DDoS: Teenager greifen deutsche Banken an

Ein Artikel von Autor: Marc Wilczek, Geschäftsführer Link11 | 15.07.2020 - 08:54

Schäden in Millionenhöhe verursacht - aus Langeweile und Einsamkeit

Verdacht auf Computersabotage in besonders schweren Fällen: So lautet der Vorwurf gegenüber den jungen Männern aus Calw (Baden-Württemberg) und Soltau (Niedersachsen). Beginnend im Juli 2019 sollen die beiden mehrere Unternehmen angegriffen haben. Unter anderem war das Online-Banking von zwei Direktbanken aufgrund der DDoS-Angriffe über mehrere Tage nicht erreichbar (Anmerkung der Redaktion: Laut Aussage einer der betroffenen Banken handelte es sich aber nur um einen temporären Ausfall, der jeweils auf wenige Stunden begrenzt war) . Die IT-Teams der Unternehmen, jeweils bestehend aus Dutzenden Fachleuten, stießen an ihre Grenzen. Zurück blieben verärgerte Kunden und Schäden in Millionenhöhe.

Erschreckend sind an den Attacken mehrere Aspekte. Zum einen handelt es sich bei den Angreifern nicht um ausgewiesene IT-Experten, sondern um Laien, die sich das erforderliche Wissen selbst angeeignet haben. Es gelang ihnen, das für die Angriffe notwendige Botnetz in Eigenregie aufzubauen Die Nutzung von Bezahldiensten - auch „DDoS for hire“ genannt - war nicht notwendig.

Ebenso außergewöhnlich ist die Motivation hinter den Cyber-Attacken. Offensichtlich ging es nicht um finanzielle Erpressung. Vielmehr werden Langeweile, Einsamkeit und Zerstörungswut als Beweggründe vermutet. Dass die Deutsche Kreditbank und Comdirect zu Angriffszielen wurden, ist somit wohl Zufall. Diese Willkürlichkeit macht es noch schwieriger, Gefahrenpotenziale zu identifizieren.

Täter werden nur selten gefasst

Dass die beiden „Hobby-Hacker“ nach mehreren Monaten ihrer Machenschaften nun von den Behörden gefasst wurden, ist ein herausragender Vorgang. Denn die Wahrscheinlichkeit, als Cyber-Krimineller gefasst zu werden, ist überaus gering. Laut „Global Risk Report 2020“ des WEF liegt sie in den USA bei nur 0,05 Prozent. Vermutlich ist dieser Wert in Wirklichkeit sogar noch geringer, da die meisten Angriffe nicht zur Anzeige gebracht werden.

Trotz des aktuellen Fahndungserfolgs müssen sich Unternehmen bewusst machen, dass die Cyberkriminalität einer Hydra gleicht: Ein Botnetz lahmzulegen, einzelne Angreifer aus dem Verkehr zu ziehen oder einen digitalen Marktplatz für Auftragsattacken zu schließen reicht nicht aus, um die Gefahren von Cyber-Angriffen zu mindern. Für Unternehmen führt deshalb kein Weg daran vorbei, eigene Schutzmaßnahmen zu ergreifen und deren Wirksamkeit mithilfe von Risikoanalysen und Stresstest immer wieder auf den Prüfstand zu stellen.

Sicherheit trügt oftmals

Unternehmen der Finanzbranche können aus den DDoS-Angriffen des jungen Hacker-Duos mehrere Rückschlüsse ziehen. Zunächst kann festgehalten werden, dass vorhandene Schutzlösungen wie Hardware-Appliances im Angriffsfall keine ausreichende Sicherheit bieten. Sichtbar wird dies jedoch erst im Ernstfall, in dem die Uhr tickt. Direktbanken versprechen ihren Kunden Zugriff auf ihre Banking-Services rund um die Uhr und ohne Unterbrechungen. Übersetzt in die Anforderungen an die IT-Sicherheit bedeutet dies 100 Prozent Verfügbarkeit und Performance. Zeitspannen bis zu 30 Minuten in der Angriffserkennung und -abwehr, die viele Anbieter von Schutzlösungen bislang als Standard ausgegeben haben, sind hier inakzeptabel und nicht länger zeitgemäß.

Kritisch ist auch ein zu starker Fokus auf die Compliance. Denn selbst wenn die vorhandenen IT-Sicherheitslösungen aus Compliance-Sicht alle relevanten Regularien wie KRITIS-Vorgaben und branchenspezifische Richtlinien erfüllen, können sie in der Praxis unzureichend sein.

Trügerische Sicherheit entsteht darüber hinaus, wenn Unternehmen über einen längeren Zeitraum keine oder keine nennenswerten Angriffe registrieren. Es entsteht in diesem Fall der Eindruck, die vorhandenen Schutzmaßnahmen seien ausreichend. Empfehlenswert ist es daher, auch in ruhigen Zeiten kontinuierlich zu hinterfragen und zu testen, ob die eingesetzten Schutzlösungen der aktuellen Gefahrenlage angemessen sind. Um dies beurteilen zu können, sollten sich Unternehmen stets ein Bild der aktuellen Bedrohungssituation machen. Relevante Informationsquellen sind hierbei unter anderem Lagebilder des BSI und Kennzahlen des BKA. Deuten Informationen auf zunehmende Risiken hin, so sollte auch das eigene Schutzprofil nachjustiert werden.

Im Kontext der oben erwähnten Vorfälle bedeutet dies, dass der DDoS-Schutz möglicherweise angepasst werden muss. Unter anderem rücken an dieser Stelle KI-gestützte Lösungen in den Fokus. Sie haben die Stärke, auffällige Vorgänge im Echtzeit-Traffic umgehend zu identifizieren und Alarm zu schlagen.

Der Autor:

Marc_Wilczek_Link11-GmbH_Querformat.jpg

Marc Wilczek, Geschäftsführer Link1 © Sunita Benzing Photography

Marc Wilczek ist als Geschäftsführer bei Link11 für die strategische Geschäftsentwicklung im In- und Ausland, Wachstumsinitiativen sowie für Marketing und Vertrieb verantwortlich. Neben Managementfunktionen innerhalb des Deutsche Telekom Konzerns war er zuvor als Senior Vice President Asien-Pazifik/Lateinamerika/Naher Osten und Afrika beim eHealth-Konzern CompuGroup Medical tätig und leitete u. a. das Asiengeschäft beim IT-Sicherheitsexperten Utimaco Safeware (heute Sophos).