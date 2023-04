Folgen des Cyberangriffs – NZZ-Erpresser vertagen «Publikationstermin» Hacker drohen der «Neuen Zürcher Zeitung» und CH Media mit der Veröffentlichung von vertraulichen Daten. Das Ultimatum wurde von Montag auf Dienstag verschoben.

Vorübergehend musste die NZZ ihren Seitenumfang reduzieren. Nun drohen die Erpresser mit einem weiteren Schlag. Foto: Keystone

Die beiden Schweizer Medienhäuser NZZ und CH Media werden von Cyberkriminellen erpresst. Eine Gruppe namens Play hat angekündigt, vertrauliche Daten zu veröffentlichen – etwa «Projekte, Lohnliste, Informationen von Mitarbeitern». Publikationsdatum sei der 24. April, verkündeten die Erpresser letzte Woche im Darknet, einem versteckten Teil des Internets, der nur mit einer Spezialsoftware zugänglich ist.

Entsprechend angespannt sind die Verantwortlichen in den betroffenen Schweizer Verlagen. Dort hat man ursprünglich darauf gehofft, dass die Erpresser bluffen und nicht sonderlich viele Daten erbeuten konnten, deren Veröffentlichung die Medienhäuser in Schwierigkeiten bringen würde. Nach ersten Erkenntnissen sei keine grosse Datenmenge abgeflossen, teilten die NZZ und CH Media vor einer Woche mit.

Doch gegen Ende der Woche verschärfte sich offenbar die Situation: «Die Ermittlungen haben inzwischen ergeben, dass die Angreifer mehr Daten gestohlen haben, als zunächst angenommen», zitierte der «Blick» aus einem Schreiben von NZZ-CEO Felix Graf an die Mitarbeitenden. «Darunter sind vermutlich auch vertrauliche Daten. Wie gross das Ausmass ist und welche Daten konkret betroffen sind, ist weiterhin Gegenstand der laufenden Abklärungen.»

Die Erpresser haben gestern Montag noch keine Daten veröffentlicht. Stattdessen haben sie im Darknet ihren «Publikationstermin» auf Dienstag, 25. April, verschoben.

Zeitungsproduktion ist immer noch beeinträchtigt

Angegriffen wurden die gemeinsamen IT-Systeme von NZZ und CH Media vor einem Monat, am 24. März. Darauf musste das Ostschweizer Radio FM1 eine Woche lang aus Zürich statt aus St. Gallen senden. Und es kam zu grösseren Problemen bei der Zeitungsproduktion sowie beim E-Paper.

Einige NZZ-Ausgaben erschienen mit leicht reduziertem Umfang. Deutlich gravierender traf es CH Media: Die «Aargauer Zeitung», die «Luzerner Zeitung» und das «St. Galler Tagblatt» konnten längere Zeit nur als Einheitsausgaben erscheinen – ohne unterschiedliche Regionalteile. Inzwischen ist dieses Problem behoben. Doch es funktionieren noch längst nicht alle Schnittstellen. Dies macht das Herstellen der Zeitungen deutlich aufwendiger als vor dem Angriff der Erpresser. So funktioniert beispielsweise die automatische Platzierung von Bildern auf den Zeitungsseiten noch nicht richtig.

Digitale Kriminalität nimmt in der Schweiz stark zu

Die NZZ und CH Media arbeiten mit der Polizei zusammen. Im internen Schreiben hat NZZ-CEO Felix Graf die Belegschaft davor gewarnt, allfällige Daten aus dem Darknet herunterzuladen und zu öffnen. Ansonsten laufe man Gefahr, weitere Schadsoftware und Viren einzuschleusen. Dies könne das Funktionieren der Systeme erneut beeinträchtigen.

Die beiden Verlagshäuser sind nicht das erste Opfer der Erpressergruppe Play. Wie das Fachmagazin «Inside IT» berichtet hat, ist im Februar auch das Unternehmen Energie Pool Schweiz ins Visier der Hacker geraten. Ende 2022 traf es die Hotelkette H-Hotels. Bei ihr publizierten die Erpresser Rechnungen, Identitätskarten und Buchungen von Hotelgästen im Darknet.

Die Play-Gruppe will also Geld und nicht irgendwelche politische Ziele erreichen. Sie tritt erst seit knapp einem Jahr unter diesem Namen auf und war anfänglich vor allem in Lateinamerika tätig. Aber auch in Ungarn, Indien, Spanien und den Niederlanden hat sie gemäss «Inside IT» schon zugeschlagen. Sie nutzt unter anderem nicht behobene Schwachstellen in der Server-Software Microsoft Exchange aus und fügt Dateien zuweilen die Erweiterung «.play» hinzu.

Das Geschäft scheint lukrativ zu sein. Jedenfalls nimmt die digitale Kriminalität stark zu, auch in der Schweiz. Beim nationalen Zentrum für Cybersicherheit gehen wöchentlich zwischen 400 und 1000 Meldungen ein. In aller Regel wählen die Hacker nicht gezielt eine Person oder ein Unternehmen aus, sondern suchen überall nach Schwachstellen und nehmen, was sie kriegen. Etwa bei der Messe Schweiz, dem Vergleichsdienst Comparis oder der Neuenburger Kantonalbank. Sie alle wurden Opfer von Cyberkriminellen. Es kann also jeden treffen. Je mehr digitale Schwachstellen man offenlässt, desto eher.

