Trojaner-Attacke auf Medienkonzern Madsack: "Großstörung"

Auf den Medienkonzern Madsack gibt es offenbar einen Trojaner-Angriff. Laut einer internen E-Mail handelt es sich um eine "Großstörung". Das Unternehmen hat bereits Gegenmaßnahmen eingeleitet.

Auf die Mediengruppe Madsack hat es einen Trojaner-Angriff gegeben. Das geht aus einer E-Mail hervor, die t-online vorliegt. Die Nachricht wurde vom Gutenberg-Rechenzentrum abgeschickt, dessen Gesellschafter unter anderem die Verlagsgesellschaft Madsack ist. Der Vorfall wird in der internen E-Mail als "Großstörung" bezeichnet.

In der Nachricht aus dem Rechenzentrum, die laut Informationen von t-online am Vormittag abgeschickt wurde, heißt es unter anderem, dass die Attacke "alle Standorte" und den "gesamten Konzern der Madsack Mediengruppe" betreffe. "Dies äußert sich zum Beispiel so, dass Dateien von der Endpoint Protection erkannt werden, die zusätzlich mit der Endung .NEFILIM versehen sind. Diese Dateien sind infiziert und verschlüsselt."

Bei "Nefilim" handelt es sich um eine sogenannte Ransomware, die erstmals im März 2020 entdeckt wurde. Eine Ransomware verschlüsselt die betroffenen Daten, so dass Nutzer nicht darauf zugreifen können. Um die Daten zu entschlüsseln, werden Nutzer aufgefordert, ein Lösegeld zu zahlen. Laut einer Analyse der Sicherheitsfirma Trend Micro verbreiteten Kriminelle "Nefilim" vor allem über ungeschützte Remote Desktop Protocols. Dabei handelt es sich um ein System von Microsoft, um einen Fernzugriff auf Rechner mit Windows-Betriebssystem zu ermöglichen.

Mitarbeiter sollen Virenscanner nutzen

Laut der Mail wurden Mitarbeiter gebeten, auf eine direkte Verbindung in das Netzwerk des Verlages per LAN oder VPN zu verzichten. Mitarbeiter in den "Räumlichkeiten der Verlage sollen bitte nicht ihre Rechner im Netzwerk nutzen. Ziehen Sie notfalls den Netzwerkstecker und arbeiten Sie per WLAN", heißt es.

Auch auf einen Austausch von Daten per Outlook sollen Mitarbeiter verzichten. Zudem sollen Nutzer ihre Rechner mit dem installierten Virenscanner auf Schadsoftware scannen. "Der Trojaner wird vom Virenschutzprogramm erkannt und eliminiert", heißt es.

Sie haben Hinweise zu dieser Recherche? Verfügen Sie über Einblicke in Bereiche, die anderen verschlossen sind? Sie möchten Missstände mithilfe unserer Reporter aufdecken? Kontaktieren Sie uns unter hinweise@stroeer.de.

Angriff auf Funke Ende Dezember 2020

Die Verlagsgesellschaft Madsack gehört zu einem der größten Verlage in Deutschland. Bekannte Angebote sind unter anderem das "Redaktionsnetzwerk Deutschland". Daneben betreibt Madsack noch viele Lokalzeitungen. Unter anderem die "Freie Presse", die "Leipziger Volkszeitung", die Hannoversche Allgemeine Zeitung" oder die "Ostsee-Zeitung".

Der Vorfall erinnert an einen Hackerangriff auf die Funke Mediengruppe Ende Dezember 2020. Damals konnten wegen der Attacke die Zeitungen des Medienkonzerns nur in einer "Notausgabe" erscheinen. Mehr dazu lesen Sie hier.

Auf Anfrage von t-online gab ein Unternehmenssprecher der Madsack folgende Stellungnahme: "Am Freitag, den 23.04.2021 ist es zu einem Cyberangriff auf die Computersysteme der MADSACK Mediengruppe gekommen. Entsprechende Gegenmaßnahmen sind bereits eingeleitet. Dennoch kann es zu einigen Beeinträchtigungen der Zeitungsproduktion für den morgigen Sonnabend kommen. Unsere Online-Dienste sind nicht betroffen und stehen wie gewohnt zur Verfügung. Weitere Informationen zum Hintergrund des Angriffs liegen bislang nicht vor; im Vordergrund steht zunächst die reibungslose Abwicklung der Zeitungsproduktion. "

Ransomware ist großes Problem

Angriffe auf große Unternehmen sind für Kriminelle eine lukrative Einnahmequelle. Laut einer Umfrage der Sicherheitsfirma Crowdstrike haben deutsche Unternehmen im weltweiten Vergleich eine höhere Bereitschaft, ein Lösegeld zu zahlen. Solche Lösegelder können mehrere Millionen Euro betragen.

Bekannte Ransomware-Attacken in Deutschland sind beispielsweise der Trojaner-Angriff auf das Berliner Kammergericht 2019. Viele Computer der Behörde waren damals für mehrere Monate unbenutzbar. Das Bundeskriminalamt warnte Anfang Februar bereits vor einem Anstieg der Ransomware-Attacken für 2021. "Besonders davon gefährdet sind derzeit Unternehmen und Institutionen, die an der Bekämpfung der COVID-19 Pandemie beteiligt sind", so das BKA.

Update 17:18 Uhr: Der Artikel wurde mit Informationen um die Schadsoftware, Hintergrundinfos zu Ransomware und einer Stellungnahme von Madsack ergänzt.