In einem internen Schreiben hat der Sparkassendienstleister FI-TS den jüngsten Cyberangriff rekonstruiert. Die Attacke ging demnach von “diversen, weltweit verteilten IT-Adressen” aus. Die forensischen Aktivitäten würden mit Hochdruck weitergeführt. Neben FI-TS haben auch DKB und DWP Bank Anzeige erstattet.Von Bernd Neubacher, FrankfurtDie Sparkassen-IT-Service-Gesellschaft Finanz Informatik Technologie Services (FI-TS) hat in einem internen Schreiben den Cyberangriff auf ihre Infrastruktur vor wenigen Tagen rekonstruiert. “Eine Auswertung der Source-IP-Adressen ergab, dass der Angriff von diversen, weltweit verteilten IT-Adressen ausging”, heißt es in der am Montag vergangener Woche versandten Mitteilung über die Betriebsstörung am Dienstag vorvergangener Woche. Nach neuerlichen Attacken zwei Tage darauf, in deren Verlauf “der Angriff um zusätzliche, komplexere und wechselnde Angriffsvektoren erweitert worden sei”, habe sich FI-TS dazu entschlossen, den Internetverkehr aller Kunden von FI-TS auf eine Cyberabwehrlösung eines zwei Tage zuvor vorsorglich hinzugezogenen großen Anbieters zu leiten. Dies habe den noch laufenden Angriff eingedämmt. Parallel habe FI-TS im Auftrag der DKB alle Zugriffe auf die vom Angriff primär betroffene Website auf einen anderen vorgeschalteten Schutz-Anbieter der DKB für DDoS-Angriffe umgeleitet.DDoS steht für Distributed Denial of Service und damit für eine Überflutung von Systemen mit Anfragen, welche Internetdienste überfordern und letztlich mattsetzen. Die Attacke auf FI-TS hatte das Online-Banking der BayernLB-Tochter DKB vorübergehend lahmgelegt.Warum die Schutzvorrichtungen den Angriffen letztlich nicht standhielten, wird nicht erklärt. Zum Schreiben äußerte sich die Gesellschaft am Montag nicht.Die forensischen Aktivitäten und tiefer gehenden technischen Analysen würden mit Hochdruck weitergeführt, um den Sachverhalt weiter aufzuarbeiten und “weitere Optimierungsmöglichkeiten zu identifizieren und umgehend umzusetzen”, schreiben Jochen Möller und Christian Thiel, Vorsitzender bzw. Mitglied der Geschäftsführung. FI-TS und DKB hätten wegen des Angriffs Anzeige erstattet, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Aufsichtsbehörden seien informiert worden. Bohrende Fragen drohenMöller und Thiel, die erst mit dem Jahreswechsel in ihre momentanen Positionen gelangten, müssen damit rechnen, dass Kunden und Aufseher ihnen wegen der geglückten Attacke noch auf den Zahn fühlen werden, zumindest wenn sie FI-TS an deren eigenen Worten messen. So führt FI-TS die DKB auf ihrer Website als Referenzkunden an. Unter der Überschrift “Selbst zu Spitzenzeiten konstant hohe Service-Qualität” heißt es zu den Dienstleistungen für die DKB unter anderem: “In einem ersten Schritt migrierte FI-TS die IT-Systeme der Online-Banking-Anwendung von statischen Servern auf dynamische Plattformen in der FI-TS Finance Cloud. Zum Einsatz kommen zwei eigenentwickelte Cloud-Services, die eine optimale Lastenverteilung garantieren und bei Bedarf automatisch zusätzliche Serverleistungen zur Verfügung stellen.” Zwar hat etwa die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) auf die FI-TS als Dienstleister keinen direkten Zugriff – wohl aber auf die Sparkassen, welche Dienste an FI-TS ausgelagert haben.Im Markt ist verwundert aufgenommen worden, wie rasch sich ein wichtiger IT-Dienstleister binnen weniger Stunden als derart verwundbar entpuppen kann. Diskutiert wird dabei auch darüber, ob die Attacken tatsächlich so ausgeklügelt waren, wie es in Kreisen der Betroffenen dargestellt wird. Verwiesen wird etwa auf einen Twitter-Nutzer, der sich auf seinem Konto grammatikalisch und orthografisch fehlerhaft mit der Tat brüstete, unter anderem mit den Worten: “Sogar mein Twitter (@_naifu911) auf dem ich die zweite Runde angekündigt haben sie blockiert.;) Sehr amüsant. Ich bin gespannt, wie es sich weiterhin entwickelt und ob sie noch eine vernünftige Lösung finden welche genügt.” Dies nährt nicht unbedingt den Eindruck, FI-TS sei Opfer einer hochprofessionellen Cyberbande geworden.Anhaltspunkte, dass es sich um staatlich gelenkte Akteure handelte, hat das ermittelnde Landeskriminalamt Schleswig-Holstein ohnehin nicht, wie es dort in der vergangenen Woche hieß. Grundsätzlich reiche ein Account zur Identifikation eines Nutzers bei einem sozialen Netzwerke nicht aus, “da Benutzerdaten, die zur Anlage eines solchen Accounts notwendig sind, gar nicht oder nur unzureichend von den entsprechenden Anbietern verifiziert/überprüft werden”, teilte das Amt gestern mit. Zudem gebe es zahlreiche Wege für einen Nutzer, über Anonymisierungsdienste auf ein Konto zuzugreifen.Die DWP Bank, welche ebenfalls in der vorvergangenen Woche mit einer IT-Panne zu kämpfen hatte, geht weiter von einer technischen Ursache ohne externen Einfluss aus, wie sie auf Anfrage mitteilt. Gleichwohl hat die Bank ebenfalls Anzeige gegen Unbekannt erstattet – für den unerwarteten Fall, dass sich doch eine Hackerattacke als Hintergrund herausstellen sollte, teilte ein Sprecher mit.