Zum Inhalt springen

Schweiz Entwarnung nach Trojaner-Angriff auf «20 Minuten»-Website

Die Website von «20 Minuten» ist vorübergehend mit einem Schadprogramm infiziert worden. Deshalb haben verschiedene Unternehmen den Zugang zum Online-Portal der Zeitung blockiert. Nun gibt Tamedia Entwarnung: Der Trojaner sei «gefunden und gelöscht». Von den News-Servern gehe keine Gefahr mehr aus.

.Mann schaut auf Website 20min.ch auf einem Tablet-Computer
Legende: Der E-Banking-Trojaner «Gozi» hat die Website von «20 Minuten» infiziert. Keystone

Das Medienunternehmen Tamedia, zu dem das News-Portal «20minuten» gehört, hat Entwarnung gegeben: «Wir haben die Malware in unserem System gefunden und gelöscht», sagte Konzern-Sprecher Christoph Zimmer. «Damit ist sichergestellt, dass von unseren News-Servern keine Gefahr ausgeht.»

Zuvor war die Website von «20 Minuten» mit einem Trojaner infiziert worden. Weil sich Besucher respektive deren Computer schädliche Software haben einhandeln können, haben die Bundesverwaltung und verschiedene Unternehmen den Zugriff auf die Website gesperrt.

Beim Schadprogramm handelt es sich um den E-Banking-Trojaner «Gozi», wie Pascal Lamia, Chef von Melani – der Melde- und Analysestelle Informationssicherung des Bundes – mitgeteilt hat. Dieser Trojaner versucht, auf Bankkonten der Nutzer zuzugreifen.

Bereits finanzielle Schäden entstanden

Melani wurde am Mittwochnachmittag auf das Problem aufmerksam, nachdem in der Bundesverwaltung verschiedene versuchte Infektionen festgestellt worden waren.

«Gozi» sei schon länger aktiv, und es habe auch bereits finanzielle Schäden gegeben, sagte Lamia. Bei dem jüngsten Angriff auf «20 Minuten» seien noch keine Unregelmässigkeiten auf Bankkonten festgestellt worden. Es könne jedoch zwei bis drei Monate dauern, bis «Gozi» versucht, Geld abzuheben.

Eine Infektion ist schwierig festzustellen

Wer die Website von «20 Minuten» besucht hat, kann sich infiziert haben, muss aber nicht, wie Lamia sagte. Es sei extrem schwierig festzustellen, ob der eigene Computer vom Trojaner befallen ist. Verdächtig seien beispielsweise eine sehr langsame Verbindung, ein blauer Bildschirm oder eine wiederholte Aufforderung, das Passwort einzugeben.

Lamia rät, sich bei verdächtigen Vorkommnissen sofort mit der Hotline seiner Bank in Verbindung zu setzen.

Tamedia sei regelmässig Ziel von solchen Angriffen

Das Medienunternehmen Tamedia war heute Donnerstag von Melani über den Angriff informiert worden, wie Tamedia-Sprecher Christoph Zimmer gegenüber der Nachrichtenagentur sda sagte.

Als Betreiber der grössten Newssites der Schweiz seien sie leider regelmässig Ziel von Angriffen. Alle paar Monate gelinge es einem Angreifer, die Sicherheitssysteme zu durchbrechen.

Vom Angriff betroffen waren laut Zimmer ausschliesslich Zugriffe über Desktop-Computer. Bei Zugriffen über Mobile-Apps, die rund 80 Prozent ausmachten, hätte kein Risiko bestanden. Es gäbe auch keinerlei Hinweise, dass die Websites vom «Tages-Anzeiger» oder anderen Newsnet-Angeboten betroffen waren.

Der Bundesverwaltung folgten weitere Unternehmen

Die Bundesverwaltung hatte den Zugriff für sich vorübergehend gesperrt und – wie das Bundesamt für Informatik und Telekommunikation BIT gegenüber SRF News angab – mit ihren Abwehrsystemen wiederholte Angriffe abwehren können.

Die Sperrung wollte die Bundesverwaltung so lange aufrecht erhalten, bis «20 Minuten eine nachhaltige Behebung des Problems bestätigen» würde.

«20 Minuten» als 'Übermittler' missbraucht

Nachdem die Bundesverwaltung zu ihrem Schutz Massnahmen ergriffen hatte, folgten weitere Konzerne. Darunter die SRG, die Swisscom und die Nachrichtenagentur sda.

Laut Andreas Schneider, SRG-Verantwortlicher für Informationssicherheit, sei «20 Minuten» selbst nicht das Hauptziel der Attacke gewesen, sondern lediglich als «Übermittler» missbraucht worden.

«Hat es die Malware geschafft, sich auf einem Computer einzunisten, erfüllt sie ihren Auftrag und stiehlt beispielsweise Bank- oder Verschlüsselungsdaten.» Die Methode sei altbekannt und nicht aussergewöhnlich, so Schneider. Allerdings hätte die Zahl der Attacken zugenommen.

Tatsächlich sind Mitte März bereits die «New York Times» und die BBC Ziel solcher Angriffe geworden. Nun hat es aber erstmals ein Schweizer Medienunternehmen getroffen.

5 Kommentare

Sie sind angemeldet als Who ? (whoareyou) (abmelden)

Kommentarfunktion deaktiviert

Uns ist es wichtig, Kommentare möglichst schnell zu sichten und freizugeben. Deshalb ist das Kommentieren bei älteren Artikeln und Sendungen nicht mehr möglich.

  • Kommentar von Peter Isler (SchweizerQualität)
    Warum gibt's eigentlich nie irgendwelche konkreten Informationen zu diesen Schädlingen?! Wie funktioniert das Ding?! Javascript? Etwas downloaden? Java? Was wird ausgenutzt?! Man kann sich nicht schützen ohne Information!!!
    Ablehnen den Kommentar ablehnen
    1. Antwort von Stefan Zweifel (stefanzweifel)
      Diese Schädlinge werden oft durch Flash (und ich denke auch Javascript) von Ad-Netzwerken ausgelieferten. Beim Guardian gibt es dazu einen längeren Artikel (https://www.theguardian.com/technology/2016/mar/16/major-sites-new-york-times-bbc-ransomware-malvertising). Schützen kann man sich, in dem man Browser-Plugins wie Ghostery (https://www.ghostery.com/) oder AdBlocker verwendet. Diese blockieren die Netzwerk-Anfrage zu den Servern der Ad-Netzwerke. (Source: Entwickler :))
      Ablehnen den Kommentar ablehnen
  • Kommentar von Jonathan Faye (Jonathan Faye)
    Das ist HÖCHSTWAHRSCHEINLICH für Windows?
    Ablehnen den Kommentar ablehnen
  • Kommentar von Daniel Frei (daniel.frei9)
    Das heisst mit anderen Worten, dass wenn ich morgens eine Tageszeitung xy abrufe, ich damit rechnen muss, dass dann mein Rechner u.U. mit schädlicher Software infiziert wird. Dann gute Nacht.
    Ablehnen den Kommentar ablehnen