Hol dir jetzt die beste News-App der Schweiz!
- watson: 4,5 von 5 Sternchen im App-Store ☺
- Tages-Anzeiger: 3,5 von 5 Sternchen
- Blick: 3 von 5 Sternchen
- 20 Minuten: 3 von 5 Sternchen
Du willst nur das Beste? Voilà:
Herr Klaus, welche neuen Erkenntnisse haben Sie zur Attacke?
Max Klaus: Letzte Woche gingen bei zahlreichen Schweizer Banken Drohmails im Namen des Armada Collective ein. Es wurde mit DDoS-Angriffen ab Montag, 14. März gedroht, falls das Lösegeld in Höhe von 25 Bitcoins nicht bezahlt würde. Passiert ist bisher nichts.
Bei den Webshops verhält es sich gerade umgekehrt: Unserem aktuellen Kenntnisstand zufolge sind bei keinem der betroffenen Webshops Drohschreiben eingegangen, es fanden aber DDoS-Angriffe statt.
Was bedeutet dies?
Aufgrund dieser Tatsache gehen wir momentan davon aus, dass es sich um zwei unabhängig voneinander operierende Täterkreise handelt. Übrigens haben wir bezüglich der Drohmails gegen die Banken unsere Zweifel, dass das Armada Collective dahinter stecken könnte. Normalerweise führt diese Gruppierung zuerst «Demo-Angriffe» durch, um zu zeigen, dass sie die Fähigkeiten hat, DDoS-Angriffe durchzuführen. Erst dann gehen Erpresserschreiben des Armada Collective ein.
Können Sie etwas zum Ausmass der jüngsten DDoS-Attacken sagen?
Bezüglich der Zahl der angegriffenen Online-Shops darf man sicher von einem aussergewöhnlichen Ereignis für Schweizer Verhältnisse sprechen. Was die technische Power betrifft, konnten auch schon massivere Angriffe auf einzelne Unternehmen festgestellt werden.
Wie viele betroffene Firmen haben sich gemeldet?
Bisher hat sich kein Betreiber der betroffenen Webshops mit MELANI in Verbindung gesetzt. (Es gibt auch keine gesetzliche Meldepflicht, dazu weiter unten mehr, Anmerkung der Red.)
Liegen Ihnen Informationen zu vergleichbaren aktuellen DDoS-Attacken in anderen Ländern vor?
Aktuell nicht. Vor einiger Zeit – etwa vor zwei oder drei Jahren – gab es in den USA teilweise massive DDoS-Angriffe gegen dort ansässige Banken.
Sie wurden gestern dahingehend zitiert, dass nicht Armada Collective hinter dem Angriff stecke.
Wie erwähnt: Die Vermutung liegt nahe, da Armada zuerst seine Power demonstriert und dann erpresst. Gesichert ist diese Erkenntnis aber nicht, es ist lediglich eine Vermutung unsererseits.
Falls es sich nicht um Erpressung handelt, welche anderen Motive könnten hinter solchen Angriffen stecken?
Es gab in jüngerer Vergangenheit auch schon politisch motivierte Angriffe, zum Beispiel um Staaten, die extrem stark vom Internet abhängig sind, zu destabilisieren. Dies war beispielsweise vor einigen Jahren in Georgien der Fall. Über die Motivation bei den aktuellen Angriffen lässt sich zur Zeit nur spekulieren.
Im Darknet kann fast jedermann für ein paar 100 Dollar eine DDoS-Attacke «kaufen». Wie beurteilen Sie dies?
SWITCH hat vor einigen Jahren Zahlen publiziert, wonach ein einfacher Bot pro Tag zehn US-Cents kostet, ein Bot mit einer besseren Bandbreite einen Dollar pro Tag und eine Spezialanfertigung 40 Dollar pro Tag. Selbstverständlich kann man ein Botnetz für wenige 100 Dollar mieten. Die Power, die von einem Botnetz in dieser Grösse ausgeht, dürfte aber eher bescheiden sein, auch wenn die genannten Preise eher gesunken sein dürften.
