Wurden Schweizer Shops erpresst?

Mehrere Schweizer Shops wurden gestern von einer schweren DDoS-Attacke in die Knie gezwungen. Doch wer steckt dahinter und was sagen Hoster sowie Sicherheitsexperten?

von Simon Gröflin 15.03.2016

Digitec, Microspot, Interdiscount und LeShop: Mehrere Schweizer Webshops fielen gestern für mehrere Stunden aus. Auch die Webseite der SBB war für mehrere Stunden nicht erreichbar. Sowohl Coop als auch Digitec gehen von einer DDoS-Attacke aus.

Digitec und Galaxus hat es besonders schwer getroffen. Die Shops waren auch übers Wochenende länger nicht erreichbar.

Diese Aussage überrascht Init7-CEO Fredy Künzler: «Der Ausfall bei Digitec war vermutlich siebenstellig oder höher. Firmen investieren Millionen in Versicherungspolicen und vollredundante, ausfallsichere Systeme und fahren dann doch «ohne Helm Velo», wundert sich Künzler. (Anm.: Digitec wird nicht von Init7 gehostet.) Sowohl Init7, Switch als auch Hostpoint konnten keine speziellen Vorkommnisse verzeichnen, wie die Hoster uns auf Anfrage bestätigten. Ein gewisses Grundrauschen an Angriffen bestehe zwar immer, meint Tom Brühwiler von Hostpoint. Man hätte aber ebenfalls keine grösser angelegten Angriffe feststellen können, so Brühwiler. 

Auch Brack war am Montagnachmittag von einer DDoS-Attacke betroffen, wie Mediensprecher Daniel Rei auf Anfrage bestätigt. Offenbar haben die Anfragen ungefähr um 12:35 Uhr begonnen, jedoch nach einer Stunde wieder nachgelassen. Die Shops waren für Kunden durchgehend zu erreichen. «Dies ist den Vorkehrungen zu verdanken, die wir aufgrund früherer Vorfälle getroffen haben. Ob es sich beim aktuellen Angriff um eine Erpressung handelte, ist uns nicht bekannt. Bislang liegt der Geschäftsleitung kein entsprechendes Schreiben vor», erklärt Rei offen. Bei den anderen Onlineshops gab es bislang noch keine Hinweise auf mögliche Drohbriefe.

Keine Hinweise auf eine Erpressergruppe

Bei der Melde- und Analysestelle Informationssicherung (Melani) gibt es nach wie vor keine neuen Erkenntnisse darüber, ob ein Zusammenhang zwischen den gestrigen Attacken und einem Drohbrief an diverse Finanzinstitute besteht. Hintergrund: Letzte Woche gingen bei verschiedenen Banken unter anderem Erpressermails ein, die eine Zahlung von 25 Bitcoins verlangten und mit DDoS-Angriffen drohten, falls das Lösegeld nicht bezahlt werde. «Wir haben Zweifel, ob tatsächlich diese Gruppierung hinter den Drohmails stand», sagt Max Klaus, Stv. Leiter von Melani, auf Anfrage von PCtipp. Normalerweise führe Armada Collective «Demo-Angriffe» durch, bevor Drohschreiben verschickt würden, heisst es bei Melani.

Vergangene Woche veröffentlichten Sicherheitsexperten des Bundes das Erpresserschreiben der Hackergruppe namens Armada Collective.

Angriffe auf Schweizer Banken seien nach Kenntnisstand von Melani bisher grösstenteils ausgeblieben. Zu genauen Details der Attacken können auch andere Sicherheitsunternehmen wie Symantec nur spekulieren. «Die wahrscheinlichste Theorie ist, dass es Erpresser sind», vermutet Candid Wüest, Security Engineer bei Symantec. «Hier fehlt allerdings bis jetzt noch eine aktuelle E-Mail mit Forderungen. Ob es die Armada Collective oder eine andere Gruppe ist, kann ich nicht beurteilen, da viele Gruppen DDoS einsetzen», so der Sicherheitsexperte. Dass es sich um einen «Lausbubenstreich» oder einen Mitbewerber handelt, hält er eher für unwahrscheinlich.


    Kommentare

    • donpedro1 15.03.2016, 18.43 Uhr

      Was ist eigentlich noch sicher im IT-Bereich? Jeder Computer-Verkäufer beteuert, das bestmögliche in Sachen Sicherheit sei bei ihm gewährleistet. Dann dies - die ganze Branche wird vorgeführt! Betrifft auch folgendes Thema: Mein Glaube an die Cloud-Sicherheit ist in den letzten Monaten/Jahren stetig gewachsen. Jetzt ist er wieder fast auf dem Nullpunkt. Wenn sich nämlich die IT-Branche selbst nicht schützen kann, wie will sie dann uns Kunden überzeugen? Amerikanische Clouds seien nicht sic[...]

    • PC-John 15.03.2016, 20.04 Uhr

      Ach was, da werden hier in Forum wieder mal Äpfel mit Birnen verglichen, beides ist jedoch dem Obst zuzuordnen. Fakt ist: Ein DDoS-Angriff hat mit der Cloud nichts zu tun! Ein DDoS-Angriff zielt auf einen bestimmten Internet-Server, bezw. eine bestimmte Internet-Adresse, und überlastet diese mit "fehlerhaft übermittelten Packages". Dabei wird, obwohl ein sauberes Package (à 512 Bytes) gesendet wurde, trotzdem das False-Signal retourniert, und der Internet-Server sendet dieses Package noc[...]

    • dave36 17.03.2016, 14.36 Uhr

      Ach was, da werden hier in Forum wieder mal Äpfel mit Birnen verglichen, beides ist jedoch dem Obst zuzuordnen. Fakt ist: Ein DDoS-Angriff hat mit der Cloud nichts zu tun! @PC-John: Das ein DDos-Angriff nichts mit der Cloud zu tun hat, kann man so nicht sagen. Was wenn jemand mit einem starken Botnetz die Server von iCloud, Onedrive, Dropbox und wie sie alle heissen mögen angreift? Man kann genauso gut solche Clouddienste in die Knie zwingen. Zwar sind die Daten nicht in Gefahr, aber di[...]

    weitere Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.