Anzeige

Von DuMont bis New York Times: Medien sind häufig Opfer von Cyberkriminalität – und unterschätzen die Gefahren

Vorsicht, Hack-Attack!
Vorsicht, Hack-Attack!

Das Datenleck beim Kölner Verlag DuMont ist nur das jüngste Beispiel einer ganzen Reihe von Medien, die bereits Opfer von Cyber-Kriminalität wurden oder Probleme mit Internet-Sicherheit hatten. Auch der NDR, Axel Springer, die New York Times und andere hatten schon mit teils schwerwiegenden IT-Sicherheitsproblemen und/oder Cyber-Kriminalität zu kämpfen. Trotzdem wird das Problem weitgehend unterschätzt.

Anzeige
Anzeige

Von Joachim Jakobs

„Medien und Kultur“ zählen nach Ansicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu den „kritischen Infrastrukturen“ (KRITIS) – das sind [PDF] der Behörde zufolge „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Zu den KRITIS-Sektoren zählen in Deutschland neben den Medien die Energie, Gesundheit, Staat und Verwaltung, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation und die Wasserversorgung.

Im Auftrag des BSI hat die Goldmedia GmbH Strategy Consulting eine „KRITIS-Sektorstudie Medien und Kultur“ erstellt. Deren „vorläufige öffentliche Fassung“ verrät: „Für die Aufrechterhaltung der öffentlichen Ordnung und die Sicherstellung einer demokratischen Öffentlichkeit in Deutschland stellt dabei vor allem der störungsfreie Betrieb des Teilsektors Medien einen wichtigen Faktor dar. Entsprechend hat das BSI ein hohes Interesse daran, Mediendienstleistungen und -infrastrukturen erstmals in ihrer Gesamtheit zu erfassen, um den Status quo in Bezug auf Sicherheit und Störanfälligkeit in einer umfassenden Analyse durchgängig beurteilen zu können.“

Einerseits weisen die Autoren den Medien eine „systemische Kritikalität“ zu: „Teilweise sind Medien dazu verpflichtet, amtliche Gefahrendurchsagen und Gefahrenmitteilungen (z. B. bei Katastrophen, […]) zu verbreiten.“

Außerdem kommt der Branche der Studie zufolge eine „symbolische Kritikalität“ zu – diese „kann eine Infrastruktur dann besitzen, wenn aufgrund ihrer kulturellen oder identitätsstiftenden Bedeutung ihre Zerstörung eine Gesellschaft emotional erschüttern und psychologisch nachhaltig aus dem Gleichgewicht bringen kann.“

So könnte sich die Manipulation des Fernsehsenders Al-Manar in Beirut durch die israelische Armee 2006 negativ auf die palästinensche Psyche ausgewirkt haben – daraufhin war dort auf den Fernsehbildschirmen statt des erwarteten Programms das Bild des Hisbollah-Führers Hassan Nasrallah in einem Fadenkreuz zu sehen. Im Untertitel stand: „Dein Tag wird kommen. Kommen. Kommen.“ Im Hintergrund knallten Pistolenschüsse.

Nicht nur der Feind im eigenen Wohnzimmer kann die Volksseele erschüttern – die Nicht-Verfügbarkeit von Informationen könnte sich ebenfalls negativ auswirken – so schreibt das Bundesinnenministerium in einem „Leitfaden Krisenkommunikation“: „Katastrophen und Krisen sind eine Quelle für Nachrichten, erfüllen sie doch ein Relevanzkriterium für Journalismus: Sie durchbrechen die Regel und repräsentieren eine Störung des Alltäglichen. Auf Seiten der Bevölkerung verursachen sie einen hohen Informationsbedarf, auf den angemessen reagiert werden muss.“

Nicht immer sind die Medien jedoch tatsächlich handlungsfähig – in den letzten zwei Monaten wurden die Internetseiten von der Nordwest-Zeitung, der Russischen The New Time und mehreren Zeitungen aus Schweden mit so vielen gezielten aber sinnlosen Internet-Anfragen überhäuft, dass reguläre Nutzer die Seiten nicht mehr aufrufen konnten. Der Vernetzungsspezialist CDNetworks aus Singapur behauptete im Februar, 2015 sei die Häufigkeit derartiger „DDoS“-Angriffe (Distributed Denial of Service) um 118 Prozent gestiegen. 2016 erwartet das Unternehmen einen weiteren Anstieg in punkto Häufig- und Heftigkeit der Angriffe.

