Hol dir jetzt die beste News-App der Schweiz!
- watson: 4,5 von 5 Sternchen im App-Store ☺
- Tages-Anzeiger: 3,5 von 5 Sternchen
- Blick: 3 von 5 Sternchen
- 20 Minuten: 3 von 5 Sternchen
Du willst nur das Beste? Voilà:
Dem laut eigenen Angaben «erfolgreichsten Start-up der Schweiz» drohen geschäftsschädigende Zeiten. DeinDeal.ch ist ins Visier von Online-Erpressern geraten. Wie watson aus einer anonymen Quelle erfahren hat, sei bei den Betreibern des Schnäppchen-Portals ein Erpresserschreiben eingegangen.
Angeblich von einer kriminellen Gruppierung namens Armada Collective, die seit Ende 2015 mit Online-Erpressungen und Server-Überlastungsangriffen international für Schlagzeilen sorgt.
20 Bitcoins, das entspricht aktuell gut 9000 Franken.
Mit seiner Vermutung, dass auch andere Schweizer Online-Shops betroffen sind, liegt der Hinweisgeber richtig. Auf Anfrage von watson bestätigt IT-Sicherheitsexperte Max Klaus vom Bund, wenn auch vorsichtig-zurückhaltend formuliert, dass tatsächlich Informationen zu einer drohenden neuen Angriffswelle vorliegen:
Solche DDoS-Angriffe dürften vielen watson-Lesern noch in schlechter Erinnerung sein: Mitte März waren bekannte Schweizer Online-Shops wie Digitec oder Microspot während Stunden oder gar Tagen nicht zu erreichen. Unbekannte legten am «Schwarzen Montag» mit Server-Bombardements auch die Webseiten von halbstaatlichen Institutionen lahm. Zu den Opfern gehörten die Post und die SBB.
Die Täter sind nicht bekannt (dazu weiter unten mehr).
Max Klaus ist stellvertretender Leiter der Melde- und Analysestelle Informationssicherung MELANI und beschäftigt sich mit der Abwehr von Online-Gefahren.
Die Mitarbeiter seiner Fachstelle sammeln laufend Hinweise auf Attacken. Bei konkreten Bedrohungslagen warnt MELANI die Betreiber der so genannt kritischen Infrastrukturen – das sind grosse Schweizer Unternehmen wie die SBB, Post und viele mehr, die online und offline wichtige Dienstleitungen für die Bevölkerung erbringen.
Natürlich wollte watson von MELANI wissen, was von der aktuellen Bedrohung zu halten ist. Insbesondere interessiert die Frage, welche Unternehmen dieses Mal erpresst werden sollen. Doch die IT-Sicherheitsexperten des Bundes dürfen keine Details verraten, wie Max Klaus in einer schriftlichen Stellungnahme erklärt:
NDA. Das Kürzel steht für Non Disclosure Agreement. Es bezeichnet eine schriftliche Abmachung zwischen Vertragspartnern, wonach bestimmte, aus Sicht der Beteiligten heikle Informationen nicht an Journalisten weitergegeben oder veröffentlicht werden dürfen.
DeinDeal.ch gehört dem Unterhaltungskonzern Ringier, dessen Portfolio das Boulevardblatt «Blick» und weitere Medien beinhaltet. Auf Anfrage heisst es vom Mediensprecher von Deindeal.ch: «Leider können wir Sie bei Ihrer Recherche nicht unterstützen. Als E-Commerce-Plattform ist es einer unserer Grundsätze, zu Fragen betreffend unserer eigenen IT-Sicherheit generell keine Stellung zu nehmen.»
Nachfolgend geben wir die weiteren Antworten von Max Klaus auf die schriftliche Anfrage des watson-Redaktors im Wortlaut wieder:
Was raten Sie Empfängern von Erpresserschreiben?
Grundsätzlich sollte man vorbereitet sein, bevor Erpresserschreiben eingehen. Die grossen Schweizer Provider bieten derartige Schutzmassnahmen an.
