Für einmal schreibt der Spezialist für IT-Sicherheit der NZZ-Redaktion nicht über Unternehmen und Behörden, die Opfer von Cyberkriminalität wurden, sondern über den eigenen Arbeitgeber.
Fast ein Jahr nach dem Hack und der digitalen Erpressung der NZZ zeichnet Lukas Mäder den Ablauf der Attacke chronologisch nach. Dass er das mache, liege an der «besonderen Ausgangslage». Er habe diesen Cyberangriff so nahe mitverfolgen können, wie das bei einer externen Firma nicht möglich wäre, schreibt Mäder. Die Geschäftsleitung gewährte ihm von Beginn an einen umfassenden Einblick in das Geschehen.
«Ein Kampf, den die NZZ nicht gewinnen kann»
Dieses «seltene Protokoll eines Schweizer Unternehmens im Ausnahmezustand», wie der Autor das Stück nennt, zählt fast 30’000 Zeichen (oder drei gedruckte Zeitungsseiten) und dokumentiert eine Zeitspanne von gut zwei Monaten im Frühjahr 2023. Der Texte zeige, «wie die NZZ den Kampf gegen eine gut organisierte Cybermafia führt – einen Kampf, den sie nicht gewinnen kann.»
Bis die NZZ überhaupt bemerkte, dass etwas nicht stimmt, dauerte es schon mal drei Wochen. Am 4. März 2023 richteten die Kriminellen unerkannt auf einem NZZ-Server eine Hintertür ein. Erst drei Wochen später schlagen sie zu und attackieren die Informatikinfrastruktur des Medienunternehmens. Betroffen ist auch CH Media, das Teil der IT mit der NZZ teilt. Die Produktion ist eingeschränkt, Zeitungen erscheinen unvollständig, die Redaktionen müssen improvisieren.
Am Schluss bleibt der doppelte Schaden
Schon bald wird den Verantwortlichen klar, dass es sich um eine sogenannte Ransomware-Attacke handelt. Dabei werden Daten verschlüsselt, sodass der rechtmässige Besitzer sie nicht mehr nutzen kann. Zahlt er Lösegeld, erhält er wieder Zugriff, zahlt er nicht, werden die privaten Daten veröffentlicht.
Eigentlich war das Unternehmen gut vorbereitet auf Cybervorfälle. Zwei Wochen vor dem Angriff hatte man das Krisenhandbuch mit den Abläufen für den Ernstfall zuletzt aktualisiert.
Am Ende hatte das Medienhaus gleichwohl den doppelten Schaden: Zum einen zerstörte die Attacke grosse Teile der IT-Infrastruktur, die mit einer Parforceleistung neu aufgebaut werden musste. Zum anderen stellten die Erpresser die ergaunerten Daten ins Darknet, weil die NZZ kein Lösegeld zahlte. «Tausende von Dokumenten aus dem Innern der NZZ mit privaten Informationen und vertraulichen Details. Die Firma und ihre Mitarbeiter stehen entblösst da», hält Mäder in seinem Protokoll fest. (nil)