MELANI ist für den Schutz kritischer Infrastrukturen zuständig. Ab welchem Szenario könnten Ihre Fachleute einschreiten – und welche Mittel hätten sie, um DDoS-Attacken zu verhindern?
Der Auftrag, den wir vom Bundesrat haben, ist rein subsidiärer Art. Wir dürfen also nur Informationen beschaffen und an die Betreiber kritischer Infrastrukturen weitergeben. Diese Informationen stammen zu einem grossen Teil aus öffentlich nicht zugänglichen Quellen. Ein Eingreifen vor Ort, zum Beispiel in einem Rechenzentrum eines Unternehmens, ist nicht Teil des Auftrags.
Und was ist mit Gegenmassnahmen?
Ist ein DDoS-Angriff einmal erfolgt, ist es sehr schwierig, noch Gegenmassnahmen zu ergreifen. Wichtig ist, dass geschäftskritische Systeme identifiziert sind und geschützt werden, bevor ein DDoS-Angriff stattfindet. Der Schutz vor Cyber-Risiken liegt in der Schweiz immer in der Eigenverantwortung der Unternehmen. MELANI unterstützt die Unternehmen, wenn sie das wünschen. Dies ist auch ein wichtiger Eckpfeiler der «Strategie zum Schutz der Schweiz vor Cyber-Risiken», die 2012 vom Bundesrat verabschiedet worden ist.
Am Montag waren auch die SBB von der DDoS-Attacke betroffen. Handelt es sich dabei nicht um eine kritische Infrastruktur?
Selbstverständlich gehört der öffentliche Verkehr, und damit auch die SBB, zu den kritischen Infrastrukturen in der Schweiz. Die Betreiber kritischer Infrastrukturen können auf die von mir erwähnten Informationen zugreifen und weitere Unterstützung bei uns anfordern, solange diese innerhalb unseres Auftrags liegt.
Es besteht keine gesetzliche Meldepflicht für DDoS-Attacken. Wie beurteilen Sie dies?
Die Schweiz kennt keine Meldepflicht für Cyber-Vorfälle. Dies betrifft auch Phishing, Betrug, Wirtschaftsspionage usw. MELANI ist klar gegen die Einführung einer Meldepflicht. Der Informationsaustausch funktioniert nur mit grossem Vertrauen zwischen den einzelnen Parteien.
Warum sind Sie sich so sicher?
Versuche aus dem Ausland zeigen, dass die Meldepflicht eher kontraproduktiv ist. Oftmals melden die Unternehmen nur das, was sie melden müssen. Wichtige Zusatzinformationen werden unter den Tisch gewischt, weil sie nicht der Meldepflicht unterliegen.
Wir erhalten heute viel mehr Informationen auf freiwilliger Basis, als das bei einer Meldepflicht voraussichtlich der Fall wäre. Ausserdem wäre die Durchsetzung einer Meldepflicht sehr schwierig. Nicht in jedem Fall ist erkennbar, dass im aktuellen Zeitpunkt gerade ein Cyber-Angriff auf das Unternehmen XY stattfindet.
Wie sollen sich Schweizer Firmen verhalten bzw. schützen?
Wichtig ist in erster Linie die Prävention: Die businesskritischen Systeme müssen frühzeitig identifiziert und entsprechend geschützt werden. Die grossen Provider bieten solche Schutzmechanismen an. Ist ein DDoS-Angriff erfolgt, kann man nicht mehr sehr viel unternehmen. Eine Möglichkeit ist das «Geo IP Blocking», wenn bekannt ist, aus welcher Region der Welt die Angriffe kommen.
MELANI hat schon vor längerer Zeit ein Factsheet zum Schutz vor DDoS-Angriffen publiziert. Wichtig: Betroffene sollten keinesfalls auf die Forderung eingehen und bezahlen. Es gibt keine Garantie, dass die Angriffe aufhören, und man stärkt mit der Zahlung die Angreifer. Diese können in noch bessere technische Infrastrukturen investieren und diese für noch massivere Angriffe einsetzen.
Das Interview wurde schriftlich (per E-Mail) geführt.
Du willst nur das Beste? Voilà:
