Hackerangriff auf MedienhäuserInternetpiraten veröffentlichen Lohnlisten, Erfolgsrechnungen und Passwörter
Bei ihrem Cyberangriff auf die Medienunternehmen NZZ und CH Media haben Kriminelle auch sensible Daten erbeutet. Diese haben sie nun ins Darknet gestellt.
Die Hackergruppe Play hat ihre Drohung wahr gemacht und am Mittwoch die bei den Medienunternehmen NZZ und CH Media geklauten Daten ins Darknet gestellt. Eine erste Auswertung der Dokumente zeigt: Die Internetkriminellen entwendeten Lohnlisten, Lohnausweise, Erfolgsrechnungen, Korrespondenzen mit dem Fiskus, Werberechnungen, vertrauliche Daten für den Erhalt staatlicher Presseförderung und Medienprojekte, bei denen auch Konkurrenzunternehmen wie Ringier und der Tamedia-Konzern im Fokus sind. Zudem enthält der gestohlene Datensatz Angaben über Kickbacks, die in vergangenen Jahren an Partnerunternehmen zurückgeflossen waren.
Im Darknet sind zudem diverse Dateiordner abrufbar, die keine Informationen enthalten. Das deutet darauf hin, dass die Piraten wohl darauf hoffen, deren Inhalte auf Anfrage individuell verkaufen zu können.
«Wir werden konsequent gegen die Weiterverbreitung von widerrechtlich veröffentlichten Daten vorgehen.»
CH Media bestätigte am Mittwochvormittag in einer Medienmitteilung die Veröffentlichung von Daten: Bei einem Cyberangriff durch Ransomware auf die IT-Infrastruktur der NZZ-Mediengruppe seien Unternehmensdaten von CH Media gestohlen und in der Nacht auf Mittwoch widerrechtlich im Darknet veröffentlicht worden, schreibt das Medienunternehmen. NZZ-Sprecherin Karin Heim verweist ihrerseits darauf, dass nur CH Media betroffen sei und man bisher «keine Veröffentlichung von NZZ-Daten feststellen» konnte. «In Abstimmung mit den Behörden und aufgrund der rollenden Entwicklung», mache man derzeit keine detaillierteren Angaben.
Die Analysen laufen
Bei CH Media ist man daran, den Datenklau zu analysieren. «Erste Analysen zeigen, dass es sich um Daten unserer Zustellorganisationen handelt», schreibt das Unternehmen in einer Medienmitteilung. Kundendaten seien gemäss ersten Erkenntnissen nicht betroffen. Man setze «alles daran, die Daten der Kunden, Mitarbeitenden und unseres Unternehmens zu schützen» und werde «auch konsequent gegen die Weiterverbreitung und unrechtmässige Bearbeitung von widerrechtlich veröffentlichten Daten vorgehen», teilt CH Media mit.
Recherchen dieser Zeitung ergeben ein anderes Bild. Im Datenleck sind mutmasslich die Namen und Adressen Tausender Zeitungsabonnenten enthalten, auch solche der Zeitungen «Blick», «SonntagsZeitung» und «NZZ am Sonntag».
Das Medienunternehmen hat den Cyberangriff gemäss eigenen Angaben am 24. März 2023 entdeckt. Angegriffen wurden die gemeinsamen IT-Systeme von NZZ und CH Media. Bei den beiden Schweizer Medienhäusern hat man ursprünglich darauf gehofft, dass die Erpresser bluffen und nicht sonderlich viele Daten erbeuten konnten, deren Veröffentlichung die Verlage in Schwierigkeiten bringen würde. Nach ersten Erkenntnissen sei keine grosse Datenmenge abgeflossen, teilten die NZZ und CH Media Mitte April mit.
Doch später verschärfte sich offenbar die Situation: «Die Ermittlungen haben inzwischen ergeben, dass die Angreifer mehr Daten gestohlen haben als zunächst angenommen», zitierte der «Blick» aus einem Schreiben von NZZ-CEO Felix Graf an die Mitarbeitenden.
Wegen des Angriffs musste das Ostschweizer Radio FM1 eine Woche lang aus Zürich statt aus St. Gallen senden. Einige NZZ-Ausgaben erschienen mit leicht reduziertem Umfang. Deutlich gravierender traf es CH Media: Die «Aargauer Zeitung», die «Luzerner Zeitung» und das «St. Galler Tagblatt» konnten längere Zeit nur als Einheitsausgaben erscheinen – ohne unterschiedliche Regionalteile.
Fehler gefunden?Jetzt melden.
