Warum die Cyber-Attacke auf die Rheinische Post uns alle angeht

Spätestens am Montagmorgen (19. Juni) beim Blick auf die gedruckte Ausgabe der „Rheinischen Post“ ist klar: Es ist etwas bisher nie Dagewesenes passiert. Über einem riesigen, gelben Warnhinweis prangt das Wort Notausgabe, und innen ist die Zeitung weit von dem entfernt, das die Leser kennen. Sie ist dezimiert, alle Lokalausgaben sind knapp zusammengefasst. Überrascht sieht der Düsseldorfer, was in Weeze passiert, Krefeld wird über das Bergische Land informiert.

Der Hintergrund steht im Text des Hinweises auf Seite 1: Ein krimineller Cyber-Angriff im Datennetz habe die Firma veranlasst, alle Verbindungen nach außen zu kappen, selbst telefonisch oder per Mail sei man nur noch eingeschränkt erreichbar. Auf der Seite von RP Online läuft ein Ticker mit Meldungen der „Deutschen Presse-Agentur“.

Umgehend ist mit der Suche nach den Verursachern begonnen worden. Und dieses Mal darf man das Wort „fieberhaft“ verwenden, denn für einen Verlag wie diesen geht es um extrem viel. Es ist nicht nur die gekappte Übermittlung von Nachrichten auf Papier und Online, im Feuer steht – und das ist im Grunde am wichtigsten – auch eine gigantische Menge an Daten von Lesern, Kunden, Partnern, Politikern, Wirtschaftsleuten. Würden die angezapft, wären die Folgen verheerend, denn dann kommt es zum Reputations- und Vertrauensverlust. Daher ist der Teil in der Mitteilung am wichtigsten, in dem man betont, dass Daten Dritter nicht gefährdet waren oder sind: „Nach aktuellem Stand wurden kein Daten entwendet oder in irgendeiner Form kompromittiert.“  Wie lange es dauern wird, alles wieder im Griff zu haben, scheint offen. Man spricht von „in den kommenden Tagen“. Das ist der Stand von gestern.  

1. Was ist ein Cyber-Attacke?
Vor wenigen Wochen hatte ich die Gelegenheit, mit mehreren Experten darüber zu sprechen. Und war nach dem Gespräch tief beeindruckt. Einer stellte es mit diesem Bild dar: Cyber-Attacken sind wie Angriffe auf eine Burg. Die ist zwar mit Mauern und Türmen und Wassergräben in der Regel gut geschützt, aber da draußen gibt es viele böse Leute, die versuchen, hineinzukommen und drinnen zu plündern. Aufgabe des/der Burgherren ist es, das zu verhindern. Deshalb errichtet man Bollwerke, so genannte Firewalls und andere Abwehrmechanismen. Aber jedes Fenster, jede Schießscharte ist eine Schwachstelle, durch die von draußen eingedrungen werden kann.

2. Wie laufen die Angriffe?
Es gibt zwei Formen von Angriffen: spontan ausgelöste und solche mit speziellen Programmen (Bots), die im Netz unterwegs sind und nur die Aufgabe haben, Lücken in den Firewalls von Unternehmen oder Verbänden zu finden. Sobald sie eine entdeckt haben, dringen sie ein und fangen mit ihrer eigentlichen Arbeit an.

3. Was kann passieren?
Daten können – sogar unbemerkt – gestohlen werden. Am schlimmsten ist jedoch, alle Prozesse lahmzulegen. Und das so gründlich, dass das Opfer keine Chance hat, von sich aus wieder flott zu werden. Ich kenne den Fall einer angegriffenen Firma, wo sich selbst das Tor zum Firmengelände nicht mehr öffnen ließ. 2020 legte ein solcher Angriff die Uni-Klinik Düsseldorf lahm, Operationen waren zum Teil nicht möglich. Eine der größten deutschen Leasingfirmen hat kürzliche wochenlang in erzwungener Passivität gesteckt, auch bei den Erzbistümern Köln und Münster wurden die Websites gehackt.

4. Was wollen die Täter?
Meistens Geld. Sie erpressen ihre Opfer, indem sie anbieten, gegen Zahlung entsprechend hoher Summen die von ihnen verschlüsselten Systeme wieder freizugeben. Oft ist das günstiger, als das Debakel öffentlich zu machen und Schadensbegrenzung zu versuchen. Man muss also davon ausgehen, dass viele solcher Fälle nie bekannt werden, weil die Betroffenen die Folgen fürchten.

