Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Website offline: Bei DDoS-Angriffen werden Server mit automatisierten Computer-Anfragen überflutet. symbolbild: shutterstock

Neue Erpresserwelle: Schweizer Online-Shops droht ein Schwarzer Freitag

Der Bund bestätigt gegenüber watson, dass erneut Erpresserschreiben im Umlauf sind und es in wenigen Tagen wieder zu Server-Überlastungsangriffen kommen könnte.



Dem laut eigenen Angaben «erfolgreichsten Start-up der Schweiz» drohen geschäftsschädigende Zeiten. DeinDeal.ch ist ins Visier von Online-Erpressern geraten. Wie watson aus einer anonymen Quelle erfahren hat, sei bei den Betreibern des Schnäppchen-Portals ein Erpresserschreiben eingegangen.

Angeblich von einer kriminellen Gruppierung namens Armada Collective, die seit Ende 2015 mit Online-Erpressungen und Server-Überlastungsangriffen international für Schlagzeilen sorgt.

«Uns wird mit einem DDoS-Angriff am kommenden Freitag gedroht, ausser wir zahlen 20 Bitcoins.»

Hinweisgeber, anonym

20 Bitcoins, das entspricht aktuell gut 9000 Franken.

Mit seiner Vermutung, dass auch andere Schweizer Online-Shops betroffen sind, liegt der Hinweisgeber richtig. Auf Anfrage von watson bestätigt IT-Sicherheitsexperte Max Klaus vom Bund, wenn auch vorsichtig-zurückhaltend formuliert, dass tatsächlich Informationen zu einer drohenden neuen Angriffswelle vorliegen:

«Es gibt gewisse Hinweise, dass Erpresserschreiben im Umlauf sind und es in wenigen Tagen wieder zu DDoS-Angriffen kommen könnte.»

Max Klaus, MELANI

Solche DDoS-Angriffe dürften vielen watson-Lesern noch in schlechter Erinnerung sein: Mitte März waren bekannte Schweizer Online-Shops wie Digitec oder Microspot während Stunden oder gar Tagen nicht zu erreichen. Unbekannte legten am «Schwarzen Montag» mit Server-Bombardements auch die Webseiten von halbstaatlichen Institutionen lahm. Zu den Opfern gehörten die Post und die SBB.

Die Täter sind nicht bekannt (dazu weiter unten mehr).

Beim Bund heisst es, man dürfe keine Namen nennen

Max Klaus ist stellvertretender Leiter der Melde- und Analysestelle Informationssicherung MELANI und beschäftigt sich mit der Abwehr von Online-Gefahren.

Die Mitarbeiter seiner Fachstelle sammeln laufend Hinweise auf Attacken. Bei konkreten Bedrohungslagen warnt MELANI die Betreiber der so genannt kritischen Infrastrukturen – das sind grosse Schweizer Unternehmen wie die SBB, Post und viele mehr, die online und offline wichtige Dienstleitungen für die Bevölkerung erbringen.

Natürlich wollte watson von MELANI wissen, was von der aktuellen Bedrohung zu halten ist. Insbesondere interessiert die Frage, welche Unternehmen dieses Mal erpresst werden sollen. Doch die IT-Sicherheitsexperten des Bundes dürfen keine Details verraten, wie Max Klaus in einer schriftlichen Stellungnahme erklärt: 

«Wir haben mit allen uns angeschlossenen Unternehmen ein NDA unterzeichnet und dürfen uns weder zu potenziellen Opfern noch möglichen Tätern äussern.»

Max Klaus, MELANI

NDA. Das Kürzel steht für Non Disclosure Agreement. Es bezeichnet eine schriftliche Abmachung zwischen Vertragspartnern, wonach bestimmte, aus Sicht der Beteiligten heikle Informationen nicht an Journalisten weitergegeben oder veröffentlicht werden dürfen.

Hinweise willkommen!

Ist bei deinem Unternehmen ein Erpresserschreiben eingegangen oder hast du Kenntnis von solchen (aktuellen) Vorkommnissen? Der watson-Redaktor nimmt gerne Hinweise entgegen. Auf Wunsch anonym und selbstverständlich auch verschlüsselt. Der öffentliche Schlüssel zu meiner redaktionellen E-Mail-Adresse (Impressum) ist jederzeit über den PGP-Schlüsselserver abrufbar. (dsc)

DeinDeal.ch gehört dem Unterhaltungskonzern Ringier, dessen Portfolio das Boulevardblatt «Blick» und weitere Medien beinhaltet. Auf Anfrage heisst es vom Mediensprecher von Deindeal.ch: «Leider können wir Sie bei Ihrer Recherche nicht unterstützen. Als E-Commerce-Plattform ist es einer unserer Grundsätze, zu Fragen betreffend unserer eigenen IT-Sicherheit generell keine Stellung zu nehmen.»

