Das Protokoll: Ransomware-Angriff auf die NZZ

Tomato AdminTomato

Selten gewinnt man bei ein einem Cyber-Angriff so tief Einblick wie im März 2023 bei der NZZ.

Ein Jahr später als die NZZ Opfer eines Cyberangriffs wurde, beschloss die Zeitung diesen Angriff öffentlich zu machen. Die daraus gezogenen Lehren sollen anderen Unternehmen helfen.

Nach dem Angriff geschah Folgendes:

  • Der Krisenstab verschaffte sich einen Überblick über die betroffenen Systeme und die gestohlenen Daten.
  • Die Zürcher Kantonspolizei und das Nationale Zentrum für Cybersicherheit kamen zum Einsatz.
  • IT-Experten identifizierten die für den Angriff verwendeten Server und den Namen der Erpresser
  • Die NZZ beschloss, kein Lösegeld zu zahlen.
  • Die Angreifer kamen mit neuen Angriffen zurück und verschlüsselten weitere Server.
  • Der entscheidende Eintrag in der Logdatei eines Servers wurde gefunden.
  • Der Notbetrieb wurde schliesslich stabilisiert.
  • Active Directory” wurde mit dem grünen Bereich verbunden, der rote Bereich wurde aufgegeben.
  • Die Erpresser drohten, die gestohlenen vertraulichen Daten zu veröffentlichen.
  • Die Polizei verlangte von den Erpressern den Nachweis, dass sie über vertrauliche Daten verfügten.
  • Fünf Wochen nach dem Angriff wurde der erste Teil von Daten online geteilt, danach wurde alles im Dark Web veröffentlicht.

Technisch sind die Systeme der NZZ wiederhergestellt. Der Cyberangriff auf die NZZ hat kein Ende. Die Entschädigung durch eine Versicherungsgesellschaft wurde veranlasst. Die Peinlichkeit der Veröffentlichung von Mitarbeiter Daten ist entstanden und bleibt Teil des Cyber-Angriffs.

Sehr spannende und bildende Lektüre bei der NZZ. 30 Artikel freies Lesen. Sie können den Bericht bei Martin Schneider anfordern.