So kam es zum Hackerangriff auf «NZZ» und «CH Media»

Die Hackergruppe «Play» hat im März 2023 Daten der Verlagshäuser «NZZ» und «CH Media» erbeutet. Nun legt die «NZZ» offen, wie die Hacker in ihr System eindringen konnten.

Redaktion

Redaktion zentralplus

Die «NZZ» setzt gut ein Jahr nach dem Cyberangriff durch die Hackergruppe «Play» auf Transparenz: In einem Artikel legt das Unternehmen offen, wie es zum Angriff kommen konnte und wie die Firma damit umgegangen ist. Damit andere Unternehmen aus ihren Fehlern lernen könnten, so die Begründung.

Da das Verlagshaus «CH Media» technische Dienstleistungen der «NZZ»-Gruppe bezieht, war es ebenfalls vom Angriff betroffen. «CH Media» gibt unter anderem die «Luzerner Zeitung» und die «Zuger Zeitung» heraus. Da das Medienhaus juristisch gegen zentralplus vorgegangen ist, erklärte sich die Redaktion in einem Vergleich dazu bereit, einige Texte zu löschen (zentralplus berichtete).

Wie die «NZZ» im Artikel einräumt, konnten die Angreifer durch «mangelhafte Sicherheitsvorkehrungen» ins System eindringen. Die Kriminellen drangen durch das Log-In eines Mitarbeiters eines externen Softwarelieferanten ins System. Dessen Zugang war nicht durch eine Zwei-Faktor-Authentifizierung – also beispielsweise eines zusätzlichen SMS-Codes – geschützt. Auch löste die Sicherheitssoftware auf dem NZZ-Server keinen Alarm aus. Besonders bitter: Die Software hätte bald ersetzt werden sollen. Und der Vertrag mit besagtem externen IT-Lieferanten war bereits gekündigt, der Zugang hätte gelöscht werden sollen.

Passwort eines Administrators gefunden

Als die Kriminellen über diesen Zugang ins System gedrungen waren, entdeckten sie im Arbeitsspeicher des Servers das Passwort eines Administrators. Er hatte sich nicht abgemeldet. So erhielten die Hacker von «Play» Zugriff auf das gesamte «NZZ»-Netzwerk. Das Ergebnis: Unmittelbar nach dem Angriff waren nur noch 50 bis 60 Prozent der IT-Systeme des Verlagshauses funktionstüchtig. Zudem erbeuteten die Hackerinnen 800 Gigabyte an Daten. Anschliessend setzten sie die Verlagshäuser mit den Daten unter Druck und verlangten Lösegeld, ansonsten veröffentlichten sie diese im Darknet.

weiterlesen

Hackerangriff: Darum zahlt «CH Media» kein Lösegeld

Hacker haben Zentralschweizer Firmen im Visier

Deshalb hat zentralplus Artikel zum «CH Media»-Hack gelöscht

Dieser Fussballfan landet wegen Fedpol-Hack im Darknet

Wie die Zeitung schreibt, beschloss das Unternehmen jedoch, kein Lösegeld zu zahlen. Dieses Vorgehen wird auch von Sicherheitsexperten so empfohlen (zentralplus berichtete). Was jedoch zur Folge hatte, dass «Play» rund 500 Gigabyte an Daten im Darknet veröffentlichte. Dabei handle es sich um «Tausende von Dokumenten aus dem Innern der NZZ mit privaten Informationen und vertraulichen Details», wie die Zeitung schreibt. Immerhin: Inzwischen seien die technischen Systeme der Firma wieder hergestellt. Zudem sei auch die Entschädigung mit der Versicherung geregelt.

Hinweis: Die Passage zu den gelöschten zentralplus-Texten ist nachträglich umformuliert worden, um Missverständnisse zu vermeiden.