Kriminelle Hacker greifen die NZZ an und erpressen sie: das Protokoll einer Krise Im März vor einem Jahr wird die NZZ Opfer eines Cyberangriffs. Die Folgen beschäftigen das Medienhaus über Wochen und Monate. Dabei hat der Verlag noch Glück.
Im März vor einem Jahr wird die NZZ Opfer eines Cyberangriffs. Die Folgen beschäftigen das Medienhaus über Wochen und Monate. Dabei hat der Verlag noch Glück.
Der Cyberangriff auf die NZZ ist eine Geschichte, wie sie sich täglich ereignet. In der Schweiz, in Europa, irgendwo auf der Welt. Überall greifen Kriminelle Unternehmen an und erpressen sie. Bei diesen Ransomware-Angriffen dringen die Erpresser in die Rechner der Opfer ein, stehlen Daten, legen Computer lahm und drohen damit, vertrauliche Informationen zu veröffentlichen. Diese Art der Angriffe nimmt seit einigen Jahren stark zu.
Die NZZ wurde im vergangenen Frühjahr Opfer eines solchen Angriffs und hat sich dazu entschieden, die Hintergründe publik zu machen. Dass die meisten angegriffenen Unternehmen schweigen, spielt den Erpressern in die Hände. Ein Angriff gilt als Versagen. Dabei kann es jeden treffen. Die NZZ ist überzeugt, dass die Lehren aus dem eigenen Cyberangriff anderen Firmen helfen können, sich vor Ransomware-Banden zu schützen.
Journalisten schreiben üblicherweise nicht über das eigene Unternehmen. Dass der Autor hier eine Ausnahme macht, liegt an der besonderen Ausgangslage. Er konnte den Cyberangriff so nahe mitverfolgen, wie das bei einer externen Firma nicht möglich wäre. Die Geschäftsleitung hat dem Autor von Beginn an einen umfassenden Einblick in das Geschehen gewährt.
Entstanden ist das seltene Protokoll eines Schweizer Unternehmens im Ausnahmezustand. Es zeigt, wie die NZZ den Kampf gegen eine gut organisierte Cybermafia führt – einen Kampf, den sie nicht gewinnen kann.
Teil 1: Der Angriff – «kalte Fischstäbchen zum Znacht»
Freitagmorgen, 24. März: Es geht ums Ganze
Als die Kriminellen zuschlagen, herrscht auf der Redaktion normaler Alltag. Die Journalisten schreiben ihre Artikel im Redaktionssystem und können sie publizieren. Die Laptops funktionieren normal. Auch bei den E-Mails und mit der Website nzz.ch gibt es keine Probleme. Zwar erzählt man sich auf den Gängen von einem Cyberangriff, aber zu spüren ist davon nichts.
Ganz anders ist die Situation auf der anderen Seite der Falkenstrasse: In den Räumen der IT-Abteilung herrscht der Ausnahmezustand. Seit 8 Uhr morgens hat sich der Krisenstab im sogenannten «War Room» eingefunden: Ein ganzer Stock ist freigeräumt für den CEO, den Rechtsdienst, die Kommunikationsabteilung und die IT-Mitarbeiter.
Bei der Kaffeemaschine stehen Cola- und Rivella-Flaschen, daneben liegen Gipfeli. Die Stimmung ist angespannt, aber konzentriert. Allen ist klar, dass es ums Ganze geht. Höchste Priorität hat es, ein weiteres Ausbreiten der Schadsoftware zu verhindern – und die Produktion der gedruckten Zeitung sicherzustellen.
Was den Anwesenden nicht klar ist: wie lange der Cyberangriff sie noch auf Trab halten wird.
Am Freitagmittag vermelden die ersten Medien den Angriff. Betroffen ist nicht nur die NZZ, sondern auch das Verlagshaus CH Media, an welchem die NZZ beteiligt ist. CH Media bezieht den Grossteil der IT-Dienstleistungen von der NZZ.
Zu CH Media gehören die «Luzerner Zeitung», die «Aargauer Zeitung» und das «St. Galler Tagblatt» sowie mehrere Radio- und Fernsehstationen. Dort sind die Auswirkungen des Angriffs sofort spürbar. Beim Ostschweizer Radiosender FM1 hat die Redaktion zum Beispiel keinen Zugriff mehr auf die Musikdatenbank.