Keinesfalls sollte man der Forderung nachkommen und das Lösegeld bezahlen. Einerseits unterstützt man die Täterschaft, die das erpresste Geld in noch bessere Infrastrukturen investieren kann. Andererseits macht man sich angreifbar, indem man Zahlungsbereitschaft signalisiert, was Trittbrettfahrer auf den Plan rufen könnte. Drittens gibt es keine Garantie, dass die Angriffe nach erfolgter Zahlung aufhören.
Sind grosse Schweizer E-Commerce-Unternehmen mittlerweile ausreichend geschützt?
Wir kennen die Infrastruktur der Unternehmen nicht im Detail. Grundsätzlich kann man sagen, dass es für grosse Unternehmen eher einfacher ist, ihre Infrastruktur zu schützen. Im Gegensatz zu KMU verfügen grosse Unternehmen in der Regel über die notwendigen personellen, finanziellen, technischen und organisatorischen Ressourcen, um sich gegen solche Angriffe zu wappnen. Im KMU-Bereich ist das oft nicht der Fall.
Das deutsche IT-Sicherheitsunternehmen Link11 kam im vergangenen Dezember zu folgender Einschätzung:
Max Klaus schreibt, dass er diese Einschätzung teile. «Uns sind Unternehmen bekannt, die kurze Zeit unter DDoS standen. Die Täterschaft merkte jedoch, dass sich der Aufwand für einen erfolgreichen Angriff nicht lohnt und hat sich neue Opfer gesucht.»
Allerdings gibt es bei Online-Erpressungen ein gravierendes grundsätzliches Problem: Armada Collective ist bei weitem nicht die einzige Erpresserbande, die Unternehmen mit DDoS-Angriffen unter Druck setzt. Das kriminelle Geschäftsmodell ist am Boomen.
Ebenfalls problematisch: Wenn Drohungen publik werden, treten Nachahmer und Trittbrettfahrer auf den Plan.
Das IT-Newsportal inside-it.ch berichtete Anfang April darüber, dass es «Eifersüchteleien unter (vermeintlichen) DDoS-Gruppen» gebe.
Schliesslich gibt es auch Gruppierungen, die nicht aus finanziellen Gründen fremde Webseiten aus dem Internet «bomben». Zu den bekanntesten Vertretern gehört das Anonymous-Kollektiv.
Update: Laut diesem aktuellen Bericht wird das Gefahrenpotenzial von Armada Collective massiv überschätzt. Dank des schlimmen Rufes würden viele bedrohte Unternehmen einfach bezahlen. Dabei gebe es seit längerer Zeit keine Hinweise auf durchgeführte Attacken.
Das ist nicht geklärt.
Zu den DDoS-Attacken gegen SBB, Digitec etc. von Mitte März: Welche neuen Erkenntnisse liegen Ihnen zu diesen Angriffen vor?
Max Klaus: Da zur Zeit polizeiliche Ermittlungen laufen, dürfen wir uns hierzu nicht äussern.
Trifft es zu, dass mehrere, von einander unabhängige Botnets an den Angriffen beteiligt waren?
Nach wie vor ist nicht klar, ob für diese Angriffe ein und dieselbe Gruppierung verantwortlich war. Es gibt jedoch Anzeichen dafür, dass verschiedene Gruppierungen tätig waren. Dies würde auch nahe legen, dass verschiedene Botnets zum Einsatz gekommen sind. Gesicherte Erkenntnisse gibt es dafür aber noch nicht.
Die Ermittlungsbehörden – in der Schweiz sind neben der Bundespolizei Fedpol in erster Linie die Kantonspolizeien zuständig – mühen sich ab und sind häufig einen oder zwei Schritte hinter den Kriminellen. Dazu Max Klaus: «Die Täterschaft weiss, wie man Spuren verschleiert, was die Ermittlungen natürlich erschwert. Ausserdem erstatten längst nicht alle betroffenen Unternehmen eine Strafanzeige, weshalb in vielen Fällen gar keine Ermittlungen aufgenommen werden.»
Kommt hinzu, dass DDoS-Attacken auch von Computer-Laien gegen Bezahlung (anonym) in Auftrag gegeben werden können. Kriminelle preisen ihre Dienste im Internet mehr oder weniger offen an.
Du willst nur das Beste? Voilà:
