DDoS-Attacken: Auch inside-it.ch betroffen

Jede Linie eine Attacke: Digitec war heute erneut zeitweise offline. Grafik: Arbor Networks
Die Infrastruktur der Schweizer Abwehrspezialisten stösst schnell an ihre Grenzen. Und: Die gestrigen Angriffe trafen auch uns.
 
Zahlreiche Websites wurden gestern Opfer von DDoS-Attacken, wobei vor allem Migros (Digitec, Galaxus, LeShop u.a.) und Coop (Interdiscount, Microspot) betroffen waren. Digitec hatte heute noch einmal mit Problemen zu kämpfen, vermeldet Journalist Claude Settele via Twitter. Ebenfalls bekannt sind Ausfälle bei World of Games und den SBB, wobei die Bahn gestern gegenüber inside-it.ch keine Auskunft über die technischen Hintergründe ihrer Probleme geben wollte.
 
"Wir sind derzeit in Kontakt mit unserem Internet Service Provider und versuchen eine gemeinsame Lösung zu finden, um allfällige weitere Attacke besser abwehren zu können. Woher die Attacken kommen, wissen wir aber noch nicht. Üblicherweise hat man es mit 'gekauften' Bot-Nets zu tun, welche die Webseite überlasten", schreibt Michael Wyler, Mitglied der Geschäftsleitung von World of Games an inside-it.ch.
 
Und: Auch inside-it.ch wurde angegriffen. Am Montag stieg der Traffic auf inside-it.ch für exakt zwei Stunden zwischen 20:00 Uhr und 22:00 Uhr markant an, die Seite war zeitweise nicht mehr erreichbar. Ob es einen Zusammenhang zu den anderen Attacken gibt, ist nicht klar. Eine Kontaktaufnahme zu uns von Seiten der Angreifer hat es nicht gegeben. Andere Kunden des Providers, der unseren Server umsorgt, waren nicht betroffen.
 
Schwierige Abwehr
Hinter grossen DDoS-Attacken stehen üblicherweise Besitzer von Botnetzen, die abertausenden mit ihrem Virus infizierten Computern gleichzeitig den Befehl geben, eine einzelne IP-Adresse mehrmals pro Sekunde aufzurufen. Der Datenverkehr auf dem Server, der die Adresse hostet, wird zu gross und er bricht zusammen: In der Folge lässt sich die Adresse nicht mehr aufrufen.
 
Während das Führen einer DDoS-Attacke eine grundsätzlich einfache Angelegenheit ist, stellt sich die Abwehr aufwendig dar. Unberechtigter Traffic muss identifiziert und umgeleitet werden. Erfahrene Angreifer sind zudem flexibel und können sehr schnell auf Abwehrmassnahmen reagieren. Wie die ersten Massnahmen aussehen, erklärt die Melde- und Analysestelle Melani auf ihrer Website.
 
Auch Swisscom kommt an ihre Grenzen
Der US-amerikanische Sicherheitsspezialist Arbor Networks verzeichnete erstmals am Samstag Angriffe gegen Schweizer Infrastrukturen mit etwa 2 Gbps. Diese steigerten sich bis gestern auf über 42 Gbps. Ein Kunde von Arbor ist Swisscom. Der Telco bietet seinen Geschäftskunden auf Wunsch einen DDoS-Schutz an: Filterfunktionen und eine dynamische Identifizierung erleichtern das Trennen von gutem und schlechtem Traffic. "Bis 40 Gbps dedizierter Angriffs-Traffic funktionieren unsere Filter aktuell", sagt Sprecher Armin Schädeli gegenüber inside-it.ch. Neben diesem beim Kunden installierten Filter verfügt Swisscom über weitere Verteidigungsmechanismen im Backbone. Diese ermöglichten die Verteidigung gegen weit stärkere Angriffe. Wie lange dieser Backbone-Filter standhalten kann, verrät Swisscom aus Sicherheitsgründen nicht. Ende Februar gab es gemäss Daten von Arbor einen anderen Angriff auf Ziele in der Schweiz, die mit gut 50 Gbps zusätzlichem Traffic klarkommen mussten.
 
Bei einer Attacke können sich enorme Datenmengen auftürmen. So berichtet Abwehrspezialist Cloudflare in einem Blogpost von letztem Sommer von einem Angriff, der mit bis zu 500 Gbps gegen einen Cloudflare-Kunden geführt worden sein soll. Es sei der grösste Angriff aller Zeiten gewesen. Laut eigener Aussage hat das Unternehmen die Attacke damals erfolgreich abgewehrt. Um solchen Kräften standhalten zu können, greift Cloudflare auf aktuell 74 Rechenzentren auf der ganzen Welt zurück, die unter anderem auch zur Lastverteilung da sind: Sie schlucken Traffic, der nicht
Die Zahl der auf inside-it.ch eintreffenden und ausgelieferten Datenpakete explodierte gestern zwischen 20 Uhr und 22 Uhr.
rechtzeitig ins Leere geführt werden kann.
 
Einbussen und Reputationsverlust
Für betroffene Unternehmen bedeutet jede Downtime: Umsatzverlust, verärgerte Kunden, Leerlauf. Neben Websites waren in den letzten Tagen auch Callcenter und Filialen offline. Mit Humor nahm die ganze Angelegenheit zumindest ein Leser von 20 Minuten Online: "Also unsere Digitec-Filiale war noch erreichbar… zu Fuss."
 
Gleichzeitige Drohungen gegen Schweizer Banken
Wahrscheinlich keinen Zusammenhang haben dürften die Attacken mit einer Warnung des GovCERT. Letzte Woche machte das Computer Emergency Response Team auf seinem Blog ein Erpresserschreiben publik, in dem einem Unternehmen für gestern Montag DDoS-Angriffe angedroht wurden. Diese mit Armada Collective gezeichneten Mails sollen an mehrere Banken verschickt worden sein, wie Max Klauser, stellvertretender Leiter der Meldestelle Melani, auf Anfrage an inside-it.ch schreibt. "Wir haben bisher keine Erkenntnisse, dass die DDoS-Angriffe auf verschiedene Onlineshops in Zusammenhang mit den Drohungen im Namen des Armada Collective stehen könnten". Einzige Auffälligkeit: Gestern trafen kleinere Attacken aus sieben Ländern Infrastruktur in Liechtenstein. Was es damit auf sich hat, ist zurzeit allerdings noch unklar. Die Meldestelle Melani erfuhr von dem Traffic erst durch inside-it.ch. (mik)
 
Hinweis, 17.03.2016: In einer früheren Version dieses Artikels hiess es, dass etwa die Hälfte der Swisscom-Geschäftskunden einen DDoS-Filter von Swisscom nutzen. Diese Aussage hat Swisscom zurückgezogen. Ausserdem konkretisiert Swisscom die Filter-Kapazität. Demnach liege die Kapazitätsgrenze des Filters für Geschäftskunden nicht bei insgesamt 40 Gbps Traffic, sondern bei 40 Gbps Angriffs-Traffic. Die beiden Stellen im Text wurden entsprechend aktualisiert. Swisscom kündigt überdies an, die Filter-Kapazität weiter auszubauen. (mik)