Legal? Cloudflare schützt nach heftigen DDoS-Angriffen die sensiblen Kundendaten der DKB. Die Daten landen unverschlüsselt auf US-Servern.
Am 07. Januar 2020 begannen Unbekannte, die technische Infrastruktur der Deutschen Kreditbank (DKB) mit umfangreichen DDoS-Attacken gezielt anzugreifen. Die DKB hat daraufhin Tage später den Anti-DDoS-Dienstleister Cloudflare eingeschaltet. Sollte der Schutz des US-Unternehmens auch das Online Banking mit einschließen, dann könnte Cloudflare alle Kontoaktionen der über vier Millionen DKB-Kunden im Klartext einsehen. Wir haben mal bei der DKB nachgehakt, das dort im Detail los ist.
Cyberkriminelle führten gezielte Angriffe gegen die DKB durch
Wie das IT Finanzmagazin berichtet, lautete das Motto der Cyberkriminellen ab dem 07. Januar Feuer frei! In der Folge der vielen digitalen Steine, die man in Richtung der DKB-Server warf, konnten sich deren Kunden über Tage hinweg nicht mehr über ihren Browser oder Smartphone-App einloggen. Die Abfrage des Kontostandes, neue Überweisungen oder Daueraufträge konnten somit zwischenzeitlich nicht mehr in Auftrag gegeben werden.
Manche IT-Sicherheitsexperten vermuten, dass der heftige DDoS-Angriff nur ein Ablenkungsmanöver war. Da es keine Erpressungs-E-Mails gab, könnte es sein, dass die Täter während der Attacken versucht haben, in die technische Infrastruktur der Bank einzudringen, um an die Kundendaten zu gelangen. Ein politisches Motiv oder eine Offensive, die der eigenen Unterhaltung dienen soll, fällt weg. Dies gilt schon deswegen, weil ein solcher Angriff für digitalen Protest oder for the Lulz (zum Spaß) viel zu teuer war. Wer auch immer die DKB attackiert hat, hatte augenscheinlich ein konkretes Ziel vor Augen. Da man mangels Erpressung keinen Umsatz generieren konnte, muss das Ziel ein anderes sein.
Leinen los im digitalen Untergrund!
Die Firma finanz informatik technologie service (kurz FI-TS) bestätigte einen extrem starken Lastanstieg bei ihrem Kunden DKB. Einen Datenabgriff konnte man nach eigenem Bekunden nicht registrieren, gab man gegenüber den Kollegen vom IT Finanzmagazin bekannt. Wir haben in einer Presseanfrage um eine Stellungnahme gebeten. Wir wollten wissen, warum an sich für Cloudflare als Partner entschieden hat. Zwar stuft das BSI Cloudflare als „qualifizierten DDos-Migrations-Dienstleister“ (siehe Punkt 3.2 im hier verlinkten PDF-Dokument) ein. Dennoch hat sich Cloudflare in der Branche eine eher fragwürdige Reputation erarbeitet, indem man neben regulären Unternehmen auch Terror-Netzwerken, Hacker-Foren, Dark-Commerce-Plattformen und anderen Kriminellen Schutz geboten hat und bis heute bietet. Die unzähligen Schwarzkopierer und Streaming-Plattformen haben wir in unserer Aufzählung noch vergessen…
Alle Konto-Aktivitäten der DKB unverschlüsselt auf US-Servern?
Der Diplom-Informatiker Mike Kuketz spekuliert, dass die DKB entweder den privaten TLS-Schlüssel an Cloudflare übergeben hat oder alternativ das Keyless SSL von Cloudflare nutzt. Kuketz kommentiert den Vorfall auf seinem Blog. O.Ton: „Wie die Lösung auch aussieht, damit kann Cloudflare den TLS-verschlüsselten Verkehr einsehen und damit jede Kontoaktion, die ein Bankkunde ausführt.“
Statement der DKB auf Medienanfrage/ Tarnkappe.info, 15.01.2020
Cyberangriffe stellen Unternehmen vor immer größere Herausforderungen. Der Server-Dienstleister der DKB wurde Anfang Januar einem Angriff durch Dritte ausgesetzt, der die Verfügbarkeit unserer Webseite sowie einige Dienste beeinträchtigte. Die wechselnden Muster dieses Angriffs erforderten kontinuierliche Anpassungen der IT-Systeme. Deshalb arbeiten wir auch mit IT-Sicherheitsunternehmen zusammen, um unsere Internetanwendungen vor bösartigem Traffic (z.B. kriminelle Bots) zu schützen und deren Verfügbarkeit aufrecht zu erhalten. Das ist branchenüblich, um unseren Kunden einen bestmöglichen Schutz zu bieten. Wir greifen dabei nur auf Unternehmen zurück, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als potenzieller Anbieter zum Schutz vor solchen Angriffen gelistet sind und die DSGVO-konform arbeiten.Bitte haben Sie Verständnis, dass wir aus Gründen der IT-Sicherheit und vor dem Hintergrund laufender Ermittlungen der zuständigen Behörden keine detaillierteren Auskünfte geben.
Somit bleibt leider unbeantwortet, ob die Daten der PSD2-Schnittstelle über durch Cloudflare geschützte Server transportiert werden. Und auch, welche Maßnahmen Cloudflare konkret zum Schutz seines Kunden eingeleitet hat. Wir hätten z.B. gerne gewusst, ob man auch Zahlungsdaten über durch Cloudflare geschützte Server transportiert.
Der Journalist Uli Ries geht zumindest davon aus, dass die DKB ihre Kunden nicht ausreichend informiert hat. Man müsste sie darüber in Kenntnis setzen, dass ihre privaten Daten plötzlich von einem US-Konzern geschützt werden. In den USA gilt nämlich der CLOUD Act (Clarifying Lawful Overseas Use of Data Act), der die Privatsphäre der Nutzer weit weniger schützt, als die europäische DSGVO (Datenschutzgrundverordnung).
Kommentar von Lars „Ghandy“ Sobiraj:
Die Fragestellung, ob die DSGVO oder der CLOUD Act greift, könnte noch relevant werden. Aber nur sofern tatsächlich auch das Online Banking von Cloudflare mit im Paket enthalten ist. Die ganzen Zahlungsdaten der DKB-Kunden haben nach meiner Meinung auf jeglichen US-Servern so rein gar nichts verloren.
Fun Fact. Ein nettes Detail am Rande ist natürlich die Masse an illegalen Booter-Dienstleistern (Webstresser), die genauso von Cloudflare protegiert werden, wie die DKB jetzt auch. Man schützt also Täter und Opfer gleichermaßen. Unter diesen Voraussetzungen kann man Cloudflare zumindest nicht vorwerfen, dass sie keinen Geschäftssinn besitzen würden.
Foto Franck V., thx!
Tarnkappe.info
