Bericht: Cyber-Attacke auf US-Banken mit veralteten Websites aus Deutschland
Berlin (dpa) - Betreiber von kleineren Web-Auftritten in Deutschland werden ohne ihr Wissen für planmäßige Attacken auf Banken in den USA missbraucht.
Grund sind veraltete Versionen von sogenannten Content-Management-Systemen (CMS) für die Gestaltung von Webseiten. Deren Sicherheitslücken werden systematisch ausgenutzt. „Die Angreifer können zwischen 200 und 1000 Websites auf einen Schlag infizieren“, sagte Stefan Ritter vom Bundesamt für Sicherheit in der Informationstechnik (BSI) am Freitag der Nachrichtenagentur dpa.
Die Attacken dauern nun schon mehrere Monate lang an. Ende Februar bekannte sich die Organisation Cyber Fighter of Izz ad-Din al-Qassam dazu und verband dies mit der Forderung, dass beleidigende Filme über den Propheten Mohammed aus dem Netz genommen werden müssten. Zu den Angriffszielen gehörte unter anderem die Kreditkartenfirma American Express, deren Webauftritt mit dem Zugang zu Kundenkonten nach eigenen Angaben zeitweise verlangsamt wurde.
Bei solchen Attacken mit der Bezeichnung Distributed Denial of Service (DDoS) werden Unmengen von Datenanfragen zu dem Angriffsziel geschickt, bis der Webserver unter dieser Last zusammenbricht. Für solche Attacken werden meist zahlreiche Computer zusammengeschlossen, der Verbund wird als Botnetz bezeichnet. Bisher waren das in der Regel Heimcomputer, oft infizierte Windows-Rechner. „Dass Botnetze gezielt mit infizierten Webservern aufgebaut werden, haben wir bei diesem Angriff auf US-Banken zum ersten Mal erlebt“, sagte Ritter, der beim BSI als Referatsleiter Lagezentrum und CERT-Bund tätig ist. „Wenn das Schule macht, haben wir es mit einem ganz neuen Ausmaß der Bedrohung zu tun.“
Weil ein Webserver in der Regel sehr viel besser ans Netz angeschlossen ist als ein Heim-PC, erreicht dieses Botnetz hohe Bandbreiten, die je nach Angriffswelle bei etwa 30 bis 100 Gigabit pro Sekunde liegen können. „In den von uns erkennbaren Teilen des Botnetzes beobachten wir, dass etwa zehn Prozent der Angriffslast aus Deutschland kommen“, sagte Ritter. Dies seien vielfach Webauftritte von örtlichen Kleintierzüchter- oder Sportvereinen oder auch der Theater-AG eines Gymnasiums.
Mit einer CMS-Software wie Joomla oder Wordpress sind solche Web-Präsenzen schnell erstellt. Weil alles wie gewünscht läuft, kümmern sich die Betreiber aber oft nicht um das Update des Online-Redaktionssystems. So sind etwa Websites mit Joomla-Versionen bis 1.5 veraltet und sollten dringend aktualisiert werden. Bei Wordpress ist die Version 3.5.1 aktuell. Auch hier raten die Fachleute, dass ältere Versionen inklusive der Erweiterungen (Plugins) dringend aktualisiert werden sollten. Außerdem sollten sowohl bei Joomla als auch bei Wordpress sicherere Passwörter für den System-Zugang verwendet werden.
„Wer einen Webserver mit Breitbandanbindung betreibt, muss sich bewusst sein, dass die Verantwortung dafür noch größer ist als beim Heim-PC“, sagte Ritter. „Das ist wie der Unterschied zwischen einem 40-Tonner und einem Kleinwagen. Im Netz kann jeder einen 40-Tonner fahren. Wenn dann jemand am Steuer einschläft oder die Bremsen nicht richtig gewartet hat, ist das Gefährdungspotenzial viel größer als bei einem Kleinwagen.“
Das BSI schreibt die Betreiber infizierter Webseiten an. Danach verringere sich der Anteil der Angriffslast aus Deutschland auf zwei vier Prozent, erklärte Ritter. Oft werde der Webauftritt aber nicht professionell genug bereinigt: „Der Schadcode wird dann zwar entfernt, die Sicherheitsschwachstellen des System werden aber nicht behoben. Das Symptom wird beseitigt, die Ursache bleibt aber weiter bestehen.“
Alarmiert sind auch die Web-Hoster, die Serverplatz für die Einrichtung von Websites vermieten. „Unsere IT Security beobachtet die Vorgänge weiterhin rund um die Uhr und steht in engem Kontakt mit anderen Providern, die ebenfalls derartigen Attacken ausgesetzt waren“, sagte der Sprecher der 1&1 Internet AG, Michael d'Aguiar. Beim Marktführer für das Web-Hosting wurden in den vergangenen Tagen vor allem Brute-Force-Angriffe beobachtet, um sich in den Verwaltungsbereich des Webauftritts einzuhacken.
Dass Websites aus Deutschland in besonderem Maße für die Angriffe missbraucht würden, sei kaum erstaunlich, sagte Strato-Technikchef René Wienholtz der Nachrichtenagentur dpa. Schließlich gebe es in Deutschland und den USA die größten Web-Hoster der Welt. Die Übernahme von Webauftritten beobachte er seit fünf oder sechs Jahren, jetzt habe dies aber eine neue Qualität bekommen. Wer sich nicht selbst regelmäßig um die eigene Website kümmern könne, so empfiehlt Wienholtz, solle das Angebot von Hosting-Firmen nutzen, das CMS vom Provider installieren und pflegen zu lassen.