Interview
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Die Grafik zeigt, dass der E-Banking-Trojaner GOZI bei einer früheren Angriffswelle 1500 Computer infizierte – an einem Tag. Am meisten Betroffene gab es in Zürich und Genf. bild: switch

Interview

Erneuter Angriff auf «20 Minuten»-Leser: Sicherheitsexperte zeigt sich sehr besorgt

Kaum war die Bedrohung durch den E-Banking-Trojaner GOZI auf 20minuten.ch beseitigt, taucht schont der nächste Schädling auf: Der Schweizer IT-Sicherheitsexperte Serge Droz erklärt, was es mit den Attacken auf das News-Portal auf sich hat.



Herr Droz, unser Interview wird von der Aktualität eingeholt. «20 Minuten» ist schon wieder attackiert worden.
Ja, wir sind am Abklären.

Ist es wieder der gleiche E-Banking-Trojaner?
Nein. Dieses Mal ist auch nicht die Infrastruktur von «20 Minuten» kompromittiert worden. Der Angriff erfolgte über ein europäisches Werbe-Netzwerk. Solche Angriffe gibt es seit vergangenem Wochenende auch auf niederländische Webseiten.

Wie schlimm ist das?
Wir klären zur Zeit ab. Das IT-Sicherheitsunternehmen Fox IT hat in seinem Blog Hintergrund-Informationen zu der gross angelegten Malvertising-Kampagne veröffentlicht.

«20 Minuten» bei dir gesperrt?

Mehrere grosse Schweizer Unternehmen blockieren aus Sicherheitsgründen den Zugriff auf 20minuten.ch. Neben dem Bund, Swisscom, Post, Suva und Migros hat auch das grösste Universitätsspital des Landes, das Berner Inselspital, das grösste News-Portal der Schweiz auf die schwarze Liste gesetzt. Das Inselspital gehört zur Insel Gruppe AG – mit rund 10‘000 Mitarbeitern der grösste nichtstaatliche Arbeitgeber im Kanton Bern. 

Bitte schreibe uns, falls auch dein Unternehmen «20 Minuten» gesperrt hat. Wir sind unter digital@watson.ch zu erreichen.

Bild

Laut Mitteilung auf 20minuten.ch waren beim neuerlichen Angriff wiederum Windows-Computer in Gefahr. Sie könnten mit dem Trojaner Bedep infiziert worden sein.   screenshot: 20minuten.ch

Neue Malware-Attacke

20minuten.ch sei erneut Ziel einer Malware-Attacke geworden, hiess es am Montagmittag auf der Website von «20 Minuten». Schuld sei ein verseuchtes Netzwerk eines externen Werbeanbieters, dessen Anzeigen auf 20minuten.ch eingebunden waren. Alle Anzeigen dieses Anbieters seien daraufhin umgehend deaktiviert wordent.

Bei der besagten schädlichen Software handle es sich um einen Trojaner namens «Bedep». Nach ersten Erkenntnissen seien wiederum nur Windows-Systeme in Gefahr, heisst es weiter. Befinde sich «Bedep» einmal auf dem System, versuche das Tool weitere Hintertüren für Angreifer zu öffnen. (sda)

Wie beurteilen Sie die Angriffe auf die Leserinnen und Leser von «20 Minuten»?
Die jüngsten Ereignisse sind sehr besorgniserregend. Seiten wie «20 Minuten» haben sehr hohe Besucherzahlen, sodass die daraus resultierenden Virusinfektionen gross sind.

Wie gefährlich ist der E-Banking-Trojaner, der letzt Woche via «20 Minuten»-Website ahnungslose Opfer befiel?
GOZI ist der zur Zeit aktivste E-Banking-Trojaner in der Schweiz und verursacht bei den betroffenen Banken, respektive deren Kunden Verluste.

«Hier gilt es eine Verantwortung wahrzunehmen, auch wenn das Geld kostet.»

Was wissen Sie über die Angreifer?
GOZI wird von mehreren Gruppen eingesetzt. In unserem Fall handelt sich um eine Gruppierung, die sich auf Schweizer Banken und deren Kunden konzentriert. Einiges deutet daraufhin, dass die Kriminellen aus dem russischen Raum stammen.

Angreifbar waren nur Windows-Computer?
Das ist richtig. Ausgenutzt wurde eine Sicherheitslücke in Flash. Am letzten Freitag hat übrigens Flash-Entwickler Adobe mit einem Notfall-Update reagiert.

Das grösste News-Portal des Landes als Malware-Schleuder. Darf das passieren?
Nein, so etwas dürfte klar nicht passieren.

