SECURITY15. Januar 2020

DKB kontert DDoS-Angriff und lässt TLS-Verbindung von Cloudflare terminieren: US-Cloud-Act oder DSGVO?

Am 07. Januar eröffneten die Angreifer das Feuer. Ziel: Das Rechenzentrum der FI-TS beziehungsweise ihrer Unternehmensmutter, Sparkassen-IT-Dienstleister Finanz Informatik (FI). Die FI hostet die Server der Sparkassengruppe und auch der Direktbank DKB. Nachdem Kunden mit der DKB fast ausschließlich per Browser und Smartphone-App kommunizieren, waren die Konsequenzen der Distributed-Denial-of-Service (DDoS)-Attacke im Fall der DKB besonders drastisch spürbar: Kunden konnten sich lange nicht mehr in ihre Konten einloggen, Überweisungen tätigen oder Daueraufträge anlegen.

IT Finanzmagazin Security-Experte Uli Ries beleuchtet das wenige, das bekannt ist, was nicht bekannt ist und welche Sicherheitsfragen sich durch die Abwehrmaßnahme stellen und was die BaFin empfiehlt.

von Uli Ries

Uptrends misst für IT Finanzmagazin die Zugriffszeiten der meisten deutschen Banken. Hier erkennt man die beiden Angriffe und am rechten Rand das Zuschalten von Cloudflare. Rund 10 Minuten nach dem Umschalten auf Cloudflare wurde die Messung abgebrochen, da von der Lage der Messpunkte abhängig massiv 403-Fehler erzeugt wurden.Uptrends

Der Dienstleister FI-TS hat den Angriff und die Angriffsart (DDoS) gegenüber dem IT-Finanzmagazin bestätigt: „FI-TS hat am 7.1. in der Mittagszeit erstmals einen extrem starken Lastanstieg über den Internetzugang festgestellt. Dieser ist auf einen böswilligen Angriff zurückzuführen, der aber nicht darauf zielte, in Systeme einzudringen. Es wurde kein Datenabgriff registriert.“

Ob sich letzteres („kein Datenabgriff“) als wirklich sicher herausstellen kann, können wir nicht diskutieren. Es wäre jedenfalls nicht der erste DDoS-Angriff, der lediglich als Ablenkung diente, während sich die Kriminellen an ihrem eigentlichen Ziel zu schaffen machten: Den im Rechenzentrum betriebenen Applikationen beziehungsweise den Kundendaten. Allerdings deutet das Fehlen einer DDoS-Erpressung und die Wiederholung des Angriffs am 9. Januar (wie die Messung von Uptrends zeigt) darauf hin, dass das Abgreifen von Daten ein Ziel der Kriminellen gewesen sein könnte. Wer hinter dem Angriff steckt und was die Kriminellen antrieb, ist bislang unklar. Die DKB möchte „aus Gründen der IT-Sicherheit und vor dem Hintergrund laufender Ermittlungen der zuständigen Behörden keine detaillierteren Auskünfte geben.“

Hacktivism unwahrscheinlich & kein Online-Vandalismus – dafür kostete der Angriff zu viel Geld

Denkbare Motivationen für die Attacke wären neben dem erwähnten Ablenkungsversuch, der einen Datenklau vertuschen soll, noch klassische Schutzgelderpressung oder Hacktivism. Auszuschließen ist reiner Online-Vandalismus („For the Lulz“). Dafür war der Angriff zu lang anhaltend und aufgrund der wahrscheinlich zu überwindenden Schutzmechanismen beziehungsweise der Bandbreite der Internetanbindung auch zu teuer.

Welches Datenvolumen zum Verstopfen der Internetanbindungen des FI-Rechenzentrums nötig war oder welche der diversen DDoS-Varianten zum Einsatz kam, ist ebenfalls unklar. Im Schnitt erzeugten Angreifer im vergangenen Jahr gute 5 Gigabit an Datenmüll pro Sekunde pro Attacke, um die Netzwerkzugänge ihrer europäischen Opfer zu überfluten. Der mächtigste bislang bekannte DDoS-Angriff brachte es im Februar 2018 auf über 1,2 Terabyte pro Sekunde und galt GitHub.

US-Anbieter Cloudflare als DDoS-Schutzschild der DKB

Bekannt ist aber, wie die DKB den Angriff auskonterte: Indem man die Systeme hinter den Schutzschirm des hierauf spezialisierten US-Dienstleisters Cloudflare stellte. Dazu ein Sprecher der DKB gegenüber IT Finanzmagazin:

Die wechselnden Muster dieses Angriffs erforderten kontinuierliche Anpassungen der IT-Systeme. Deshalb arbeiten wir auch mit IT-Sicherheitsunternehmen zusammen, um unsere Internetanwendungen vor bösartigem Traffic zu schützen und deren Verfügbarkeit aufrechtzuerhalten.“

Das sei branchenüblich.

