Hackerangriff auf W1-Media

Blitzschnell reagieren

11. Juli 2019
von Stefan Hauck
Nicht nur Buchhändler wie Osiander, sondern auch Verlage sind von Hackerangriffen betroffen. Ein Beispiel: Jan Weitendorfs W1-Media wurde im März erpresst und brauchte bis vorige Woche, um den Schaden zu beheben.

Der IT-Leiter von W1-Media weiß es genau: Am 20. März um 1.45 Uhr starteten Hacker den Angriff auf die Server. Kurz vor drei Uhr wurde ich wach, dachte: Einschlafen werde ich jetzt eh nicht mehr, fange ich schon mal an zu arbeiten – und wunderte mich, warum ich keinen Zugriff auf die Server hatte", erinnert sich Mirko Talat-Gülman. Die Server hatten beim Hochfahren zu viel Last und der IT-Chef entdeckte: "Da gibt es Installationen, die gehören überhaupt nicht da hin." Er reagierte blitzschnell, befreite die Hostserver von der Schadsoftware, trennte die virtuellen Netzwerkkarten ab – und konnte so etwa noch den Mailserver und weitere Server retten. "Bei den gekaperten Servern ging eine Textdatei in englischer Sprache auf mit dem Hinweis, 14.000 Dollar zu zahlen – und dass sich bei Nichtzahlen die Summe in sieben Tagen verdoppeln würde, nach weiteren sieben Tagen erneut usw."

Wenige Stunden später schlossen Talat-Gülman und IT-Spezialisten des Dienstleisters LANtana systematisch jegliche Außenkontakte und fanden das Einfallstor: Ein anderer Dienstleister hatten eine Remote-Software nicht upgedatet und war zuvor selbst gehackt worden, teilte das aber den Kunden nicht mit. So konnten die Hacker bei W1-Media unbemerkt die Sicherheitssoftware ausschalten. "Das haben wir nicht ahnen können", sagt W1-Media-Verleger Jan Weitendorf. "Da die Hacker die wichtigsten Server verschlüsselt hatten, blieb uns nichts anderes übrig, als Kontakt aufzunehmen."

Weitendorf informierte die Kripo, handelte die Summe noch auf 10.000 US-Dollar in Kryptowährung herunter und erhielt daraufhin über einen Link im Darknet die Codes. Währenddessen bauten die ITler 15 virtuelle Server in einer Woche nach, setzten alles neu auf, um einen Interimsbetrieb zu gewährleisten: "Die Hacker hatten Backdoors eingebaut, mit denen sie uns erneut hätten infiltrieren können." Die gesamte Buchhaltung, die Vorschau-Daten etc.: Das alles war weg. "Wir konnten sehr viel wiederherstellen", sagt Weitendorf, "aber wir mussten dafür im hohen fünfstelligen Bereich investieren. Zusammen mit den Verlusten aus der KNV-Insolvenz – das ist ein Schlag ins Kontor."

Weitendorf hat für 15.000 Euro einen Server nur für Sicherungsmaßnahmen angeschafft, erst seit einer Woche ist der Aufbau der neu aufgesetzten Serverfarm abgeschlossen. "Die Wege von außen nach innen dürfen nicht mehr angreifbar sein", so Talat-Gülmans Maxime, "jetzt läuft sämtlicher Datenverkehr erst über eine Hardware-Firewall und einen Proxyserver, der die Netzwerkkommunikation filtert und bei Gefahr sofort blockt."

Welche Erfahrungen der Buchhandels-Filialist Osiander mit einem Hackerangriff gemacht hat und welche Maßnahmen man zum Schutz und im Angriffsfall ergreifen sollte, lesen Sie hier.