne. Der MDR Thüringen berichtete als erster, um was für einen Fehler es sich handelt: Die Mediengruppe sei Opfer eines "Hackerangriffs" geworden. Die Polizei Essen ermittelt nun.
Zur Funke Mediengruppe gehören neben der Westdeutschen Allgemeinen Zeitung unter anderem die Berliner Morgenpost und das Hamburger Abendblatt. Ob am Mittwoch Zeitungen der Gruppe erscheinen können, ist offenbar noch unklar. Ein Sprecher sagte, betroffen seien zahlreiche Systeme an allen Standorten bundesweit. "Alle Teams arbeiten mit Hochdruck an der Lösung und Beseitigung des Problems."
Die Funke Mediengruppe spricht nach wie vor vage von einem "Hackerangriff". SZ-Informationen zufolge handelt es sich konkret um Ransomware der bekannten Cybercrime-Gruppe Doppelpaymer. Die Kriminellen wohl haben mit spezieller Software Daten auf den Computern der Funke Mediengruppe verschlüsselt und diese damit unbrauchbar gemacht. Nun fordern sie Lösegeld in Bitcoin von dem Verlag, damit sie die verschlüsselte Daten freigeben. Das Unternehmen habe drei Tage, um sich bei den Erpressern zu melden, danach würden sensible Daten auf einer Art Prangerseite im Darknet veröffentlicht. Ende November waren auf dieser Seite unter anderem Daten aus der Verwaltung der Stadt Portland im US-Bundesstaat Texas gelandet, die ebenfalls zum Opfer von Doppelpaymer geworden war.
Die Erpresser drohen mit Datenleck
Erpressersoftware plagt derzeit viele Unternehmen. Meist handelt es sich dabei nicht um einen gezielten Angriff. Die Kriminellen versenden zunächst einigermaßen wahllos massenhaft Phishing-Mails in die Netzwerke von Unternehmen. Öffnet ein Mitarbeiter dann den Anhang mit Schadcode, breitet sich dieser im Netzwerk aus. Sobald die Angreifer Zugriff auf größere Teile des Unternehmens haben, verschlüsseln sie die Systeme und fordern Lösegeld, damit sie die oft für die Produktion notwendigen Daten wieder freigeben.
Die Drohung, auf Leak-Seiten die Interna zu veröffentlichen, soll den Druck auf die Opfer zusätzlich erhöhen und sie zur Zahlung des Lösegelds bewegen. Für eine Zeitung, deren vertrauliches Verhältnis zu Quellen auf dem Spiel stehen könnte, dürfte eine solche Drohung doppelt schwer wiegen.
Im Fall der Funke-Mediengruppe scheinen die Kriminellen offensichtlich weit vorgedrungen zu sein. Mitarbeiter einer betroffenen Zeitung berichten der SZ, dass sie sich nicht ins Unternehmensnetzwerk einwählen können und deshalb ihre Texte über private E-Mail-Konten verschicken. Für Mittwoch plant mindestens eine der betroffenen Zeitungen eine Notausgabe, die mithilfe eines alternativen Redaktionssystems gestaltet wird.
Wie lange die Probleme anhalten werden, hängt von zwei Faktoren ab: zum einen davon, ob der Verlag bereit ist, Lösegeld zu zahlen. Das Bundesamt für Sicherheit in der Informationstechnik und die Polizeibehörden raten im Allgemeinen davon ab, auch weil unklar sei, ob die Entschlüsselung nach der Zahlung tatsächlich funktioniere. Wenn Unternehmen sich entscheiden, nicht zu zahlen, geht es zum anderen darum, wie tief die Kriminellen eindringen konnten, und wie gut die Back-ups der Zeitungen sind, wie viele ihrer Daten sie also gesichert haben.
Für Leser der betroffenen Zeitungen hat die Funke Mediengruppe die Paywalls deaktiviert und die E-Paper freigestellt. Die Leser können sie also auf den Webseiten die Zeitungen kostenlos herunterladen.