DDoS-Attacken
Neue Erpresserwelle: Schweizer Online-Shops droht ein Schwarzer Freitag

Der Bund bestätigt, dass erneut Erpresserschreiben im Umlauf sind und es in wenigen Tagen wieder zu Server-Überlastungsangriffen kommen könnte.

Daniel Schurter
Merken
Drucken
Teilen
Website offline: Bei DDoS-Angriffen werden Server mit automatisierten Computer-Anfragen überflutet. (Symbolbild)

Website offline: Bei DDoS-Angriffen werden Server mit automatisierten Computer-Anfragen überflutet. (Symbolbild)

Ho

Dem laut eigenen Angaben «erfolgreichsten Start-up der Schweiz» drohen geschäftsschädigende Zeiten. DeinDeal.ch ist ins Visier von Online-Erpressern geraten. Wie watson aus einer anonymen Quelle erfahren hat, sei bei den Betreibern des Schnäppchen-Portals ein Erpresserschreiben eingegangen.

Angeblich von einer kriminellen Gruppierung namens Armada Collective, die seit Ende 2015 mit Online-Erpressungen und Server-Überlastungsangriffen international für Schlagzeilen sorgt.

«Uns wird mit einem DDoS-Angriff am kommenden Freitag gedroht, ausser wir zahlen 20 Bitcoins.»
Hinweisgeber, anonym

20 Bitcoins, das entspricht aktuell gut 9000 Franken.

Mit seiner Vermutung, dass auch andere Schweizer Online-Shops betroffen sind, liegt der Hinweisgeber richtig. Auf Anfrage von watson bestätigt IT-Sicherheitsexperte Max Klaus vom Bund, wenn auch vorsichtig-zurückhaltend formuliert, dass tatsächlich Informationen zu einer drohenden neuen Angriffswelle vorliegen:

«Es gibt gewisse Hinweise, dass Erpresserschreiben im Umlauf sind und es in wenigen Tagen wieder zu DDoS-Angriffen kommen könnte.»
Max Klaus, MELANI

Solche DDoS-Angriffe dürften vielen watson-Lesern noch in schlechter Erinnerung sein: Mitte März waren bekannte Schweizer Online-Shops wie Digitec oder Microspot während Stunden oder gar Tagen nicht zu erreichen. Unbekannte legten am «Schwarzen Montag» mit Server-Bombardements auch die Webseiten von halbstaatlichen Institutionen lahm. Zu den Opfern gehörten die Post und die SBB.

Beim Bund heisst es, man dürfe keine Namen nennen
Max Klaus ist stellvertretender Leiter der Melde- und Analysestelle Informationssicherung MELANI und beschäftigt sich mit der Abwehr von Online-Gefahren.

Die Mitarbeiter seiner Fachstelle sammeln laufend Hinweise auf Attacken. Bei konkreten Bedrohungslagen warnt MELANI die Betreiber der so genannt kritischen Infrastrukturen – das sind grosse Schweizer Unternehmen wie die SBB, Post und viele mehr, die online und offline wichtige Dienstleitungen für die Bevölkerung erbringen.

Natürlich wollte watson von MELANI wissen, was von der aktuellen Bedrohung zu halten ist. Insbesondere interessiert die Frage, welche Unternehmen dieses Mal erpresst werden sollen. Doch die IT-Sicherheitsexperten des Bundes dürfen keine Details verraten, wie Max Klaus in einer schriftlichen Stellungnahme erklärt:

«Wir haben mit allen uns angeschlossenen Unternehmen ein NDA unterzeichnet und dürfen uns weder zu potenziellen Opfern noch möglichen Tätern äussern.»

NDA. Das Kürzel steht für Non Disclosure Agreement. Es bezeichnet eine schriftliche Abmachung zwischen Vertragspartnern, wonach bestimmte, aus Sicht der Beteiligten heikle Informationen nicht an Journalisten weitergegeben oder veröffentlicht werden dürfen.

DeinDeal.ch gehört dem Unterhaltungskonzern Ringier, dessen Portfolio das Boulevardblatt «Blick» und weitere Medien beinhaltet. Auf Anfrage heisst es vom Mediensprecher von Deindeal.ch: «Leider können wir Sie bei Ihrer Recherche nicht unterstützen. Als E-Commerce-Plattform ist es einer unserer Grundsätze, zu Fragen betreffend unserer eigenen IT-Sicherheit generell keine Stellung zu nehmen.»

