Shops unter Beschuss

16. März 2016 05:42; Akt: 16.03.2016 13:26 Print

Wer steckt hinter den DDoS-Attacken?

Wegen heftiger DDoS-Angriffe waren zahlreiche Schweizer Online-Shops unerreichbar. Wer war das? Fünf mehr und minder mögliche Szenarien.

storybild

Immer etwas los: Server sind weltweit unter Botnet-Dauerbeschuss. Auch in der Schweiz. (Bild: Screenshot Norsecorp.com)

Zum Thema
Fehler gesehen?

Digitec, Galaxus, LeShop, Interdiscount, Microspot – die Liste der Schweizer Online-Shops, die am Montag und Dienstag oder bereits am Wochenende zeitweise nicht erreichbar waren, ist lang. Der wirtschaftliche Schaden dürfte gross sein: Allein Digitec Galaxus erzielte 2015 einen Umsatz von fast 700 Millionen Franken. Kunden klicken bei Online-Angeboten schnell zur Konkurrenz, wenn eine Site offline ist.

Umfrage
Welches Szenario halten Sie für das wahrscheinlichste?
11 %
5 %
6 %
10 %
51 %
17 %
Insgesamt 4669 Teilnehmer

Wer zwingt all die Shops mit massiven DDoS-Attacken (Distributed Denial of Service) in die Knie? Bisher hat sich niemand zu den Angriffen bekannt. Über die Täter machen die Betroffenen keine Angaben.

20 Minuten hat fünf mögliche Szenarien für DDoS-Angriffe zusammengestellt – mit einer Einschätzung bezüglich ihrer Wahrscheinlichkeit im vorliegenden Fall.


Szenario 1: Script Kiddies feuern aus allen Rohren
«Script Kiddies» ist ein despektierlicher Ausdruck für junge Computernutzer, die bei illegalen Aktivitäten im Netz mitmachen, dabei aber keine grosse Ahnung von Code (Scripts) haben. Im Zusammenhang mit DDoS-Attacken wird der Ausdruck gerne verwendet, da es nicht viel technisches Know-how braucht, um mit etwas zusammengebasteltem fremden Code oder fixfertigen Programmen an Angriffen teilzunehmen. Das kann ein böses Ende haben, sprich, hinter Gittern. Längst kann man DDoS-Attacken bei Cyberkriminellen auch kaufen.

Wahrscheinlichkeit im vorliegenden Fall: Nicht undenkbar, aber eher gering. Script-Kiddies prahlen gerne mit ihren Taten – doch bisher hat sich öffentlich niemand zu den Angriffen bekannt.


Szenario 2: Die Konkurrenz schiesst scharf
Bei illegalen, halblegalen oder anderweitig anrüchigen Anbietern – Glücksspiel, Pornografie, Wetten – gehört das Lahmlegen verfeindeter Anbieter fast schon zum Alltag. Revierkämpfe unter Konkurrenten. Doch auch viele ganz bürgerliche Firmen vermuten laut einer Umfrage bei DDoS-Attacken jeweils, die Konkurrenz stecke dahinter.

Wahrscheinlichkeit: Möglich. Allerdings: Wer sollte den Schweizer Shops an den Kragen wollen? Der Konkurrenz im Ausland dürfte es gut genug gehen – und ein inländischer Konkurrent riskiert mit einer solchen Aktion nicht nur seine Reputation, sondern sein ganzes Geschäft zu verlieren, sollte die Attacke – kein Bagatellfall – auffliegen. Es ist allerdings ausserordentlich schwierig, Urheber von DDoS-Attacken auszumachen.


3. Staatliche Akteure im Cyber-Angriff
Längst haben moderne Armeen und/oder Geheimdienste so genannte «Cyber-Kapazitäten». Damit sind auch staatliche Akteure im Netz aktiv, üblicherweise im Bereich der Überwachung und Spionage, je nach Land auch mit Zensur und strikten Sanktionen. Aber auch diverse staatliche Angriffe sind bekannt. DDoS-Angriffe sind zwar nicht raffiniert, werden aber ebenfalls eingesetzt. Das bekannteste Beispiel ist die Attacke gegen Estland durch Russland im Jahr 2007: Wochenlang waren Seiten von Regierung und Banken nicht erreichbar.

