Beim Ostschweizer Radiosender FM1 herrschte am Freitagmorgen der Ausnahmezustand. Die Redaktion hatte keinen Zugriff mehr auf die Datenbank, auf der unter anderem die Musik gespeichert ist. Der Worst Case für einen Radiosender.
Grund für die technischen Probleme: Die Redaktion wurde Opfer eines Cyberangriffs. Nebst Radio FM1 sind auch die Online-Plattform FM1 Today und der Fernsehsender TVO, aber auch andere Redaktionen des CH-Media-Verlags in anderen Regionen betroffen. Ebenso die «NZZ» in Zürich.
Die Mitarbeitenden in den Redaktionen in der Ostschweiz durften am Vormittag aus Sicherheitsgründen ihren Computer nicht benutzen, sondern mussten in andere Redaktionen ausweichen oder wurden angehalten, von zu Hause mit dem privaten Laptop zu arbeiten. Es steht offenbar wegen des Angriffs auch auf der Kippe, dass die Samstagsausgabe gewisser Zeitungen gedruckt werden kann.
Von Verschlüsselungstrojaner befallen
Ziel des Angriffs war das «NZZ»-Netzwerk. Es ist von sogenannter Ransomware befallen. Dabei handelt es sich um Schadprogramme, die Daten verschlüsseln. Für die Entschlüsselung wird in der Regel eine Lösegeldzahlung gefordert. Die Rede ist deshalb auch von Verschlüsselungs- oder Erpressungstrojanern.
Dass die Attacke aufs «NZZ-Netzwerk» auch Auswirkungen auf CH Media hat, liegt daran, dass das Unternehmen auf gewisse «NZZ»-IT zurückgreift. Mehrere Sender gehörten bis vor einigen Jahren der «NZZ»-Mediengruppe, diese ist an CH Media beteiligt. Die Lage bleibe den ganzen Tag voraussichtlich unberechenbar, heisst es in einem internen Mail an die Mitarbeitenden von CH Media. Der Angriff könne Auswirkungen auf «Marktleistungen und Produkte» haben, teilte das Unternehmen später mit.
Opfer einer Massen-Attacke?
Unternehmen geraten immer wieder ins Visier von Cyberkriminellen. Anfang Februar kam es zu einem Ransomware-Angriff auf die SBB, wenige Tage zuvor wurde eine Attacke auf die Uni Zürich bekannt.
In den vergangenen Wochen hatten Tech-Medien zudem über eine grossangelegte Ransomware-Attacke auf angeblich über 100 Unternehmen und Behörden berichtet. Die Gruppe Clop, die Verbindungen zu Russland haben soll, hatte sich zum Massenangriff bekannt. Es hiess, dass sich unter den Opfern auch die Schweizer Pharmafirma Galderma mit Sitz in Zug befinden soll. Es ist unwahrscheinlich, dass der Angriff auf das «NZZ»-Netzwerk in diesem Zusammenhang steht.
Die «NZZ» teilte mit, der Angriff habe frühzeitig erkannt und isoliert werden können. Er werde von der IT-Abteilung der NZZ, externen Spezialisten, Experten des Nationalen Zentrums für Cybersicherheit (NCSC) und der Kantonspolizei Zürich analysiert. (sf)