Folgen des CyberangriffsNZZ-Erpresser verschieben «Publikationstermin» zum dritten Mal
Hacker drohen der «Neuen Zürcher Zeitung» und CH Media mit der Veröffentlichung von vertraulichen Daten. Das Ultimatum wurde erneut vertagt – jetzt auf den 3. Mai.
Die beiden Schweizer Medienhäuser NZZ und CH Media werden von Cyberkriminellen erpresst. Eine Gruppe namens Play hat angekündigt, vertrauliche Daten zu veröffentlichen – etwa «Projekte, Lohnliste, Informationen von Mitarbeitern». Das «Publikationsdatum» setzten sie erst auf den 24. April, dann verschoben sie es auf den 25. April, später auf den 28. April und schliesslich auf den 3. Mai. Dies verkündeten die Erpresser jeweils im Darknet, einem versteckten Teil des Internets, der nur mit einer Spezialsoftware zugänglich ist.
Bei den beiden Schweizer Medienhäusern hat man ursprünglich darauf gehofft, dass die Erpresser bluffen und nicht sonderlich viele Daten erbeuten konnten, deren Veröffentlichung die Verlage in Schwierigkeiten bringen würde. Nach ersten Erkenntnissen sei keine grosse Datenmenge abgeflossen, teilten die NZZ und CH Media Mitte April mit.
Doch später verschärfte sich offenbar die Situation: «Die Ermittlungen haben inzwischen ergeben, dass die Angreifer mehr Daten gestohlen haben, als zunächst angenommen», zitierte der «Blick» aus einem Schreiben von NZZ-CEO Felix Graf an die Mitarbeitenden. «Darunter sind vermutlich auch vertrauliche Daten. Wie gross das Ausmass ist und welche Daten konkret betroffen sind, ist weiterhin Gegenstand der laufenden Abklärungen.»
Warnung des NZZ-CEO
Angegriffen wurden die gemeinsamen IT-Systeme von NZZ und CH Media am 24. März. Darauf musste das Ostschweizer Radio FM1 eine Woche lang aus Zürich statt aus St. Gallen senden. Und es kam zu grösseren Problemen bei der Zeitungsproduktion sowie beim E-Paper.
Einige NZZ-Ausgaben erschienen mit leicht reduziertem Umfang. Deutlich gravierender traf es CH Media: Die «Aargauer Zeitung», die «Luzerner Zeitung» und das «St. Galler Tagblatt» konnten längere Zeit nur als Einheitsausgaben erscheinen – ohne unterschiedliche Regionalteile. Inzwischen ist dieses Problem behoben.
Die NZZ und CH Media arbeiten mit der Polizei zusammen. Im internen Schreiben hat NZZ-CEO Felix Graf die Belegschaft davor gewarnt, allfällige Daten aus dem Darknet herunterzuladen und zu öffnen. Ansonsten laufe man Gefahr, weitere Schadsoftware und Viren einzuschleusen. Dies könne das Funktionieren der Systeme erneut beeinträchtigen.
Digitale Kriminalität nimmt in der Schweiz stark zu
Die beiden Verlagshäuser sind nicht das erste Opfer der Erpressergruppe Play. Wie das Fachmagazin «Inside IT» berichtet hat, ist im Februar auch das Unternehmen Energie Pool Schweiz ins Visier der Hacker geraten. Ende 2022 traf es die Hotelkette H-Hotels. Bei ihr publizierten die Erpresser Rechnungen, Identitätskarten und Buchungen von Hotelgästen im Darknet.
Die Play-Gruppe will also Geld und nicht irgendwelche politische Ziele erreichen. Sie tritt erst seit knapp einem Jahr unter diesem Namen auf und war anfänglich vor allem in Lateinamerika tätig. Aber auch in Ungarn, Indien, Spanien und den Niederlanden hat sie gemäss «Inside IT» schon zugeschlagen. Sie nutzt unter anderem nicht behobene Schwachstellen in der Server-Software Microsoft Exchange aus und fügt Dateien zuweilen die Erweiterung «.play» hinzu.
Das Geschäft scheint lukrativ zu sein. Jedenfalls nimmt die digitale Kriminalität stark zu, auch in der Schweiz. Beim nationalen Zentrum für Cybersicherheit gehen wöchentlich zwischen 400 und 1000 Meldungen ein. In aller Regel wählen die Hacker nicht gezielt eine Person oder ein Unternehmen aus, sondern suchen überall nach Schwachstellen und nehmen, was sie kriegen. Etwa bei der Messe Schweiz, dem Vergleichsdienst Comparis oder der Neuenburger Kantonalbank. Sie alle wurden Opfer von Cyberkriminellen. Es kann also jeden treffen. Je mehr digitale Schwachstellen man offenlässt, desto eher.
Fehler gefunden?Jetzt melden.
