Digital

Schweiz

Bund sperrt 20minuten.ch – wegen Malware-Verbreitung



screenshot: watson



Bund und Konzerne sperren «20 Minuten»-Website – es wurde ein E-Banking-Trojaner verbreitet

Das grösste News-Portal der Schweiz soll die Computer von ahnungslosen Besuchern mit der Schadsoftware Gozi infiziert haben. Viele grosse Unternehmen sperrten den Mitarbeitern den Zugriff auf 20minuten.ch. Nun gibt das Medienhaus Entwarnung.

Die Swisscom hat, wie andere grosse Schweizer Unternehmen, den internen Zugriff auf 20minuten.ch gesperrt. Mediensprecher Armin Schädeli sagt, dass es schon am Mittwoch eine Warnung gab.

Ist es korrekt, dass die Swisscom im internen Netz den Zugriff auf 20min.ch gesperrt hat?

Ja, die Sperrung wurde vorgenommen, um unsere Systeme zu schützen.



Der Bund stand in Kontakt mit Tamedia und informierte über die Bedrohung.



Wie machte sich die Malware bemerkbar?

Aufgrund von Umleitungen auf Drittserver.



Wann wurde sie entdeckt?

Gestern Nachmittag.



Wurde «20 Minuten» über diesen Schritt in Kenntnis gesetzt?

MELANI (die zuständige Melde- und Analysestelle des Bundes, Anmerkung der Red.) stand in Kontakt mit Tamedia und legte den Sachverhalt dar. Wir hatten daher keinen Anlass auch noch aktiv zu informieren, zumal wir ja auch nur den Zugang für unsere Mitarbeitenden gesperrt haben, um Schaden von unseren Netzen abzuwenden.



Bis wann soll die Sperre aufrecht erhalten bleiben?

Von uns, bis wir Indikatoren haben, dass die infizierten Server gereinigt sind. Wir arbeiten hier auch mit MELANI zusammen und warten auf grünes Licht von dieser Fachstelle.



Was empfehlen Sie Kunden, die 20min.ch in den letzten Tagen besucht haben?

Das kommt sehr auf die Konfiguration des Computers und die Version der Software an. Wir empfehlen in der Prävention allgemein, aktuelle Plug-ins zu installieren und die neuste Browser-Version zu betreiben.



Was könnte das Einfallstor für die Schadsoftware gewesen sein? Ein Werberestplatz-Vermarkter?

Das lässt sich aus unserer Sicht nicht sagen.



Es wird empfohlen, die Website von «20 Minuten» nicht mehr aufzurufen, bis es eine offizielle Entwarnung gibt.

quellen: bundesamt für informatik und srf.ch



Auf der «20 Minuten»-Website gab es bis am frühen Abend (18 Uhr) keinen Hinweis auf die Bedrohung.

«20 Minuten» nimmt Stellung

Das News-Portal hat kurz nach 18 Uhr auf seiner Website eine Stellungnahme veröffentlicht. In dem Frage-und-Antwort-Beitrag wird der Hackerangriff bestätigt:

«Etwa 20 bis 50 Mal pro Tag werden die Server von 20 Minuten von Unbekannten angegriffen. Etwa alle drei Monate gelingt es einem Hacker in das System einzudringen. Der letzte uns bekannte Fall liegt eine Woche zurück. Dabei gelang es den Hackern, über die Domain 20minuten.ch Schadsoftware zu verteilen. Darüber berichten aktuell mehrere Medien.»

quelle: 20min.ch



Die App und die mobile Website seien nicht betroffen.

«Nach dem aktuellen Wissensstand wird die Schadsoftware nur über die Website 20minuten.ch verteilt. Das entspricht in etwa20 Prozent des gesamten Traffics aller Kanäle. Von der App sowie von der mobilen Website ging zu keiner Zeit eine Gefahr für die Nutzer aus.»

quelle: 20min.ch



In dem Beitrag heisst es, Experten arbeiteten mit Hochdruck daran, «das schädliche Script zu finden und von der Website zu entfernen». Die Gefahr könnte also noch nicht gebannt sein – darum verlinken wir momentan auch nicht auf den besagten Beitrag.

Es war der E-Banking-Trojaner Gozi.

