Erpressungsversuch

Versandapotheken wehren Hacker-Angriff ab Alexander Müller, 12.02.2016 09:06 Uhr

Berlin - 

Es war wie in einem schlechten Film: Erpresser forderten 1500 Euro von mehreren Versandapotheken. Wenn das Geld nicht innerhalb von 72 Stunden überwiesen sein sollte, würde man die Onlineshops erneut lahmlegen. Zuvor hatte „Gladius“ eine Kostprobe gegeben. Doch der Shopbetreiber Mauve hat sich für seine Kunden in eine technische Abwehrschlacht begeben. Heute ist man zuversichtlich, dass der Angriff abgewehrt wurde.

Als der Mauve-Server am vergangenen Donnerstag plötzlich offline war, fragte Geschäftsführer Christian Mauve zunächst bei seinem Provider nach. Der kannte den Fall schon und fragte direkt nach dem Erpresserschreiben. Tatsächlich wurde im Spam-Ordner einzelner Kunden der Brief von Gladius gefunden, in dem die Erpresser ihre Bedingungen stellen.

Besonders charmant fand Mauve, dass sich die Angreifer in englischer Sprache als „Geschäftsleute wie Sie“ ausgaben, die ihr Wort halten würden. Bezahlt werden sollte in Bitcoins, bei denen die Transaktion im Nachhinein nicht nachvollziehbar ist – für die Hacker eine sehr sichere Variante der Geldkoffer-Übergabe. Über den Preis werde man übrigens nicht verhandeln, kündigt Gladius an.

Mauve wollte auch gar nicht verhandeln – und erst recht nicht bezahlen. Wie angekündigt folgte die zweite Welle des Angriffs 72 Stunden später. Offenbar hatten die Hacker mit verschleierter IP-Adressen der Mauve-Kunden verschiedene Zeitserver angefragt. Unter deren Datenpaketen brach dann der Server von Mauve zusammen. „NTP-Reflection“ nennt man diese Form von DDoS-Angriffen.

Gegen solche Attacken können sich Shopbetreiber auf verschiedene Weise zur Wehr setzen. Über eine Geo-Lokalisierung können etwa nur noch Anfragen aus Europa zugelassen werden – die Angriffe stammen meist aus dem asiatischen Raum. Werden dort keine Kunden betreut – was auf deutsche Versandapotheken regelmäßig zutrifft – kann man sich so zumindest übergangsweise schützen.

Ferner kann eine sogenannte Waschmaschine zum Einsatz kommen, die die Treffer filtert und bereinigt. Problem hierbei: Dieser Prozess muss sehr weit vorne in der Serverstruktur passieren, weil das System ansonsten schon vorher zusammenbricht. Die Cyber-Kriminellen können aber auch mit ihren eigenen Waffen geschlagen werden: Die Shops fälschen einfach selbst ihre IP-Adresse und verschleiern so den Zugang.

Das zählt zu den Maßnahmen, die auch Mauve ergriffen hat. Offenbar mit Erfolg: „Unsere Leute haben hart daran gearbeitet und die Ausfälle erfolgreich abgestellt“, sagt Mauve. Es gebe zwar weiterhin Angriffe, aber in den vergangenen Tagen keine Probleme mehr damit. „Die Sache hat auch etwas Gutes, weil wir die Gefahr mit unserer Reaktion jetzt überkompensiert haben“, so Mauve.

Absolute Sicherheit gegen DDoS-Angriffe gibt es aber nicht. Laut dem Bundesamt für Sicherheit und Informationstechnik (BSI) werden die Attacken immer raffinierter, die Wellen immer größer. Teilweise arbeiten Millionen von Bot-Servern zusammen an einem Angriff. Es werden zwar immer wieder Gegenstrategien entwickelt, aber es bleibt ein ewiges Katz-und-Maus-Spiel.

Mauve hat – gemäß der BSI-Empfehlung – Strafanzeige gestellt, auch bei der Polizei war „Gladius“ bereits bekannt. Es ist davon auszugehen, dass die Ermittlungen schnell eingestellt werden, weil die Hintermänner solcher Angriffe so gut wie nie aufzustöbern sind. Das BSI weiß trotzdem gerne jeden Fall gemeldet – schon für die Statistik.

Bei den betroffenen Versandapotheken dürfte kein allzu großer Schaden entstanden sein, vermutet Mauve. Die Angriffe seien zum Glück meist nachts erfolgt – was untypisch ist –, die Umsatzausfälle in den Onlineshops sollten also gering sein.

Mauve wurde 1999 gegründet. In den Apothekenmarkt stieg die Firma 2004 ein; seitdem ist die Firma auch durch Übernahmen gewachsen: Vor einem Jahr übernahm Mauve den Berliner Konkurrenten Cyberline (Cybershop) mit Kunden wie Juvalis, Mycare und Deutsche Internet Apotheke (DIA). Seit Januar betreut das Unternehmen 33 weitere Apotheken-Webshops, die bislang von der Düsseldorfer Agentur permanent Wirtschaftsförderung betreut wurden. Mit der Übernahme hat die Essener Firma ihren Marktanteil nach eigenen Angaben auf 43 Prozent erhöht.