Wie der Cyber-Angriff auf die DKB ablief – und was die Folgen sind

9. Januar 2020

Von Heinz-Roger Dohms

Schon wieder DKB? Ja, schon wieder DKB.

Was bisher geschah:

  • Am Montag kollabierte zunächst das Online-Brokerage, zugrunde lag eine gravierende Störung beim Wertpapier-Abwickler dwp Bank.
  • Am Dienstagnachmittag fielen dann die DKB-Website und das Online-Banking in sich zusammen. Warum? Blieb unklar …
  • … bis die DKB gestern Früh offiziell mitteilte, sie sei „einem Angriff durch Dritte ausgesetzt“ gewesen.

Am Nachmittag berichtete dann Finanz-Szene.de exklusiv, dass es sich konkret um eine sogenannte „DDoS“-Attacke gehandelt hat. Was die Frage aufwirft: Was ist das denn nun schon wieder? Und hatte die Bafin nicht neulich noch gesagt, dass eine Banken-IT infolge eines externen Angriffs ausfalle, sei die „absolute Ausnahme“? Ein FAQ zur Lage:

Wem galt der Angriff?

Wenn man es ganz genau nimmt, zielte der Cyber-Angriff nicht auf die DKB. Sondern auf deren ausgelagerte Server, die von einem externen Dienstleister, nämlich der „Finanz Informatik Technologie Service“ (FI-TS) betreut werden. Dabei handelt es sich um eine 100-prozentige Tochter des sparkasseneigenen IT-Dienstleisters „Finanz Informatik“. Dem „Handelsblatt“ zufolge waren auch weitere Kunden der „FI-TS“ betroffen, wenn auch in deutlich geringerem Maße. Bei der DKB-Mutter BayernLB sei es zu einem kurzen Ausfall einiger Online-Dienste gekommen, bei der Helaba seien Echtzeit-Zahlungen zeitweise nicht möglich gewesen. Auch bei Sparkassen habe es Probleme gegeben.

Was ist eine „DDoS“-Attacke?

Bei einer „Distributed-Denial-of-Service“Attacke wird eine Website von einer ungeheuren Vielzahl unterschiedlicher IP-Adressen aus mit scheinbar normalen Zugriffen bombardiert. Gelingt es dem Angegriffenen nicht, die Attacke rechtzeitig zu erkennen und abzuwehren, bricht die Website unter der Last der vielen Aufrufe zusammen. „Aus sicherheitstechnischer Perspektive handelt es sich zunächst mal um ein schwer zu adressierendes Problem, weil es sich ja theoretisch auch um legitime Zugriffe handeln könnte“, sagte uns gestern der bekannte IT-Sicherheitsexperte Vincent Haupert. Hinzu kommt: Kommen Kunden eine Weile aufgrund derartiger Schwierigkeiten nicht in ihr Konto, versuchen sie es wieder und wieder – und auch die normalen Kundenanfragen übersteigen dann rasch die normal übliche Spitzenlast der Anfragen, auf die die Systeme ausgelegt sind.

Warum gelang es der FI-TS nicht, den Angriff abzuwehren?

Berechtigte Frage. Denn auch wenn eine „DDoS“-Attacke knifflig ist – eigentlich sollte eine Bank bzw. das dahinterstehende Rechenzentrum auf diese Form von Angriff vorbereitet sein. Darauf deutet auch eine Aussage des Bafin-Experten Jens Obermöller von vor wenigen Wochen hin. Er hatte gesagt: Zwar hätte deutschen Banken in den vergangenen knapp zwei Jahren fast 500 schwerwiegende „IT-Sicherheitsvorfälle“ bei der Finanzaufsicht gemeldet. Cyber-Angriffe seien als Ursache jedoch die „absolute Ausnahme“ gewesen (wobei sich die „absolute Ausnahme“ nach Informationen von Finanz-Szene.de grob gesagt mit 1% bis 2% quantifizieren lässt, also vielleicht 5 bis 10 Fälle). Der Großteil der Ausfälle, so Obermöller, sei stattdessen „auf hausinterne Schwächen der Banken zurückzuführen“.

Haben die Abwehrmechanismen der FI-TS im konkreten Fall versagt? Darauf deutet einiges hin. Haupert meint: „Es kann eigentlich nur so sein, dass die Systeme des Dienstleisters keinen oder keinen ausreichenden ‚DDoS‘-Schutz hatten.“

Wer kommt als Täter infrage – und was sind die Motive?