Freitagnachmittag, 24. März: Der Krisenstab stochert im Nebel
In den ersten Stunden muss sich der Krisenstab einen Überblick verschaffen: Welche Systeme sind betroffen? Haben die Kriminellen Daten gestohlen? Kann die gedruckte Ausgabe der NZZ morgen erscheinen?
Klar ist: Die Angreifer haben in der Nacht auf den 24. März zahlreiche IT-Systeme verschlüsselt und unbrauchbar gemacht. Eingeschränkt ist bei der NZZ etwa die automatische Produktion der gedruckten Zeitung. Besonders schmerzhaft: Die sogenannten «Domain Controller» des NZZ-Netzwerks sind ebenfalls verschlüsselt. Sie sind das Herzstück eines IT-Netzwerks. Alle Rechner der Firma melden sich dort an. Die Benutzer des IT-Netzwerks werden dort verwaltet. Ohne «Domain Controller» läuft nichts.
Was hinzukommt: Keiner weiss am Freitagnachmittag, ob der Angriff bereits vorüber ist. Haben sich die Kriminellen im Netzwerk eingenistet und warten nur darauf, in der Nacht erneut zuzuschlagen? Es braucht zusätzliche Sicherheitsmassnahmen für den Fall, dass die Angreifer zurückkommen.
Völlig unvorbereitet ist der Krisenstab nicht. Die NZZ hat in den Monaten vor dem Angriff ein sogenanntes Playbook erstellt: ein rund 30-seitiges Handbuch, in dem die Abläufe, die Zuständigkeiten und die Kontaktinformationen für den Krisenfall festgehalten sind. Das Kapitel zum Cybervorfall wurde zuletzt am 9. März aktualisiert, zwei Wochen vor dem Ransomware-Angriff. Eigentlich war für den Frühsommer eine Übung geplant. Jetzt kam der Ernstfall früher.
Das Dokument hilft dennoch: Die Krisenorganisation ist klar. Zur Unterstützung bietet die NZZ die externe IT-Sicherheitsfirma Oneconsult auf. Die NZZ hat mit der Firma einen Servicevertrag für einen solchen Notfall abgeschlossen. Das zahlt sich jetzt aus. Die Kantonspolizei Zürich und das Nationale Zentrum für Cybersicherheit werden informiert und schicken Leute vor Ort.
Die IT-Experten haben schon bald jene Server im Internet identifiziert, über welche die Kriminellen ihren Angriff steuern. Sie stehen in Litauen und in Russland. Diese Informationen sind wichtig für die Ermittlungen der Polizei. Sie sagen jedoch nichts darüber aus, woher die Angreifer tatsächlich stammen.
Von der Erpresserbande ist nur der Name bekannt: Play. Auf den infizierten Servern hat sie eine Textdatei mit einer knappen Nachricht hinterlassen. Sie enthält den Namen der Gruppe und zwei Kontaktmöglichkeiten, eine E-Mail-Adresse und einen Link ins Darknet, jenen anonymisierten Teil des Internets, den Cyberkriminelle gerne nutzen.
Aufgetaucht ist die Ransomware-Gruppe Play im Sommer 2022. Zu den ersten prominenten Opfern gehörten die Justizbehörde von Córdoba in Argentinien, die deutsche Hotelkette H Hotels und die österreichische Nachrichtenagentur APA. Anfang 2023 hat sich Play bereits als eine der aktivsten Ransomware-Gruppen weltweit etabliert.
Ransomware-Banden gehen fast immer gleich vor: Die Kriminellen dringen in die IT-Systeme des Opfers ein. Von dort laden sie vertrauliche Daten herunter, bevor sie die Server verschlüsseln – und damit unbrauchbar machen. Für die Entschlüsselung fordern die Angreifer ein Lösegeld, auf Englisch «ransom». Zusätzlich drohen die Erpresser damit, die internen Informationen des Opfers im Internet zu veröffentlichen.
Hinter den Angriffen stecken professionell organisierte Banden. Sie erbeuten mit ihren Angriffen mehrere hundert Millionen Franken im Jahr. Woher die Mitglieder von Play stammen, ist nicht klar. Es gibt jedoch Verbindungen zum russischen Ökosystem von Cyberkriminellen. Deswegen müssen die Personen, die hinter dem Angriff auf die NZZ stecken, aber nicht unbedingt aus Russland kommen.
