Wahrscheinlich Server falsch konfiguriert, aber Mediengruppe DuMont gibt „Hackerangriff“ die Schuld [Update]

Logo der DuMont-Mediengruppe
via wikipedia

In einer Pressemitteilung hat die DuMont-Mediengruppe gestern über einen angeblichen Hackangriff auf ihre Server berichtet. Als Reaktion habe man alle betroffenen Systeme abgeschaltet und die Kunden aufgerufen, ihre Passwörter zu ändern. Allerdings scheint der wahre Grund für die Sicherheitslücke eine falsche Konfiguration der internen Server gewesen zu sein.

In der Nacht zum Sonntag waren einige Internetauftritte der Mediengruppe nicht mehr verfügbar. Auf Twitter machte ein Link die Runde, der auf den offenen Server verwies. Folgte man diesem Link, erhielt man Zugriff auf die Quelldateien des verwendeten Content Management Sytems Perch und die Zugangsdaten der Datenbank. Die Logdateien der Zugriffe von Abo-Kunden waren ebenso einsehbar wie deren im Klartext gespeicherten Passwörter, Namen, E-Mail-Adressen und Zugriffsdaten. Außerdem waren 250 eingescannte Studienbescheinigungen, die Studierende dem Kölner Stadtanzeiger geschickt hatten, verfügbar.

Fahrlässig: Kundenpasswörter lagen unverschlüsselt auf Server

Der Kreis der Betroffenen dürfte recht groß sein, denn zu DuMont gehören unter anderem folgende Medien: Kölner Stadt-Anzeiger, Kölnische Rundschau, Berliner Zeitung, Mitteldeutsche Zeitung, EXPRESS, Berliner Kurier, Hamburger Morgenpost, außerdem verschiedene regionale Anzeigenblätter sowie lokale Radio- und TV-Sender wie Köln.tv, TV Halle und joiz Germany.

Die Folgen des fahrlässigen Umgangs mit den eigenen Servern tat man mit den Worten ab, es handele „sich wahrscheinlich um einen Zugriff Dritter auf Serverdaten und zum anderem um die Webauftritte der Portale, die seit der Nacht zu Sonntag nicht mehr erreichbar sind.“ Der kritische Zustand der Server dauerte mehrere Stunden an, laut DuMont wurde die „Sicherheitslücke noch am Sonntagmorgen geschlossen.“

IT-Sicherheit scheint bei DuMont nicht besonders groß geschrieben zu werden: Alle Kundenpasswörter lagen unverschlüsselt als Textdateien auf dem Server. Dazu gab es bislang kein Kommentar seitens DuMont. Telefonisch war bei dem Unternehmen heute niemand erreichbar um Auskunft über die Hintergründe zu geben. Auf Rückfrage per E-Mail äußerte Kommunikationsleiter Björn Schmidt, man befünde sich noch in der Analyse und werde „so schnell wie möglich weitere Erkenntnisse kommunizieren“. Merkwürdig nur, dass bei DuMont das Datenleck schon vor dem Abschluss der Analyse als Hackangriff deklariert wurde.

[Update, 12.4., 13:] In einer gestern Abend veröffentlichten Pressemitteilung hat DuMont nun seine Aussage korrigiert. Statt eines Hackangriffs sei eine Störung ursächlich für die Komplikationen gewesen. „Aufgrund einer technischen Panne waren für einen kurzen Zeitraum Daten für Außenstehende sichtbar“, so der Verlag. Man werde alle Kunden persönlich informieren.

Nach der bisherigen Analyse handelt es sich bei den Daten, die betroffen sein können, um Informationen aus E-Paper-Abonnements aus Köln, Berlin und Hamburg. Ob über die gesicherten Erkenntnisse hinaus der Zugriff auf weitere Daten möglich war, wird derzeit analysiert.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

14 Ergänzungen

  1. Interessant in dem Zusammenhang ist, dass zu DuMont auch der Bundesanzeiger Verlag gehört, der das Bundesgesetzblatt – derzeit nur amtlich als Papierfassung, aber auch den Bundesanzeiger herausgibt – amtliche Fassung des Bundesanzeigers ist seit 2012 ausschließlich die elektronische Fassung. Kann man jetzt seine eigenen Texte im amtlichen Bundesanzeiger unterbringen? Das würde einiges Beschleunigen, da eventuell lange Umwege über Bundestag und Bundesrat entfallen ;-) Vielleicht tauchen demnächst die Panama paper auch im Unternehmensregister auf.

  2. Ich habe ein Zeitungsabo aus dem Hause DuMont aboniert und frage mich natürlich auch, ob meine Daten abgegriffen wurden. Meine abonierte Tageszeitung aus dem Hause DuMont hat einen kleinen Artikel auf der ersten Seite geschrieben, den ich euch gerne vorlesen..äähh..schreiben möchte:

    [/Zitat]
    Liebe Leserinnen, liebe Leser,
    in der Nacht zu Sonntag sind die digitalen Auftritte der Tageszeitungen der DuMont-Mediengruppe offenbar Opfer eines Angriffes von außen geworden. Unbefugte haben dabei möglicherweise unerlaubte Daten von Servern heruntergeladen. Die betroffenen Systeme sind am frühen Sonntagmorgen direkt abgeschalten worden, um Missbrauch zu verhindern und mögliche Sicherheitslücken schnellstmöglich zu schließen.

