„Aufgrund einer technischen Störung ist unser Portal derzeit nicht erreichbar“, war Mitte Juni auf einer der 50 meistbesuchten Nachrichten-Webseiten Deutschlands zu lesen. Grund war ein Cyberangriff auf den hauseigenen IT-Dienstleister, betroffen davon waren gleich mehrere Titel des großen Medienunternehmens.
Ein solcher Systemausfall inklusive proaktiv vom Netz genommener Webseiten ist für die Branche das Worst-Case-Szenario, weil es unverzichtbarer Teil des Geschäftsmodells ist, rund um die Uhr mit allen Services online zu sein. Und weil es in aller Regel keine funktionierenden Business-Continuity-Szenarien gibt. Wodurch sollten – oder wollten – Verlage den ausgefallenen Online-Auftritt ersetzen? Mehr Printseiten zu drucken statt eine durchgängige Internetpräsenz anzubieten, wäre sicher keine Lösung, die Leserinnen und Leser überzeugt.
Medienunternehmen sind attraktives Ziel für Hacking-Profis
Der beschriebene Angriff und viele weitere in jüngster Zeit haben die digitale Verletzbarkeit des gesamten Sektors verdeutlicht. Für Hacking-Profis ist er ein höchst attraktives Ziel. Denn Medienunternehmen haben einen großen Bestand hochintegrierter User:innendaten, der es ihnen erlaubt, stark personalisierten Content anzubieten. Genau solche Angebote eröffnen Wachstumschancen im Internet, so ein Ergebnis unserer aktuellen Studie zu Verlagstrends.
Zugleich sind die dafür essenziellen Daten zentrales Ziel von Cyberattacken. So griffen Hacker jüngst in der Schweiz gleich zwei bekannte Verlagshäuser an. Dabei erbeuteten sie Daten von Mitarbeitenden sowie Kundinnen und Kunden. Die kriminellen Unbekannten forderten anschließend die Zahlung von Lösegeld.
Hoch ist das Erpressungspotenzial auch beim Diebstahl der Identitätsdaten von Politikerinnen und Politikern sowie von weiteren Prominenten. Auch exklusive und global relevante Rechercheergebnisse sind als Beute im Visier. Bereits 2018 warnte das Bundesamt für Verfassungsschutz vor in diesem Sinne „besonders hochwertigen Angriffen“ auf deutsche Medienhäuser.
Studie zeigt die Anfälligkeit der Medienbranche für Cyberangriffe
Verlage und andere Medienunternehmen sind sich ihrer digitalen Verletzlichkeit bewusst. Das zeigen die Ergebnisse der Studie „Von Cyber Security zu Cyber Resilience“, die das Beratungsunternehmen Lünendonk in Zusammenarbeit mit KPMG erstellt hat.
Ausnahmslos alle der befragten Telekommunikations- und Medienunternehmen sehen der Studie zufolge eine hohe Wahrscheinlichkeit, Opfer von DDoS-Attacken (Distributed Denial of Service) zu werden – oder von Überlastungsangriffen, die den Betrieb von Servern und mit ihnen verbundenen Webseiten unmöglich machen, wie im eingangs geschilderten Fall. 86 Prozent der Befragten befürchten zudem Phishing- beziehungsweise Ransomware-Angriffe, bei denen Kriminelle entweder Empfänger:innen von Nachrichten so manipulieren, dass diese Kreditkartendetails und andere Daten preisgeben, oder Systeme durch Malware blockieren und erst nach Zahlung von Lösegeld wieder freigeben.
Als unvermeidliche Folge des eigenen Geschäftsmodells stufen die Befragten solche Risiken indes nicht ein: Ebenfalls 86 Prozent der Telekommunikations- und Medienunternehmen räumen eigene „Sicherheitslücken aufgrund technischer Schulden“ durchaus ein.
Cybersicherheit wird zum Management-Thema
Diese Lücken gilt es dringend zu schließen – wobei die Branche bisher wenig Druck verspürt. Schließlich gibt es keine dedizierte Regulierung wie im Bankensektor, weil dafür die rechtliche Grundlage fehlt. Noch.
Das könnte sich bald ändern. Die politische Diskussion darüber ist spätestens seit Debatten rund um „Fake News“ in vollem Gange. Und auch der Krieg in der Ukraine führt uns Risiken durch politisch motivierte Attacken auf Medien nachdrücklich vor Augen. Wenn es Unbekannten gelingt, über Fake-Profile auf zentralen Informationsinstanzen Lügen zu verbreiten, werden Newsportale und Zeitungen zu Multiplikatoren von Desinformation.
Medienunternehmen sollten sich frühzeitig Fragen zur Cyber Security stellen
Um vorzubeugen, sollten die Verantwortlichen Cybersicherheit zügig vom Tech- und Sicherheits- zum Management-Thema und integralen Bestandteil ihrer Unternehmensstrategie machen. Dabei helfen gezielte Fragen, die potenzielle Fallhöhe durch mögliche Attacken zu eruieren und dem Thema intern Nachdruck zu verleihen. Darunter: Wie gehe ich mit einer Ransomware-Attacke inklusive Lösegeldforderung um? Kann ich meine Daten wiederherstellen, ohne dafür bezahlen zu müssen? Und wie groß ist der Schaden durch eine Betriebsunterbrechung? Ein solcher Wert lässt sich anhand der Anzahl der nach einer Downtime abgesprungenen Kundinnen und Kunden durchaus beziffern. Für Nachdruck kann auch folgende Frage sorgen: Wie teuer wäre eine mögliche Klage von bekannten Persönlichkeiten wegen Veröffentlichungen persönlicher Daten?
Accounts schützen, Datenabfluss verhindern, Security ganzheitlich überwachen
Folgende vier Sicherheitsaspekte sollten Telekommunikations- und Medienunternehmen besonders in den Fokus rücken:
- Identitäten und Accounts schützen:
Eine der größten Gefahren für die Kompromittierung von IT-Systemen geht von falschen digitalen Identitäten aus. Funktionierendes Zugangsmanagement ist deshalb von großer Bedeutung – zum Beispiel durch Multi-Faktor-Autorisierung. - Datenabfluss verhindern:
Unternehmen sollten in der Lage sein, sich präventiv vor Datendiebstahl zu schützen beziehungsweise entdeckte Leaks zeitnah zu identifizieren und zu schließen. - Security ganzheitlich überwachen:
Umfängliches, präventives Security Monitoring ist eine komplexe Aufgabe, die IT-Abteilungen von Medienhäusern idealerweise nur dann ohne externen Partner angehen sollten, wenn sie über die dafür notwendigen personellen Ressourcen verfügen. - Lieferketten absichern:
Vorsorge und Monitoring sollten auch Risiken durch die Zusammenarbeit mit externen Partnern im Auge behalten. Die Konzentration aufs Kerngeschäft erhöht solche Risiken.
Kernerkenntnis der Studie von Lünendonk und KPMG ist, dass Unternehmen sich auf das frühzeitige Identifizieren möglicher Cyberangriffe sowie den Menschen als Unsicherheitsfaktor fokussieren sollten. So kann es gelingen, Sicherheitsvorkehrungen für diverse Bedrohungsszenarien zu etablieren und das Risiko von Attacken sukzessiv zu minimieren. Nur effektive, nachhaltige und ganzheitliche Abwehrmechanismen schützen künftig das eigene Geschäftsmodell.