Freitagabend, 24. März: Die NZZ will nicht bezahlen
Der Krisenstab der NZZ will auf die Lösegeldforderung der Kriminellen nicht eingehen. Die Nachricht im Darknet, die sogenannte «Ransom Note», bleibt unberührt. Dort würde die geforderte Summe stehen. Doch die Befürchtung ist, dass beim Aufrufen des Links ein Countdown ausgelöst wird.
Für den CEO der NZZ, Felix Graf, ist klar: Die NZZ bezahlt falls irgendwie möglich kein Lösegeld. Aber in diesen ersten Stunden des Angriffs ist noch alles offen. Der Cyberangriff könnte zu einer existenziellen Bedrohung für das Unternehmen werden. Entsprechend ist vorgesorgt: Ein Händler steht bereit, um nötigenfalls rasch das Lösegeld in einer Kryptowährung überweisen zu können.
Einen Datenverlust verursacht die Verschlüsselung der Server nicht. Die NZZ hat Sicherheitskopien. Die Verantwortlichen sind sogar optimistisch, was den Datendiebstahl betrifft. Sie gehen davon aus, dass die Angreifer keine grossen Datenmengen entwendet haben. Die Log-Dateien deuten auf einen Datenabfluss von rund 5 Gigabyte hin. Die Mitarbeiterdaten sollen zudem nur in verschlüsselter Form gespeichert und für die Erpresser deshalb wertlos sein.
Diese Beurteilung hält sich über Wochen. Sie wird sich als Fehleinschätzung mit Folgen herausstellen.
Freitagnacht, 24. März: Die Angreifer kommen zurück
Es ist etwa 21 Uhr, als die Kriminellen wieder aktiv werden. Die Zeitungsproduktion bei NZZ und CH Media ist noch in vollem Gange. Den Angreifern gelingt es, weitere Server zu verschlüsseln. Erst gegen Mitternacht kappen die Verantwortlichen die Verbindung ins Internet. Die Angreifer sind damit ausgeschlossen.
Die NZZ hat seit Anfang 2022 einen Vertrag mit einem SOC-Dienstleister. Die Abkürzung SOC steht für «Security Operations Center»: eine rund um die Uhr besetzte Zentrale, welche im Ernstfall rasch reagieren und Alarm schlagen kann.
Im Fall der NZZ hat dies allerdings nicht wunschgemäss funktioniert. Bereits in der Nacht auf Donnerstag bemerkten die Sicherheitssysteme verdächtige Aktivitäten im IT-Netzwerk. Daraufhin sperrten die Mitarbeiter des externen SOC einige betroffene Accounts, jedoch vermutlich nicht alle. Die zuständigen Personen bei der NZZ wurden zwar informiert, aber niemand löste einen Alarm aus. Möglicherweise hätte ein rascheres und beherzteres Eingreifen Schlimmeres verhindern können.
Nach dem erneuten Angriff in der Nacht auf Samstag fassen die Verantwortlichen einen Plan: Jeden Abend um 21 Uhr wird die Verbindung von NZZ und CH Media ins Internet getrennt. Die Angreifer, die meist nachts aktiv sind, können dann nichts mehr ausrichten.
Für den Betrieb der Redaktion bedeutet das: Die Produktion der gedruckten Zeitung wird vorgezogen und muss bis 21 Uhr abgeschlossen sein. Der Nachtdienst in Übersee hat keinen Zugriff auf Agenturmeldungen oder Bilder. Diese Einschränkungen sind für die Betroffenen mühsam. Aber sie bewähren sich. In den kommenden Tagen und Nächten sind keine Aktivitäten der Kriminellen mehr zu beobachten.
Sonntag, 26. März: Die grosse Geduld der Angreifer
Die externen Sicherheitsexperten arbeiten mit Hochdruck daran, das Einfallstor der Kriminellen zu finden. Diese Information ist wichtig, um eine allfällige Lücke im IT-System schliessen zu können.
Am Sonntagnachmittag findet ein Mitarbeiter der Firma Oneconsult den entscheidenden Eintrag in der Protokolldatei eines Servers. Die Entdeckung offenbart das Vorgehen der Angreifer – und ihre Geduld.
In den frühen Morgenstunden des 4. März, um 4.04 Uhr, melden sich die Kriminellen erstmals im Netzwerk an – also fast drei Wochen vor der Entdeckung. Sie richten auf dem Server eine Hintertüre ein. Nach einer halben Stunde sind sie wieder weg.
