Der Online-Shop des Elekronik-Fachmarkts Conrad meldete am 21.12.2011 – also mitten im Weihnachtskonsumterrorgeschäft – Land unter. Gegen das Unternehmen wurde eine DDoS-Attacke gefahren und damit der Shop-Server in die Knie gezwungen.
Dahinter steckt eine neue Geschäftsidee. Nicht die von Conrad, sondern von Leuten aus der Cybercrime-Szene.
Das beginnt zunächst damit, daß die Website des Anbieters für eine kurze Zeit lahmgelegt wird. Danach meldet sich ein freundlicher Mensch und „bittet“ um einen Geldbetrag, zahlbar sofort und per Western Union oder Ukash. Zahlt der Website-Betreiber den erbetenen Betrag, ist die Sache meist erledigt; zahlt er nicht, setzt eine DDoS-Attacke ein, die mehrere Stunden bis Tage dauern kann. In dieser Zeit geht auf der Website gar nichts mehr.
So eine DDoS-Attacke funktioniert recht bequem über ein Bot-Netz. Man mietet sich die erforderlichen Serverkapazitäten (Attacker/Handler) – allerdings eher nicht in Europa. Durch einen Trojaner oder Wurm infiziert man mehrere (sehr viele) Computer (Zombies), verbindet sie mit den Servern und steuert sie von dort aus. Der Steuermann ist dann Herr über tausende Rechner, die alle gleichzeitig und massiv bei Conrad einkaufen wollen. In aller Regel führt das zum Endes des Weihnachtsmarkts.
Bereits im März hatte das Landgericht Düsseldorf (Urteil v. 22.03.2011 – Az.: 3 KLs 1/11) entschieden, daß so eine Attacke strafbar ist.
Gewerbsmäßige Erpressung (§§ 253 Abs. 1, Abs. 4 StGB) ist ein Stichwort, an dem man nicht vorbei kommt. Die DDoS-Attacke stellt nach der Entscheidung des Düsseldorfer Landgerichts eine Computersabotage im Sinne der §§ 303b Abs. 1 Nr. 2, Abs. 2 StGB dar. Maximal und im Paket gibt es dafür 15 Jahre Freiheitsentzug. Also eine Geschichte, die sich nur begrenzt für einen Kindergeburtstag eignen.
Siehe dazu auch: Kanzlei Dr. Bahr – LG Düsseldorf: DDoS-Angriffe sind strafbare Computersabotage
So so eines pöse DDos Attackes von pösen Hackern…
Erste zu treffende Maßnahme : Den Admin, Provider und alle daran hängenden Verantwortlichen fristlos entlassen und zur erziehlung eines Lerneffektes gleich noch bis zur Hölle Schadensersatzverklagen.. Den eine kommerzielle Webseite die heutigentags noch bei so was in die Knie geht gehört sowieso nicht ins Netz und zeugt von epischer Unfähigkeit auf allen Ebenen. Und dann bitte irgendwann mal die Definition von Hacker lesen… Es muss nicht immer BLÖD//Heise Niveau sein……
Man kann ja noch per Katalog bestellen.
@BOFH:
Selten so einen Unsinn gelesen. Ab einer gewissen Größe sind die Möglichkeiten gegen einen ddos sehr beschränkt, bzw. sie nehmen Zeit in Anspruch. Wenn ein Provider etwas gegenteiliges erzählt, DANN würde ich schleunigst kündigen.
Kommentator 1 bringt die gleiche argumentative Logik wie die Helmpflicht-Befürworter, i.e. wer sich nicht ausreichend panzert, sei beim Unfall der Schuldige (obwohl er real unschuldig und Opfer ist) und darf deshalb keine Schadensersatzansprüche merh haben.
Aber ist es nicht so, dass die meisten Angreifer im Ausland sitzen? Wie sollte die deutsche Justiz denen jemals habhaft werden können? Und Firmen wie Conrad zu ihrem Recht und somit Schadensersatz kommen?