In den anderen Fällen sind die Datenmassen im Visier der Täter. Diese zu bekommen, kann mehr wert sein als hunderttausende Euro. Und für den Bestohlenen schwerer wiegen als finanzielle Verluste. Wertvoll sind sie, weil die Daten verkauft werden können oder das eigene Zusammenstellen einen enormen, also teuren Aufwand erfordert. Sie zu stehlen ist also buchstäblich günstiger. Solche Vorfälle zu verschweigen, ist übrigens strafbar: Jeder Vorfall muss an die Datenschutzbehörden gemeldet werden.

5. Kann man sich schützen?
Ja. Andreas Langendonk ist Datenschutz-Beauftragter etlicher Mandanten (auch in Düsseldorf) und leitet mehrere Datenschutz-Projekte. Er rät, auch Privatleuten, die regelmäßige Änderung von Passwörtern und Verschlüsselung von Datenträgern. Einfach nur eine so genannte Firewall zu errichten, reiche nicht, sondern es müssten Spam-Filter und Anti-Viren-Programme installiert sein. Der wichtigste Faktor bei der Abwehr ist laut Langendonk der Mensch: Nur durch permanente und eindeutige Aufklärung sei Mitarbeitern klarzumachen, wie wichtig ihr umsichtiges Verhalten im Umgang mit Daten, Mails und anderen Kontakten auf verschiedenen Kanälen ist.  

6. Sind nur die ganz Großen betroffen?
Ein weit verbreiteter Irrtum ist, nur riesige Konzerne und Organisationen seien potenzielle Opfer. Im Prinzip kann jeder – egal, ob privat, Handwerksbetrieb oder mittelständische Unternehmen Ziel solcher Angriffe sein.  

7. Wieso geht der Angriff auf die „Rheinische Post“ uns alle an?
Weil er zeigt, welche Folgen eine solche Aktion bei einem großen Unternehmen hat. Und weil er ein Angriff auf die in dieser Stadt eh geschrumpfte Medienvielfalt, die Freiheit der Presse und damit auch ein Angriff auf die Demokratie ist. Das gilt ähnlich für andere Städte, in denen Zeitungen der Gruppe erscheinen, zum Beispiel die Neuss-Grevenbroicher Zeitung, die Aachener Nachrichten oder der General-Anzeiger Bonn.

Daher: Wer ein Organ der freien Meinungsäußerung lahmlegt, greift damit die Basis unseres Staates an. Wie so etwas geht, erleben wir seit Jahren durch gezielte Fake-Kampagnen aus Russland. In St. Petersburg gibt es ganze Fabriken voller Digital-Experten, die nichts anderes tun, als auf Meinungsbildung im Westen Einfluss zu nehmen. Außerdem gilt als sicher, dass von dort auch versucht wird, auf unsere Infrastruktur wie Strom-, Gas- und Wasserversorgung einzuwirken, was aber bisher – zumindest in Düsseldorf – erfolgreich abgewehrt worden ist. Sämtliche Versorger in Deutschland haben daher seit langem sehr aufwändige Abwehrprogramme, weil für sie eine solche Attacke der absolute Alptraum wäre – nicht nur wegen der gefährdeten Versorgung, sondern auch wegen der Risiken für fremde Daten.

Obwohl die aktuellen Täter womöglich nur kriminelle Motive haben, wären auch andere Hintergründe denkbar: Eine – wohl eher unwahrscheinliche – Reaktion auf unliebsame Berichterstattung beispielsweise, oder aber die gigantischen Datenbanken solcher Verlage. Ein Digitalexperte sagte seinerzeit nach einem Angriff auf die Zeitung „Heilbronner Stimme“: „Medien haben umfangreiche Kontaktdatenbanken. Dann sind sie weniger das eigentliche Ziel als ein Sprungbrett, um weitere sogenannte ‚Hochwertziele‘ zu erreichen – etwa, um an die Mobiltelefonnummern von Spitzenpolitikern zu kommen und um diese dann möglicherweise versuchen zu hacken. Das haben wir in anderen Kontexten auch bereits gesehen.“

In eigener Sache
Als wir vor zwei Jahren VierNull gegründet haben, war neben der Installation unserer Seite der Datenschutz ein zentrales Thema. Wir lassen uns seitdem regelmäßig beraten und haben ein System bauen lassen, das größtmögliche Sicherheit für unsere und vor allem für die Daten unserer Kunden verspricht. Das Beispiel der „Rheinischen Post“ hat uns zweierlei gelehrt: Das war und ist eine gute Investition. Und es gibt wohl keinen 100-prozentigen Schutz.

Weiterführende Links

Mein Kollege Christian Herrendorf hat hier über den Hackerangriff auf die IHK geschrieben.

Wichtige Hinweise des Bundesamts für Sicherheit in der Informationstechnik

Einen ganz anderen Aspekt des Themas schildert das Magazin „Stern“ hier: Die Branche der Hacker boomt, und sie braucht Nachwuchs.

Der NDR berichtet über Cyber-Attacken aus Russland.