Dass sich die Angreifer am Server anmelden können, liegt an mangelhaften Sicherheitsvorkehrungen. Das Log-in, das die Kriminellen verwenden, gehört dem Mitarbeiter eines externen Softwarelieferanten. Dessen Zugang ist nicht durch einen zweiten Faktor geschützt, also zum Beispiel durch einen SMS-Code, der zusätzlich zum Passwort eingegeben werden muss. Auf dem Server war zudem eine ungenügende Sicherheitssoftware installiert, die keinen Alarm auslöste. Sie hätte bald ersetzt werden sollen.
Wie die Kriminellen ursprünglich an Benutzername und Passwort des externen Mitarbeiters gelangen konnten, ist unklar. Möglicherweise ist dieser auf einen sogenannten Phishing-Angriff hereingefallen und hat seine Kombination von E-Mail-Adresse und Passwort auf einer gefälschten Seite eingegeben.
Zusätzlich bitter ist: Der Vertrag mit dem IT-Lieferanten war bereits gekündigt. Der Zugang wurde nicht mehr benötigt, und der Account hätte gelöscht werden sollen. Doch diese Meldung ging intern irgendwo verloren.
Der eigentliche Ransomware-Angriff startet drei Wochen nach dem ersten Eindringen: am Donnerstag, dem 23. März, um 0.16 Uhr. Die Kriminellen beginnen, vom Lieferantenaccount des Servers aus das IT-Netzwerk zu erkunden.
Warum es diese mehrwöchige Pause gab, ist nicht klar. Die Kriminellen waren möglicherweise mit anderen Angriffen beschäftigt oder mussten sich vorbereiten. Die Hintertüre von Anfang März kann auch von einem sogenannten «Initial Access Broker» eingerichtet worden sein. Das sind professionelle Händler von Hintertüren: Sie suchen nach schlecht gesicherten Systemen, richten dort einen versteckten Zugang ein und verkaufen diesen dann an andere Kriminelle weiter – zum Beispiel an Ransomware-Gruppen wie Play.
Bei ihrem Angriff an diesem frühen Donnerstagmorgen finden die Kriminellen von Play im Arbeitsspeicher eines Servers das Passwort eines Administrators. Dieser hatte sich nicht abgemeldet. Mit diesen Zugangsdaten gelingt es den Angreifern eine gute Stunde später, sich am zentralen «Domain Controller» anzumelden, dem Herz des IT-Netzwerks. Von dort aus können sich die Angreifer im gesamten Netzwerk ausbreiten.
In der zweiten Nacht, am Freitag, dem 24. März, kurz nach Mitternacht, machen sich die Angreifer daran, auf mehreren Systemen die Sicherheitssoftware zu deaktivieren. Das gibt ihnen freie Bahn, um ausgehend vom «Domain Controller» über 200 IT-Systeme im Netz von NZZ und CH Media zu verschlüsseln.
Um ihre Spuren zu verwischen, löschen die Angreifer zuvor auf mehreren Servern die Log-Dateien. Der genaue Weg der Kriminellen durch das IT-Netzwerk lässt sich deshalb nicht mehr rekonstruieren.
Sonntagabend, 26. März: Die IT-Mitarbeiter im Dauereinsatz
Am Sonntagnachmittag hat sich die Krisenbewältigung eingespielt. Jeder weiss, was er zu tun hat. Der Notbetrieb läuft stabil. Und allen ist klar, dass der Angriff sie noch lange beschäftigen wird.
Neben der Kaffeemaschine liegen Süssigkeiten. Zucker und Adrenalin sind der Treibstoff, welcher die IT-Mitarbeiter seit Freitagmorgen auf Trab hält. Sie sind praktisch ununterbrochen im Einsatz und gehen nur für einige Stunden zum Schlafen nach Hause.
Die Leidtragenden sind ihre Angehörigen. Ein IT-Mitarbeiter hat eine gut dreimonatige Tochter zu Hause. Er hat sie seit vier Tagen nicht mehr gesehen, wie er sagt. «Gestern Abend habe ich um 22 Uhr zu Hause nur noch kalte Fischstäbchen gegessen.»
Teil 2: Der Wiederaufbau – «Wir sitzen auf einem Vulkan, der jederzeit ausbrechen kann»
Dienstag, 28. März: Die Systeme drohen auszufallen
Der Ransomware-Angriff hinterlässt in der IT-Landschaft ein Bild der Verwüstung. Bernd Hornig ist für die IT-Infrastruktur verantwortlich und ein Mann der klaren Worte. Er vergleicht den Zustand der IT-Systeme mit einem zerbombten Hochhaus.
