Cyber-Sicherheit: Medien als «kritische Infrastruktur»

Medien und Journalisten sind immer wieder Ziel von Hackerattacken oder Opfer von Datenklau, wie unlängst die Vorfälle in Kalifornien und Deutschland zeigten. In der Schweiz gilt der Mediensektor bezüglich Cyber-Sicherheit als «kritische Infrastruktur». Aber was heisst das?

Der Hackerangriff auf deutsche Politiker hat die Debatte um Cyber-Sicherheit erneut angeheizt. Ein 20-jähriger Schüler soll persönliche Daten Hunderter deutscher Politiker und Prominenter, darunter Handynummern und Kreditkartendaten, gestohlen und das kompromittierende Material auf einem Twitter-Account veröffentlicht haben – perfide verpackt als Adventskalender. Betroffen von der Attacke waren auch Journalisten.

Erst vor wenigen Tagen sahen sich mehrere US-Zeitungen als Ziel eines Hackerangriffs. darunter die «Los Angeles Times», sowie die Westküstenausgaben des «Wall Street Journal» und der «New York Times». Ein Computervirus torpedierte den Vertrieb der Zeitungen. Server wurden lahmgelegt, Seiten konnten nicht mehr rechtzeitig in Druck gegeben werden. Viele Abonnenten an der Westküste erhielten ihre gedruckte Ausgabe nicht. Wie die «Los Angeles Times» bekanntgab, steckte hinter der Cyber-Attacke die Ransomware Ryuk, ein Erpresserprogramm, das Dateien verschlüsselt und nur gegen die Zahlung eines Lösegeldes wieder freigibt. Die bösartige Software wurde über einen Client in das Redaktionssystem eingeschleust.

Es ist nicht das erste Mal, dass Medien ins Visier von Cyber-Kriminellen geraten.

Der digitale Schädling Ryuk war bereits im August 2018 auf dem Radar von Sicherheitsexperten aufgetaucht. Gemäss einer Analyse der Cyber-Sicherheitsfirma Check Point Research weist das Virus in seinem Code Ähnlichkeiten zum Schadprogramm Hermes auf, das mit jener nordkoreanischen Hackergruppe in Verbindung gebracht wird, die auch hinter dem WannaCry-Angriff stecken soll, als 300’000 Rechner in 150 Ländern infiziert wurden, darunter zahlreiche Krankenhäuser.

Es ist nicht das erste Mal, dass Medien ins Visier von Cyber-Kriminellen geraten. Im Juli 2018 haben türkische Hacker Social-Media-Accounts von US-Journalisten, darunter Reporter von «Fox News», «Bloomberg» sowie der «The New York Times», gekapert und so Pro-Erdogan-Propaganda verbreitet. Im Januar 2017 infiltrierte die Hackergruppe OurMine den Facebook- und Twitter-Account von CNN und verbreitete über die Kanäle Propagandabotschaften («Lange lebe Syrien»). 2016 legten Hacker die Internetseiten mehrerer grosser schwedischer Zeitungen («Dagens Nyheter», «Svenska Dagbladet», «Expressen», «Aftonbladet») lahm. 2013 hatte die Syrische Elektronische Armee (SEA) die Webseite der «New York Times» zum Absturz gebracht und über den Twitter-Account der Nachrichtenagentur AP eine Falschmeldung über eine angebliche Explosion im Weissen Haus verbreitet, welche den Dow Jones zeitweise abstürzen liess. Wenn man die einzelnen Attacken bilanziert, ergibt sich daraus eine konkrete Gefahrenlage für Medien.

Eine Beeinträchtigung des kritischen Teilsektors Medien ist durch technik-, gesellschafts- und naturbedingte Gefährdungen möglich.

In der Schweiz werden Medien daher der «kritischen Infrastruktur» zugerechnet. Im Faktenblatt des Bundesamts für Bevölkerungsschutz zum «kritischen Teilsektor Medien» heisst es: «Systemrelevante Betreiber oder Akteure, deren Ausfall oder Beeinträchtigung deutlich spürbare Auswirkungen auf die Wirtschaft und die Bevölkerung in der ganzen Schweiz hätte, sind beispielsweise die grössten Verlagshäuser, die Schweizerische Radio-und Fernsehgesellschaft SRG oder die Schweizerische Depeschenagentur sda.» Eine Beeinträchtigung des kritischen Teilsektors Medien sei durch «technik-, gesellschafts- und naturbedingte Gefährdungen möglich» und komme «vorwiegend aufgrund der ausgeprägten Abhängigkeit von Informations- und Telekommunikationstechnologien (IKT) zustande».

Als relevante Gefährdungsrisiken nennt das Bundesamt einen Ausfall der Stromversorgung, einen Ausfall der IKT, einen Cyber-Angriff sowie ein Erdbeben. Als besonders wichtige Glieder in der «Lieferkette» werden das Verfassen von Artikeln und Nachrichten, Druckvorstufen und Layout, die physische Verteilung an Verkaufsorte und Abonnenten sowie «Eingang und Bearbeitung dringlicher Informationen an die Bevölkerung» ausgemacht.

Durch den Ausfall elektronischer Medien könnten die Verbreitung behördlicher Warnungen und Verhaltensanweisungen stark eingeschränkt werden.

Zwar betrachtet die Bundesbehörde soziale Medien «vorerst» nicht explizit als Bestandteil der kritischen Infrastruktur. Doch schätzt sie die Gefährdungslage als höher ein. Durch den Ausfall elektronischer Medien könnten die Verbreitung behördlicher Warnungen und Verhaltensanweisungen «stark eingeschränkt werden», heisst es in der Risikoanalyse. Es sei davon auszugehen, «dass die elektronischen Medien weiterhin an Bedeutung gewinnen, was die bestehende Resilienz in diesem Bereich in Zukunft schwächen wird.»