Nachfolgend geben wir die weiteren Antworten von Max Klaus auf die schriftliche Anfrage des watson-Redaktors im Wortlaut wieder:

Was raten Sie Empfängern von Erpresserschreiben?
Grundsätzlich sollte man vorbereitet sein, bevor Erpresserschreiben eingehen. Die grossen Schweizer Provider bieten derartige Schutzmassnahmen an.
Keinesfalls sollte man der Forderung nachkommen und das Lösegeld bezahlen. Einerseits unterstützt man die Täterschaft, die das erpresste Geld in noch bessere Infrastrukturen investieren kann. Andererseits macht man sich angreifbar, indem man Zahlungsbereitschaft signalisiert, was Trittbrettfahrer auf den Plan rufen könnte. Drittens gibt es keine Garantie, dass die Angriffe nach erfolgter Zahlung aufhören.

Sind grosse Schweizer E-Commerce-Unternehmen mittlerweile ausreichend geschützt?
Wir kennen die Infrastruktur der Unternehmen nicht im Detail. Grundsätzlich kann man sagen, dass es für grosse Unternehmen eher einfacher ist, ihre Infrastruktur zu schützen. Im Gegensatz zu KMU verfügen grosse Unternehmen in der Regel über die notwendigen personellen, finanziellen, technischen und organisatorischen Ressourcen, um sich gegen solche Angriffe zu wappnen. Im KMU-Bereich ist das oft nicht der Fall.

Wer steckt hinter Armada Collective?

Das deutsche IT-Sicherheitsunternehmen Link11 kam im vergangenen Dezember zu folgender Einschätzung:

«Armada Collective agiert bei den DDoS-Erpressungen in weiten Teilen professionell. Der Einsatz von Warnattacken folgt bekannten Mustern und hat grosses Droh-Potenzial für die attackierten Unternehmen. Um die Arbeit effizient zu halten, vollstreckt Armada Collective die angekündigten Attacken nur gegen unzureichend oder ganz ungeschützte Firmen. Unternehmen, die durch einen leistungsstarken DDoS-Schutz abgesichert sind, wurden offensichtlich bisher nicht angegriffen. Dieses Vorgehen der Erpresser zeigt, wie wirksam die Installation einer geeigneten DDoS-Schutzlösung für die Absicherung des Geschäftsbetriebs ist.»

quelle: link11 armada collective report

Max Klaus schreibt, dass er diese Einschätzung teile. «Uns sind Unternehmen bekannt, die kurze Zeit unter DDoS standen. Die Täterschaft merkte jedoch, dass sich der Aufwand für einen erfolgreichen Angriff nicht lohnt und hat sich neue Opfer gesucht.»

Allerdings gibt es bei Online-Erpressungen ein gravierendes grundsätzliches Problem: Armada Collective ist bei weitem nicht die einzige Erpresserbande, die Unternehmen mit DDoS-Angriffen unter Druck setzt. Das kriminelle Geschäftsmodell ist am Boomen.

Ebenfalls problematisch: Wenn Drohungen publik werden, treten Nachahmer und Trittbrettfahrer auf den Plan.

Das IT-Newsportal inside-it.ch berichtete Anfang April darüber, dass es «Eifersüchteleien unter (vermeintlichen) DDoS-Gruppen» gebe.

Schliesslich gibt es auch Gruppierungen, die nicht aus finanziellen Gründen fremde Webseiten aus dem Internet «bomben». Zu den bekanntesten Vertretern gehört das Anonymous-Kollektiv.

Update: Laut diesem aktuellen Bericht wird das Gefahrenpotenzial von Armada Collective massiv überschätzt. Dank des schlimmen Rufes würden viele bedrohte Unternehmen einfach bezahlen. Dabei gebe es seit längerer Zeit keine Hinweise auf durchgeführte Attacken.

«Leere Drohungen»

Bild

Die US-Firma Cloudflare behauptet, die Unbekannten, die sich hinter dem Pseudonym Armada Collective verstecken, machten nicht Ernst. Im Gegensatz zu anderen Gruppierungen. screenshot: cloudflare.com

Wie hängen die neuen Drohungen mit den Angriffen vom März zusammen?

Das ist nicht geklärt.

Zu den DDoS-Attacken gegen SBB, Digitec etc. von Mitte März: Welche neuen Erkenntnisse liegen Ihnen zu diesen Angriffen vor?
Max Klaus: Da zur Zeit polizeiliche Ermittlungen laufen, dürfen wir uns hierzu nicht äussern.