«Einzelne Etagen sind komplett zerstört und einige Treppen eingestürzt. Der Lift ist ausgefallen, und an mehreren Stellen ist Feuer ausgebrochen», sagt Hornig. Er schätzt, dass am Freitagmorgen nach dem Angriff noch etwa 50 bis 60 Prozent der IT-Systeme funktionstüchtig waren. Der Rest ist ausgefallen.
Diese Ruine ist die rote Zone. Der Betrieb der NZZ läuft zum grössten Teil noch immer dort, insbesondere die Produktion der gedruckten Zeitung. Einige Anwendungen sind behelfsmässig geflickt. Andere funktionieren gar nicht. So können die Mitarbeiter zum Beispiel die Sitzungszimmer nicht online reservieren und nicht drucken.
Eigentlich möchte Hornig in der roten Zone möglichst wenig reparieren. Jede Arbeitsstunde, die seine Mitarbeiter in die rote Zone investieren, fehlt beim Aufbau der grünen Zone. Und auf dieser liegt der Fokus.
In der grünen Zone bauen die IT-Mitarbeiter die Systeme von Grund auf neu auf. Daten, die von der roten Zone übernommen werden, durchlaufen zuerst eine Prüfung. Dieses Vorgehen soll sicherstellen, dass die Kriminellen keine Hintertüre hinterlassen haben und so später zurückkommen können.
Die Zeit für den Aufbau drängt. Weil sich die alten Systeme aus Sicherheitsgründen nicht mehr synchronisieren, kommt es irgendwann zu Funktionseinschränkungen, wie Hornig sagt. Das Hochhaus, um bei seinem Bild zu bleiben, droht einzustürzen. «Die Uhr tickt.»
Deshalb arbeitet die IT-Abteilung noch immer im Krisenmodus. «Was wir jetzt machen, ist normalerweise ein Projekt von anderthalb Jahren», sagt Hornig. Und obwohl die Zeit drängt, muss er Pausen für seine Leute organisieren. «Einige der Mitarbeiter sind seit Tagen ununterbrochen am Arbeiten», sagt Hornig. Dass es jetzt nur noch zehn Arbeitsstunden am Tag sind, ist bereits ein Fortschritt. Einige kommen an den Anschlag.
Mittwochabend, 29. März: Der eingeschränkte Betrieb
Es folgt eine Zeit des Improvisierens. Jeden Abend um 18 Uhr treffen sich die Bereichsleiter der NZZ zum Video-Call. Sie tauschen sich über die zahlreichen Hindernisse und Stolpersteine aus, mit denen sie jeden Tag konfrontiert sind.
Die Buchhaltung kann zum Beispiel keine Rechnungen direkt aus dem Buchhaltungssystem heraus bezahlen. Einige Zahlungen muss sie direkt über das Online-Banking verbuchen. Für die Übertragung von Arbeitszeiten und Spesen ins zentrale SAP-System fehlt die Schnittstelle. Auf den Redaktionen ist für die Printausgabe weiterhin Handarbeit gefragt. Die Produzenten müssen die Texte aus dem Online-System, das problemlos läuft, ins Layout der Zeitung kopieren.
Die grösste Einschränkung gibt es bei den Zeitungen von CH Media. Statt wie üblich sechzehn Regionalausgaben erscheinen nur die drei Ausgaben von «Luzerner Zeitung», «Aargauer Zeitung» und «St. Galler Tagblatt». Grund dafür ist der Ausfall der automatischen Seitenplanung, welche für die aufwendige Platzierung der Inserate nötig ist. Das entsprechende IT-System wurde beim Angriff lahmgelegt.
Immerhin weicht langsam die Unsicherheit, ob die Angreifer noch einmal zurückkommen. Seit dem Wochenende gibt es in der roten Zone zwar noch einige Fehlalarme. Aber ein Lebenszeichen der Angreifer registrieren die Systeme nicht.
Karfreitag, 7. April: Der grosse Wechsel gelingt
Die heikle Umstellung auf die grüne Zone, der «Switch», findet am Osterwochenende statt, zwei Wochen nach dem Angriff. Das Osterdatum ist ein Glücksfall: Die Feiertage geben den Beteiligten mehr Zeit für die kritische Operation. Es fällt keine Ausgabe der Zeitung aus, und die IT-Mitarbeiter müssen keine Nachtschicht einlegen.
