Digital
Schweiz

Bund sperrt 20minuten.ch – wegen Malware-Verbreitung

Auszug aus dem internen Schreiben.
Auszug aus dem internen Schreiben.
screenshot: watson

Bund und Konzerne sperren «20 Minuten»-Website – es wurde ein E-Banking-Trojaner verbreitet

Das grösste News-Portal der Schweiz soll die Computer von ahnungslosen Besuchern mit der Schadsoftware Gozi infiziert haben. Viele grosse Unternehmen sperrten den Mitarbeitern den Zugriff auf 20minuten.ch. Nun gibt das Medienhaus Entwarnung.
07.04.2016, 16:1107.04.2016, 20:17
Mehr «Digital»

Die Swisscom hat, wie andere grosse Schweizer Unternehmen, den internen Zugriff auf 20minuten.ch gesperrt. Mediensprecher Armin Schädeli sagt, dass es schon am Mittwoch eine Warnung gab.

Ist es korrekt, dass die Swisscom im internen Netz den Zugriff auf 20min.ch gesperrt hat?
Ja, die Sperrung wurde vorgenommen, um unsere Systeme zu schützen.

Der Bund stand in Kontakt mit Tamedia und informierte über die Bedrohung.

Wie machte sich die Malware bemerkbar?
Aufgrund von Umleitungen auf Drittserver.

Wann wurde sie entdeckt?
Gestern Nachmittag.

Wurde «20 Minuten» über diesen Schritt in Kenntnis gesetzt?
MELANI (die zuständige Melde- und Analysestelle des Bundes, Anmerkung der Red.) stand in Kontakt mit Tamedia und legte den Sachverhalt dar. Wir hatten daher keinen Anlass auch noch aktiv zu informieren, zumal wir ja auch nur den Zugang für unsere Mitarbeitenden gesperrt haben, um Schaden von unseren Netzen abzuwenden.

Bis wann soll die Sperre aufrecht erhalten bleiben?
Von uns, bis wir Indikatoren haben, dass die infizierten Server gereinigt sind. Wir arbeiten hier auch mit MELANI zusammen und warten auf grünes Licht von dieser Fachstelle.

Was empfehlen Sie Kunden, die 20min.ch in den letzten Tagen besucht haben?
Das kommt sehr auf die Konfiguration des Computers und die Version der Software an. Wir empfehlen in der Prävention allgemein, aktuelle Plug-ins zu installieren und die neuste Browser-Version zu betreiben.

Was könnte das Einfallstor für die Schadsoftware gewesen sein? Ein Werberestplatz-Vermarkter?
Das lässt sich aus unserer Sicht nicht sagen.

Es wird empfohlen, die Website von «20 Minuten» nicht mehr aufzurufen, bis es eine offizielle Entwarnung gibt.
quellen: bundesamt für informatik und  srf.ch

Auf der «20 Minuten»-Website gab es bis am frühen Abend (18 Uhr) keinen Hinweis auf die Bedrohung.

«20 Minuten» nimmt Stellung

Das News-Portal hat kurz nach 18 Uhr auf seiner Website eine Stellungnahme veröffentlicht. In dem Frage-und-Antwort-Beitrag wird der Hackerangriff bestätigt:

«Etwa 20 bis 50 Mal pro Tag werden die Server von 20 Minuten von Unbekannten angegriffen. Etwa alle drei Monate gelingt es einem Hacker in das System einzudringen. Der letzte uns bekannte Fall liegt eine Woche zurück. Dabei gelang es den Hackern, über die Domain 20minuten.ch Schadsoftware zu verteilen. Darüber berichten aktuell mehrere Medien.»
quelle: 20min.ch

Die App und die mobile Website seien nicht betroffen.

«Nach dem aktuellen Wissensstand wird die Schadsoftware nur über die Website 20minuten.ch verteilt. Das entspricht in etwa20 Prozent des gesamten Traffics aller Kanäle. Von der App sowie von der mobilen Website ging zu keiner Zeit eine Gefahr für die Nutzer aus.»
quelle: 20min.ch

In dem Beitrag heisst es, Experten arbeiteten mit Hochdruck daran, «das schädliche Script zu finden und von der Website zu entfernen». Die Gefahr könnte also noch nicht gebannt sein – darum verlinken wir momentan auch nicht auf den besagten Beitrag.

Es war der E-Banking-Trojaner Gozi.

Weiter heisst es, die Malware, die über 20minuten.ch verteilt werde, scanne nach Schwachstellen auf Computern. «Die Software sammelt dabei Informationen über vorhandene Lücken in Systemen. Derzeit besteht keinerlei Hinweis darauf, dass von der Malware entdeckte Schwachstellen von Angreifern ausgenutzt worden sind.»

Update: Laut dem aktualisierten Beitrag ist die Sicherheitslücke mittlerweile geschlossen worden. Weiter heisst es: «Die Ursache war eine verseuchte Flash-Datei. Dieses Script versuchte Schadcode von einer Drittwebsite über Lücken auf die Computer der Besucher von 20 Minuten zu installieren. Dabei handelt es sich um den E-Banking-Trojaner Gozi. Die verseuchte Datei wurde von IT-Experten von 20 Minuten mittlerweile entfernt.»