Noch unangenehmer wäre es jedoch, wenn der vertraute Informationsdienster zwar erreichbar wäre, dabei jedoch Schadsoftware verteilen würde: Im März berichtete der britische ‚Guardian‘ von einem „Erpressungstrojaner“, der über die Internetseiten von New York Times, der britischen BBC und AOL verbreitet worden sein soll – so muß der Besucher der Internetseite damit rechnen, dass die Schadsoftware Dateien aller Art auf seinem Rechner verschlüsselt und wenn überhaupt nur gegen Lösegeld wieder freigibt.

Und es könnte schlimmer kommen – der Allianz-Manager Nigel Pearson sagt: “Es gibt ein Potential für einen katastrophalen Cyberangriff“. So warnt der Präsident des Bundesamts für Informationstechnik (BSI) Arne Schönbohm vor einem „Szenario, bei dem es in Europa nach einem Stromausfall dunkel werde“ – ohne Strom gäbe es schließlich auch in den Redaktionsstuben kein Gas und Wasser mehr. Das „Büro für Technikfolgen-Abschätzung beim Deutschen Bundestag“ (TAB) schrieb 2011 in einer Studie:

„Die für zentrale Kommunikationseinrichtungen vorgehaltenen Reservekapazitäten wie »Unterbrechungsfreie Stromversorgung« (USV) und Notstromaggregate (NSA) sind nach wenigen Stunden oder Tagen erschöpft bzw. aufgrund ausgefallener Endgeräte wirkungslos.

Damit entfällt innerhalb sehr kurzer Zeit für die Bevölkerung die Möglichkeit zur aktiven und dialogischen Kommunikation mittels Telefonie und Internet.“

Einen solchen Stromausfall hat es kurz vor Weihnachten in der Ukraine gegeben. Hunderttausende Haushalte sollen im Dunkeln gesessen sein. Es soll der erste Stromausfall gewesen sein, der auf einen Internet-basierten Angriff zurückzuführen war. Das Wissenschaftsportal „PHYS.ORG“ hält diesen Stromausfall jedoch nur für eine Warnung vor dem, „was noch kommt“.

Anzeige

Alternativ zu einer solchen Katastrophe muss nach Ansicht von Allianz-Manager Nigel Pearson mit einer bedeutenden „Ansammlung von Cyber-Risiken“ gerechnet werden. Eine solche Ansammlung könnte zum Beispiel aus einem Terroranschlag auf den Berliner Hauptbahnhof und dem gleichzeitigen Ausfall der Wasserversorgung und des speziellen TETRA-Netzes zur Kommunikation zwischen Polizei, Feuerwehr und Krankenwagen bestehen. Damit wären die Notfalldienste regelrecht paralysiert. Derart gelähmt war Estland 2007 drei Wochen lang nach Angriffen auf Regierung, Parteien, Firmen, Banken, Handynetzbetreibern. Perfekt wärs dabei aus Sicht der Angreifer, wenn sie zeitgleich eine Hauptnachrichtensendung durch ein Terrorvideo ersetzen könnten.

Wie gut sind die Medien auf die angeblich bevorstehende Angriffsqualität vorbereitet? Im April gestand die Mediengruppe DuMont ein „Datenleck“ ein: „Aufgrund einer technischen Panne waren für einen kurzen Zeitraum Daten für Außenstehende sichtbar, die jedoch nur bei gezielter Suche nach Sicherheitslücken zu finden waren.“ – Die Formulierung legt den Schluß nahe, dass dem Verlag bis zu diesem Zeitpunkt das Phänomen „Cyberkriminalität“ unbekannt war. Das Konkurrenzblatt Die Welt behauptete schadenfroh: „Passwörter, Mailadressen und Abonummern der Kunden sind ungewollt ins Internet geraten. Der Kölner Verlag verletzte wohl einfachste Regeln des Datenschutzes“. Wenn sie geschwiegen hätten, wären sie Philosophen geblieben: 2011 räumte Axel Springer (der Verlag der Zeitung Die Welt) die Möglichkeit ein, dass es „einen Angriff auf den Server eines ehemaligen Kooperationspartners gegeben haben“ könnte. Auf diese Weise sollen die Daten von 30.264 Lesern der „Welt“ in Gefahr geraten sein.

