On 21.01.2021, this article was published in the Frankfurter Allgemeine

Wir haben ihre Daten!

Die Funke-Medien nach dem Cyberangriff

Knapp einen Monat nach einer Cyber- attacke auf die Funke-Mediengruppe, zu der Regionalzeitungen wie die „Berliner Morgenpost“, das „Hamburger Abendblatt“, die „Thüringische Landeszeitung“ oder die „Braunschweiger Zeitung“ sowie Zeitschriften wie die „Hörzu“ oder das „Goldene Blatt“ gehören, meldete sich der Medienkonzern nach längerer Sende- pause am Dienstag mit einem „Up- date“: „Wir sind, Stand heute, sehr optimistisch, den Notfallmodus noch diese Woche zu verlassen.“

Ein Angriff, wie ihn der Verlag aus Essen erlitten hat, ist ein kriminelles Geschäft, das besonders an Feiertagen blüht. Dann, wenn Unternehmen in ausgedünnter Besetzung und mit Angestellten arbeiten, die ihre Aufmerksamkeit auf viele Fronten verteilen müssen. Sie fehlt dann im Zweifel bei der einen Mail von Hunderten, die auf den ersten Blick aussieht wie all die anderen; deren Anhang aber von Hackern präpariert worden ist: Ein Klick öffnet ihnen eine Tür ins Computersystem des Unternehmens. Dort stehlen sie sensible Daten, verschlüsseln die Datenbanken mit sogenannter Ransom- ware, so dass sie für die Angestellten ohne den entsprechenden Schlüssel nicht mehr zugänglich sind, und fordern anschließend ein sattes Lösegeld in einer gängigen Kryptowährung wie Bitcoin, die sich schwer verfolgen lässt. Alles ganz professionell und klar kommuniziert – denn wer würde sonst eine Lösegeld zahlen?

Laut dem Branchenverband Bit- kom betrug der Schaden durch derartige Cyberkriminalität im Jahr 2019 weltweit mehr als hundert Milliarden Euro. Erschwerend, schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem „Managementabstract“ zur Ransomware noch Mitte Juni 2020, komme Knopf drücken, und alles ist gut“.durch die „Covid-19-Pandemie für viele Organisationen ein wirtschaftlicher und finanzieller Ausnahmezustand“ hinzu, der eine unter normalen Umständen mögliche Erholung von einem derartigen Angriff „stark hemmt oder gar unmöglich“ mache.

Am 22. Dezember des vergangenen Jahres, dem Tag, an dem man bei Funke die ersten Auswirkungen des An- griffs registrierte, sah sich Heiko Wei- gelt (Chief Information Officer, CIO) früh mit den ersten Meldungen im unternehmensinternen „Havarie-Kanal“ konfrontiert: „Da standen dann schon ab 5.49 Uhr die ersten Meldungen der Kollegen, Netzwerkprobleme hier, Serverausfälle dort, und dann ging es im Minutentakt weiter.“ In ei- nem internen Interview beschreibt er den Angriff nach einem für seine IT- Abteilung ohnehin anstrengenden Jahr als „Marathon nach dem Marathon“. Ein Krisenstab wird eingerichtet, ein Team des IT-Sicherheitspartners Northwave rückt an, auch Kripo und LKA sind bald vor Ort. Die Herausforderung: die Spurensuche unter- stützen, während der Wiederaufbau auf Hochtouren läuft. „Es war, technisch gesehen, nichts mehr da, das Firmennetz existierte nicht mehr, es war alles kompromittiert“, sagt Weigelt. Man müsse sich das vorstellen, „als liege eine ganze Stadt in Trümmern“.

Für ein Medienhaus, in dem viele Prozesse auf unterschiedlichen Ebenen ineinandergreifen, ist ein derartiger Angriff ein GAU: zig verschiede- ne Regionalausgaben, Tausende von Zeitungsseiten, die parallel entstehen und irgendwo gebündelt werden müssen – da könne man nicht einfach „ein System neu starten, auf den grünen Knopf drücken, und alles is gut”.

Zwar sichert auch Funke seine Systeme durch sogenannte Backups, also Sicherheitskopien. Trotzdem sind dem Unternehmen flächendeckend Daten im Zeitwert von zwei Wochen abhandengekommen.

Von PR-Seite bemüht man sich, die Krise nun als Aufbruch in eine technisch besser aufgestellte und sicherere Arbeitswelt umzudeuten. Es sind Schritte, die der Verlag sich zwar längst vorgenommen hatte, die nun aber binnen weniger Wochen umgesetzt werden mussten. Bis dato mussten etwa fünftausend Computer „gereinigt“ werden. Sie sind laut Pressemitteilung vom Dienstag wieder bei den Kolleginnen und Kollegen in den Redaktionen und in der Verwaltung im Einsatz. Die „Berliner Morgenpost“ er- scheine wieder im „Regelumfang“. Das „Hamburger Abendblatt“ sei am vergangenen Samstag sogar mit 48 Seiten erschienen, „wenn auch ohne die Regionalausgaben“. In Nordrhein- Westfalen produziere man für die vier Titel inzwischen wieder fast dreißig unterschiedliche Lokalausgaben mit jeweils sechs Seiten lokalen Inhalten. In Thüringen seien es aktuell zwei Lokalteile (Ost und West) für die drei Ti- tel. Der weitere Ausbau der Lokalaus- gaben „steht zeitnah an“. Gleiches gel- te für Braunschweig. Nur zu den finanziellen Auswirkungen könne man der- zeit noch wenig sagen. „Viele Abteilungen haben noch immer nur eingeschränkt Zugriff auf die Daten aus der Zeit vor dem Cyberangriff.“ Auch für einen Kassensturz sei es „derzeit noch zu früh“.

AXEL WEIDEMANN