Website gehackt

07. April 2016 18:17; Akt: 10.04.2016 21:50 Print

Update zum Zwischenfall bei 20minuten.ch

Am Donnerstagabend hatte 20 Minuten informiert, dass die schädliche Software von der Website entfernt worden war. Das war zu diesem Zeitpunkt nicht korrekt.

storybild

20minuten.ch wird missbraucht um Schadsoftware zu verbreiten. Nutzer der App oder der mobilen Website sind nicht in Gefahr. (20M)

Fehler gesehen?

Am Donnerstag wurde bekannt, dass via 20minuten.ch Schnüffelsoftware verteilt worden ist. Mehrere Unternehmen, darunter die Bundesverwaltung hat 20minuten.ch vorübergehend für den internen Zugriff gesperrt.

Am Donnerstagabend hatte Tamedia kurz vor 22:00 Uhr darüber informiert, die schädliche Software gelöscht zu haben. Das war falsch. Die schädliche Software auf 20minuten.ch wurde erst Freitagmorgen um etwa um 10.15 Uhr gelöscht. Die Software war am Donnerstagabend im System von 20 Minuten identifiziert worden, wurde jedoch aufgrund eines menschlichen Versagens nicht sofort gelöscht. Tamedia bedauert diesen Fehler zutiefst und entschuldigt sich bei allen Leserinnen und Lesern für die falsche Information.

Durch die Löschung ist nun sichergestellt, dass von den Servern von 20 Minuten keine Gefahr mehr ausgeht. Betroffen waren Zugriffe von Desktop-Computern über Web-Browser mit installiertem Flash-Player. Wir halten Sie an dieser Stelle über die Vorgänge und den Stand der Problemlösung auf dem Laufenden.

Das Unternehmen beantwortet Leseranfragen über feedback@20minuten.ch

Was ist passiert?

Etwa 20 bis 50 Mal pro Tag werden die Server von 20 Minuten von Unbekannten angegriffen. Etwa alle drei Monate gelingt es einem Hacker, in das System einzudringen. Die Angriffe werden jeweils rasch identifiziert und Lücken geschlossen. Jeder Angriff führt dazu, dass das Sicherheitsdispositiv verbessert wird. Im aktuellen Fall gelang es den Hackern, über die Domain 20minuten.ch Schadsoftware zu verteilen. Ursache ist eine verseuchte Flash-Datei, die im Hintergrund ein kompromittiertes Java-Script ausführte.

Mit Hilfe der Melde- und Analysestelle Informationssicherung des Bundes wurde diese identifiziert. Das Script versucht, Schadcode von einer Drittwebsite über Lücken auf Computer zu installieren. Dabei handelt es sich um den E-Banking-Trojaner Gozi. Die verseuchte Flash-Datei wurde von IT-Experten von 20 Minuten entfernt.

Die Spezialisten von Tamedia arbeiten gemeinsam mit Experten aus dem Ausland weiter daran, den ursprünglichen Angriff zu analysieren und die Sicherheitsmassnahmen weiter zu erhöhen. Im Verlauf der Nacht wurden bereits zusätzliche Sicherheitsvorkehrungen ergriffen, durch die nun jede möglicherweise kritische Veränderung am System manuell überwacht wird.

Welche Geräte können betroffen sein?

Nach dem aktuellen Wissensstand wurde die Schadsoftware nur über die Website 20minuten.ch verteilt. Das entspricht in etwa 20 Prozent des gesamten Traffics aller Kanäle. Betroffen waren nur Zugriffe via Desktop- und Notebook-Computern und höchstwahrscheinlich nur Windows-, aber keine Mac-Systeme. Die entsprechende Flash-Datei wird derzeit von Experten analysiert.

Die mobilen 20-Minuten-Apps für iPhone, iPad und Android- Smartphones und -Tablets waren zu keinem Zeitpunkt vom Malware-Angriff betroffen. Auch vom Aufruf der mobilen Website über Tablets oder Smartphones ging keine Gefahr aus.

Gibt es Schadensmeldungen?

Für den aktuellen Fall liegen bisher keine Schadensmeldungen vor. Tamedia bedauert, wenn Nutzer durch den Besuch der Desktop-Angebote der Gefahr von Malware ausgesetzt waren. «Wir möchten aber nicht spekulieren, sondern uns nur zu den Punkten äussern, die wir derzeit auch beurteilen können», sagt Christoph Zimmer, Leiter Unternehmenskommunikation.

