Interview
29.07.2015, 13:00 Uhr

DDoS-Attacke: Erfahrungen von Plentymarkets

Großalarm bei Plentymarkets: Vor zehn Tagen legten Kriminelle die Server von Plentymarkets mit einer DDoS-Attacke lahm, um Lösegeld zu erpressen. Geschäftsführer Jan Griesel über die Folgen.
(Quelle: shutterstock.com/GlebStock)
Cybercrime-Angriff in Kassel: Für rund 30 Minuten waren die Server des Shopsoftware-Herstellers Plentymarkets am 18. Juli nicht erreichbar. Die DDoS-Attacke (Distributed Denial of Service) war laut Plentymarkets deutlich stärker als 90 Prozent der im Netz verübten Angriffe, die Rede ist von 400 bis 500 Gigabytes pro Sekunde. Per E-Mail ging dann ein Erpresserschreiben ein, gefordert wurden 25 Bitcoins, rund 6.000 Euro. Falls das Unternehmen nicht zahle, werde das System erneut angegriffen, so die Drohung der Cyber-Kriminellen.
Plentymarkets zahlte nicht, sondern ging auf Abwehr: Kontakt zum Provider und zur Deutschen Telekom, um einen weiteren Angriff abzuwehren. Außerdem wandte sich das Unternehmen an die Cybercrime-Spezialisten des Bundeskriminalamts. Hinter der Attacke steckt eine Gruppe namens DD4BC (DDoS für Bitcoins), die seit 2014 tätig ist. Zunächst trieben die Kriminellen in den USA ihr Unwesen, seit einigen Monaten sind sie in Europa aktiv geworden. Derzeit haben sie vor allem auch deutsche Seitenbetreiber im Visier, so die Beobachtung von Link11, einem Lösungsanbieter für Sicherheitstechnologie.
Am Dienstag, 21. Juli, folgte eine zweite Erpresser-Mail an Plentymarkets. Ein weiterer Angriff blieb jedoch aus. Geschäftsführer Jan Griesel schildert seine Erfahrungen: 
Herr Griesel, ist die Attacke erst einmal vom Tisch?
Jan Griesel:
Nach dem massiven Angriff am 18. Juli wurden wir von dieser Gruppe nicht erneut attackiert. Wir erhielten am Dienstag, 21. Juli,  eine weitere E-Mail, in welcher die ursprüngliche Drohung noch einmal verschärft wurde. Gleichzeitig wurde darin eine weitere Attacke binnen einer Frist von 24 Stunden angekündigt. Wir sind auch dieser Zahlungsaufforderung nicht nachgekommen und haben zudem keinen Kontakt zu den Erpressern aufgenommen. Laut Einschätzung des BKA sei im Falle einer weiteren E-Mail mit diesem Inhalt in den meisten Fällen nicht mit einem weiteren Angriff zu rechnen.
Ist das immer so?
Griesel:
Nein. Dies darf nicht als pauschale Regel verstanden werden, sondern muss von Fall zu Fall aufgrund des Mail-Inhalts und den weiteren gemeldeten Angriffen bewertet werden. Im Falle eines Angriffs empfiehlt sich somit eine Zusammenarbeit mit der Kripo, welche den Fall mit dem Bundeskriminalamt abstimmen.
Wissen Sie von anderen Betroffenen?
Griesel:
Wir wurden kürzlich von einem Online-Händler, welcher ebenfalls von dieser Gruppe angegriffen wurde, nach dem genauen Ablauf befragt. Deswegen kommen wir zu dem Schluss, dass offenbar mehrere unterschiedliche Seiten parallel oder in kurzer Abfolge angegriffen wurden. Unklar ist dabei, ob der Angreifer bei einer anonymen Bitcoin-Zahlung überhaupt eine Zuordnung zu einer attackierten Seite vornehmen kann. Wir gehen somit davon aus, dass der Angreifer in kurzer Abfolge mehrere Seiten angreift und auch mehrere Zahlungsaufforderungen versendet, um dadurch die Wahrscheinlichkeit einer Zahlung zu erhöhen.
Welche Maßnahmen haben Sie getroffen, akut und für die Zukunft?
Griesel:
Zusammen mit unserem Provider und dem primären Traffic-Lieferant, der Deutschen Telekom, wurden unterschiedliche Gegenmaßnamen getroffen, um entsprechende Anfragen herauszufiltern. Der Kostenaufwand für solche Gegenmaßnahmen ist nicht unerheblich. Gleichzeitig gehen wir von einer weiteren Steigerung solcher Angriffe aus. Wir stellen aktuell Informationen und Lösungsansätze für die von uns betreuten Online-Händler zusammen. Grundsätzlich sollte sich jeder Seitenbetreiber mit der Thematik DDoS-Angriff frühzeitig beschäftigen. Angreifer suchen sich meist große Seitenbetreiber aus, welche der Zahlungsaufforderung einfach nachkommen können. Doch wer einer solchen Zahlungsaufforderung nachkommt, kann sich schnell zum Opfer weiterer Angriffe machen.
Immer wieder geraten Shops ins Visier von Erpressern: Mehr als 2.200 Cybercrime-Angriffe verzeichnete das BKA 2013, die Dunkelziffer dürfte sehr viel höher liegen.
Das könnte Sie auch interessieren