Nachfrage bei DuMont: Wie sind die Angreifer in den Server eingedrungen? Waren die Abonnentendaten tatsächlich unverschlüsselt? Gibt es einen Informationssicherheitsbeauftragten und ein Informationssicherheitskonzept? Welche Konsequenzen wurden aus dem Vorgang gezogen? Die Antwort von Björn Schmidt, Leiter Unternehmenskommunikation der DuMont Mediengruppe war denkbar knapp: „Wir haben zu den Vorfällen bereits Stellung genommen und sind in direkten Gesprächen mit unseren Kunden. Dies steht bei uns im Fokus. Sollten sich neue Erkenntnisse ergeben, werden wir dies kommunizieren.“

Drittes Beispiel: Bei der „NDR-Quizshow“ können sich die Nutzer übers Internet beteiligten – allerdings gab es 2014 technische Schwierigkeiten mit einem Handy-Programm und die personenbezogenen Daten von bis zu 50.000 Nutzern könnten in falsche Hände geraten sein. Die Frage nach der Ursache ist nicht zu klären – die Antwort von Burchard Röver von der Programmdirektion des „Ersten“ auf die mehrfach wiederholte Frage nach einer Analyse des Vorgangs blieb bis zuletzt schwammig: „Die Analyse ergab, dass ein Hacker-Angriff nicht ausgeschlossen werden kann. Wenn ein solcher Angriff tatsächlich stattgefunden hat, war er aber definitiv nicht ursächlich für die Überlastung und den Ausfall der App.“ Unklar blieb auch, ob die Analyse sachkundig durchgeführt wurde.

Die Organisationen mauern bei der Aufklärung der Vorfälle – oder verstehen womöglich nicht einmal, warum sie aufklären sollten. Das  jedenfalls fürchtet Sebastian Schinzel – der Professor an der Fachhochschule Münster sagt: „Viele Entscheider in den Unternehmen verstehen das Problem mit der Sicherheit nicht. Sie kennen ja auch nicht den Unterschied zwischen Safety und Security und meinen stattdessen, nur weil ein System funktioniert, sei es auch sicher.“

Im Rahmen der „KRITIS-Sektorstudie Medien und Kultur“ wurden nach Angaben einer BSI-Sprecherin 29 Expertengespräche mit Medienschaffenden geführt. Die Erkenntnisse aus diesen Gesprächen seien jedoch „kritisch“ und nicht für die Öffentlichkeit bestimmt.

„Kritisch“ – ein Umstand, auf den bereits der Begriff „öffentliche Fassung“ hinweist. Öffentliche Fassungen gibt es nach Angaben einer BSI-Sprecherin auch zu „allen anderen“ KRITIS-Sektoren.

Wie aber sollen die Medienschaffenden das Thema „Cyberkriminalität“ angemessen einordnen, solang ihnen die Erkenntnisse zu den kritischen Infrastrukturen wegen vermeintlicher Kritikalität vorenthalten werden? Wie soll sich die Öffentlichkeit eine Meinung bilden? Oder der gemeine Nutzer Konsequenzen für sein eigenes Verhalten ziehen?

Doch die Geheimnistuerei kann nicht die einzige Ursache für die redaktionelle Geringschätzung des Themas sein – bereits vor einem Jahr schrieb das Deutsche Institut für Wirtschaftsforschung (Berlin) in der Pressemitteilung zu einer Studie: Obwohl ein großer Teil der Bevölkerung bereits Opfer von Internetkriminalität geworden sei oder sich davor fürchte, „spielt diese Kriminalitätsform in der Berichterstattung der Regional- und Lokalteile deutscher Abo-Zeitungen kaum eine Rolle. Das fanden die Forscher bei einem Vergleich von Kriminalitätsberichterstattung und tatsächlicher Kriminalitätsbelastung heraus.“

Auch internationalen Cyber-Sicherheitsthemen geht’s nicht besser: Eine Suchmaschine findet nur 4.000 Presseveröffentlichungen zum Stromausfall in der Ukraine, aber 40.000 Treffer zu „Eurovision Song Contest 2016“.

Die Medien scheinen jedenfalls Anlass zu haben, sowohl ihre eigene Aufstellung als auch ihre Berichterstattung zum Thema „Cyber-Sicherheit“ kritisch zu hinterfragen.

Über den Autor: Joachim Jakobs hat das Buch „Vernetzte Gesellschaft. Vernetzte Bedrohungen – Wie uns die künstliche Intelligenz herausfordert“ verfasst. Es ist im September 2015 im Berliner Cividale-Verlag erschienen.

Anzeige

Mehr zum Thema

Anzeige
Anzeige

Alle Kommentare

  1. Wieso verbreiten Sie weiter diese Mär von der Cyber-Attacke auf DuMont? Die Kollegen haben durch ein schlimmes Missgeschick die Rechte auf einem Server so gesetzt, dass er offen im Internet stand. Auf diesem Server waren die Passwörter der Kunden im Klartext abgespeichert, was allein schon ein Unding an der Grenze zur Kriminalität ist und Zeugnis über den digitalen Diletantismus ablegt.

Dein Kommentar

Deine E-Mailadresse wird nicht veröffentlicht.

*