Nachfolgend geben wir die weiteren Antworten von Max Klaus auf die schriftliche Anfrage des watson-Redaktors im Wortlaut wieder:

Was raten Sie Empfängern von Erpresserschreiben?
Grundsätzlich sollte man vorbereitet sein, bevor Erpresserschreiben eingehen. Die grossen Schweizer Provider bieten derartige Schutzmassnahmen an.
Keinesfalls sollte man der Forderung nachkommen und das Lösegeld bezahlen. Einerseits unterstützt man die Täterschaft, die das erpresste Geld in noch bessere Infrastrukturen investieren kann. Andererseits macht man sich angreifbar, indem man Zahlungsbereitschaft signalisiert, was Trittbrettfahrer auf den Plan rufen könnte. Drittens gibt es keine Garantie, dass die Angriffe nach erfolgter Zahlung aufhören.

Sind grosse Schweizer E-Commerce-Unternehmen mittlerweile ausreichend geschützt?
Wir kennen die Infrastruktur der Unternehmen nicht im Detail. Grundsätzlich kann man sagen, dass es für grosse Unternehmen eher einfacher ist, ihre Infrastruktur zu schützen. Im Gegensatz zu KMU verfügen grosse Unternehmen in der Regel über die notwendigen personellen, finanziellen, technischen und organisatorischen Ressourcen, um sich gegen solche Angriffe zu wappnen. Im KMU-Bereich ist das oft nicht der Fall.

Wer steckt hinter Armada Collective?

Das deutsche IT-Sicherheitsunternehmen Link11 kam im vergangenen Dezember in seinem Armada Collective Report zu folgender Einschätzung:

«Armada Collective agiert bei den DDoS-Erpressungen in weiten Teilen professionell. Der Einsatz von Warnattacken folgt bekannten Mustern und hat grosses Droh-Potenzial für die attackierten Unternehmen. Um die Arbeit effizient zu halten, vollstreckt Armada Collective die angekündigten Attacken nur gegen unzureichend oder ganz ungeschützte Firmen. Unternehmen, die durch einen leistungsstarken DDoS-Schutz abgesichert sind, wurden offensichtlich bisher nicht angegriffen. Dieses Vorgehen der Erpresser zeigt, wie wirksam die Installation einer geeigneten DDoS-Schutzlösung für die Absicherung des Geschäftsbetriebs ist.»

Max Klaus schreibt, dass er diese Einschätzung teile. «Uns sind Unternehmen bekannt, die kurze Zeit unter DDoS standen. Die Täterschaft merkte jedoch, dass sich der Aufwand für einen erfolgreichen Angriff nicht lohnt und hat sich neue Opfer gesucht.»

Allerdings gibt es bei Online-Erpressungen ein gravierendes grundsätzliches Problem: Armada Collective ist bei weitem nicht die einzige Erpresserbande, die Unternehmen mit DDoS-Angriffen unter Druck setzt. Das kriminelle Geschäftsmodell ist am Boomen.

Ebenfalls problematisch: Wenn Drohungen publik werden, treten Nachahmer und Trittbrettfahrer auf den Plan.

Das IT-Newsportal inside-it.ch berichtete Anfang April darüber, dass es «Eifersüchteleien unter (vermeintlichen) DDoS-Gruppen» gebe.

Schliesslich gibt es auch Gruppierungen, die nicht aus finanziellen Gründen fremde Webseiten aus dem Internet «bomben». Zu den bekanntesten Vertretern gehört das Anonymous-Kollektiv.

Wie hängen die neuen Drohungen mit den Angriffen vom März zusammen?
Das ist nicht geklärt.

Zu den DDoS-Attacken gegen SBB, Digitec etc. von Mitte März: Welche neuen Erkenntnisse liegen Ihnen zu diesen Angriffen vor?
Max Klaus: Da zur Zeit polizeiliche Ermittlungen laufen, dürfen wir uns hierzu nicht äussern.

Trifft es zu, dass mehrere, von einander unabhängige Botnets an den Angriffen beteiligt waren?
Nach wie vor ist nicht klar, ob für diese Angriffe ein und dieselbe Gruppierung verantwortlich war. Es gibt jedoch Anzeichen dafür, dass verschiedene Gruppierungen tätig waren. Dies würde auch nahe legen, dass verschiedene Botnets zum Einsatz gekommen sind. Gesicherte Erkenntnisse gibt es dafür aber noch nicht.

Was unternimmt die Polizei?
Die Ermittlungsbehörden – in der Schweiz sind neben der Bundespolizei Fedpol in erster Linie die Kantonspolizeien zuständig – mühen sich ab und sind häufig einen oder zwei Schritte hinter den Kriminellen. Dazu Max Klaus: «Die Täterschaft weiss, wie man Spuren verschleiert, was die Ermittlungen natürlich erschwert. Ausserdem erstatten längst nicht alle betroffenen Unternehmen eine Strafanzeige, weshalb in vielen Fällen gar keine Ermittlungen aufgenommen werden.»

Kommt hinzu, dass DDoS-Attacken auch von Computer-Laien gegen Bezahlung (anonym) in Auftrag gegeben werden können. Kriminelle preisen ihre Dienste im Internet mehr oder weniger offen an.