Kurz vor dem Wochenende hat «NZZ»-CEO Felix Graf ein neues Memo an die Belegschaft verschickt. Es liegt Blick vor. Die Worte tönen ein bisschen dramatischer als noch zu Beginn der Woche.
«Wie wir Euch bereits informiert haben, hat sich die Ransomware-Gruppe Play zum Cyberangriff auf die «NZZ» bekannt. Sie hat im Darknet angekündigt, im Besitz von Daten zu sein, und es besteht die Möglichkeit, dass sie diese ab Montag veröffentlicht», steht im Rund-E-Mail.
Update: Die Hackergruppe hat die Veröffentlichung inzwischen um mehrere Tage auf Mittwoch, 3. Mai, geschoben.
Und weiter: «Die Ermittlungen haben inzwischen ergeben, dass die Angreifer mehr Daten gestohlen haben, als zunächst angenommen. Darunter sind vermutlich auch vertrauliche Daten. Wie gross das Ausmass ist und welche Daten konkret betroffen sind, ist weiterhin Gegenstand der laufenden Abklärungen.»
Lohnlisten erbeutet?
Laut im Darknet veröffentlichten Infos der Gruppe Play, sollen unter den erbeuteten Daten folgende Dokumente sein:
- Private und persönliche vertrauliche Daten
- Projekte
- Lohnlisten
- Mitarbeiterinformationen
Die «NZZ» bittet die Mitarbeiter «dringlichst» am Montag selber keine Daten aus dem Darknet zu laden: «Die Gefahr ist gross, dass Schadsoftware und andere Viren heruntergeladen werden und die Aufbauarbeit der letzten Wochen gefährdet oder sogar zerstört wird.»
Seit dem 24. März kämpft die «NZZ» mit den Folgen des Hacks. Die Zeitungsproduktion stand an gewissen Tagen auf der Kippe, das ePaper funktioniert nicht und Mitarbeiter durften ihre Laptops nicht mehr benutzen.
Fast noch schlimmer erwischte es CH Media. Der Aargauer Verlag bezieht verschiedene IT-Services von der «NZZ»-Mediengruppe. Die Computersysteme sind miteinander vernetzt. Viele Regionalzeitungen von «Aargauer Zeitung» über das «St. Galler Tagblatt» bis zur «Luzerner Zeitung» erscheinen seit dem Hack mit einem verminderten Umfang bei der Regionalberichterstattung.
Auch CH Media informierte die Mitarbeiter am Anfang Woche über den Hack. Im internen Schreiben ist davon die Rede, dass die «Neuorganisation der ICT-Plattform nach wie vor im Gang ist» und dass man «sämtliche Marktauswirkungen bald bereinigen lassen» könne.
Ein Ransomware-Angriff ist eine Art von Cyberangriff, bei dem ein Angreifer Schadsoftware auf einem Computer oder einem Netzwerk installiert, um die Daten des Opfers zu verschlüsseln oder zu sperren (auch Verschlüsselungstrojaner genannt). Der Angreifer fordert dann ein Lösegeld von den Opfern, um die Freigabe der verschlüsselten Daten zu ermöglichen. Oftmals drohen die Angreifer damit, die Daten dauerhaft zu löschen oder zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird. Ransomware-Angriffe können für Unternehmen und Einzelpersonen verheerend sein, da sie zu Datenverlust, Produktionsausfällen, Rufschädigung und finanziellen Verlusten führen können.
Ein Ransomware-Angriff ist eine Art von Cyberangriff, bei dem ein Angreifer Schadsoftware auf einem Computer oder einem Netzwerk installiert, um die Daten des Opfers zu verschlüsseln oder zu sperren (auch Verschlüsselungstrojaner genannt). Der Angreifer fordert dann ein Lösegeld von den Opfern, um die Freigabe der verschlüsselten Daten zu ermöglichen. Oftmals drohen die Angreifer damit, die Daten dauerhaft zu löschen oder zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird. Ransomware-Angriffe können für Unternehmen und Einzelpersonen verheerend sein, da sie zu Datenverlust, Produktionsausfällen, Rufschädigung und finanziellen Verlusten führen können.
Bekennerschreiben aus dem Darkweb
Was die Hacker genau bezweckten, ist unklar. Meistens geht es bei Ransomware-Angriffen aber darum, vom Opfer Geld zu erpressen.
Falls keine Zahlung eingehe, will Play die erbeuteten Daten am 24. April veröffentlichen – genau einen Monat nach dem Hack. Welche Summe die Hacker von den Verlagen erpressen, ist nicht bekannt. Die Geld-Verhandlungen könnte aber der Grund sein, warum der Veröffentlichungstermin immer wieder geschoben wird.
Nicht das erste Schweizer Opfer
Laut dem Branchenportal «Inside IT» ist es nicht der erste Angriff von Play auf eine Schweizer Firma. Das letzte bekannt gewordene Opfer sei im Februar Energie Pool Schweiz gewesen. Auch die Hotelkette H Hotels sei ins Visier der Kriminellen geraten. Damals hatte Play ernst gemacht und im Darkweb Dokumente wie Rechnungen, Identitätskarten und Buchungen von Hotelgästen veröffentlicht.
Phishingmail als Einfallstor?
Laut dem US-Sicherheitsdienstleister Avertium ist die Play-Gruppe seit Juni 2022 aktiv. Damals gab es einen Angriff auf die Justizverwaltung der argentinischen Millionenstadt Cordoba. Die Angestellten konnten ihre Computer nicht mehr benutzen – und mussten auf Stift und Papier ausweichen.
Laut Avertium sei es Play bei Angriffen im Jahr 2022 gelungen, unter anderem eine Schwachstelle bei ungepatchten Exchange-Servern auszunutzen.
Im aktuellen Fall sei der Angriff aber profaner: Laut Insidern habe ein Mitarbeiter von CH-Media auf ein Phishingmail geklickt. Danach hatten die Angreifer Zugriff und konnten sich bis in die NZZ-Systeme durcharbeiten.
Anm. d. Red.: Dieser Artikel stammt vom 17. April und wurde am 28. April mit zusätzlichen Informationen ergänzt.