Problematisch aus Sicht der DKB-Kunden: Cloudflare terminiert die TLS (Transport Layer Security)-Verbindung zwischen den Browsern der Bankkunden und den eigenen Systemen. Diese Systeme verarbeiten also sämtliche zwischen Browser und Bank transferierte Daten, inklusive Kontoständen und anderen privaten Informationen, kurzzeitig im Klartext. Zwischen Cloudflare und DKB dürfte dann wieder alles per TLS verschlüsselt durchs Internet rauschen.

Dieser von einem Twitter-Nutzer zuerst geschilderte Sachverhalt wurde von uns nachvollzogen: Auch nach dem Login ins Online-Konto, beispielsweise beim Abfragen der Kontostände, fanden sich in sämtlichen von den DKB-Servern ausgelieferten Webseiten vom US-Unternehmen gesetzte Header. Das Einfügen dieser Header ist nur möglich, wenn Cloudflare Zugriff auf die unverschlüsselten Daten hat.

Technisch ist diese Man-in-the-Middle-Stellung von Cloudflare auch vollkommen nachvollziehbar: Erst nach dem Entschlüsseln sämtlicher Pakete lässt sich legitimer Datenverkehr von dem der DDoS-Verursacher unterscheiden und letzterer entsprechend herausfiltern. Das US-Unternehmen erklärt dies klipp und klar („Keyless SSL requires that Cloudflare decrypt, inspect and re-encrypt traffic for transmission back to a customer’s origin.”) unter der Produktbeschreibung des Angebots “Keyless SSL“. (Hinweis: IT-Finanzmagazin liegen keine Informationen vor, ob die DKB dieses Cloudflare-Produkt einsetzt).

Unseres Wissen nach hat die DKB ihre Kunden über diese Entschlüsselung ihrer privaten Daten durch ein in den USA ansässiges Unternehmen nicht informiert. Das ist besonders in Anbetracht des Widerspruchs zwischen DSGVO und CLOUD Act (Clarifying Lawful Overseas Use of Data Act) wichtig, den amerikanische Unternehmen einzuhalten haben. Wie das zu bewerten ist, werden wir noch versuchen nachzufassen (Cloudflare müsste aktiv Widerspruch für diesen Einzelfall einlegen).

IT-Security-Journalist Uli Ries

Uli Ries arbeitet seit 20 Jahren als Journalist im IT-Bereich, seit 2008 als Freelancer für diverse deutschsprachige Publikationen. Sein Schwerpunkt liegt auf Informationssicherheit. Darüber hinaus ist er als Moderator, Sprecher und Cyber-Awareness-Experte für verschiedenste Unternehmen tätig.

Wenn man diesem Problem aus dem Weg gehen möchte, ist auch eine DDoS-Verteidigung entweder durch ein europäisches Unternehmen möglich, oder eine Verteidigung, die die Verschlüsselung intakt lässt (Stichwort: “Stateless, keyless Anti-DDoS”) und so die erzwungene Bandbreite reduziert, das der Kunde (hier die Bank) die restlichen Daten (mit möglichem Datenmüll) gut verarbeiten kann.

Zudem hat die Wahl von Cloudflare einen sehr bitteren Beigeschmack: Seit Jahren schützt das Unternehmen unter anderem ausgerechnet die Kriminellen, die DDoS-Angriffe durch ihre Angebote quasi für jedermann überhaupt erst möglich machen. Die Betreiber sogenannter Booter bieten DDoS gegen Bezahlung auf Knopfdruck, eine fünfminütige Attacke mit bis zu 15 Gigabit pro Sekunde gibt es ab 3 US-Dollar. Die zum Buchen des Dienstes verwendete Webseite wird in etlichen Fällen (Freeboot.to, Freestresser.me, Bootyou.net, FreeDDoSbooter.com und so weiter) von Cloudflare vor Angriffen geschützt – genau wie jetzt die Systeme der DKB. Das Phänomen, dass Cloudflare auch eindeutig illegalen Webangeboten Schutz gewährt, ist so einschlägig, dass mit Crimeflare eine eigene Suchmaschine an den Start gerollt wurde.

Aus Sicht der DKB spricht jedenfalls nichts gegen Cloudflare. Ein Sprecher:

Wir greifen nur auf Unternehmen zurück, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als potenzieller Anbieter zum Schutz vor solchen Angriffen gelistet sind und die DSGVO-konform arbeiten.“

In der Tat findet sich Cloudflare in der jüngsten Fassung der BSI-Liste (Link auf die PDF-Datei).