Weiter heisst es, die Malware, die über 20minuten.ch verteilt werde, scanne nach Schwachstellen auf Computern. «Die Software sammelt dabei Informationen über vorhandene Lücken in Systemen. Derzeit besteht keinerlei Hinweis darauf, dass von der Malware entdeckte Schwachstellen von Angreifern ausgenutzt worden sind.»



Update: Laut dem aktualisierten Beitrag ist die Sicherheitslücke mittlerweile geschlossen worden. Weiter heisst es: «Die Ursache war eine verseuchte Flash-Datei. Dieses Script versuchte Schadcode von einer Drittwebsite über Lücken auf die Computer der Besucher von 20 Minuten zu installieren. Dabei handelt es sich um den E-Banking-Trojaner Gozi. Die verseuchte Datei wurde von IT-Experten von 20 Minuten mittlerweile entfernt.»

Das ist passiert

Am Donnerstagnachmittag erreichte uns der Hinweis eines Lesers, wonach die Bundesverwaltung den Zugang zur «20 Minuten»-Website wegen Sicherheitsrisiken gesperrt habe.

In den letzten Monaten sei vermehrt festgestellt worden, dass die Webseite www.20min.ch dazu missbraucht wurde, um die Computer von ahnungslosen Besuchern mit Malware zu infizieren. Am Nachmittag des 6. April seien erneut solche Vorfälle festgestellt worden.



Aus einem internen Schreiben, das watson vorliegt, geht hervor, dass www.20min.ch bis auf Weiteres gesperrt worden ist, was den Zugriff von Computern der Bundesverwaltung betrifft.

Ausserdem empfiehlt das Bundesamt für Informatik (BIT) den Mitarbeitern, die Website auch ausserhalb des Büros vorläufig nicht aufzurufen.

Bund bestätigt

Auf Anfrage bestätigt BIT-Sprecherin Sonja Uhlmann per E-Mail: «Unsere Abwehrsysteme haben diese wiederholten Malware-Angriffe abwehren können. Um das Risiko eines erfolgreichen Malware-Angriffs zu vermindern, sind wir jedoch gezwungen, diese Seite vorübergehend zu sperren, bis uns 20Minuten.ch eine nachhaltige Behebung des Problems bestätigen kann.»

Über die einzelnen «Angriffsvorfälle» gebe das BIT keine Auskunft.



Konzerne ziehen nach



Die SRG sowie weitere Unternehmen – darunter auch die Nachrichtenagentur SDA – folgten am Donnerstagnachmittag der Bundesverwaltung und blockierten ebenfalls temporär den Zugang zu «20 Minuten» online.

Weitere grosse Unternehmen haben ihren Mitarbeitenden den Zugriff auf die «20 Minuten»-Website gesperrt. Die Swisscom hat gegenüber watson die interne Sperrung «aus Sicherheitsgründen» bestätigt. Auch die Schweizerische Post hat entsprechend reagiert. Dies auf Grund der Empfehlung von MELANI, wie Sprecher Bernhard Bürki mitteilt.

Dem Vernehmen nach ist auch bei der Suva, dem grössten Unfallversicherer der Schweiz, der Zugriff auf das News-Portal blockiert worden.

Einschätzung des IT-Verantwortlichen der Schweizerischen Radio- und Fernsehgesellschaft: «Laut Andreas Schneider, SRG-Verantwortlicher für Informationssicherheit, war es Ziel des Hacker-Angriffs, die Computer der ‹20-Minuten›-Leser mit Malware zu infizieren. Die Online-Zeitung sei selbst also nicht das Hauptziel der Attacke gewesen, sondern lediglich als ‹Übermittler› missbraucht worden. ‹Hat es die Malware geschafft, sich auf einem Computer einzunisten, erfüllt sie ihren Auftrag und stiehlt beispielsweise Bank- oder Verschlüsselungsdaten.› Die Methode sei altbekannt und nicht aussergewöhnlich, so Schneider. Allerdings hätten die Zahl der Attacken zugenommen.»

quelle: ﻿srf.ch﻿



Mit Material der Nachrichtenagentur SDA

Empfiehl diese Story weiter. Danke! Artikel teilen

DANKE FÜR DIE ♥ Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier. Würdest du gerne watson und Journalismus unterstützen? (Du wirst zu stripe.com umgeleitet um die Zahlung abzuschliessen) CHF 10.00 CHF 15.00 CHF 25.00 Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung. Nicht mehr anzeigen

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter