Digital

Die Grafik zeigt, dass der E-Banking-Trojaner GOZI bei einer früheren Angriffswelle 1500 Computer infizierte – an einem Tag. Am meisten Betroffene gab es in Zürich und Genf. bild: switch

Erneuter Angriff auf «20 Minuten»-Leser: Sicherheitsexperte zeigt sich sehr besorgt

Kaum war die Bedrohung durch den E-Banking-Trojaner GOZI auf 20minuten.ch beseitigt, taucht schont der nächste Schädling auf: Der Schweizer IT-Sicherheitsexperte Serge Droz erklärt, was es mit den Attacken auf das News-Portal auf sich hat.

11.04.16, 14:12 11.04.16, 19:25

Herr Droz, unser Interview wird von der Aktualität eingeholt. «20 Minuten» ist schon wieder attackiert worden.
Ja, wir sind am Abklären.

Ist es wieder der gleiche E-Banking-Trojaner?
Nein. Dieses Mal ist auch nicht die Infrastruktur von «20 Minuten» kompromittiert worden. Der Angriff erfolgte über ein europäisches Werbe-Netzwerk. Solche Angriffe gibt es seit vergangenem Wochenende auch auf niederländische Webseiten.

Wie schlimm ist das?
Wir klären zur Zeit ab. Das IT-Sicherheitsunternehmen Fox IT hat in seinem Blog Hintergrund-Informationen zu der gross angelegten Malvertising-Kampagne veröffentlicht.

«20 Minuten» bei dir gesperrt?

Mehrere grosse Schweizer Unternehmen blockieren aus Sicherheitsgründen den Zugriff auf 20minuten.ch. Neben dem Bund, Swisscom, Post, Suva und Migros hat auch das grösste Universitätsspital des Landes, das Berner Inselspital, das grösste News-Portal der Schweiz auf die schwarze Liste gesetzt. Das Inselspital gehört zur Insel Gruppe AG – mit rund 10‘000 Mitarbeitern der grösste nichtstaatliche Arbeitgeber im Kanton Bern. 

Bitte schreibe uns, falls auch dein Unternehmen «20 Minuten» gesperrt hat. Wir sind unter digital@watson.ch zu erreichen.

Laut Mitteilung auf 20minuten.ch waren beim neuerlichen Angriff wiederum Windows-Computer in Gefahr. Sie könnten mit dem Trojaner Bedep infiziert worden sein.   screenshot: 20minuten.ch

Neue Malware-Attacke

20minuten.ch sei erneut Ziel einer Malware-Attacke geworden, hiess es am Montagmittag auf der Website von «20 Minuten». Schuld sei ein verseuchtes Netzwerk eines externen Werbeanbieters, dessen Anzeigen auf 20minuten.ch eingebunden waren. Alle Anzeigen dieses Anbieters seien daraufhin umgehend deaktiviert wordent.

Bei der besagten schädlichen Software handle es sich um einen Trojaner namens «Bedep». Nach ersten Erkenntnissen seien wiederum nur Windows-Systeme in Gefahr, heisst es weiter. Befinde sich «Bedep» einmal auf dem System, versuche das Tool weitere Hintertüren für Angreifer zu öffnen. (sda)

Wie beurteilen Sie die Angriffe auf die Leserinnen und Leser von «20 Minuten»?
Die jüngsten Ereignisse sind sehr besorgniserregend. Seiten wie «20 Minuten» haben sehr hohe Besucherzahlen, sodass die daraus resultierenden Virusinfektionen gross sind.

Wie gefährlich ist der E-Banking-Trojaner, der letzt Woche via «20 Minuten»-Website ahnungslose Opfer befiel?
GOZI ist der zur Zeit aktivste E-Banking-Trojaner in der Schweiz und verursacht bei den betroffenen Banken, respektive deren Kunden Verluste.

«Hier gilt es eine Verantwortung wahrzunehmen, auch wenn das Geld kostet.»

Was wissen Sie über die Angreifer?
GOZI wird von mehreren Gruppen eingesetzt. In unserem Fall handelt sich um eine Gruppierung, die sich auf Schweizer Banken und deren Kunden konzentriert. Einiges deutet daraufhin, dass die Kriminellen aus dem russischen Raum stammen.

Angreifbar waren nur Windows-Computer?
Das ist richtig. Ausgenutzt wurde eine Sicherheitslücke in Flash. Am letzten Freitag hat übrigens Flash-Entwickler Adobe mit einem Notfall-Update reagiert.

Das grösste News-Portal des Landes als Malware-Schleuder. Darf das passieren?
Nein, so etwas dürfte klar nicht passieren.

Serge Droz ist Sicherheitsexperte bei Switch. bild: zvg

Switch betreut und überwacht das Hochschul-Netzwerk, kommt es dort auch zu solchen Angriffen?
Ja, auch Angehörige der Schweizer Hochschulen sind betroffen. Wir sehen pro Tag über 100 Zugriffe auf die Angreifer-Infrastruktur, weil der Trojaner ja versucht, eine Verbindung herzustellen. Die betreffenden Nutzer werden von uns informiert.

Wenn man bei Sucuri.net einen Online-Malware-Check machte, wurden sowohl 20min.ch als auch Blick.ch auch zwei Tage nach der Attacke als gefährdet angezeigt. Handelt es sich dabei um ernstzunehmende Warnungen?
20min.ch ist nun aufgeräumt. Und auch der «Blick» scheint jetzt sauber zu sein. Bei der Warnung handelte es sich wohl genau um ein Werbebanner, das von einer Drittseite kommt.

Soll man sich demnach nicht auf die Warnungen bei Sucuri.net verlassen?
Sucuri ist eigentlich eine gute Webseite. Allerdings sind die Aktualisierungen relativ langsam. Internet-Nutzer sollten sich darauf konzentrieren, den eigenen Computer abzusichern. System- und Browser-Software müssen aktuell sein. Ausserdem gibt es Antiviren-Programme, die über ein Plugin Schutz vor Infektionen bieten. Mit diesen Vorsichtsmassnahmen ist das Risiko deutlich geringer.

Auf dieser Website kann man einen Online-Check durchführen. screenshot: swiss-isa.ch

Im Februar haben Sie mit einem anderen IT-Sicherheitsexperten von Switch den Beitrag «Angriff der Killer-Werbung» veröffentlicht, der aufzeigt, wie Malware über manipulierte Online-Werbung auf Computer gelangen kann. Was sollen Medienhäuser tun, um die Leser zu schützen?
Das Problem ist das Einbinden von Drittinhalten, welche selber nicht kontrolliert werden. Hier ist mehr Vorsicht angebracht. Medienhäuser, wie eigentlich alle Betreiber populärer Websites, müssen sicherstellen, dass ihre Infrastruktur vor Angriffen geschützt ist. Es gilt eine Verantwortung wahrzunehmen, auch wenn das Geld kostet.

«Dass populäre Webseiten Ihre Probleme nicht in den Griff kriegen, ist eher ungewöhnlich und und im konkreten Fall auch etwas besorgniserregend.»

Können Ad-Blocker die Gefahren von auf Webseiten verstecktem, bösartigem Code – Javascript, Flash etc. – minimieren?
Werbeblocker verhindern, das Malware über Werbung, die ja oft von dritten Webseiten her kommt, den Besucher erreicht. Ad-delivery-Netzwerke sind interessante Angriffsziele, eben weil sie so viele Besucher erreichen und oftmals nicht den Sicherheitsanforderungen genügen, die ihre Verbreitung verlangen würde.

Sollten die Internet-Nutzer nicht sofort nach Bekanntwerden einer verseuchten Website gewarnt werden?
Als erstes sollten Betreiber infizierter Webseiten entweder das Problem lösen oder falls sie dazu nicht sofort in der Lage sind, die Website vom Netz nehmen. Und ja: die Besucher sollten auf das Problem aufmerksam gemacht werden, damit sie ihre eigenen Systeme auf allfällige Infektionen überprüfen können.

Das hat beim «20 Minuten»-Hack nicht geklappt. Bis zu einer ersten Warnung dauerte es über drei Stunden.
Was mich persönlich gestört hat, ist die schlechte Kommunikation. Die Webseiten-Besucher wurden zu lange nicht richtig informiert. In solchen Situationen wäre es besser, wenn man hinsteht und sagt: «Wir haben Mist gebaut.» Das würde zur Glaubwürdigkeit beitragen.

Auf der Switch-Website gibt es weiterführende Informationen.
screenshot: switch.ch

Der Chef von MELANI sagt, dass seine Behörde keine Weisungsbefugnis habe gegenüber Unternehmen. Der Bund kann also niemanden verpflichten, eine Bedrohung öffentlich zu machen. Bräuchte es nicht eben doch eine nationale Warnzentrale?
Switch informiert Webseiten-Betreiber, die Malware verteilen und gibt ihnen 24 Stunden Zeit, das Problem zu lösen. Danach stellen wir die Domain ab. Wir finden es zur Zeit konstruktiver, mit den Webseiten-Betreibern zusammen das Problem zu lösen, statt auf «Naming und Shaming» zu setzen. Da kann ich vor allem den grossen Providern, wie Swisscom und Sunrise, ein Kränzchen winden. In den meisten Fällen werden die Probleme dann auch schnell gelöst, in der Regel innert einer halben Stunde.

Im Januar hatte es noch von Ihrer Seite geheissen, die Zahl der Malware-Fälle bei Schweizer Domains habe 2015 abgenommen. Dies scheint aber nur für Phishing zu gelten. Weichen die Kriminellen auf andere Methoden aus, wie eben das Manipulieren von Online-Werbung auf bekannten Websites?
Die meisten Webseiten-Betreiber lösen Ihre Probleme sehr zeitnah, und das widerspiegelt sich in der Infektionsrate der Schweiz, die im internationalen Vergleich sehr tief ist. Dass populäre Webseiten Ihre Probleme nicht in den Griff kriegen, ist eher ungewöhnlich und und im konkreten Fall auch besorgniserregend. Aber normal ist es nicht.

Vorgeschichte: «20 Minuten» als Malware-Schleuder

Erneuter Angriff auf «20 Minuten»-Leser: Sicherheitsexperte zeigt sich sehr besorgt

Gefährlicher E-Banking-Trojaner bei «20 Minuten»: Die Entwarnung kam zu früh

«20 Minuten» als Malware-Schleuder: Warum wurde nicht früher gewarnt?

Bund und Konzerne sperren «20 Minuten»-Website – es wurde ein E-Banking-Trojaner verbreitet

Das könnte dich auch interessieren:

Definitiv kein Höhepunkt – am Valentinstag bei Fifty Shades of Grey 3

Das haben diese 17 Stars getrieben, bevor sie richtig berühmt wurden

Es ist die Rassenfrage, Dummkopf!

Cartoonist setzt die Wünsche seiner Fans um, und das Resultat ist ... anders als erwartet

Hol dir die App!

Markus Wüthrich, 5.5.2017
Tolle Artikel jenseits des Mainstreams. Meine Hauptinformations- und Unterhaltungsquelle.
Abonniere unseren NewsletterNewsletter-Abo
38
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
38Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Emperor 13.04.2016 01:45
    Highlight Zum GLück lese ich fast nur noch Watson ^^
    2 0 Melden
    • Human 13.04.2016 10:23
      Highlight Und wenn 20min, nur auf der Arbeit xD
      2 0 Melden
  • Süffu 12.04.2016 21:52
    Highlight Hoffentlich spült das keine braunen Kommentatoren hier rein!
    3 1 Melden
  • Gelöschter Benutzer 12.04.2016 16:54
    Highlight Die haben ja fast mehr Virenmeldungen als Artikel (wobei der Unterschied wohl nicht allzu gross sein dürfte). Habe unterdessen auch die Apps auf iphone und ipad entfernt. Informationsgehalt dieser Postille war und ist ja nie allzu gross gewesen. Was relevant ist steht ja auch beim Tagi und der NZZ und den Rest bindet nur Ressourcen für gar nichts. Adieu 20 Min.
    3 0 Melden
  • Gelöschter Benutzer 11.04.2016 23:56
    Highlight Und wie 20min gebettelt hat um den Virenschutz äh Adblock auszuschalten :-)
    23 0 Melden
  • Panda__ 11.04.2016 21:40
    Highlight zum glück habe ich einen mac und kein windows pc😂
    9 24 Melden
    • tsyga 11.04.2016 22:26
      Highlight und alle, die seit stunden versuchen, ihren windoof von viren zu befreien, schenken blitzchen.. 😄 viel spass bei den 326 updates beim herunterfahren✌🏽️
      10 23 Melden
    • Angelo Hediger 11.04.2016 23:44
      Highlight Einfach nur Watson gelesen =kein Virus ;D
      8 0 Melden
    • Gelöschter Benutzer 12.04.2016 00:03
      Highlight Die Blitze kriegt ihr weil ihr keine Ahnung habt und meint Mac sei sicherer... leider Nein
      26 6 Melden
  • ströfzgi 11.04.2016 20:39
    Highlight ganz stossend finde ich dass 20min wie sonst bei jedem hahnenschiss keine push-benachrichtigung geschickt hat. auch reagieren sie wie üblich nicht auf kommentare. ja nu, ein medienunternehmen das nicht kommunizieren kann (oder will)... sollen sie doch. tschüss 20min.
    33 1 Melden
  • philosophund 11.04.2016 20:34
    Highlight haha.. erinnert sich noch jemand an das Dr.Watson debugger von Windows? kommt schon Watsonteam.. reinigt mal die Seuche.
    10 0 Melden
    • Retarded Wizard 12.04.2016 03:19
      Highlight
      0 1 Melden
  • Gelöschter Benutzer 11.04.2016 19:43
    Highlight Fairerweise sollte man ev. auch erwähnen, dass auch andere News Sites, wie z.B. Watson schon Opfer von bösen Werbenetzwerken wurde:
    https://twitter.com/DavidWiederkehr/status/542707746609844224
    https://twitter.com/StrebelLuca/status/561367944794738688

