Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Computer Laptop Hand

Die Migros sagt, der Angriff auf ihre Online-Shops sei «ohne Vorwarnung» erfolgt.
bild: shutterstock

Interview

Warum kann der Bund Schweizer Firmen nicht vor Online-Attacken schützen, Herr Klaus? 

Max Klaus, IT-Sicherheitsexperte des Bundes, über Erpressungsversuche bei Schweizer Banken und Online-Shops. Und warum dem Staat die Hände gebunden sind.



Herr Klaus, welche neuen Erkenntnisse haben Sie zur Attacke?
Max Klaus:
Letzte Woche gingen bei zahlreichen Schweizer Banken Drohmails im Namen des Armada Collective ein. Es wurde mit DDoS-Angriffen ab Montag, 14. März gedroht, falls das Lösegeld in Höhe von 25 Bitcoins nicht bezahlt würde. Passiert ist bisher nichts.

Bei den Webshops verhält es sich gerade umgekehrt: Unserem aktuellen Kenntnisstand zufolge sind bei keinem der betroffenen Webshops Drohschreiben eingegangen, es fanden aber DDoS-Angriffe statt.

Was bedeutet dies?
Aufgrund dieser Tatsache gehen wir momentan davon aus, dass es sich um zwei unabhängig voneinander operierende Täterkreise handelt. Übrigens haben wir bezüglich der Drohmails gegen die Banken unsere Zweifel, dass das Armada Collective dahinter stecken könnte. Normalerweise führt diese Gruppierung zuerst «Demo-Angriffe» durch, um zu zeigen, dass sie die Fähigkeiten hat, DDoS-Angriffe durchzuführen. Erst dann gehen Erpresserschreiben des Armada Collective ein.

«Über die Motivation bei den aktuellen Angriffen lässt sich zur Zeit nur spekulieren.»

Max Klaus

Können Sie etwas zum Ausmass der jüngsten DDoS-Attacken sagen?
Bezüglich der Zahl der angegriffenen Online-Shops darf man sicher von einem aussergewöhnlichen Ereignis für Schweizer Verhältnisse sprechen. Was die technische Power betrifft, konnten auch schon massivere Angriffe auf einzelne Unternehmen festgestellt werden.

Wie viele betroffene Firmen haben sich gemeldet?
Bisher hat sich kein Betreiber der betroffenen Webshops mit MELANI in Verbindung gesetzt. (Es gibt auch keine gesetzliche Meldepflicht, dazu weiter unten mehr, Anmerkung der Red.)

Angriff «ohne Vorwarnung»

Die Migros sagt, sie habe die jüngsten DDoS-Attacken auf die Online-Shops melectronics.ch, micasa.ch und doitgarden.ch den Behörden gemeldet. Dies sei via MELANI-Website erfolgt, erklärte Mediensprecherin Martina Bosshard am späten Dienstagmorgen. Sie sagt, dass kein Erpresserschreiben bei der Migros eingegangen sei: «Wir haben keine Vorwarnung bekommen.» Es sei auch nicht bekannt, wer hinter dem Angriff stecke.

Was die Abwehr von zukünftigen Angriffen betrifft, sagt die Migros-Sprecherin: «Wir sind gut aufgestellt, aber niemand kann sich gänzlich vor Angriffen schützen.» Die IT-Verantwortlichen hätten die Swisscom beauftragt, zum Schutz der eigenen Websites eine «Grenzkontroll-Station» einzurichten. Nun würden alle Webseiten-Aufrufe durch einen Filter geleitet. Es sei allerdings nicht ausgeschlossen, dass es nochmals zu Problemen kommen könnte.

Die Migros-Sprecherin: «Wir haben bewiesen, dass wir – gemeinsam mit verschiedenen Partnern – schnell Massnahmen ergreifen können.» Man werde nun die Situation analysieren und schauen, welche zusätzlichen Sicherheitsmassnahmen sinnvoll seien.

Liegen Ihnen Informationen zu vergleichbaren aktuellen DDoS-Attacken in anderen Ländern vor?
Aktuell nicht. Vor einiger Zeit – etwa vor zwei oder drei Jahren – gab es in den USA teilweise massive DDoS-Angriffe gegen dort ansässige Banken.

