Cyberangriff auf Rheinische Post

Am Abend des 16. Juni 2023 traf ein schwerwiegender Cyberangriff die Mediengruppe Rheinische Post. Betroffen waren die Rheinische Post, der General-Anzeiger Bonn, die Aachener Nachrichten, die Saarbrücker Zeitung und der Trierische Volksfreund — sowohl die Online- als auch die Printausgaben. Die Verlage mussten fast eine Woche lang im eingeschränkten Notbetrieb arbeiten und nur reduzierte Ausgaben veröffentlichen.

Ablauf und Auswirkungen

Nach Bekanntwerden des Angriffs schaltete die Mediengruppe betroffene Systeme ab, um eine weitere Ausbreitung von Schadsoftware zu verhindern. Die Wiederherstellung erfolgte schrittweise — Server für Server, System für System. Während des Notbetriebs erschienen die Zeitungen in stark reduziertem Umfang. Online-Portale waren teilweise nicht erreichbar.

Die Mediengruppe erklärte zunächst, Nutzer- und Kundendaten seien „sicher”. Diese Einschätzung erwies sich als verfrüht: Wie am 30. August 2023 bekannt wurde, ergab die Überprüfung von rund 1.200 betroffenen Servern, dass doch Daten abgeflossen waren. Ob Nutzerdaten betroffen waren, ließ sich nicht mit Sicherheit ausschließen.

Nachträgliche Entdeckung: Datenabfluss nicht auszuschließen

Das Unternehmen informierte die Nutzer per Brief über die Entdeckung und empfahl, auf verdächtige Transaktionen auf Bankkonten zu achten und bei eingehenden E-Mails besonders wachsam zu sein — ein Hinweis auf die Möglichkeit gezielter Phishing-Angriffe mit den erbeuteten Daten.

Der zeitliche Ablauf verdient besondere Beachtung: Zwischen dem Angriff im Juni und der Information der Nutzer über den möglichen Datenabfluss vergingen über zwei Monate. In dieser Zeit hätten Angreifer gestohlene Daten bereits für weitere Attacken nutzen können.

Medienhäuser als Ziel: Warum die Branche besonders exponiert ist

Medienhäuser sind aus mehreren Gründen attraktive Ziele für Cyberangreifer:

• Zeitdruck als Hebel: Tageszeitungen müssen täglich erscheinen. Jeder Tag Ausfall kostet nicht nur Umsatz, sondern Leser und Abonnenten. Das erhöht die Bereitschaft, Lösegeld zu zahlen
• Große Nutzerdatenbanken: Abonnenten-Daten, E-Mail-Adressen, Zahlungsinformationen — alles in zentralen Systemen
• Komplexe IT-Landschaften: Content-Management-Systeme, Redaktionssysteme, Druckvorstufe, Verlagssoftware — viele Systeme, oft historisch gewachsen und nicht immer aktuell gepatcht
• Öffentlichkeitswirkung: Ein Angriff auf eine große Tageszeitung generiert Aufmerksamkeit — für manche Angreifer ein Ziel an sich

Lehren aus dem Vorfall

• Transparente Kommunikation von Anfang an: Die voreilige Entwarnung bezüglich der Nutzerdaten erwies sich als falsch. Besser: Offene Kommunikation über das, was bekannt ist — und was nicht
• Forensik braucht Zeit — Nutzer brauchen schnelle Information: Dass die vollständige forensische Analyse von 1.200 Servern Monate dauert, ist nachvollziehbar. Nutzer sollten dennoch frühzeitig über mögliche Risiken informiert werden — auch wenn der Umfang noch unklar ist
• Incident-Response-Plan muss Kommunikation umfassen: Nicht nur die technische Bewältigung, sondern auch die Kommunikation mit Nutzern, Datenschutzbehörden und Öffentlichkeit muss vorab geplant sein
• Netzwerksegmentierung: Wenn ein Angriff 1.200 Server erreicht, ist die Segmentierung unzureichend. Redaktionssysteme, Nutzerdatenbanken und Produktionssysteme müssen in getrennten Segmenten laufen