Serge Droz, IT-Sicherheitsexperte, Switch

Serge Droz ist Sicherheitsexperte bei Switch. bild: zvg

Switch betreut und überwacht das Hochschul-Netzwerk, kommt es dort auch zu solchen Angriffen?
Ja, auch Angehörige der Schweizer Hochschulen sind betroffen. Wir sehen pro Tag über 100 Zugriffe auf die Angreifer-Infrastruktur, weil der Trojaner ja versucht, eine Verbindung herzustellen. Die betreffenden Nutzer werden von uns informiert.

Wenn man bei Sucuri.net einen Online-Malware-Check machte, wurden sowohl 20min.ch als auch Blick.ch auch zwei Tage nach der Attacke als gefährdet angezeigt. Handelt es sich dabei um ernstzunehmende Warnungen?
20min.ch ist nun aufgeräumt. Und auch der «Blick» scheint jetzt sauber zu sein. Bei der Warnung handelte es sich wohl genau um ein Werbebanner, das von einer Drittseite kommt.

Soll man sich demnach nicht auf die Warnungen bei Sucuri.net verlassen?
Sucuri ist eigentlich eine gute Webseite. Allerdings sind die Aktualisierungen relativ langsam. Internet-Nutzer sollten sich darauf konzentrieren, den eigenen Computer abzusichern. System- und Browser-Software müssen aktuell sein. Ausserdem gibt es Antiviren-Programme, die über ein Plugin Schutz vor Infektionen bieten. Mit diesen Vorsichtsmassnahmen ist das Risiko deutlich geringer.

Bild

Auf dieser Website kann man einen Online-Check durchführen. screenshot: swiss-isa.ch

Im Februar haben Sie mit einem anderen IT-Sicherheitsexperten von Switch den Beitrag «Angriff der Killer-Werbung» veröffentlicht, der aufzeigt, wie Malware über manipulierte Online-Werbung auf Computer gelangen kann. Was sollen Medienhäuser tun, um die Leser zu schützen?
Das Problem ist das Einbinden von Drittinhalten, welche selber nicht kontrolliert werden. Hier ist mehr Vorsicht angebracht. Medienhäuser, wie eigentlich alle Betreiber populärer Websites, müssen sicherstellen, dass ihre Infrastruktur vor Angriffen geschützt ist. Es gilt eine Verantwortung wahrzunehmen, auch wenn das Geld kostet.

«Dass populäre Webseiten Ihre Probleme nicht in den Griff kriegen, ist eher ungewöhnlich und und im konkreten Fall auch etwas besorgniserregend.»

Können Ad-Blocker die Gefahren von auf Webseiten verstecktem, bösartigem Code – Javascript, Flash etc. – minimieren?
Werbeblocker verhindern, das Malware über Werbung, die ja oft von dritten Webseiten her kommt, den Besucher erreicht. Ad-delivery-Netzwerke sind interessante Angriffsziele, eben weil sie so viele Besucher erreichen und oftmals nicht den Sicherheitsanforderungen genügen, die ihre Verbreitung verlangen würde.

Sollten die Internet-Nutzer nicht sofort nach Bekanntwerden einer verseuchten Website gewarnt werden?
Als erstes sollten Betreiber infizierter Webseiten entweder das Problem lösen oder falls sie dazu nicht sofort in der Lage sind, die Website vom Netz nehmen. Und ja: die Besucher sollten auf das Problem aufmerksam gemacht werden, damit sie ihre eigenen Systeme auf allfällige Infektionen überprüfen können.

Das hat beim «20 Minuten»-Hack nicht geklappt. Bis zu einer ersten Warnung dauerte es über drei Stunden.
Was mich persönlich gestört hat, ist die schlechte Kommunikation. Die Webseiten-Besucher wurden zu lange nicht richtig informiert. In solchen Situationen wäre es besser, wenn man hinsteht und sagt: «Wir haben Mist gebaut.» Das würde zur Glaubwürdigkeit beitragen.

Bild

Auf der Switch-Website gibt es weiterführende Informationen.
screenshot: switch.ch

Der Chef von MELANI sagt, dass seine Behörde keine Weisungsbefugnis habe gegenüber Unternehmen. Der Bund kann also niemanden verpflichten, eine Bedrohung öffentlich zu machen. Bräuchte es nicht eben doch eine nationale Warnzentrale?
Switch informiert Webseiten-Betreiber, die Malware verteilen und gibt ihnen 24 Stunden Zeit, das Problem zu lösen. Danach stellen wir die Domain ab. Wir finden es zur Zeit konstruktiver, mit den Webseiten-Betreibern zusammen das Problem zu lösen, statt auf «Naming und Shaming» zu setzen. Da kann ich vor allem den grossen Providern, wie Swisscom und Sunrise, ein Kränzchen winden. In den meisten Fällen werden die Probleme dann auch schnell gelöst, in der Regel innert einer halben Stunde.