Das ist passiert

Am Donnerstagnachmittag erreichte uns der Hinweis eines Lesers, wonach die Bundesverwaltung den Zugang zur «20 Minuten»-Website wegen Sicherheitsrisiken gesperrt habe.

In den letzten Monaten sei vermehrt festgestellt worden, dass die Webseite www.20min.ch dazu missbraucht wurde, um die Computer von ahnungslosen Besuchern mit Malware zu infizieren. Am Nachmittag des 6. April seien erneut solche Vorfälle festgestellt worden.

Aus einem internen Schreiben, das watson vorliegt, geht hervor, dass www.20min.ch bis auf Weiteres gesperrt worden ist, was den Zugriff von Computern der Bundesverwaltung betrifft.

Ausserdem empfiehlt das Bundesamt für Informatik (BIT) den Mitarbeitern, die Website auch ausserhalb des Büros vorläufig nicht aufzurufen.

Bund bestätigt

Auf Anfrage bestätigt BIT-Sprecherin Sonja Uhlmann per E-Mail: «Unsere Abwehrsysteme haben diese wiederholten Malware-Angriffe abwehren können. Um das Risiko eines erfolgreichen Malware-Angriffs zu vermindern, sind wir jedoch gezwungen, diese Seite vorübergehend zu sperren, bis uns 20Minuten.ch eine nachhaltige Behebung des Problems bestätigen kann.»

Über die einzelnen «Angriffsvorfälle» gebe das BIT keine Auskunft.

Hol dir jetzt die beste News-App der Schweiz!

  • watson: 4,5 von 5 Sternchen im App-Store ☺
  • Tages-Anzeiger: 3,5 von 5 Sternchen
  • Blick: 3 von 5 Sternchen
  • 20 Minuten: 3 von 5 Sternchen

Du willst nur das Beste? Voilà:

Konzerne ziehen nach

Die SRG sowie weitere Unternehmen – darunter auch die Nachrichtenagentur SDA – folgten am Donnerstagnachmittag der Bundesverwaltung und blockierten ebenfalls temporär den Zugang zu «20 Minuten» online.

Weitere grosse Unternehmen haben ihren Mitarbeitenden den Zugriff auf die «20 Minuten»-Website gesperrt. Die Swisscom hat gegenüber watson die interne Sperrung «aus Sicherheitsgründen» bestätigt. Auch die Schweizerische Post hat entsprechend reagiert. Dies auf Grund der Empfehlung von MELANI, wie Sprecher Bernhard Bürki mitteilt.

Dem Vernehmen nach ist auch bei der Suva, dem grössten Unfallversicherer der Schweiz, der Zugriff auf das News-Portal blockiert worden.

Einschätzung des IT-Verantwortlichen der Schweizerischen Radio- und Fernsehgesellschaft:

«Laut Andreas Schneider, SRG-Verantwortlicher für Informationssicherheit, war es Ziel des Hacker-Angriffs, die Computer der ‹20-Minuten›-Leser mit Malware zu infizieren. Die Online-Zeitung sei selbst also nicht das Hauptziel der Attacke gewesen, sondern lediglich als ‹Übermittler› missbraucht worden. ‹Hat es die Malware geschafft, sich auf einem Computer einzunisten, erfüllt sie ihren Auftrag und stiehlt beispielsweise Bank- oder Verschlüsselungsdaten.› Die Methode sei altbekannt und nicht aussergewöhnlich, so Schneider. Allerdings hätten die Zahl der Attacken zugenommen.»
quelle: srf.ch
Bild
screenshot: srf.ch

Mit Material der Nachrichtenagentur SDA

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
72 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
ZHOPEN
07.04.2016 16:31registriert November 2015
20min ist ja eine Malware per se 😂
1968
Melden
Zum Kommentar
avatar
Kane_17
07.04.2016 16:41registriert Februar 2015
Geniales Statement xD
Bundesverwaltung sperrt «20 Minuten»-Website – wegen Malware-Verbreitung
Geniales Statement xD
18111
Melden
Zum Kommentar
avatar
dr.phibes
07.04.2016 16:42registriert Januar 2014
Bitte habt ein Herz für die Kommentartrolle von 20min. Wie diese sich wohl nun fühlen? Ja was diese jetzt wohl mit ihrer Zeit anfangen? Am Ende entdecken sie noch, wie schön und bunt das Leben sein kann, wenn man seinen (Arbeits-)Tag nicht in den Kommentarspalten von 20min verbringt und gegen dieses und jenes flucht.
14114
Melden
Zum Kommentar
72
Russische Elitehacker greifen deutsche Parteien an – aus Gründen
Die Hackergruppe «Cozy Bear» mit Verbindungen zum russischen Auslandsgeheimdienst hat es offenbar auf die deutsche Politik abgesehen. Sie verschickten eine Schadsoftware per Mail.

Mehrere Parteien in Deutschland sind einem Medienbericht zufolge Ziel einer grossangelegten russischen Cyberattacke geworden. Laut einer am Freitag dem «Spiegel» vorliegenden Analyse der US-Sicherheitsfirma Mandiant versuchte die vom Kreml gesteuerte Hacker-Gruppierung «Cozy Bear», mehrere deutsche Parteien mit Schadsoftware anzugreifen.

Zur Story