Die IT-Experten, mit denen wir gestern gesprochen haben, vertreten die These, dass es für einen „DDoS“-Angriff, wie er die DKB getroffen hat, „kein vertieftes Hacker-Wissen braucht“ (so die Worte eines Gesprächspartners). Es könnte sich demnach also um einen Nachwuchs-Nerd gehandelt haben, der – salopp formuliert – einfach mal gucken wollte, was denn so geht (wie wir gestern gelernt haben, werden solche Täter in der Szene „Script-Kiddie“ genannt, sehr hübsches Wort!).

Zugleich ist aber natürlich auch denkbar, dass es sich um professionelle Cyber-Kriminelle gehandelt hat, die – wobei wir uns jetzt ins Reich der Spekulation begeben – versucht haben könnten, die DKB zu erpressen. Spinnt man den Gedanken weiter, müsste man als nächstes fragen, ob renommierte Banken so etwas denn mit sich machen lassen würden. Worauf uns als Replik eigentlich nur einfällt: Wenn sie es machen, dann werden sie es gerade uns mit Sicherheit nicht sagen. Die Frage muss also unbeantwortet bleiben.

Warum war die Website am späten Dienstagabend wieder erreichbar?

Es gibt im Grunde nur zwei denkbare Möglichkeiten:

  • Die FI-TS hat den Angriff irgendwann dann doch zurückgeschlagen
  • Der Angreifer hat seinen Angriff, warum auch immer, beendet (die Natur einer „DDoS“-Attacke liegt darin, dass der Angreifer die Systeme normalerweise nur solange lahmlegen kann, wie er die Systeme mit Zugriffen bombardiert. Endet das Bombardement, laufen in der Regel auch die Systeme wieder)

Wie gehen Banken normalerweise gegen „DDoS“-Angriffe vor?

Einer, der bei einer bekannten Bank in einer gehobene Position im Bereich IT-Sicherheit arbeitet, sagte uns gestern, die beiden erfolgsversprechendsten Konzepte seien folgende:

  • Richtig gute IT-Sicherheits-Leute (also Leute, die ihre Ausbildung im Zweifel vielleicht eher bei einem Geheimdienst als bei einer Bank gemacht haben)
  • Ausreichende Serverkapazitäten, um die Angreifer und die Spitzenlasten, die durch den „Stau“ ganz normaler Kundenanfragen entstehen, im Zweifel überpowern zu können

Bildlich gesprochen ist damit Folgendes gemeint: Wenn 20 Kunden auf zwei Supermarktkassen treffen – dann bricht der Laden zusammen. Wenn der Supermarkt-Betreiber aber in der Lage ist, 10, 20 oder gar 30 zusätzliche Kassen aufzumachen, dann bleibt alles im Fluss.

Sind altgediente Banken (und Rechenzentren) mit Legacy-IT anfälliger als Neo-Banken, die auf die Cloud setzen?

Wenn wir es richtig verstehen, ist das eine Glaubensfrage. Von der Bafin sagt man, sie sehe Cloud-Lösungen im Bankenbereich unter Sicherheitsaspekten eher skeptisch. Einer aus dem Cloud-Lager meinte hingegen gestern, der aktuelle Fall zeige, dass herkömmliche IT-Systeme anfälliger seien. Denn wer auf die Cloud setze, könne seine Serverkapazitäten im Zweifel beliebig hochfahren und sei damit für einen DDoS-Angriff viel besser gewappnet. Das müsse der Finanzaufsicht eigentlich zu denken geben.

Stimmt das? Um das beurteilen zu können, kennen wir uns viel zu wenig aus in der Materie. Wir haben in unseren Gesprächen gestern jedenfalls auch die Position gehört, dass sich auch auf Basis herkömmlicher Server-Lösungen die notwendigen Zusatzkapazitäten sozusagen zubuchen lassen.

Waren die Daten jederzeit sicher, wie die DKB behauptet?

Vermutlich ja. Sofern wir es richtig verstanden haben, lassen sich mit einem DDoS-Angriff zwar Systeme lahmlegen, aber nicht infiltrieren.

Ausfall bei der DKB war eine DDoS-Attacke

NEWSLETTER

Deutschlands führender Banken-Newsletter. Jetzt abonnieren!

Share

Share on facebook
Share on twitter
Share on linkedin
Share on xing