Max Klaus, Melani, IT-Sicherheitsexperte, Bund

Max Klaus ist stellvertretender Leiter von MELANI, der Melde- und Analysestelle Informationssicherung des Bundes. Das ist die Koordinationsstelle innerhalb der Bundesverwaltung, die unter anderem für den Schutz der kritischen Infrastrukturen des Landes vor Cyber-Angriffen zuständig ist.
bild: zvg

Sie wurden gestern dahingehend zitiert, dass nicht Armada Collective hinter dem Angriff stecke. 
Wie erwähnt: Die Vermutung liegt nahe, da Armada zuerst seine Power demonstriert und dann erpresst. Gesichert ist diese Erkenntnis aber nicht, es ist lediglich eine Vermutung unsererseits.

Falls es sich nicht um Erpressung handelt, welche anderen Motive könnten hinter solchen Angriffen stecken?
Es gab in jüngerer Vergangenheit auch schon politisch motivierte Angriffe, zum Beispiel um Staaten, die extrem stark vom Internet abhängig sind, zu destabilisieren. Dies war beispielsweise vor einigen Jahren in Georgien der Fall. Über die Motivation bei den aktuellen Angriffen lässt sich zur Zeit nur spekulieren.

«Angreifer können in noch bessere technische Infrastrukturen investieren und diese für noch massivere Angriffe einsetzen.»

Max Klaus

Im Darknet kann fast jedermann für ein paar 100 Dollar eine DDoS-Attacke «kaufen». Wie beurteilen Sie dies?
SWITCH hat vor einigen Jahren Zahlen publiziert, wonach ein einfacher Bot pro Tag zehn US-Cents kostet, ein Bot mit einer besseren Bandbreite einen Dollar pro Tag und eine Spezialanfertigung 40 Dollar pro Tag. Selbstverständlich kann man ein Botnetz für wenige 100 Dollar mieten. Die Power, die von einem Botnetz in dieser Grösse ausgeht, dürfte aber eher bescheiden sein, auch wenn die genannten Preise eher gesunken sein dürften.

Bild

Warum mehrere grosse Schweizer Online-Shops sowie die SBB unter Beschuss geraten sind, ist weiterhin unklar.
Bild: shutterstock

MELANI ist für den Schutz kritischer Infrastrukturen zuständig. Ab welchem Szenario könnten Ihre Fachleute einschreiten – und welche Mittel hätten sie, um DDoS-Attacken zu verhindern?
Der Auftrag, den wir vom Bundesrat haben, ist rein subsidiärer Art. Wir dürfen also nur Informationen beschaffen und an die Betreiber kritischer Infrastrukturen weitergeben. Diese Informationen stammen zu einem grossen Teil aus öffentlich nicht zugänglichen Quellen. Ein Eingreifen vor Ort, zum Beispiel in einem Rechenzentrum eines Unternehmens, ist nicht Teil des Auftrags.

Und was ist mit Gegenmassnahmen?
Ist ein DDoS-Angriff einmal erfolgt, ist es sehr schwierig, noch Gegenmassnahmen zu ergreifen. Wichtig ist, dass geschäftskritische Systeme identifiziert sind und geschützt werden, bevor ein DDoS-Angriff stattfindet. Der Schutz vor Cyber-Risiken liegt in der Schweiz immer in der Eigenverantwortung der Unternehmen. MELANI unterstützt die Unternehmen, wenn sie das wünschen. Dies ist auch ein wichtiger Eckpfeiler der «Strategie zum Schutz der Schweiz vor Cyber-Risiken», die 2012 vom Bundesrat verabschiedet worden ist.

Am Montag waren auch die SBB von der DDoS-Attacke betroffen. Handelt es sich dabei nicht um eine kritische Infrastruktur?
Selbstverständlich gehört der öffentliche Verkehr, und damit auch die SBB, zu den kritischen Infrastrukturen in der Schweiz. Die Betreiber kritischer Infrastrukturen können auf die von mir erwähnten Informationen zugreifen und weitere Unterstützung bei uns anfordern, solange diese innerhalb unseres Auftrags liegt.

«Wichtige Zusatzinformationen werden unter den Tisch gewischt, weil sie nicht der Meldepflicht unterliegen.»

Max Klaus

Es besteht keine gesetzliche Meldepflicht für DDoS-Attacken. Wie beurteilen Sie dies?
Die Schweiz kennt keine Meldepflicht für Cyber-Vorfälle. Dies betrifft auch Phishing, Betrug, Wirtschaftsspionage usw. MELANI ist klar gegen die Einführung einer Meldepflicht. Der Informationsaustausch funktioniert nur mit grossem Vertrauen zwischen den einzelnen Parteien.