Die BaFin möchte sich nicht dazu äußern, ob einzelne Anbieter der von der Behörde veröffentlichten „Orientierungshilfe“ (Link zur Download-Seite der PDF-Datei) genügen. Bei der Frage, ob eine Bank wie die DKB ihre Kunden über die Verarbeitung ihrer persönlichen Daten durch einen US-Anbieter informieren muss, verweist die BaFin auf „den Zuständigkeitsbereich der einschlägigen Datenschutzbehörden.“

Ob Cloudflare die DKB-Systeme von nun an dauerhaft vor Ungemach bewahren soll, oder ob die Wahl nur aufgrund der Notsituation auf diesen Dienstleister fiel, ist derzeit nicht bekannt.

Rat der BaFin: Vorbereiten & Vorsorgen

Selbstverständlich haben wir auch bei der BaFin nachgefragt, wie sich eine Bank im DDoS-Fall ideal verhält. Die BaFin rät: “Eine Bank hat sich an die gesetzlichen Bestimmungen zu halten. So gibt § 53 ZAG vor, dass ein Zahlungsdienstleister angemessene Risikominderungsmaßnahmen und Kontrollmechanismen zur Beherrschung der operationellen und der sicherheitsrelevanten Risiken im Zusammenhang mit den von ihm erbrachten Zahlungsdiensten einzurichten, aufrechtzuerhalten und anzuwenden hat. In diesem Rahmen sollte ein Zahlungsdienstleister auch konkrete und anzuwendende Pläne zur DDoS-Mitigation entwickelt haben, die im Rahmen der laufenden Aufsicht beurteilt werden können. Die Anforderungen der BAIT (Bankaufsichtliche Anforderungen an die IT) sehen in diesem Kontext insbesondere die Definition einer Informationssicherheitsleitlinie vor. Auf deren Basis sind wiederum konkretisierende Informationssicherheitsrichtlinien und Informationssicherheitsprozesse mit den Teilprozessen Identifizierung, Schutz, Entdeckung, Reaktion und Wiederherstellung zu definieren, die den aktuellen Stand der Technik berücksichtigen.”Uli Ries

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/99873

2 Antworten auf "DKB kontert DDoS-Angriff und lässt TLS-Verbindung von Cloudflare terminieren: US-Cloud-Act oder DSGVO?"

Eike Auferkamp sagt:

16. Januar 2020 um 19:32 Uhr

Guter Artikel…
Genau weiss man es erst, wenn der erste Kunde geklagt hat.
Rein logisch wäre ein “BSI Empfehlung sticht DSGVO aus” eigentlich nicht möglich.
Generell wirft das (mal wieder) ein fragwürdiges Licht auf das BSI…

Natürlich sind die amerikanischen Dienste zwar sowieso zur Entschlüsselung in der Lage (ausgenommen hoheitliche Verschlüsselung Hardwarebasiert natürlich, aber das kostet ja wieder…), jedoch liefert man es denen nunmehr ja noch direkter.

Ein für alle Mal: FISA und Cloud Act heisst nichts weiter, als dass der Drops gelutscht ist. Warum verstehen das nur so wenige…es ist mir ein Rätsel, wie man das ignorierend überhaupt von IT Security sprechen kann. Ich meine, es sind Bankdaten, keine Bäcker-oder Dachdeckerdaten…

Man kann es einer so leichtsinnig handelnden Branche und dem “hörigen” deutschen Staat nur wünschen, dass das mal durch alle Instanzen geht weil ein Kunde sich traut zu klagen. Alle leben irgendwie in so einer Disneywelt…oder greift da gar noch das Geheimabkommen aus den 50ern? Oder Nato G10? Warum dann überhaupt verschlüsseln?

In diesem Fall ist nicht gezielt die DKB gemeint – sie folgen lediglich dem “Branchen- Duktus”. Sondern die generelle Denke in unserer Branche ist Securityseitig mindestens als lückenhaft zu beschreiben. Oder gilt “Spionage unter Freunden gibt es nicht?”

Vielleicht sollten solche Entscheidungen in den Unternehmen aber auch einfach mal von Profis getroffen werden!

#zwinker

Antworten
Edgar Sommer sagt:

17. Januar 2020 um 16:53 Uhr

Interessanter Artikel. Schade, dass die DKB bis auf das übliche Marketinggeblubber keine Informationen herausgibt. Das wäre als Opfer durchaus möglich und könnte sich sogar positiv auf das stark angeknackste Kundenvertrauen auswirken. Es darf bezweifelt werden, dass die Ermittlungsbehörden auch nur ansatzweise in die Nähe der Täter geraten. Dass “Security-by-obscurity” selten eine gute Lösung ist, Vertraulichkeit, Verfügbarkeit und Integrität von IT-System zu gewährleisten, lernt jeder Anfänger. Insofern ist ein Verweis auf laufende Ermittlung und IT-Sicherheit als Ausrede zu bewerten und dient möglicherweise vielmehr dazu eigene Fehler nicht einzugestehen.

