Seit zwei Jahren mehren sich Angriffe auf IT-Infrastruktur von Medienbetrieben. Dahinter stecken weniger politische Motive als klares Kalkül. Alle müssen sich besser schützen.
Man stelle sich das mal vor: Redakteure und Autoren einer Zeitung schreiben Texte, übergeben die per USB-Stick an Layouter, die layouten die Seiten und bringen dann wieder einen USB-Stick zur Druckerei, damit die Zeitung gedruckt werden kann…
Das klingt nach keiner guten Strategie, doch die „Heilbronner Stimme“ hat diese Woche genau so gearbeitet. Auch bei einigen Zeitungen der „Funke“-Mediengruppe, zu der die „WAZ“ oder die „Berliner Morgenpost“ gehören, war rund Ende 2020 genau so. Denn Cyberangreifer hatten die IT-Systeme des Verlags lahmgelegt.
Zu schlecht gegen Cyberangriffe geschützt
Die Zeitungen mussten einige Tage in Notausgaben erscheinen, weil Cyberangreifer erfolgreich waren. Seit 2020 häufen sich die Hackangriffe auf deutsche Medienhäuser: Ob Funke-Mediengruppe, jetzt dpa oder Madsack-Verlag: Es gibt immer mehr Angriffe. Wo kommen diese Angriffe her und wieso sind sie so oft erfolgreich?
Aber wie kann das sein, dass ein Angriff ein komplettes Verlagshaus lahmlegt?
Das hatten wir in den letzten Jahren doch überall: In Krankenhäusern konnte nicht operiert werden, etwa in der Uniklinik Düsseldorf. Ganze Verwaltungen von Kommunen wurden stillgelegt durch Ransomware-Angriffe, also Erpressungs-Software. Jetzt sind verstärkt Medien dran: Weil die meisten schlecht geschützt sind, gelingt das auch.
Lohnenswerte Ziele
Verlage und Medienhäuser scheinen lohnenswerte Ziele zu sein. In der Ukraine werden seit Anfang des Angriffskriegs durch Russland andauernd Medien angegriffen.
Da muss man natürlich unterscheiden zwischen den Medienhäusern hier bei uns und denen in der Ukraine. In der Ukraine ist die Sache klar: Da werden viele Medien immer wieder mit sogenannten DDoS-Attacken angegriffen.
Das sind konzertierte Großangriffe auf Server von Zeitungen, Zeitschriften oder Sendern – und die brechen unter der Last zusammen. Das ist Brachialtaktik – funktioniert aber leider aufgrund mangelnder Sicherheitskonzepte gut.
Auf diese Weise wollen die Aggressoren, sehr wahrscheinlich Russland, die freien Medien behindern. Wenn die seriösen Quellen nicht arbeiten können, haben es Desinformationen leichter. Das ist klare hybride Kriegsführung – da sind sich Experten einig.
Solche Angriffe lassen sich abwehren, indem vor die eigentlichen Server quasi Schutzschilder aufgestellt werden. Ihre Aufgabe ist es, unsinnige Anfragen zu erkennen und abzuwehren. Wenn das gelingt, arbeiten die Server normal weiter. Doch nur die wenigsten Medien haben so etwas.
DDoS-Attacken und Ransomware
Und wie sieht es bei Angriffen auf Medien im Westen aus: Die Fälle häufen sich in den letzten Monaten ja. Auf welche Weise werden die angegriffen – und was steckt dahinter?
Den Informationsfluss zu hemmen, ist hier keine Motivation – dafür ist das Medienangebot viel zu groß. Da gibt es auch gelegentlich DDoS-Attacken – aber hier eher als Warnschuss. Es folgt eine Aufforderung, Schutzgeld zu bezahlen.
Wenn das ausbleibt, drohe ein DDoS-Attacke größeren Ausmaßes, mit den bekannten Folgen. So etwas passiert häufig. Noch häufiger sind aber sogenannte Ransomware-Angriffe. Durch Ausnutzen von Sicherheitslücken und meist durch unachtsames Anklicken eines entsprechend präparierten E-Mail-Anhangs gelangt Schad-Software auf die PCs, teilweise auch in die Netzwerke und Server.
Alle Daten werden verschlüsselt. Ein Arbeiten ist dann unmöglich. Die Verlage werden mit einer Lösegeldforderung konfrontiert: Wenn sie nicht zahlen, würde der Schaden noch größer. Da sieht sich der eine oder andere Entscheider vielleicht genötigt zu zahlen – was allerdings auf keinen Fall empfohlen wird.
Unzureichend vorbereitet
Stellt sich die Frage: Sind die Verlage also Opfer eines gezielten Kalküls? Oder sind sie einfach zu schlecht gerüstet und vorbereitet?
Beides. Sie eignen sich zweifellos gut als Ziel. Doch Sicherheitsexperten beklagen einhellig: Die meisten Verlage unternehmen zu wenig, um ihre IT-Infrastruktur zu schützen. Sie hoffen und beten, einfach davonzukommen.
Die Verlagswelt ist finanziell unter Druck, keine Frage. Da wird dann auch und besonders an der IT-Sicherheit gespart. Ein fataler Fehler, den allerdings die aller meisten Branchen machen. Egal ob Klein- oder Mittelstand.
Die Statistiken sprechen eine eindeutige Sprache: Cyberangriffe nehmen seit Jahren immer nur zu. Das Risiko wird immer größer. Doch die meisten investieren erst in IT-Sicherheit, wenn sie mal einen Vorgeschmack davon bekommen haben, was passieren kann.
Bei Funke wurde nach den Angriffen vor zwei Jahren mächtig umgebaut und investiert. Das müssen andere Medienhäuser auch machen. Auch die Mitarbeiter müssen geschult werden: Natürlich müssen in Medienhäuser Anhänge geöffnet werden können, das ist klar. Aber Mitarbeiter sollten betrügerische Mails identifizieren können – und wissen, was zu tun ist, wenn etwas verdächtig erscheint.
Die Aufgabe des BSI
Aber was ist eigentlich mit dem BSI, dem Bundesamt für Sicherheit in der Informationstechnik. Die Behörde hat seit Böhmermann Klatsche vor zwei Wochen in ZDF Royale ja viel Aufmerksamkeit bekommen. Sind die nicht verantwortlich?
Klares Nein. Das BSI schützt aktiv nur die IT-Systeme des Bundes. Alle anderen – ob Politik, Wirtschaft, Medien oder wer auch immer – müssen sich selbst kümmern. Das BSI unterstützt durch Warnungen, Informationen und Beratungen.
Aber schützt nicht aktiv die IT-Systeme. Das BSI kann auch keine Abwehr anbieten, das ist auch nicht die Aufgabe des BSI. Das BSI prüft und zertifiziert allerdings IT-Produkte und Dienstleister und bietet Sicherheitsberatung an.
Die muss man aber auch wahrnehmen. Auf politischer Ebene sollte allerdings für eine bessere Zusammenarbeit von Polizei und Sicherheitsdiensten gesorgt werden, um proaktiv auf dieser Ebene zu schützen. Die Cyberangreifer sitzen immer im Ausland und müssten schneller ausfindig gemacht werden. Nur so lässt sich das stoppen, denn insbesondere Ransomware-Angriffe sind viel zu lukrativ.