Die Verantwortlichen haben von Gründonnerstag um 23 Uhr bis am frühen Nachmittag des Ostermontags Zeit, bis die Produktion der Dienstagsausgabe anläuft. Einzige Einschränkung für die Leserschaft: Die Samstagsausgabe der NZZ und die Osterausgabe der «NZZ am Sonntag» werden bereits am Donnerstag vorproduziert. Aktualität gibt es nur online.
Der definitive Entscheid zum Sprung fällt am Freitagmorgen im kleinen Kreis mit dem CEO Graf. «Wir haben uns tief in die Augen geschaut und gesagt: Lasst es uns wagen!», so schildert es ein Beteiligter.
Der Wechsel muss gelingen. Ein Zurück gibt es nicht. Ist das zentrale Verzeichnis des IT-Netzwerks, die «Active Directory», erst einmal mit der grünen Zone verbunden, muss die rote Zone aufgegeben werden. Insgesamt stehen rund 35 Personen im Einsatz, interne IT-Mitarbeiter und externe Spezialisten.
Um etwa 11 Uhr am Karfreitag kommt der heikle Moment: Der «Domain Controller» der NZZ wechselt in die grüne Zone. Alles geht gut. Komplikationen gibt es keine. Dann erfolgt der Aufbau des restlichen IT-Netzwerks. Am Samstag folgt das gleiche Vorgehen für das Netzwerk von CH Media. Und der Ostersonntag ist für Tests reserviert.
Der Wechsel gelingt. Am Ostermontag kann die Redaktion die Zeitungsproduktion wie geplant aufnehmen. Und Bernd Hornig ändert den Namen des Kanals auf der internen Chat-Plattform von «Cyber Restore Weekend» auf «Cyber Restore Marathon». Die Arbeit der IT ist noch lange nicht zu Ende.
Teil 3: Das Datenleck – «Wir müssen vom Schlimmsten ausgehen»
Mittwoch, 12. April: Die Erpresser erhöhen den Druck
Nach der erfolgreichen Umstellung der IT-Systeme stellt sich eine gewisse Erleichterung ein. Der CEO Graf zeigt sich am Dienstag nach Ostern insgesamt zufrieden mit der Bewältigung des Cyberangriffs. Doch die Zeit des Verschnaufens ist kurz. Bereits am Mittwoch geht die Erpressung weiter.
Am 12. April schaltet die kriminelle Gruppe Play auf ihrer Leak-Site im Darknet eine Ankündigung auf. Man werde interne Unternehmensdaten, die beim Angriff gestohlen wurden, veröffentlichen: vertrauliche Personendaten, Informationen über Projekte und Löhne. Publikationsdatum: 2023-04-24. Die Uhr tickt.
Ransomware-Angriffe haben meist zwei Stufen. Im ersten Teil der Erpressung steht das Opfer unter Druck, weil seine IT-Systeme stillstehen und die Daten verschlüsselt sind. Das kann Produktionsausfälle oder einen Datenverlust bedeuten.
Im zweiten Teil drohen die Angreifer damit, alle internen Daten zu publizieren, die sie beim Angriff entwendet haben. Die Veröffentlichung von vertraulichen Informationen bedeutet einen Reputationsschaden und kann die Kunden, die Mitarbeiter und das Geschäft schädigen. Der Druck auf das Opfer steigt.
Die Öffentlichkeit ist Teil der Erpressung. Das Vorgehen der Kriminellen funktioniert nur, wenn der Angriff und der Datendiebstahl publik werden. Das Opfer muss am Pranger stehen. Deswegen haben die Erpresserbanden im Darknet ihre eigenen Websites eingerichtet, sogenannte Leak-Sites. Dort veröffentlichen sie die Namen der Opfer und deren Daten.
Im Fall der NZZ wird die Ankündigung der Kriminellen am Montag, dem 17. April, publik. Der «Blick» vermeldet, dass die kriminelle Gruppe Play mit der Veröffentlichung der Daten drohe. Zahlreiche Medien nehmen die Nachricht auf.
Die Verantwortlichen der NZZ sind zu diesem Zeitpunkt weiterhin optimistisch. Die Unternehmenskommunikation spricht noch immer von «geringen Datenmengen», die abgeflossen seien. Ein Trugschluss, wie sich später herausstellen wird.
Dienstagnachmittag, 18. April: Das Video als Beweis
Nun kommt es zu Verhandlungen. Bisher hatte die Geschäftsleitung die Lösegeldforderung der Erpresser ignoriert. Niemand hatte die sogenannte «Ransom Note», das Erpresserschreiben im Darknet, aufgerufen.