    Für die zweite Panne kann die IT der 20 Minuten recht wenig - da muss man die Schuldigen eher im Marketing und Management suchen.
    22 7 Melden
  • Hans Jürg 11.04.2016 17:19
    Highlight Was? 20Min möglicherweise gesperrt in meiner Firma? Wäre mir ohne diesen Bericht gar nie aufgefallen ;-)
    41 4 Melden
    • Human 13.04.2016 10:26
      Highlight Unsere IT ignoriert das knallhart ... Wart eigentlich auch schon darauf das ich es nicht mehr öffnen kann aber bisher gehts :D
      1 0 Melden
  • Matrixx 11.04.2016 16:28
    Highlight Bevor es Watson gab, war ich auch auf 20 Minuten. Mein Virenschutz hat schon damals immer Alarm geschlagen.

    Bin mir also nicht sicher, ob das wirklich "erst" der 2. Angriff ist.
    45 3 Melden
  • Olmabrotwurst 11.04.2016 16:04
    Highlight gott sei dank mach ich kein e-banking...
    25 76 Melden
    • @schurt3r 11.04.2016 16:24
      Highlight
      85 7 Melden
    • Olmabrotwurst 11.04.2016 16:32
      Highlight Ich bin mir einfach der Gefahr bewusst und es ist ziemlich einfach, sich einzuhacken wenn man sich schon von Anbeginn der Zeit mit dem Internet auseinandergesetzt hat... Aber ich sage auch, die Banken sind schon gut geschützt... aber eure PCs sind's die auch?
      18 23 Melden
    • Matrixx 11.04.2016 17:08
      Highlight Meiner auf jeden Fall. Da passiert nichts, ohne dass ich es mitkriege.

      Aber heutzutage lernt man in der Schule halt eher den Umgang mit Word, Excel und Co., statt sich wirklich mit dem Computer zu befassen und zu lernen, wie man sich schützt.
      Ein Virenschutz ist schnell installiert, damit ist man aber noch lange nicht geschützt.
      21 12 Melden
    • Olmabrotwurst 11.04.2016 18:48
      Highlight Genau das meine ich...
      5 4 Melden
    • Human 13.04.2016 10:29
      Highlight @Matrixx du sagst es, ich bin fassungslos ob der 16 Jährigen in meiner Klasse "Wo verstellt man im Word die Schriftart", "Wo ist Speichern unter", "Was ist ein Screenshot?"....HALLLLOOO habt ihr euch den überhaupt mal mit eurem PC befasst oder laden die heute nur noch Bilder und Videos hoch und checken wieviele Likes ankommen...
      0 0 Melden
  • Radiochopf 11.04.2016 16:02
    Highlight Ist nun 20min immernoch gefährdet oder nicht? schlecht kommuniziert auch Melani. Wieso sieht man auf der Starseite nichts über 20min oder sonst News? mir ist klar das sie dies nicht für jede Seite machen können aber für die Top100 Seiten in der Schweiz wäre das doch möglich.. und ja es kann jeden treffen, auch watson, darum sollte man nicht zu stark gegen 20min schiessen...
    15 11 Melden
    • @schurt3r 11.04.2016 16:17
      Highlight Ich kann nicht für 20min sprechen, da müsstest du dich direkt erkundigen.

      MELANI könnte öffentlich warnen, macht's aber nicht. Die Informationen, die an die Betreiber von kritischen Infrastrukturen gehen, seien vertraulich.