    Liebe Leserinnen und Leser, aus Sicherheitsgründen empfehlen wir Ihnen, Kennwörter zu ändern, die Sie nicht nur für unsere digitalen Produkte im Anmeldevorang verwenden, sondern auch gleichlautend in sozialen Netzwerkenund weiteren Drittangeboten. Wenn Sie Fragen haben, können Sie sich gerne am Montag von 7 bis 18 Uhr unter dieser Nummer melden: 03 45 / 279 76 37 26.
    Bis zum gestrigen frühen Nachmittag waren auch die Webauftritte der Tageszeitungen der DuMont-Mediengruppe nicht erreichbar. Wir entschuldigen uns dafür, dass wir Ihnen unseren Service nicht in der gewohnten Qualität zur Verfügung stellen konnten.
    [/Zitat]

    Ganz tolle Aktion und eine tolle Berichtserstattung von DuMont. Sie schweigen sich zu den abgegriffen Daten, auch kein Wort zu dem bestandenem Problem. Wie gut, das unabhängige Onlineseiten hier informativer berichten.
    Dann hat die Mediengruppe ein Problem, das mich als Kunde (ggf.) auchbetrifft und dann können sie nicht mal für eine Woche eine kostenlose Hotline zur Verfügung stellen. Das Sie mich per Brief informieren, ist wohl auch zu viel verlangt. Stattdessen gewähren sie mir für einen Tag (wähend meiner Arbeitszeit) eine Audienz per Telefon auf meine Kosten. Ich bin wirklich gerührt.

    1. martin, sie haben umfangreiche rechte nach dem bdsg. lesen sie das gesetz mal, besonders die dreißiger paragraphen. die firma muss ihren aufforderungen nachkommen.

      .~.

  3. Ist doch total logisch, da hat jemand die Fehlkonfiguration HEMMUNGSLOS ausgenutzt!!!

    Wenn DAS nicht verboten ist, WAS denn biite dann?!

  4. Vorweg, Fehler passieren!
    Wir testen unsere Server allerdings zuerst Intern (z.B. Server hinter einer internen Firewall, die wie die Externe konfiguriert ist), bevor wir diese Online schalten!

    … man muss ja nicht unbedingt die neuen Fachkräfte aus Syrien auf biegen und brechen anlernen!
    … weil Geiz ist nicht immer Geil, habe ich mir mal sagen lassen!
    … aber evtl. war es ja auch terroristischer Anschlag auf die Pressefreiheit?
    Da muss man doch etwas tun, nicht?
    Staatsschutz hilf! Schütze unsere unverschlüsselt abgelegten Passwörter, mach das die Unbefugten nicht auf die offenen Server gelangen!
    Sperrt das Internet, damit auch die Unachtsamen besser vor dem Internationalen Terror geschützt werden kann!
    Brauchen wir eine deutsche Firewall, die uns vor den Bösen Aus- und Inländern schützt?
    Ich fürchte … Ja!
    Oetinger ist ja schon an der richtigen Position und handelt sicher schon die Parameter für das deutsche „Regionet“ aus!
    Das freie Internet lebe lange und Frieden …

  5. Ich verwette mein komplettes Frühstück darauf, dass 98% aller Server die „gehackt“ wurden, fehlerhaft konfiguriert waren. Anderenfalls hätten die Bot-Skripte keine Chance gehabt.

    Die restlichen 2% hatten gegen die Geheimdienste ohnehin keine Chance.

  6. Hmm.
    Irgendwie bin ich nicht so allzusehr überrascht darüber, daß hier bei Dumont Kundendaten in falsche Hände geraten sind, ob gehackt oder durch Fehlkonfiguration der Server.

    Bereits im Jahr 2012 kontaktierte ich die Berliner Zeitung, weil ich auf einer Emailadresse Spam-Emails erhielt, welche ich exakt nur für das Abonnement der Berliner Zeitung verwendet habe.
    (Neben den Emails, die an die Adresse gehen, die ich bei Adobe verwendet habe (definitiv gehackt) und bei einem Radladen, der auch zugegeben hat, er sei gehackt worden.)

    Mein Hinweis, daß dies den Verdacht nahelege, die Dumont Mediengruppe sei gehackt worden, wurde nicht sehr ernst genommen. Beweisen konnte ich natürlich nichts. Ich habe daraufhin lediglich das Abonnement auf „Zahlung per Rechnung“ umgestellt. Ob damals meine Kontodaten gestohlen wurden, kann ich nicht sagen. Dieses Mal aber auf jeden Fall nicht. :-)

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.