Weshalb wurde die Website nicht sofort vom Netz genommen?

20 Minuten erhielt am Mittag einen Hinweis von Melani, allerdings wussten die Experten zu diesem Zeitpunkt noch nicht, um welches Problem es sich handelte und wie akut es war. Den entscheidenden Hinweis, dass es sich um einen den Gozi-Trojaner handelte, ging erst um 18.23 Uhr ein.

Weshalb hat 20 Minuten nicht aktiver informiert?

Die Experten musste sich zuerst einen Überblick verschaffen, um die Situation überhaupt einschätzen zu können. Anschliessend wurde so rasch wie möglich informiert.

Tamedia sagt, es gelinge Angreifern alle paar Monate, die Sicherheitssysteme zu durchbrechen. Gab es in der jüngeren Vergangenheit vergleichbare erfolgreiche Angriffe?

Die Angriffe verändern sich laufend und nehmen zu. Einen Angriff diesen Ausmasses gab es in der Vergangenheit nicht. Allgemein steht 20 Minuten als grösstes Schweizer Newsportal besonders im Fokus von Angreifern. Auch internationale Portale, etwa von BBC, oder der «New York Times» wurden schon für die Verteilung von Malware missbraucht.

Wann rechnet Tamedia beziehungsweise 20 Minuten damit, dass die Bundesverwaltung den Zugriff wieder aufschaltet?

Melani wurde über die getroffenen Massnahmen informiert. Wir sind im Gespräch mit Melani und verschiedenen Unternehmen und setzen alles daran, dass die Sperren möglichst rasch wieder aufgehoben werden.

Security-Websites zeigen mir immer noch an, dass 20minuten.ch verseucht ist, stimmt das?

Viele dieser Websites, etwa Virustotal.com, beziehen sich auf nicht aktuelle Blacklisten. Auf solchen Seiten sind zum Beispiel derzeit auch andere Newsportale als gefährlich gelistet. Von 20minuten.ch geht für die Besucher keine Gefahr mehr aus.

Was macht 20 Minuten?

20 Minuten nimmt diesen Vorfall sehr ernst. Die Sicherheitsmassnahmen sind gerade in den letzten Wochen sukzessive und massiv ausgebaut worden und werden zurzeit in Absprache mit externen Experten weiter verschärft.

Was macht die Schadsoftware?

Die Malware scannt nach Schwachstellen auf Computern, um sich zu installieren. Ist dies erfolgreich, kann die Schadsoftware versuchen, auf das Online-Banking Zugriff zu erhalten. Gozi sei schon länger aktiv, und es habe auch bereits finanzielle Schäden gegeben, sagte Pascal Lamia, Chef von Melani, gegenüber der Nachrichtenagentur SDA. Bei dem jüngsten Angriff auf 20 Minuten seien noch keine Unregelmässigkeiten auf Bankkonten festgestellt worden. Es könne jedoch zwei bis drei Monate dauern, bis Gozi versucht, Geld abzuheben.

Was kann ich nun tun?

Eine aktuell gehaltene Sicherheitssoftware sollte den Trojaner bei einem vollständigen Scan des Systems erkennen, sagt Candid Wüest, Forscher beim Softwarehersteller Symantec.

Verdächtig seien beispielsweise eine sehr langsame Verbindung, ein blauer Bildschirm oder eine wiederholte Aufforderung, das E-Banking-Passwort einzugeben, ergänzt Lamia. Er rät, sich bei verdächtigen Vorkommnissen sofort mit der Hotline seiner Bank in Verbindung zu setzen.

Grundsätzlich gilt es, die eigene Antiviren-Software sowie den verwendeten Browser immer auf dem neusten Stand zu halten (Browsercheck des IT-Fachmagazins Heise.de). Zudem sollten System- und Softwareupdates für Browser und Plug-ins (Flash, Java) umgehend installiert werden.

Die Melde- und Analysestelle Informationssicherung Melani gibt auf ihrer Website generelle Tipps zur Entfernung von Malware. Der Bund empfiehlt dabei den Einsatz der Software Norton Power Eraser.

(20M/sda)