Kurz gebloggt

DKB und Sparkassen-IT von 16-jährigem Script-Kiddie genarrt?

17. Juni 2020

Von Heinz-Roger Dohms

Als wir die „DDos“-Attacke auf die DKB Anfang dieses Jahres in der uns eigenen Naivität als „Hacker-Angriff“ klassifizierten – da mussten wir uns von einem ausgewiesenen Hacker belehren lassen, dass die Verwendung des Begriffs eher unangemessen sei. Weil: Um eine „Distributed Denial-of-Service“-Attacke auszuführen, brauche es „kein vertieftes Hacker-Wissen“. Das bekomme unter Umständen auch ein halbwegs pfiffiger Nachwuchs-Nerd (Szene-Jargon: „Script-Kiddie“) hin …

Jedenfalls: Ziemlich exakt fünf Monate nach der Attacke (zur Erinnerung: Das war die Attacke, die die DKB und die Sparkassen-IT erst nach Tagen und unter mutmaßlicher Zuhilfenahme des US-Spezialanbieters Cloudflare in den Griff bekamen) flatterte gestern eine Mitteilung von BKA, LKA Schleswig-Holstein und StA Itzehoe in unseren Posteingang. Hier die Mitteilung im Original (Fettungen und Kürzungen unsererseits):

Am 16. Juni 2020 haben Einsatzkräfte des Landeskriminalamtes Schleswig-Holstein (LKA) und des Bundeskriminalamtes (BKA) auf Antrag der Staatsanwaltschaft Itzehoe die Wohnungen von zwei Beschuldigten in Calw (Baden-Württemberg) und Soltau (Niedersachsen) wegen des Verdachts der Computersabotage in besonders schweren Fällen und der versuchten Erpressung durchsucht. Dabei wurden diverse Datenträger sichergestellt.

Die 16 und 20 Jahre alten Beschuldigten stehen unter Verdacht, ab Juli 2019 mehrere Unternehmen, auch der sogenannten kritischen Infrastrukturen, darunter Banken und Telekommunikationsanbieter in Schleswig-Holstein, Niedersachsen, Berlin und anderen Bundesländern, durch schwere Computersabotage angegriffen und geschädigt zu haben. Betroffen waren unter anderem die TNG Stadtnetz GmbH in Kiel und die Deutsche Kreditbank AG. Unter anderem waren Internetanschlüsse, Webseiten und Online-Banking-Systeme für Kunden über mehrere Tage nicht nutzbar. Derzeit ist von einem Gesamtschaden in siebenstelliger Höhe auszugehen.

Den Beschuldigten wird vorgeworfen, durch den Aufbau eines infizierten Rechner-Netzes (einem sogenannten Botnetz) in mindestens 12 Fällen sogenannte DDos-Angriffe (Distributed Denial of service) auf die geschädigten Unternehmen ausgeführt und Online-Dienste für Kunden zeitweise blockiert zu haben. Finanzielle Forderungen wurden nicht gestellt.

Der 20-jährige Beschuldigte aus Calw soll bei den Taten für die Anmietung sogenannter Command-and-Control-Server verantwortlich gewesen sein, über die sich die Schadsoftware steuern lässt. Er ist in der Vergangenheit bereits durch Computerbetrug polizeilich in Erscheinung getreten.

Nach derzeitigem Stand der Ermittlungen hat sich der 16-jährige Beschuldigte aus Soltau unter Nicknamen in verschiedenen sozialen Netzwerken zu den Taten bekannt. Die Taten scheinen durch Langeweile und Einsamkeit motiviert gewesen zu sein.

Neben den beschriebenen Taten wird dem 16-jährigen Beschuldigten eine gewerbsmäßige Erpressung vorgeworfen: Im April 2019 soll er zahlreiche Router von Telekommunikationsanbietern in Nigeria sowie von deren Endkunden lahmgelegt und für die Entsperrung Bitcoins im Wert von jeweils rund 100 Euro gefordert haben.

[…]“

Nun wollen wir die mutmaßlichen Taten und die offenkundige kriminelle Energie dahinter nicht kleinreden Aber ein 16-Jähriger aus Soltau, der „aus Langeweile“ handelte – das klingt tatsächlich irgendwie nach „Script-Kiddie“. Oder jedenfalls klingt es nicht nach organisierter Cyber-Kriminalität bzw. osteuropäischer Hacker-Mafia (wenn es eine solche denn gibt). Was umso mehr die Frage aufwirft: Warum haben sich die DKB und ihr Dienstleister FI-TS (das ist eine Tochter der „Finanz Informatik“, also des zentralen IT-Dienstleisters der Sparkassen) im Januar derart düpieren lassen?

Interessant in diesem Zusammenhang: Wer sind die anderen Banken, die attackiert wurden? Und blieb es dort beim Versuch (wurde der Angriff also abgewehrt …)? Oder wurden neben der DKB noch andere Institute überrumpelt. Leider haben wir die Frage am Mittwoch nicht mehr geklärt gekriegt. Versuchen wir nachzuholen.

Wie der Cyber-Angriff auf die DKB ablief – und was die Folgen sind

NEWSLETTER

Deutschlands führender Banken-Newsletter. Jetzt abonnieren!

Share

Share on facebook
Share on twitter
Share on linkedin
Share on xing