Das Medienunternehmen Tamedia, zu dem das News-Portal «20minuten» gehört, hat Entwarnung gegeben: «Wir haben die Malware in unserem System gefunden und gelöscht», sagte Konzern-Sprecher Christoph Zimmer. «Damit ist sichergestellt, dass von unseren News-Servern keine Gefahr ausgeht.»
Zuvor war die Website von «20 Minuten» mit einem Trojaner infiziert worden. Weil sich Besucher respektive deren Computer schädliche Software haben einhandeln können, haben die Bundesverwaltung und verschiedene Unternehmen den Zugriff auf die Website gesperrt.
Beim Schadprogramm handelt es sich um den E-Banking-Trojaner «Gozi», wie Pascal Lamia, Chef von Melani – der Melde- und Analysestelle Informationssicherung des Bundes – mitgeteilt hat. Dieser Trojaner versucht, auf Bankkonten der Nutzer zuzugreifen.
Bereits finanzielle Schäden entstanden
Melani wurde am Mittwochnachmittag auf das Problem aufmerksam, nachdem in der Bundesverwaltung verschiedene versuchte Infektionen festgestellt worden waren.
«Gozi» sei schon länger aktiv, und es habe auch bereits finanzielle Schäden gegeben, sagte Lamia. Bei dem jüngsten Angriff auf «20 Minuten» seien noch keine Unregelmässigkeiten auf Bankkonten festgestellt worden. Es könne jedoch zwei bis drei Monate dauern, bis «Gozi» versucht, Geld abzuheben.
Eine Infektion ist schwierig festzustellen
Wer die Website von «20 Minuten» besucht hat, kann sich infiziert haben, muss aber nicht, wie Lamia sagte. Es sei extrem schwierig festzustellen, ob der eigene Computer vom Trojaner befallen ist. Verdächtig seien beispielsweise eine sehr langsame Verbindung, ein blauer Bildschirm oder eine wiederholte Aufforderung, das Passwort einzugeben.
Lamia rät, sich bei verdächtigen Vorkommnissen sofort mit der Hotline seiner Bank in Verbindung zu setzen.
Tamedia sei regelmässig Ziel von solchen Angriffen
Das Medienunternehmen Tamedia war heute Donnerstag von Melani über den Angriff informiert worden, wie Tamedia-Sprecher Christoph Zimmer gegenüber der Nachrichtenagentur sda sagte.
Als Betreiber der grössten Newssites der Schweiz seien sie leider regelmässig Ziel von Angriffen. Alle paar Monate gelinge es einem Angreifer, die Sicherheitssysteme zu durchbrechen.
Vom Angriff betroffen waren laut Zimmer ausschliesslich Zugriffe über Desktop-Computer. Bei Zugriffen über Mobile-Apps, die rund 80 Prozent ausmachten, hätte kein Risiko bestanden. Es gäbe auch keinerlei Hinweise, dass die Websites vom «Tages-Anzeiger» oder anderen Newsnet-Angeboten betroffen waren.
Der Bundesverwaltung folgten weitere Unternehmen
Die Bundesverwaltung hatte den Zugriff für sich vorübergehend gesperrt und – wie das Bundesamt für Informatik und Telekommunikation BIT gegenüber SRF News angab – mit ihren Abwehrsystemen wiederholte Angriffe abwehren können.
Die Sperrung wollte die Bundesverwaltung so lange aufrecht erhalten, bis «20 Minuten eine nachhaltige Behebung des Problems bestätigen» würde.
«20 Minuten» als 'Übermittler' missbraucht
Nachdem die Bundesverwaltung zu ihrem Schutz Massnahmen ergriffen hatte, folgten weitere Konzerne. Darunter die SRG, die Swisscom und die Nachrichtenagentur sda.
Laut Andreas Schneider, SRG-Verantwortlicher für Informationssicherheit, sei «20 Minuten» selbst nicht das Hauptziel der Attacke gewesen, sondern lediglich als «Übermittler» missbraucht worden.
«Hat es die Malware geschafft, sich auf einem Computer einzunisten, erfüllt sie ihren Auftrag und stiehlt beispielsweise Bank- oder Verschlüsselungsdaten.» Die Methode sei altbekannt und nicht aussergewöhnlich, so Schneider. Allerdings hätte die Zahl der Attacken zugenommen.
Tatsächlich sind Mitte März bereits die «New York Times» und die BBC Ziel solcher Angriffe geworden. Nun hat es aber erstmals ein Schweizer Medienunternehmen getroffen.