Die Zürcher und Waadtländer Kantonalbanken wurden Ziel einer Cyberattacke. Dahinter steckt die russische Gruppe NoName057. Die breite Berichterstattung hilft der Gruppe.
Eine Gruppe von mutmasslich russischen Hackern hat am Dienstagmorgen die Webseiten von einigen Schweizer Banken und Gemeinden angegriffen, so dass diese vorübergehend nicht mehr erreichbar waren. Zu den prominenten Opfern zählen die Zürcher und die Waadtländer Kantonalbank. Deren Websites waren am Morgen zeitweise nicht erreichbar oder zeigten eine Störungsmeldung an.
Hinter dem Angriff steht die russische Hackergruppe NoName057. Diese Gruppe hat in der Schweiz bereits in der Vergangenheit mehrmals mit sogenannten DDoS-Attacken für Aufmerksamkeit gesorgt. Bei dieser Art von Angriffen geht es darum, Server mit einer riesigen Zahl von Anfragen zu überlasten. Die Server werden nicht beschädigt, sondern sind nur vorübergehend nicht erreichbar. Die Angreifer haben keinen Zugriff auf die Daten.
Die Gruppe NoName057 hatte letztmals während der Ukraine-Konferenz auf dem Bürgenstock im Juni Schweizer Websites angegriffen. Auch vor einem Jahr während des Weltwirtschaftsforums (WEF) in Davos war die Gruppe aktiv. Weil erneut Angriffe erwartet worden waren, sprach das Bundesamt für Cybersicherheit im Vorfeld des WEF, das am Montag begann, Warnungen aus.
Angreifer übertreibt den Erfolg
Das Ziel von NoName057 ist es nicht, Schaden zu verursachen oder Daten zu entwenden. Die Gruppe will vielmehr die Öffentlichkeit verunsichern. Deshalb stellt sie die Wirkung ihrer Angriffe gerne übertrieben dar.
Dieses Vorgehen ist auch bei der aktuellen DDoS-Welle zu beobachten, die seit Montag läuft. So hat NoName057 am Montag insgesamt 17 Webadressen in der Schweiz angegriffen, war aber nur in sieben Fällen erfolgreich. Das zeigt ein Blick auf ihre Erfolgsmeldungen auf Telegram.
Am Dienstag umfasste die Zielliste 19 Internetadressen, NoName057 vermeldete aber nur 10 Erfolge. Die Angriffe auf die Basler und die Genfer Kantonalbanken zum Beispiel, deren Websites NoName057 unter anderen ebenfalls ins Visier nahm, liefen offensichtlich ins Leere.
Bei jenen Websites, die tatsächlich vorübergehend nicht erreichbar waren, lässt sich oft nicht nachprüfen, wie lange der Ausfall dauerte. Meist beschränkt sich der Ausfall auf maximal eine bis zwei Stunde. So zum Beispiel bei der Rhätischen Bahn, die am Montag von NoName057 attackiert wurde.
Immer wieder übernehmen die Medien die übertriebene Darstellung. Den Angreifern nützt das. Am Dienstag dauerte es keine Stunde, bis NoName057 in ihrem Telegram-Kanal die Schlagzeile eines Artikels von «20 Minuten» auf russisch und englisch verbreitete, in der von einem «Mega-Angriff» die Rede ist. Diese Art der Wahrnehmung wünscht sich die Gruppe.
Wer hinter NoName057 steht, ist nicht klar. Die Gruppe begründet ihre Angriffe jeweils politisch und nimmt im Moment jene Länder ins Visier, die die Ukraine unterstützen. Es handelt sich jedoch nicht um einen Zusammenschluss von Internet-Aktivisten, die rein politisch motiviert handeln. Die Arbeitsweise lässt darauf schliessen, dass es sich um eine gut organisierte Gruppe handelt, die genügend finanzielle Mittel hat. Dass es eine direkte Verbindung zum Kreml gibt, ist nicht belegt.
Die Abwehrmassnahmen sind in der Schweiz bekannt
Die Angriffe von NoName057 lassen sich eigentlich gut abwehren. Die Massnahmen, um sich zu schützen, sind aus früheren Angriffswellen bekannt. Das Vorgehen habe die Gruppe auch bei den aktuellen Attacken nicht geändert, wie das Bundesamt für Cybersicherheit auf Anfrage schreibt. Deshalb erstaunt es, dass insbesondere die ZKB, eine der grössten Banken der Schweiz, bei ihrer Abwehr offensichtlich schlecht vorbereitet war.
«Natürlich gibt es nie die hundertprozentige Sicherheit, dass ein bestehender Schutz vor DDoS-Angriffen auch effektiv ausreicht», sagt Tom Schons, Geschäftsführer bei der Cybersicherheitsfirma Cyberfy Consulting. «Aber Unternehmen wie die ZKB haben ausgeklügelte Systeme, um DDoS-Attacken zu bemerken und abzuwehren».
Stark vereinfacht heisst das: Wenn Firmen merken, dass sie eine grosse Masse an Zugriffen aus dem Ausland erhalten, können sie laut Schons Services für Nutzer ausserhalb der Schweiz abschalten. Insbesondere Unternehmen, deren Kundschaft primär im Inland ist, können DDoS-Attacken aus dem Ausland mit dieser Methode mindestens temporär entgehen.
Zudem könnten Unternehmen in den Zugriffen auf ihre Server bestimmte Muster erkennen, die typisch für einen DDoS-Angriff seien, sagt Schons. Mit spezieller Software könnten sie den Angriff dann herausfiltern und somit nur noch legitime Zugriffe auf ihre Server zulassen. Dafür arbeiteten Firmen meist mit Telecom-Firmen wie etwa der Swisscom oder Sunrise zusammen, sowie mit spezialisierten Anbietern.
Warum die bekannten Abwehrmassnahmen bei der ZKB nicht implementiert waren, ist unklar. Die Bank antwortet auf eine Medienanfrage summarisch: Das E-Banking und das Mobile Banking seien von der Störung nicht betroffen gewesen. «Kundengelder waren zu keinem Zeitpunkt gefährdet. Aus Sicherheitsgründen kann die Bank nicht mehr dazu sagen». Aktuell seien alle Systeme wieder normal verfügbar.
