Hacker veröffentlichen Daten von CH Media nach Cyberangriff

Die Hackergruppe Play hat in der Nacht auf Mittwoch Unternehmensdaten von CH Media im Darknet veröffentlicht. Das Unternehmen konnte am Nachmittag nicht mehr ausschliessen, dass auch Daten von Abonnenten betroffen sind.

Bei den publizierten Informationen handle es sich um Daten der Zustellorganisationen, teilte CH Media am Mittwochvormittag zunächst mit. Kundendaten seien nach bisherigem Informationsstand nicht betroffen. Mitte des Nachmittags aktualisierte das Unternehmen die Angaben. «Auf Basis der aktuellen Analysen können postalische Abonnentendaten nicht mehr ausgeschlossen werden», hiess es in einer Mitteilung. Weitere Detail-Untersuchungen seinem im Gange. Je nach Erkenntnissen und Sensitivität der Informationen würden betroffene Personen auch direkt informiert.

Die ebenfalls angegriffene NZZ ist bisher nicht von der Veröffentlichung der Daten betroffen, wie eine Mediensprecherin auf Anfrage von Keystone-SDA sagte.

NZZ und CH Media gaben an, weiter eng mit Spezialisten und unter anderem mit der Kantonspolizei Zürich zusammenzuarbeiten und die Situation zu beobachten. Vertiefte Analysen seien im Gange.

Bei den gestohlenen Daten soll es sich unter anderem um Lohnlisten und vertrauliche Personaldaten handeln. Üblicherweise versuchen Hacker, auf diese Weise Lösegeld zu erpressen.

Das auf Informatik spezialisierte Magazin inside-it.ch hat die nun veröffentlichten Daten gesichtet. Es handle sich primär um Dokumente und Dateien der AZ Vertriebs AG, die zu CH Media gehört.

«Darunter befinden sich Protokolle, Lageberichte sowie einige Personalangaben zu Zeitungsverträgerinnen und -verträgern», schrieb das Portal am Mittwoch.

Für ihren Cyberangriff hatten die Kriminellen sogenannte Ransomware verwendet. Mit dieser können Hacker ins Computersystem eines Opfers eindringen und Zugriff auf IT-Systeme oder auf Daten erlangen oder diese blockieren.

Die Hackergruppe hatte den Veröffentlichungstermin mehrfach verschoben. Ursprünglich sollten die Daten schon am 24. April ins Darknet gestellt werden. Laut inside-it.ch gehört Play zu den zehn derzeit aktivsten Ransomware-Banden. Laut Erhebungen von Security-Forschern soll die Gruppe für rund 5 Prozent der weltweiten Ransomware-Angriffe seit Jahresbeginn verantwortlich sein.

Es gehöre zum Vorgehen von Play, zunächst ein kleines Datenpaket zu veröffentlichen, um die Drohung nochmals zu verstärken. Allerdings habe die Bande solche Drohungen in der Vergangenheit nicht immer wahr gemacht. Das IT-Portal folgert daraus: «Deshalb ist es schwierig abzuschätzen, wie viele und welche Dateien die Cyberkriminellen tatsächlich erbeutet haben.»

Der Angriff auf die IT-Infrastruktur der NZZ-Mediengruppe wurde am 24. März dieses Jahres entdeckt. CH Media bezieht verschiedene IT-Services von der NZZ. In der Folge mussten die drei Titel «Aargauer Zeitung», «Luzerner Zeitung» und «St. Galler Tagblatt» vorübergehend auf die unterschiedlichen Regionalteile, sogenannte Splitausgaben, verzichten. Die «NZZ» erschien an einzelnen Tagen ebenfalls reduziert.

Den Spezialisten sei es gelungen, die Hoheit über die IT-Systeme in kurzer Zeit zurückzuerlangen, teilte CH Media mit. Die NZZ habe zusätzliche Massnahmen ergriffen, um die Sicherheit der IT-Infrastruktur weiter zu erhöhen und das Risiko zukünftiger Angriffe zu minimieren, schreibt die NZZ-Mediensprecherin.