Wahrscheinlichkeit: Es dürfte kaum einen erdenklichen Grund geben, weshalb ein fremder Staat es auf Schweizerische Elektronikartikel-Verkäufer abgesehen haben sollte.


4. Hacktivisten / sonstige politische Akteure
Hacktivisten – von «Hacker» und «Aktivisten» – sind Personen, die sich, einzeln in losen Gruppen von Gleichgesinnten, im Internet politisch betätigen. Manchmal mit illegalen Mitteln, oder zumeist mit Mitteln in einer rechtlichen Grauzone. Der in der Öffentlichkeit bekannteste Hacktivisten-Name dürfte Anonymous sein – allerdings kann jede und jeder die Anonymous-Maske tragen. Mittlerweile verbergen sich hinter ihr auch viele Rechtsextreme.

Neben Hacks und den daraus resultierenden Leaks, also dem Veröffentlichen von gestohlenen Daten, sind DDoS-Attacken nach wie vor ein beliebtes Mittel, auch für aktive Crews wie die New World Hackers. Mittels DDoS-Angriffen kann jeder einfach auf sein Anliegen aufmerksam machen. Sie werden auch als «Demonstration im digitalen Raum» bezeichnet: Die Websites bleiben unbeschädigt, aber es gibt kein Durchkommen. Bekannt ist in der Schweiz etwa die «Operation Payback»: Postfinance wurde 2010 während Stunden aus Protest lahmgelegt, weil das Konto von Wikileaks-Kopf Julian Assange aufgelöst worden war. Ebenfalls zu erwähnen: DDoS-Attacken, die von politischen Interessengruppen verübt werden. Das Ziel: Die Beeinflussung der öffentlichen Meinung mit der regelmässigen Sabotage ungebliebter Seiten.

Wahrscheinlichkeit: Sehr gering. Bis Dienstagabend gab es nirgends im Netz ein Bekennerschreiben – auch auf einschlägigen Chats prahlte niemand mit dem DDoS. Das erklärte Ziel von Hacktivisten ist aber maximale Aufmerksamkeit für ihre jeweilige Sache. Und für politische Interessengruppen wie PR-Firmen oder Parteien gibt es kaum einen ersichtlichen Grund. Auch wenn es, etwa aus Russland, genügend Beispiele für das Vorgehen gibt: Im Schweizer Kontext müsste man einen ziemlich grossen Aluhut tragen, um diese Möglichkeit in der Schweiz in Betracht zu ziehen.


5. Organisierte Kriminelle – Cybercrime
Cyberkriminelle verursachen je nach Schätzung einen finanziellen Schaden von mehr als 500 Milliarden Dollar pro Jahr. Tendenz steigend. Wie hoch er auch sein mag: Dass der wirtschaftliche Schaden beträchtlich ist, bestreitet heute niemand mehr ernsthaft. Der Begriff Cybercrime – Internetkriminalität – ist unscharf und bezeichnet jedes Verbrechen, das mittels Computer über ein Netzwerk begangen wird. Das Spektrum reicht vom Cyberstalker über den kleinkriminellen Betrüger bis zur organisierter Bandenkriminalität.

DDoS-Attacken dienen meistens der Erpressung. Das übliche Vorgehen: Die Gangster legen kurz die Server ihres Opfers lahm, um ihre Kapazität zu beweisen, danach folgt der Erpresserbrief: Entweder die Firma bezahlt Summe X (zum Beispiel 10000 Franken in Bitcoins), oder wir machen eure Site für längere Zeit unbrauchbar. Max Klaus von der Melde- und Analysestelle Informationssicherung des Bundes MELANI sagte zu 20 Minuten, hinter den Angriffen könne jeder stecken, der über eine entsprechende Infrastruktur verfüge. Sollte es sich um Erpresser handeln, ist hier wohl davon auszugehen, dass Profis am Werk sind: Die Attacken sind massiv und lang anhaltend, die Ziele kaum schlecht geschützt. Und wer grosse Mengen Bitcoin, seit Jahren die Lieblingswährung von Cyberkriminellen, am Ende in echtes Geld (zum Beispiel via Waren) wechseln und waschen will, braucht eine grössere kriminelle Organisation im Rücken.