Nach der Drohung nimmt die Kantonspolizei Zürich Kontakt zu den Kriminellen auf. Sie übernimmt die Verhandlungsführung. Dabei geht es nicht darum, das geforderte Lösegeld herunterzuhandeln. Diese Aufgabe übernimmt die Kantonspolizei nicht. Zudem ist die Geschäftsleitung noch immer der Meinung, dass die NZZ kein Lösegeld bezahlen soll.
Das Ziel der Polizei ist es, aus den Verhandlungen Hinweise für die Ermittlungen zu erhalten. Sie will die Kriminellen möglichst lange hinhalten und dazu verleiten, Spuren zu hinterlassen. Das können zum Beispiel IP-Adressen oder Krypto-Wallets sein.
In die Verhandlungen ist die NZZ nicht involviert. Sie bekommt den Verlauf des Chats mit den Kriminellen nicht zu sehen. Der Krisenstab erhält nur zusammenfassende Infos. Zum Beispiel, wenn die Kriminellen einen Aufschub gewähren und den Publikationstermin verschieben. Das geschieht mehrmals.
Die Polizei verlangt von den Erpressern den Beweis, dass sie tatsächlich im Besitz vertraulicher Daten sind. Am Nachmittag des 18. April erhält der CEO Graf deswegen einen Anruf. Die Kriminellen haben ein Video übermittelt. Es macht die letzte Hoffnung auf ein glimpfliches Ende zunichte.
Die Aufnahme zeigt vier Minuten lang, welche Daten die Erpresser nach eigenen Angaben entwendet haben. Zu sehen sind Ordner und Dateien der NZZ. Die Kriminellen öffnen einzelne Dateien, um zu beweisen, dass diese nicht verschlüsselt sind. Die Erpresser bluffen nicht. Sie sind tatsächlich im Besitz sensibler Daten. 800 Gigabyte sollen es sein – ein Vielfaches der bisher angenommenen Datenmenge.
Montagmorgen, 24. April, 9.30 Uhr: Keine Antworten
Die Einladung zur Mitarbeiterinformation kommt kurzfristig. Ursprünglich hatten die Erpresser angekündigt, an diesem Montag erstmals Daten zu veröffentlichen. Die Geschäftsleitung will deshalb die drängendsten Fragen beantworten. Doch die Verhandler haben einen Aufschub erwirkt. Die Veranstaltung findet trotzdem statt. Sie markiert einen Wendepunkt.
Bisher konnten die Verantwortlichen handeln. Sie konnten die Angreifer im Netzwerk bekämpfen und die neue IT-Umgebung aufbauen. Die Spekulationen in den Medien hielten sich in Grenzen. Die Verantwortlichen waren überzeugt, dass nur eine geringe Menge von Daten abgeflossen sei.
Am 24. April ändert sich das. Nun muss sich die Geschäftsleitung rechtfertigen, vor allem gegen innen. Denn ab sofort sind alle Mitarbeiter direkt betroffen.
Als Felix Graf an diesem Montag vor die Kamera tritt, gibt er ein zerknirschtes Bild ab. Die Hoffnung, mit einem blauen Auge davongekommen zu sein, ist verflogen. Im Video-Stream gesteht er ein: «Wir müssen vom Schlimmsten ausgehen.» In den nächsten Tagen könnten persönliche Daten, Personaldaten und Finanzdaten im Darknet auftauchen.
Wie schwierig das Informieren der Belegschaft ist, wird in der Fragerunde klar. Die Verantwortlichen haben auf die meisten Fragen der verunsicherten Mitarbeiter keine Antwort. Noch immer wissen sie nicht, welche Daten tatsächlich abgeflossen sind. Erklären, wie es dazu kommen konnte, ist schwierig. Garantieren, dass es nicht wieder vorkommt, kann niemand.
Graf tut, was er in dieser Situation tun kann: Er bedauert die Vorkommnisse und entschuldigt sich dafür, dass persönliche Daten abgeflossen sind.
Mittwoch, 3. Mai: Erste Tranche der Daten ist online
Das Medienecho ist gross, als die Erpresser am 3. Mai einen Teil der Daten publizieren. Der «Tages-Anzeiger» etwa titelt «Internetpiraten veröffentlichen Lohnlisten und Erfolgsrechnungen» und schreibt von sensiblen Daten. Doch eigentlich ist der erste Teil der Daten weniger brisant als befürchtet. Es handelt sich um Dokumente der Zustellorganisation von CH Media.