Warum sind Sie sich so sicher?
Versuche aus dem Ausland zeigen, dass die Meldepflicht eher kontraproduktiv ist. Oftmals melden die Unternehmen nur das, was sie melden müssen. Wichtige Zusatzinformationen werden unter den Tisch gewischt, weil sie nicht der Meldepflicht unterliegen.

Wir erhalten heute viel mehr Informationen auf freiwilliger Basis, als das bei einer Meldepflicht voraussichtlich der Fall wäre. Ausserdem wäre die Durchsetzung einer Meldepflicht sehr schwierig. Nicht in jedem Fall ist erkennbar, dass im aktuellen Zeitpunkt gerade ein Cyber-Angriff auf das Unternehmen XY stattfindet.

Wie sollen sich Schweizer Firmen verhalten bzw. schützen?
Wichtig ist in erster Linie die Prävention: Die businesskritischen Systeme müssen frühzeitig identifiziert und entsprechend geschützt werden. Die grossen Provider bieten solche Schutzmechanismen an. Ist ein DDoS-Angriff erfolgt, kann man nicht mehr sehr viel unternehmen. Eine Möglichkeit ist das «Geo IP Blocking», wenn bekannt ist, aus welcher Region der Welt die Angriffe kommen.

MELANI hat schon vor längerer Zeit ein Factsheet zum Schutz vor DDoS-Angriffen publiziert. Wichtig: Betroffene sollten keinesfalls auf die Forderung eingehen und bezahlen. Es gibt keine Garantie, dass die Angriffe aufhören, und man stärkt mit der Zahlung die Angreifer. Diese können in noch bessere technische Infrastrukturen investieren und diese für noch massivere Angriffe einsetzen.

Das Interview wurde schriftlich (per E-Mail) geführt.

Das könnte dich auch interessieren:

Wie ich nach 3 Stunden Möbelhaus von Wolke 7 plumpste

Link zum Artikel

Die Fallzahlen steigen wieder leicht an – so sieht's in deinem Kanton aus

Link zum Artikel

Der Mann, der es wagt, Trump zu widersprechen

Link zum Artikel

Magic Johnson vs. Larry Bird – ein College-Final als Beginn einer grossen Sportrivalität

Link zum Artikel

4 Gründe, weshalb die Corona-Zahlen des BAG wenig mit der Realität zu tun haben

Link zum Artikel

Wie ansteckend sind Kinder wirklich? Was die Wissenschaft bis jetzt dazu weiss

Link zum Artikel

Das iPad kriegt Radar? Darum ist der Lidar-Sensor eine kleine Revolution

Link zum Artikel

Lasst meinen Sex in Ruhe, ihr Ehe- und Kartoffel-Fanatiker!

Link zum Artikel

So lief Tag 1 nach Bekanntgabe der «ausserordentliche Lage» für die Schweiz

Link zum Artikel

Corona International: EU beschliesst Einreisestopp ++ Italien mit 345 neuen Todesopfern

Link zum Artikel

Die Schweiz befindet sich im Notstand – die 18 wichtigsten Antworten zur neuen Lage

Link zum Artikel

BAG meldet 8616 neue Fälle

Link zum Artikel

Ein Virus beendet Jonas Hillers Karriere: «Es gäbe noch viel schlimmere Szenarien»

Link zum Artikel
Alle Artikel anzeigen
DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Trumps Geheim-Projekt «Abschreckung» enthüllt – 3,5 Millionen schwarze Wähler betroffen

Der Facebook-Skandal um Cambridge Analytica ist zurück. Britische Enthüllungsjournalisten reden von «einem der grössten Leaks der Geschichte».

Bei den US-Präsidentschaftswahlen 2016 wurde durch das Wahlkampfteam von Donald Trump versucht, Wahlberechtigte in Schlüsselstaaten mit psychologischen Tricks zu entmutigen und von der Stimmabgabe abzuhalten.

Neue Enthüllungen vom Montag zeigen, dass über die Auswertung von Facebook-Nutzerdaten unter anderem 3,5 Millionen schwarze Wähler herausgefiltert und persönliche Informationen über sie in einer Datenbank gespeichert wurden. Mit dem Ziel, sie über bezahlte Facebook-Postings zu manipulieren.

Artikel lesen
Link zum Artikel