Trifft es zu, dass mehrere, von einander unabhängige Botnets an den Angriffen beteiligt waren?
Nach wie vor ist nicht klar, ob für diese Angriffe ein und dieselbe Gruppierung verantwortlich war. Es gibt jedoch Anzeichen dafür, dass verschiedene Gruppierungen tätig waren. Dies würde auch nahe legen, dass verschiedene Botnets zum Einsatz gekommen sind. Gesicherte Erkenntnisse gibt es dafür aber noch nicht.

Was unternimmt die Polizei?

Die Ermittlungsbehörden – in der Schweiz sind neben der Bundespolizei Fedpol in erster Linie die Kantonspolizeien zuständig – mühen sich ab und sind häufig einen oder zwei Schritte hinter den Kriminellen. Dazu Max Klaus: «Die Täterschaft weiss, wie man Spuren verschleiert, was die Ermittlungen natürlich erschwert. Ausserdem erstatten längst nicht alle betroffenen Unternehmen eine Strafanzeige, weshalb in vielen Fällen gar keine Ermittlungen aufgenommen werden.»

Kommt hinzu, dass DDoS-Attacken auch von Computer-Laien gegen Bezahlung (anonym) in Auftrag gegeben werden können. Kriminelle preisen ihre Dienste im Internet mehr oder weniger offen an.

Die Vorgeschichte: DDoS-Attacken auf Schweizer Unternehmen

DDoS-Attacken auf Schweizer Online-Shops und E-Mail-Konten-Hack hängen zusammen

Link zum Artikel

DDoS-Attacken in der Schweiz: «Es meinen immer noch viele, sie seien zu unbedeutend, um Ziel eines Hacker-Angriffs zu werden»

Link zum Artikel

Digitec «im Ausnahmezustand»: Online-Shops der Migros-Tochter offline – auch Filialen betroffen

Link zum Artikel

Grossangriff auf SBB, Digitec, Interdiscount und Co: Steckt diese Hacker-Gruppe dahinter?

Link zum Artikel

Hier kannst du zusehen, wie die Welt jetzt gerade gehackt wird

Link zum Artikel
Alle Artikel anzeigen

Das könnte dich auch interessieren:

Wie ich nach 3 Stunden Möbelhaus von Wolke 7 plumpste

Link zum Artikel

Die Fallzahlen steigen wieder leicht an – so sieht's in deinem Kanton aus

Link zum Artikel

Der Mann, der es wagt, Trump zu widersprechen

Link zum Artikel

Magic Johnson vs. Larry Bird – ein College-Final als Beginn einer grossen Sportrivalität

Link zum Artikel

4 Gründe, weshalb die Corona-Zahlen des BAG wenig mit der Realität zu tun haben

Link zum Artikel

Wie ansteckend sind Kinder wirklich? Was die Wissenschaft bis jetzt dazu weiss

Link zum Artikel

Das iPad kriegt Radar? Darum ist der Lidar-Sensor eine kleine Revolution

Link zum Artikel

Lasst meinen Sex in Ruhe, ihr Ehe- und Kartoffel-Fanatiker!

Link zum Artikel

So lief Tag 1 nach Bekanntgabe der «ausserordentliche Lage» für die Schweiz

Link zum Artikel

Corona International: EU beschliesst Einreisestopp ++ Italien mit 345 neuen Todesopfern

Link zum Artikel

Die Schweiz befindet sich im Notstand – die 18 wichtigsten Antworten zur neuen Lage

Link zum Artikel

«Wir hätten Messi im Sommer besser verkauft»

Link zum Artikel

Ein Virus beendet Jonas Hillers Karriere: «Es gäbe noch viel schlimmere Szenarien»

Link zum Artikel
Alle Artikel anzeigen
DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Analyse

3 Hauptargumente der KVI-Gegner auf dem Prüfstand

Der Kampf um die Konzernverantwortungsinitiative (KVI) tobt unerbittlich. Dabei argumentieren die Gegner auch mit Vorwürfen, die sich bei genauerer Betrachtung als falsch herausstellen. Drei Argumente im Prüfstand.

Im Abstimmungskampf zur KVI gehen die Wogen hoch. Ja-Fahnen zieren jeden zweiten innerstädtischen Balkon, die Initianten machten diese Abstimmung zur teuersten aller Zeiten. Auf der anderen Seite werden die Initianten auf Facebook in einer Verleumdungskampagne als «linke Krawallanten» verunglimpft und Ueli Maurer wird «bei der Arroganz, die hinter dieser Initiative steckt, fast schlecht».

So hart die Bandagen in diesem Kampf sind, so knapp wird wohl auch das Ergebnis werden. Momentan liegen …

Artikel lesen
Link zum Artikel