Bundesweit haben Cyber-Kriminelle mit Denial of Service-Attacken die Websites mehrerer Apotheken abgeschossen. Drohbriefe an Inhaber folgten. Der Überraschungsangriff zeigt, dass IT-Infrastrukturen noch etliche Schwachstellen haben.
„Wie Sie hoffentlich realisiert haben, haben wir die Infrastruktur Ihres Online-Shops angegriffen“ – dieses Schreiben spielte ein Apothekenleiter aus München der DocCheck-Redaktion zu. Ein Hacker mit dem Pseudonym Gladius forderte 1.500 Euro über nicht nachverfolgbare Kanäle, um seine Attacken einzustellen. Kein Einzelfall: Galdius hat bundesweit etliche Apotheken-Websites im Visier, bestätigt ein Polizeisprecher. Was war passiert?
Bei Denial of Service (DoS)-Angriffen kommt es zu einer Flut von Anfragen externer Rechner an den Host. Informatiker sprechen von Distributed Denial of Service (DDoS). Die Konsequenz: Reguläre Anfragen können nicht mehr in einer vernünftigen Zeit beantwortet werden, und der Dienst bricht zusammen. Kunden erreichen das Portal einer Versandapotheke nicht mehr. Im Unterschied zu anderen Strategien wollten Angreifer nicht in den Computer eindringen. Sie erbeuteten auch keine Passwörter oder Kreditkartendaten. Ihr Ziel war, Versandapotheken lahmzulegen. Ob hinter der Aktion tatsächlich versierte Hacker stecken, ist fraglich. Über Tools wie Low Orbit Ion Cannon (LOIC) gelingt es mittlerweile sogar Laien, DoS-Aktionen durchzuführen. Warum es Cyberkriminelle gerade auf Versandapotheken abgesehen haben, ist unklar. Für das halb ernst, halb ironische Gerücht, es handele sich um einen Gegner von Versandapotheken, gibt es jedenfalls keine Belege.
Allen betroffenen Versendern rät die Polizei, umgehend Anzeige zu erstatten und entsprechende Beweise, beispielsweise Erpressungsschreiben oder E-Mails, vorzulegen. Sollte es Ermittlungsbehörden gelingen, Täter dingfest zu machen, was eher unwahrscheinlich ist, drohen gleich mehrere Strafen. Das beginnt mit Erpressung gemäß Paragraph 253 Strafgesetzbuch (StGB). DoS-Attacken werden als Computersabotage nach Paragraph 303b Absatz 1 StGB mit bis zu drei Jahren Freiheitsstrafe oder mit Geldstrafe geahndet, falls das Ziel verfolgt wurde, Dritten zu schaden. In einem früheren Fall verurteilte das Landgericht Düsseldorf Hacker zu mehrjährigen Freiheitsstrafen. Mögliche Schadenersatzansprüche von Apothekenleitern kommen aktuell mit hinzu. Bereits der Versuch, andere Computer zu sabotieren, ist strafbar (Paragraph 303b Absatz 3 StGB). Unter diesen Tatbestand fällt die Entwicklung und Verbreitung von Schadsoftware.
Im aktuellen Fall mussten Provider einzelne Shops zeitweise vom Netz nehmen – Umsatzeinbrüche inklusive. Große Rechenzentren kennen das Problem nur allzu gut. Am 3. August 2015 gelang es Hackern, Server des Spieleentwicklers Gamersfirst per DDoS lahmzulegen. Bei Angriffsvolumina von bis zu 300 GBit/s bleibt nur eine einzige Option, nämlich die Nutzung von kommerziellen Filterservices für eingehende Anfragen. Das sehen Datenschützer jedoch kritisch; es handelt sich um eine Auftragsdatenverarbeitung gemäß Bundesdatenschutzgesetz (BDSG), die teilweise im Nicht-EU-Ausland stattfindet.