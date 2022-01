Die Digital-Kunden der Tageszeitung taz ereilte am 23. Dezember keine frohe Kunde: Die E-Mail-Adresse für die Verwaltung der Abonnenten der App sowie der Digitalausgabe (ePaper) der Zeitung sei gehackt worden, ließ die Vertriebsgesellschaft kurz vor Weihnachten mögliche Betroffenen per E-Post wissen. Die Kriminellen hätten demnach Zugriff auf Daten wie Name, Anschrift, E-Mail-Adresse sowie die Kennung zum Download der digitalen taz nehmen können.

Anfangs hatte der Verlag nicht sagen können, welche der auf "digiabo@taz.de" gespeicherten E-Mails und weiteren Kennungen ausgespäht wurden. Am Montag stellte eine taz-Sprecherin gegenüber heise online nun klar, dass die Angreifer einige tausend Mail-Adressen "mit einem Token für den Download der digitalen Ausgabe erwischt" hätten. Die Hacker haben ihr zufolge durch ein Botnet das Passwort der Mailbox "digiabo@taz.de" geknackt und daraufhin E-Mails aus diesem Postfach heruntergeladen.

"Die Angreifer haben durch Ausprobieren aller möglichen Zeichenkombinationen ("dictionary attack") das Passwort knacken können", führte die Sprecherin aus. Dies sei nur möglich gewesen, weil die Attacke "groß angelegt war" und von über 700 verschiedenen IP-Adressen erfolgt sei.

Passwort zu einfach

Die taz hatte zuvor in der Warnung darauf verwiesen, dass die eigenen "hohen Sicherheitsstandards" ausgehebelt worden seien. Die Sprecherin räumte jetzt ein: "Die Komplexität des Passworts war für die professionell agierenden Hacker nicht hoch genug." Die Zugangsvariable sei umgehend durch eine komplexere Passphrase ersetzt worden.

Der Verlag hat der taz-Vertreterin zufolge auch Anzeige erstattet und den Vorfall mittlerweile im Einklang mit den Vorgaben der Datenschutz-Grundverordnung (DSGVO) der Berliner Aufsicht gemeldet. Ein Sprecher der Datenschutzbehörde der Hauptstadt bestätigte gegenüber heise online, dass die Datenpannenmeldung der taz am 23. Dezember eingegangen sei. Man prüfe diese derzeit und werde "gegebenenfalls Nachfragen bezüglich der ergriffenen Maßnahmen und der Speicherdauer stellen". Eine weitergehende Bewertung sei aktuell noch nicht möglich.

Gegenüber den potenziell betroffenen Kunden hatte die taz auch erklärt, dass man gemeinsam mit IT-Experten nach weiteren möglichen Sicherheitslücken suche, um diese zu schließen. Weiter hieß es in der Warnung vom Tag vor dem Heiligen Abend: "Falls Sie nach dem 19. Dezember 2021 E-Mails aus der taz bekommen (haben), in denen Sie aufgefordert werden, auf einen Link zu klicken oder eine Seite aufzurufen, die nicht eindeutig zur Domain taz.de gehört, löschen Sie diese Mail." Die Zeitungsmacher wollen mittelfristig ihre wochentägliche Printausgabe einstellen und ganz auf Online-Journalismus umschwenken.

(olb)