Wahrscheinlichkeit: Durchaus möglich. Das Szenario Cyberkriminalität ist von allen fünf wohl das plausibelste – auch wenn ein Einzeltäter nicht ausgeschlossen werden kann. Gegen das Cybercrime-Szenario spricht derzeit, dass die Migros (LeShop, Digitec, Galaxus) auch am Dienstag sagte, man habe weder Kenntnis von einer Vorwarnung oder Drohung – und keinerlei Hinweise auf eine mögliche Täterschaft. Von Coop (Interdiscount, Microspot) war am Dienstag lediglich zu erfahren, dass keine Erpresserschreiben vorlägen und die zwei Online-Shops «zwischenzeitlich offline» waren. «Zu weiteren Fragen äussern wir uns nicht öffentlich», so Ramón Gander auf die Frage nach der Art der Attacke und möglichen Erkenntnissen über die Täterschaft.


Fazit: Derzeit kann man nicht mit Sicherheit wissen, wer hinter den Attacken steckt. Cyberkriminalität ist ein plausibles Szenario. Europol-Vizedirektor Wil van Gemert sagte im Januar 2016 nach der Festnahme einiger Mitglieder der DDoS-Erpresserbande DD4BC: «Diese Gruppen wenden sehr aggressive Methoden an, um ihre Opfer mit der Drohung der öffentlichen Blossstellung und einem Reputationsschaden zum Schweigen zu bringen.»

(gbr)

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • Martin L. am 16.03.2016 06:49 via via Mobile Report Diesen Beitrag melden

    die ganze Welt

    das war bestimmt der geheime Geheimdienst der EU in Zusammenarbeit mit dem CIA und dem KGB unterstützt von Nordkorea weil im SRF immer am Sonntag Abend Witze über deren Staatsoberhaupt gemacht werden..

  • Julian Marti am 16.03.2016 07:05 via via Mobile Report Diesen Beitrag melden

    Ich mag Szenario 6

    Ich finde es ist durch aus auch möglich mit Hacker Attacken wie diese einer Firma zu schaden und somit den Wert der Firma für kurze Zeit zu drücken. Wer voher mittels Leerverkauf grosse Mengem an Geld an der Börse gegen das Unternehmen setzte, ich denkte hierbei an Investmentbanking, dann ist das wohl die einfachste Möglichkeit an grosse Mengen sauberes Geld zu kommen.

    einklappen einklappen
  • Markus am 16.03.2016 06:08 Report Diesen Beitrag melden

    Keine anderen Themen?

    ...und je mehr die Presse das aufpauscht desto mehr haben diese Gruppen Freude und eine Bestätigung für ihr handeln. ...... also es gibt noch andere Themen!

Die neusten Leser-Kommentare

  • ein schelm am 17.03.2016 06:54 via via Mobile Report Diesen Beitrag melden

    uhm nvm

    das muss ja ein gut organisierter haufen script kiddies gewesen sein ;) die konnten ja nit mal meinen kleinen furzserver lahmlegen :P nein mal ernsthaft. klar die können nerven, aber simultan mehrere online grosshändler lahmlegen? ^^ der rest ist durchaus plausibel auch wenns ein wenig schwammig ist. wobei das recherchen in dem bereich sowieso sind, die dunklen ecken des webs sind grossflächig und man muss sich auskennen.

  • Vor Name am 16.03.2016 15:32 Report Diesen Beitrag melden

    Schon Wieder

    Digitec ist auch jetzt (Mittwoch 16.03.2016, 15:32 Uhr) wieder erneut nicht erreichbar. Es scheint als ob die Attaken weitergehen :S

  • A. Müller am 16.03.2016 15:28 Report Diesen Beitrag melden

    Testlauf

    Ich denke das ganze war eine Art Testlauf, welcher mehr oder weniger erfolgreich durchgeführt wurde. Da kann man noch viel mehr erwarten, was Verkehrssysteme, Energieversorgung etc. zu tun hat.

  • CuiBono am 16.03.2016 15:18 Report Diesen Beitrag melden

    LOOOS!

    Schreit nach der totalen Überwachung! Das ist genau das was man damit erreichen wollte!

  • Spar Sau am 16.03.2016 15:18 via via Mobile Report Diesen Beitrag melden

    Warnung an Banken

    könnte auch nur ein Test oder Beweis sein. Vielleicht werden z.B. die schweizer Banken erpresst.