Als mögliches Motiv für einen derarten Angriff kämen auch wirtschaftliche Interessen der Konkurrenz in Frage. Beispielsweise könnten Fintech-Unternehmen wie N26, oder eine Tomorrow-Bank der DKB Kunden abtrünnig machen wollen. Sich ein Botnet für einen “Stresstest” zu mieten, kostet nicht die Welt und ist für einen Täter nur mit wenigen Risiken behaftet. Man darf sich auch fragen, ob es seitens PR-Abteilung der DKB eine gute Idee war, Ende letzten Jahres per Twitter vom Vorhaben “…zusätzlich 400 Mio. Euro in digitale Produkte und Services…” zu investieren zu verkünden.

Nicht auszuschließen wäre auch eine Schutzgelderpressung seitens der DDoS-Mitigation-Anbieter selbst, nach dem Motto “schönes Onlinebanking haben sie da, es wäre doch schade, wenn die Verfügbarkeit für ihre Kunden nicht gegeben ist”. Die Verkäufer in solchen Firmen werden umsatzbeteiligt sein, eine kleine Investition in ein Botnet könnte sich positiv auf die eigenen Quartalszahlen auswirken.

Man muss auch kein Verschwörungstheoretiker sein, um Geheimdiensten ein Motiv zuzuschreiben. Seit dem NSA-Skandal hat das Verschlüsseln von Internetverkehr stark zugelegt, was die Arbeit der Geheimdienste massiv erschwert. Seit diesem Zeitpunkt sind DDoS-Attacken populärer und damit einhergehend Firmen wie Cloudflare groß geworden. Welchen Anbieter man wählt ist dabei weitestgehend egal, da davon auszugehen ist, dass die Geheimdienste ohnehin alle Anbieter des überschaubaren Marktes abgedeckt haben. Die Frage ist dann nur, ob die verschlüsselten Daten von NSA, GCHQ, dem Mossad, oder BND ausgeleitet und den befreundeten Diensten zur Verfügung gestellt werden. Die Geheimdienste können dadurch ihre Kosten sogar drastisch senken, da neben dem Entschlüsseln der Daten diese auch noch direkt vor die Haustür geliefert werden. Der Kunde (die DKB) bestimmt selbst, dass die Daten an Cloudflare gesendet werden und gibt ihm auch noch die Schlüssel zum Entschlüsseln in die Hand. Vorher musste eine NSA den Traffic an Glasfaserkabeln oder an Internetverteilern aufwändig abgreifen und dann hinterher noch über die Ausnutzung von Krypto-Schwachstellen, oder mit massivem Rechenaufwand entschlüsseln. Da lohnt es sich doch eine Firma als Sockenpuppe zu gründen.

DKB hin oder her, man darf es mit Sorge sehen, dass wieder einer mehr bei Cloudflare gelandet ist. Cloudflare “…macht das Internet besser” ist auf deren Internetseite zu lesen. Das Gegenteil ist der Fall. Die eigentlichen Ursachen, die DDoS-Angriffe überhaupt erst ermöglich, bleiben unverändert. Im Gegenteil, Cloudflare wird alles daran setzen, dass sich daran eben nichts ändert. Dazu kommt, dass eine weitere Monopolisierung und Zentralisierung das Internet kaputt macht. Wer von Cloudflare nicht genommen wird, der wird es zukünftig schwerer haben, überhaupt ins Internet zu kommen. Den Entscheider in der Bank interessiert das freilig herzlich wenig, für ihn zählen nur Bonus und Oberklasse-Limousine samt Chauffeuer.

Antworten

DKB kontert DDoS-Angriff und lässt TLS-Verbindung von Cloudflare terminieren: US-Cloud-Act oder DSGVO?

Hacktivism unwahrscheinlich & kein Online-Vandalismus – dafür kostete der Angriff zu viel Geld

US-Anbieter Cloudflare als DDoS-Schutzschild der DKB

Rat der BaFin: Vorbereiten & Vorsorgen

Schreiben Sie einen Kommentar Antworten abbrechen

Veranstaltungskalender

Finance-Forward-Konferenz 2024

#digifin24 | Digital Finance Conference 2024

Rise of AI Conference 2024

Norddeutscher Versicherungstag

ITC DIA Europe Amsterdam 2024