Im Januar hatte es noch von Ihrer Seite geheissen, die Zahl der Malware-Fälle bei Schweizer Domains habe 2015 abgenommen. Dies scheint aber nur für Phishing zu gelten. Weichen die Kriminellen auf andere Methoden aus, wie eben das Manipulieren von Online-Werbung auf bekannten Websites?
Die meisten Webseiten-Betreiber lösen Ihre Probleme sehr zeitnah, und das widerspiegelt sich in der Infektionsrate der Schweiz, die im internationalen Vergleich sehr tief ist. Dass populäre Webseiten Ihre Probleme nicht in den Griff kriegen, ist eher ungewöhnlich und und im konkreten Fall auch besorgniserregend. Aber normal ist es nicht.

Vorgeschichte: «20 Minuten» als Malware-Schleuder

Erneuter Angriff auf «20 Minuten»-Leser: Sicherheitsexperte zeigt sich sehr besorgt

Link zum Artikel

Gefährlicher E-Banking-Trojaner bei «20 Minuten»: Die Entwarnung kam zu früh

Link zum Artikel

«20 Minuten» als Malware-Schleuder: Warum wurde nicht früher gewarnt?

Link zum Artikel

Bund und Konzerne sperren «20 Minuten»-Website – es wurde ein E-Banking-Trojaner verbreitet

Link zum Artikel

Das könnte dich auch interessieren:

Wie ich nach 3 Stunden Möbelhaus von Wolke 7 plumpste

Link zum Artikel

Die Fallzahlen steigen wieder leicht an – so sieht's in deinem Kanton aus

Link zum Artikel

Der Mann, der es wagt, Trump zu widersprechen

Link zum Artikel

Magic Johnson vs. Larry Bird – ein College-Final als Beginn einer grossen Sportrivalität

Link zum Artikel

4 Gründe, weshalb die Corona-Zahlen des BAG wenig mit der Realität zu tun haben

Link zum Artikel

Wie ansteckend sind Kinder wirklich? Was die Wissenschaft bis jetzt dazu weiss

Link zum Artikel

Das iPad kriegt Radar? Darum ist der Lidar-Sensor eine kleine Revolution

Link zum Artikel

Lasst meinen Sex in Ruhe, ihr Ehe- und Kartoffel-Fanatiker!

Link zum Artikel

So lief Tag 1 nach Bekanntgabe der «ausserordentliche Lage» für die Schweiz

Link zum Artikel

Corona International: EU beschliesst Einreisestopp ++ Italien mit 345 neuen Todesopfern

Link zum Artikel

Die Schweiz befindet sich im Notstand – die 18 wichtigsten Antworten zur neuen Lage

Link zum Artikel

Erdrutsch verschüttet Bahnstrecke bei Tenero TI

Link zum Artikel

Ein Virus beendet Jonas Hillers Karriere: «Es gäbe noch viel schlimmere Szenarien»

Link zum Artikel
Alle Artikel anzeigen
DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com (umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

22 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
TanookiStormtrooper
11.04.2016 15:33registriert August 2015
Was mich interessiert, wie würde Watson bei so einem Fall vorgehen? Seite vorübergehend vom Netz nehmen und transparent informieren (über Twitter, Facebook usw.) scheint mir am Ende vertrauensfördernder als es einfach mal ein paar Stunden unter den Teppich kehren zu wollen.
501
Melden
Zum Kommentar
Syptom
11.04.2016 15:44registriert January 2016
Bei aller (berechtigten) Häme gegenüber 20min.ch sollten wir nicht vergessen, dass es jeden treffen könnte. Ob watson, Blick, Tagi, NZZ, Swisscom, Post, Bank, etc. ist egal.
Da gilt es nur präventiv die Augen offen zu halten und für den Fall der Fälle vorbereitet zu sein. Und dann bitte schnell und transparent.
472
Melden
Zum Kommentar
Charlie B.
11.04.2016 15:02registriert November 2015
Also mich stört es nicht so, dass auch unsere Firma 20min.ch gesperrt hat, es gibt schlimmeres ;-)
495
Melden
Zum Kommentar
22

Undercover-Journalist infiltriert Netzwerk von Schweizer Corona-Verschwörern

Ein junger Westschweizer Journalist verbrachte zwei Monate «undercover» bei einer Gruppierung, die gegen das Maskentragen und die SwissCovid-App kämpft. Seine Enthüllungen werfen unbequeme Fragen auf.

Dieser Beitrag dreht sich um die Enthüllungen eines jungen Westschweizer Journalisten, der eine Gruppe von Corona-Leugnern und Verschwörungstheoretikern in der Romandie «infiltriert» hat. Dies im Auftrag des Westschweizer Online-Mediums Heidi.news, das nun in einer Serie über die Akteure und ihre beunruhigenden Ansichten berichtet.

Die Pandemie war geplant. Das Virus existiert nicht. Alles eine riesige Verschwörung, in Kombination mit 5G und obligatorischen Impfungen, um die Bevölkerung zu …

Artikel lesen
Link zum Artikel