Wie sich Funke gegen Hacker verteidigte und die Lehren daraus

Essen – Als Heiko Weigelt an jenem Dienstagmorgen im Dezember, zwei Tage vor Heiligabend, die Bettdecke zurückschlug, hatten ein paar seiner Kollegen bei Funke schon erhöhten Blutdruck. Seit 5.49 Uhr seien auf dem sogenannten Havarie-Kanal des Unternehmens Meldungen über IT-Probleme eingetroffen, erzählt der CIO in einem hausinternen Interview. Weigelt schaute erstmals gegen halb sieben auf sein Smartphone, wo über den Kanal mehr und mehr Nachrichten über Netzwerkprobleme und Serverausfälle eingingen. Obwohl der IT-Chef beim Eintreffen in der Essener Zentrale bereits eine Vorstellung davon hatte, was ihn erwartete, war es ein emotionaler Moment.

„Das fühlt sich für einen CIO nicht gut an“, sagt Weigelt. „Es fühlt sich an, als kämen Sie nach Hause und in Ihre Wohnung ist eingebrochen worden und Sie fragen sich: ,Habe ich nicht abgeschlossen?‘“ Dann wechselte er vom Schock- in den Funktionsmodus: Das war ein Hackerangriff, und es ging darum, möglichst schnell alles runterzufahren, zu sichern und die Systeme wieder zum Laufen zu bekommen.

Vieles von dem, was in der Folge einer solchen Cyberattacke zu tun ist, ist in Notfallplänen fixiert. Der Fall Funke zeigt jedoch, dass solche Pläne nicht auf jedes Szenario eine Antwort bereithalten. „Normalerweise haben wir für Krisenfälle ein klares Kommunikationskonzept, wer wann informiert werden muss“, sagt Jasmin Fischer, Leiterin der Unternehmenskommunikation bei der Funke Mediengruppe. „Nun waren unsere Kommunikationskanäle plötzlich selbst Teil der Krise. Wir hatten keinen E-Mail-Zugriff, keine Verteiler, kein Telefon, kein Intranet.“ Frühere Errungenschaften der analogen Welt kamen wieder ins Spiel. Damit die Kollegen nicht mit dem Laptop ins Büro kämen und sich einzuloggen versuchten, brachte man Aushänge an Verlagsgebäuden an. Um die Mitarbeiter bundesweit zu informieren, wurden Whatsapp-Gruppen eingerichtet. In einer Gruppe waren die Handynummern der Führungskräfte gespeichert, die wiederum eine Gruppe für ihr jeweiliges Team gründeten, deren Mitglieder schließlich die Informationen mit ihren Kontakten teilten.

Sensibilisierung der Mitarbeiter

Als Medienkonzern mit mehreren Standorten, rund 6.000 Mitarbeitenden und etwa 1,2 Milliarden Euro Umsatz habe Funke seine Belegschaft in der Vergangenheit natürlich immer wieder über Sicherheitsgefahren, zum Beispiel durch Phishing-Mails, informiert, betont Weigelt. Dennoch war es genau solch eine gefälschte E-Mail mit Anhang – „eine gut nachgemachte Docusign-Mail“, die den Hackerangriff ermöglichte, wie sich in der Analyse zeigte. Ein Mitarbeiter im Homeoffice hatte deren Anhang vier Tage zuvor, am 18. Dezember, geöffnet. „In dem Moment hat sich auf dem Endgerät eine Malware heruntergeladen, die auch von der Endgerätesicherheit nicht erkannt worden ist“, berichtet Weigelt. Dann sei die Malware aktiv geworden, habe das Endgerät kompromittiert, also manipuliert, und den Antivirenschutz ausgeschaltet. „Damit hat unsere Außenverteidigung ein Loch bekommen.“

...

Im kompletten Case in „kress pro“ erfahren Sie mehr über die täuschend echt wirkende E-Mail und ihre erhebliche Wirkung, wie Funke auf die Cyberattacke reagiert hat, wer das Unternehmen beim Wiederaufbau unterstützt hat, welche interne Konsequenzen man zog und welche Lehren die Mediengruppe aus dem Hackerangriff gezogen hat?     

Titelthemen in „kress pro“ 3/2021:

• Wie gelingt die Nachfolge? Erben wie Elisabeth Furtwängler und Jacob Burda übernehmen mehr und mehr Verantwortung in den Medienunternehmen. Doch der Übergang ist nicht immer einfach.
• Ranking: Die Marktführer der Redaktionssysteme. 
• Reichweiten-Schub: Wie der „Tagesspiegel“ digital stärker wächst als die Konkurrenz. 
• Strategie-Gespräch: Wie ProSiebenSat.1 sich unter Vorstand Wolfgang Link auf alte Stärken besinnt.