[…] das Unternehmen wurde eine DDoS-Attacke gefahren und damit der Shop-Server in die Knie gezwungen. zum Artikel Posted in Allgemein Tags: DDos-Attacke « Abo-Falle 2012 – Was kommt auf uns zu Sie […]
@r.nuwieder
Definiere Größe. Definiere Zeit. Soll ja Leutz geben die für nen Script sauber 3 Jahre und so…Gähn… Wir reden hier von nem Shöpchen nicht nem Google Cluster. Überall nur noch Turnschuh Admins unterwegs…..
r.nuwieder: Sicher ist, dass man sowas nicht pauschalisieren kann. Speziell beim Conrad bezweifle ich aber, dass der/die Admin/s (übrigens: Admin?Provider) die Hausaufgaben gemacht hat.
Hier klemmt’s übrigens auch irgendwo am Kontaktformular, da wird der Charset nicht korrekt übermittelt, mein Fragezeichen oben ist ein Ungleichzeichen (U+2260)
Neu ist dieses Vorgehen nicht. Modus operandi und Perseveranz sind schon länger bekannt/ein Problem, werden jedoch nur sehr selten an die Öffentlichkeit getragen, kommen kaum zur Anzeige und damit finden sie auch in die PKS keinen Einzug.
Viele Grüße
Andreas
Um so mutige ist die Entscheidung von Conrad, an die Öffentlichkeit zu gehen.
Ich wage nicht zu sagen, welche Entscheidung – Öffentlichkeit und Anzeige oder nicht – besser ist. Im Allgemeinen zeigt sich aber, dass eine Anzeige bei den Behörden die Attacke nicht verhindert. Nunmehr sind wir bei der überwiegend betriebswirtschaftlichen Denkweise von Unternehmen. In Sachen WiKri werden laut Studie des Sicherheitsforums BaWü (Mittelstand) nur in 33% aller bekannt gewordenen Fälle eine Strafanzeige erstattet. Gründe für das Unterlassen sind: 1. Zu geringer Nutzen für das Unternehmen (82%), 2. Ausgang der Strafverfolgung zu unsicher (77%), 3. Schadensbegrenzung (67%) , 4. Strafverfolgung zu langwierig (53%), usw.. Lesen Sie selbst: http://www.sicherheitsforum-bw.de/images/stories/pdfs/SiFo-Studie.pdf
Einen Rat zu geben definiert sich über das Ziel des Unternehmens.
Viele Grüße
Andreas
BOFH,
der Admin kann nichts dafür und der Provider schon gar nicht!!
DDOS Angriffe sowie noch die alten Angriffe, also DOS sind bisher uneingeschränkt möglich und es wurden meiner Kenntnis nach bisher noch keine effizienten Schutztechniken gegen diese entwickelt, obwohl diese Angriffsmethode, meiner Meinung nach einer der groben im IT Bereich ist, im Vergleich zur einer SQL Injection oder einen manuel ausführbaren, gezielten Sicherheitslücken Scan. Du selber kannst solchen Angriff machen und man bracht nicht einmal ein Bootnetz auszubauen, um die Zurückverfolgung zu erschweren. Dein Provider kann auch nicht ersehen, dass du das warst, wenn du alles richtig konfiguriert hast und der Versand der Packete über eine verschlüsselte Verbindung stattfindet, die über mehrere Server geht, die nicht auf reale Personen und über virtuelle Zahlungen registriert sind. Und der Provider kann so einen Angriff nicht unterbinden, geschweige denn die zu stoppen! Der Admin dagegen schon, allerdings ist hier mit gewissen Arbeits- und Zeitaufwand zu rechnen, es sei denn der Admin hat ALLE Sicherheitslücken von Anfang an am Server geschlossen, was technisch bei einem funktionierenden Server nicht möglich ist. Möglich ist nur die Sicherheitslücken zu schließen,die den Sicherheitsexperten bei Mikrosoft und entsprechend dem Serveradmin bekannt sind. Alleine im Eval sind unter bestimmten Bedinungen im PHP das Ausführen eines Codes möglich, obwohl das eine der bekanntesten Schwachstellen ist, können solche typischen Angriffe bei unsauberer Programmierung immer wieder vorkommen.
$value) {
eval(„$$key = \“$value\“;“);
}
?>
He-he! Und schon geht es…
Also, nicht immer gleich den Admin beschuldigen ;)