Dennoch geht CH Media juristisch gegen einzelne Medien vor, die über die Daten berichten. Eine superprovisorische Verfügung zwingt «Inside IT», die «Wochenzeitung» und «Zentralplus», Passagen aus ihren Artikeln zu löschen, in denen es sehr oberflächlich um die publizierten Dokumente geht. Doch die Löschung ist nur vorübergehend. Vor Gericht zieht CH Media das entsprechende Begehren – weil wenig aussichtsreich – zurück und willigt in einen Vergleich ein. Vermutlich ging es aber sowieso darum, ein Signal an die Öffentlichkeit zu senden.
Mit der Publikation der Daten steht die grosse Frage im Raum: War das schon alles? Ransomware-Gruppen veröffentlichen die Daten ihrer Opfer häufig in Tranchen. Sie wollen so Druck aufbauen, damit die Geschädigten vielleicht doch noch bezahlen. Auch im Fall der NZZ drohen die Erpresser damit, alle paar Tage kleinere Datenpakete zu veröffentlichen. Doch nichts geschieht.
Die Verhandlungen der Polizei scheinen im Sand zu verlaufen. Ganz leise keimt die Hoffnung auf: Vielleicht haben die Erpresser ihr Interesse verloren, weil kein Geld zu holen ist. Vielleicht haben sie sich einfach dem nächsten Opfer zugewandt.
Doch die kriminelle Logik funktioniert anders: Wer nicht bezahlt, soll den Schmerz spüren. Das Opfer soll leiden.
Donnerstag, 11. Mai: Alles steht jetzt im Darknet
Der Rest der Daten kommt auf einen Schlag. Am 11. Mai stehen auf der Leak-Site von Play 752 Archivdateien. Insgesamt sind es rund 500 Gigabyte an Daten. Tausende von Dokumenten aus dem Innern der NZZ mit privaten Informationen und vertraulichen Details. Die Firma und ihre Mitarbeiter stehen entblösst da.
Mit der Veröffentlichung der Daten wird der Ransomware-Angriff für die Geschäftsleitung definitiv zu einer kommunikativen und juristischen Angelegenheit. Die technische Bewältigung des Vorfalls ist in den Hintergrund getreten. Stattdessen geht es jetzt um die Abwicklung des Datenlecks in seiner schieren Grösse. Und die ist aufwendig.
Was die Kriminellen genau publiziert haben, wissen die Verantwortlichen noch gar nicht, als sie am Montag nach der Publikation die Mitarbeiter informieren. Die Datenmenge ist so gross und die Verbindung ins Darknet so langsam, dass es Zeit braucht, die Dokumente erst herunterzuladen und sie dann zu erfassen. Die Verantwortlichen rechnen allein dafür mit einer Woche.
Die Geschäftsleitung ist nun zunehmend mit Kritik aus der Belegschaft konfrontiert. Dass nicht alle Mitarbeiter individuell darüber informiert werden, welche Daten von ihnen im Darknet stehen, stösst weitherum auf Unverständnis. Wer annehmen muss, dass weitere heikle Daten – zum Beispiel persönliche medizinische Informationen – bei den Angreifern gelandet sind, kann sich an die Anlaufstelle eines Anwaltsbüros wenden. Aus Kapazitätsgründen, sagt Graf. Eine pauschale finanzielle Entschädigung der Mitarbeiter für den Datenverlust lehnt er ab.
Mit der Publikation der Daten geben die Kriminellen ihr letztes Druckmittel aus der Hand. Für sie ist der Angriff abgeschlossen. Beim Opfer gibt es jetzt nichts mehr zu holen. Sie ziehen weiter zur nächsten Firma.
Ganz anders für die Betroffenen: Die privaten Informationen aus ihrem Leben stehen nun öffentlich im Darknet. Jeder kann sie einsehen. Und Cyberkriminelle können diese Informationen verwenden, um zum Beispiel gezielte Phishing-Angriffe durchzuführen.
Der Cyberangriff auf die NZZ, der im März vor einem Jahr begann, hat kein Ende. Technisch sind die Systeme der NZZ wiederhergestellt. Die Entschädigung mit der Versicherung ist geregelt. Die Blösse aber, entstanden durch die Datenpublikation, die bleibt. Das lässt sich nicht ungeschehen machen. Die Opfer müssen damit leben.