In den USA gibt es unter IT-Sicherheitsexperten seit längerem eine Debatte darüber, ob auch soziale Medien als «kritische Infrastruktur» einzustufen seien. Der Cyber-Sicherheitsexperte Malcolm Harkins etwa kritisiert, dass die Definition des Department of Homeland Security veraltet sei und noch aus einer analogen Zeit stamme. «Die Welt von heute», sagte er dem Fachportal «Security Week», «basiert auf Informationen, mit einer Geschäftswelt und Gesellschaft, die durch und durch digitalisiert ist.» Die Integrität von Informationen sei wichtiger denn je. Dass diese gefährdet ist, belegt nicht zuletzt die aus russischen «Trollfabriken» orchestrierte Polit-Kampagne auf Facebook, die im US-Präsidentschaftswahlkampf womöglich bis zu 126 Millionen US-Bürger erreichte.

Allein, die meisten Angriffe laufen unterhalb der öffentlichen Wahrnehmbarkeitsschwelle ab. Nicht jede Schadsoftware macht sich bemerkbar. Der Hack auf das Verlagshaus Tribune Publishing von Ende Dezember wurde nur deshalb zum Politikum, weil viele Abonnenten morgens keine Zeitung im Briefkasten hatten. Wären die Seiten rechtzeitig in den Druck gegangen, wäre die Sache womöglich gar nicht publik geworden. Genau das ist das Problem: Unternehmen, speziell kleinere und mittlere, verheimlichen Angriffe auf ihre IT, aus Furcht, Investoren und Kunden zu verunsichern. Niemand berichtet gerne freiwillig, dass Kundendaten und wertvolles Know-how abgegriffen wurden. Der Reputationsschaden wäre immens. Viele Hackerangriffe bleiben daher im Dunkeln.

Die Resilienz wird umso wichtiger, je stärker Redaktionen ihre Aktivitäten ins Web und in die Cloud verlegen und damit verwundbarer werden.

Es wäre daher zu diskutieren, ob man auch Medienunternehmen Meldepflichten auferlegt, wie sie der Bundesrat in der Schweiz bereits 2017 diskutierte und wie sie in Deutschland für Betreiber kritischer Infrastrukturen, etwa Kraftwerksbetreiber, eingeführt wurden. Diese müssen laut dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) «Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben», an das Bundesamt für Informationstechnik melden (wobei das Erfordernis der Erheblichkeit recht wachsweich ist). Man könnte argumentieren, dass Medien bei der Verbreitung von Informationen weiterhin eine eminente Bedeutung zukommt und Beeinträchtigungen in besonderem Masse meldepflichtig sein müssten. Die Resilienz, das heisst die Widerstands- und Regenerationsfähigkeit, wird umso wichtiger, je stärker Redaktionen ihre Aktivitäten ins Web und in die Cloud verlegen und damit verwundbarer werden.

Mit der nationalen Strategie zum Schutz kritischer Infrastrukturen (SKI) 2018-2022 und der nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) hat der Bundesrat den Auftrag erteilt, die Einführung einer Meldepflicht bei Cyber-Angriffen und anderen gravierenden Sicherheitsvorfällen zu prüfen. Wie das Bundesamt für Bevölkerungsschutz auf Anfrage der MEDIENWOCHE mitteilt, würden derzeit «allfällige Cyber-Angriffe im Rahmen einer freiwilligen Zusammenarbeit zwischen einzelnen Medien-Unternehmen und der Melde- und Analysestelle Informationssicherung (MELANI) gemeldet». Die Meldestelle wurde 2004 im Auftrag des Bundesrats zur Früherkennung von Gefahren und deren Bewältigung eingerichtet. Sie besteht aus einem offenen Kundenkreis, der kleine und mittlere Unternehmen (KMU) sowie private Nutzer umfasst, sowie einem geschlossenen Kundenkreis, dem ausgewählte Betreiber von nationalen kritischen Infrastrukturen in der Schweiz angehören. In diesem Gremium tauschen sich Vertreter über die Gefährdungslagen aus. Zum geschlossenen Kundenkreis gehören nach Angaben des Bundesamts für Bevölkerungsschutzes auch Vertreter von Medienunternehmen. Dabei handelt es sich in der Regel um IT-Sicherheitsspezialisten der grossen Medienhäuser. Für das Schweizer Mediensystem seien Massnahmen durchgeführt worden, um die Resilienz zu verbessern.

Die Frage ist: Wie robust sind die Sicherheitsarchitekturen der Redaktionssysteme? Wie sicher sind Leserdaten? Wer hat darauf Zugriff? Wie steht es um den Informantenschutz? Hat der Staat gegenüber den Bürgern nicht auch eine Aufklärungs- und Rechenschaftspflicht über mögliche Sicherheitslücken?

Transparenz ist ein zweischneidiges Schwert, weil sie mögliche Schwachstellen in der Sicherheitsarchitektur offenlegt und Hacker zu Angriffen ermutigen könnte. Der Umgang mit Cyber-Gefahren im Mediensektor stellt daher auch eine medienjournalistische Herausforderung dar. Wie soll man über Sicherheitsgefahren hintergründig berichten? Verlagshäuser sind ja auch Unternehmen, deren Angestellte zur Verschwiegenheit verpflichtet sind und die nur ungern Auskünfte über ihre IT erteilen. Dadurch bedingt gibt es wenig konkrete Informationen über die Sicherheitslage im Mediensektor. Wie es um die Resilienz in Redaktionen bestellt ist, kann also niemand genau sagen. Angesichts der jüngsten Hackerangriffe werden Verlage wohl nicht umhinkommen, sicherheitstechnisch aufzurüsten.