News 15.03.2016, 09:42 Uhr

Wurden Schweizer Shops erpresst?

Mehrere Schweizer Shops wurden gestern von einer schweren DDoS-Attacke in die Knie gezwungen. Doch wer steckt dahinter und was sagen Hoster sowie Sicherheitsexperten?
Digitec, Microspot, Interdiscount und LeShop: Mehrere Schweizer Webshops fielen gestern für mehrere Stunden aus. Auch die Webseite der SBB war für mehrere Stunden nicht erreichbar. Sowohl Coop als auch Digitec gehen von einer DDoS-Attacke aus.
Digitec und Galaxus hat es besonders schwer getroffen. Die Shops waren auch übers Wochenende länger nicht erreichbar.
Leider sind wir wieder fast komplett offline. DDOS-Attacke vermutet. Kundendaten nicht gefährdet. Filialen/Callcenter ebenfalls down. Sorry.
— digitec (@digitec_de) March 14, 2016
Diese Aussage überrascht Init7-CEO Fredy Künzler: «Der Ausfall bei Digitec war vermutlich siebenstellig oder höher. Firmen investieren Millionen in Versicherungspolicen und vollredundante, ausfallsichere Systeme und fahren dann doch «ohne Helm Velo», wundert sich Künzler. (Anm.: Digitec wird nicht von Init7 gehostet.) Sowohl Init7, Switch als auch Hostpoint konnten keine speziellen Vorkommnisse verzeichnen, wie die Hoster uns auf Anfrage bestätigten. Ein gewisses Grundrauschen an Angriffen bestehe zwar immer, meint Tom Brühwiler von Hostpoint. Man hätte aber ebenfalls keine grösser angelegten Angriffe feststellen können, so Brühwiler. 
Auch Brack war am Montagnachmittag von einer DDoS-Attacke betroffen, wie Mediensprecher Daniel Rei auf Anfrage bestätigt. Offenbar haben die Anfragen ungefähr um 12:35 Uhr begonnen, jedoch nach einer Stunde wieder nachgelassen. Die Shops waren für Kunden durchgehend zu erreichen. «Dies ist den Vorkehrungen zu verdanken, die wir aufgrund früherer Vorfälle getroffen haben. Ob es sich beim aktuellen Angriff um eine Erpressung handelte, ist uns nicht bekannt. Bislang liegt der Geschäftsleitung kein entsprechendes Schreiben vor», erklärt Rei offen. Bei den anderen Onlineshops gab es bislang noch keine Hinweise auf mögliche Drohbriefe.

Keine Hinweise auf eine Erpressergruppe

Bei der Melde- und Analysestelle Informationssicherung (Melani) gibt es nach wie vor keine neuen Erkenntnisse darüber, ob ein Zusammenhang zwischen den gestrigen Attacken und einem Drohbrief an diverse Finanzinstitute besteht. Hintergrund: Letzte Woche gingen bei verschiedenen Banken unter anderem Erpressermails ein, die eine Zahlung von 25 Bitcoins verlangten und mit DDoS-Angriffen drohten, falls das Lösegeld nicht bezahlt werde. «Wir haben Zweifel, ob tatsächlich diese Gruppierung hinter den Drohmails stand», sagt Max Klaus, Stv. Leiter von Melani, auf Anfrage von PCtipp. Normalerweise führe Armada Collective «Demo-Angriffe» durch, bevor Drohschreiben verschickt würden, heisst es bei Melani.
Vergangene Woche veröffentlichten Sicherheitsexperten des Bundes das Erpresserschreiben der Hackergruppe namens Armada Collective.
Armada Collective ist zurück und erpresst Finanzinstitute in der
Schweiz: https://t.co/ihxQZB7M16
— GovCERT.ch (@GovCERT_CH) March 11, 2016
Angriffe auf Schweizer Banken seien nach Kenntnisstand von Melani bisher grösstenteils ausgeblieben. Zu genauen Details der Attacken können auch andere Sicherheitsunternehmen wie Symantec nur spekulieren. «Die wahrscheinlichste Theorie ist, dass es Erpresser sind», vermutet Candid Wüest, Security Engineer bei Symantec. «Hier fehlt allerdings bis jetzt noch eine aktuelle E-Mail mit Forderungen. Ob es die Armada Collective oder eine andere Gruppe ist, kann ich nicht beurteilen, da viele Gruppen DDoS einsetzen», so der Sicherheitsexperte. Dass es sich um einen «Lausbubenstreich» oder einen Mitbewerber handelt, hält er eher für unwahrscheinlich.

Autor(in) Simon Gröflin



Kommentare
Avatar
PC-John
15.03.2016
Ach was, da werden hier in Forum wieder mal Äpfel mit Birnen verglichen, beides ist jedoch dem Obst zuzuordnen. Fakt ist: Ein DDoS-Angriff hat mit der Cloud nichts zu tun! Ein DDoS-Angriff zielt auf einen bestimmten Internet-Server, bezw. eine bestimmte Internet-Adresse, und überlastet diese mit "fehlerhaft übermittelten Packages". Dabei wird, obwohl ein sauberes Package (à 512 Bytes) gesendet wurde, trotzdem das False-Signal retourniert, und der Internet-Server sendet dieses Package nochmals, ad infinitum. So zwingt man jeden Server in die Knie, vorausgesetzt, es zielen tausende von Anfragen auf den gleichen Server, und jeder Anfrager macht laufend die Rückmeldung "fehlerhaftes package" ist angekommen. Und diese tausende von Anfragen stammen dann meistens aus gekaperten PC's in einem Bot-Netz. In der Cloud hingegen werden nur Daten gespeichert, und das hat mit DDoS nichts zu tun. Die Daten dort "oben" sind soweit sicher vor DDoS-Angriffen. Es kann sein, dass das IP-Protokoll noch mal umgeschrieben werden muss, um DDoS-Angriffen nach dem x-ten Male "falsches package ist angekommen", die Kommunikation abzuwerfen. Das aus meiner Sicht der Dinge, hat mit dem "Internet der Dinge" nichts zu tun.

Avatar
dave36
17.03.2016
Ach was, da werden hier in Forum wieder mal Äpfel mit Birnen verglichen, beides ist jedoch dem Obst zuzuordnen. Fakt ist: Ein DDoS-Angriff hat mit der Cloud nichts zu tun! @PC-John: Das ein DDos-Angriff nichts mit der Cloud zu tun hat, kann man so nicht sagen. Was wenn jemand mit einem starken Botnetz die Server von iCloud, Onedrive, Dropbox und wie sie alle heissen mögen angreift? Man kann genauso gut solche Clouddienste in die Knie zwingen. Zwar sind die Daten nicht in Gefahr, aber die Datendienste versagen genauso während dieser DDoS-Zeit. Es gibt nur eine Gewissheit in der IT: Es gibt keine 100%ige Sicherheit. Stichwort Ransomware, DDos, Trojaner, Sicherheitslücken und und und. Gruss Dave

Avatar
PC-John
17.03.2016
... Es gibt nur eine Gewissheit in der IT: Es gibt keine 100%ige Sicherheit. Stichwort Ransomware, DDos, Trojaner, Sicherheitslücken und und und ... Nicht nur in der IT gibt es keine 100% Sicherheit, das gibt es überhaupt nirgendwo! Nur 100% Dummheit gibt es, das sogar überall, leider.

Avatar
Franzzz
17.03.2016
INIT7 ist sooooo viel besser ... Sorry, aber nur weil INIT7 keine Kunden und kein Traffic hat, ist ja klar, dass die nix davon merken :) Franzi