      Weiter hat uns der MELANI-Chef folgende Antwort zukommen lassen:
      «Es ist Sache jedes Unternehmens, ihre Eigenverantwortung wahr zu nehmen und bei Bedrohungen entsprechend zu handeln und wo nötig auch die Bevölkerung zu sensibilisieren. Siehe beispielsweise der Hack auf Sony, wo Sony direkt die Öffentlichkeit informiert hat.»
      28 2 Melden
    • Radiochopf 11.04.2016 16:38
      Highlight ich verstehe die Aussage von MELANI, aber es ist nicht davon auszugehen, dass alle Betreiber einer Webseite schnell reagieren können/wollen.. war ja jetzt leider gut zu sehen bei 20min.. und ab einer gewissen Gefahr kann es von nationalem Interesse sein, wenn viele PCs von Trojaner befallen sind, dann kann dies zu grossem wirtschaftlichen Schaden führen... da die Verantwortung rein auf die Betreiber zu schieben, finde ich zu einfach. Vor allem wenn MELANI noch vor den Betreibern die Informationen hat, dass da Trojaner aktiv sind und tausende PCs befallen.
      8 3 Melden
  • Theor 11.04.2016 15:48
    Highlight Kann es zufällig sein, dass ihr euch in der watson-Redaktion schelmisch einen Ast abfreut über die 20-Minuten-Stümperei? Ihr berichtet ja ganz gerne darüber. :)
    26 25 Melden
    • @schurt3r 11.04.2016 16:18
      Highlight Lieber Theor, wir berichten fair und sachlich darüber, weil es sich um das reichweitenstärkste News-Portal des Landes handelt. Schadenfreude ist fehl am Platz, weil niemand zu 100 Prozent sicher sein kann...
      67 7 Melden
    • DerWeise 11.04.2016 19:26
      Highlight Logisch wird in der Redaktion darüber geschmunzelt...

      ist nur menschlich...
      9 1 Melden
  • Syptom 11.04.2016 15:44
    Highlight Bei aller (berechtigten) Häme gegenüber 20min.ch sollten wir nicht vergessen, dass es jeden treffen könnte. Ob watson, Blick, Tagi, NZZ, Swisscom, Post, Bank, etc. ist egal.

    Da gilt es nur präventiv die Augen offen zu halten und für den Fall der Fälle vorbereitet zu sein. Und dann bitte schnell und transparent.
    46 2 Melden
  • TanookiStormtrooper 11.04.2016 15:33
    Highlight Was mich interessiert, wie würde Watson bei so einem Fall vorgehen? Seite vorübergehend vom Netz nehmen und transparent informieren (über Twitter, Facebook usw.) scheint mir am Ende vertrauensfördernder als es einfach mal ein paar Stunden unter den Teppich kehren zu wollen.
    49 1 Melden
    • @schurt3r 11.04.2016 15:46
      Highlight Offene (und schnelle) Kommunikation ist das Wichtigste.
      Weitere Massnahmen hängen von der konkreten Bedrohungslage ab...
      43 4 Melden
  • Charlie B. 11.04.2016 15:02
    Highlight Also mich stört es nicht so, dass auch unsere Firma 20min.ch gesperrt hat, es gibt schlimmeres ;-)
    49 5 Melden
  • Olaf44512 11.04.2016 14:36
    Highlight Zur Hölle mit Flash! 20min soll mal in der Zukunft ankommen und den Schrott nicht mehr verwenden!
    107 4 Melden
    • ben_fliggo 11.04.2016 16:27
      Highlight Absolut. Unglaublich wieviele Leute diesen Kram noch installiert haben.
      28 2 Melden
  • Gelöschter Benutzer 11.04.2016 14:32
    Highlight Windows-User plus «20 Minuten»-Leser scheint eine Traumkombination zu sein.
    63 36 Melden
    • ben_fliggo 11.04.2016 16:26
      Highlight Plus Flash nicht deinstalliert ;-)
      28 2 Melden
    • LeKnut 11.04.2016 17:44
      Highlight Es ist eine Sicherheitslücke in Flash, nicht in Windows. Microsoft kann da herzlich wenig dafür..
      15 2 Melden
    • Oberon 11.04.2016 19:38
      Highlight Bei einem Autounfall ist ja auch das Auto schuld und sicher nicht der Fahrer.
      7 1 Melden

«No-Billag-Propaganda» – Forscher schäumt wegen Bericht über «linke» SRG-Journalisten

Medienprofessor Vinzenz Wyss erhebt happige Vorwürfe gegen die Redaktion der «SonntagsZeitung»: Diese habe seine Studie benutzt, um politisch Stimmung zu machen. Die Verantwortlichen dementieren. 

Die Meldung verbreitete sich in Windeseile: Die SRG-Journalisten hätten einen Linksdrall, vermeldeten gestern die Newsportale im ganzen Land – auch watson. Anlass war ein entsprechender Artikel der SonntagsZeitung, der sich auf eine Untersuchung der ZHAW stützte. Nun meldet sich Studienautor Vinzenz Wyss zu Wort und erhebt schwere Vorwürfe gegen die verantwortlichen Redaktoren.

Herr Wyss, «fast drei Viertel aller SRG-Journalisten» seien links, schrieb die «SonntagsZeitung» unter Berufung auf …

Artikel lesen