[datensicherheit.de, 09.09.2020] Mitte August 2020 habe ein relativ prominenter Bedrohungsakteur eine weltweite Kampagne von Erpressungsangriffen per Distributed-Denial-of-Service (DDoS) initiiert. Dies seien bösartige Angriffe, die darauf abzielten, Netzwerke mit Datenverkehr zu überfluten, um Leistung und Verfügbarkeit zu beeinträchtigen. Diese Angriffe richteten sich hauptsächlich gegen die Finanz- und Reisebranche.

DDoS-Demonstrationsangriff, gefolgt von Erpressungsforderung

Zu den Zielen der Angreifer gehörten unter anderem regionale Banken, Börsen, Reisebüros und Währungsbörsen – und in einigen Fällen hätten sich die Attacken auch gegen deren vorgelagerte Internet-Zugangsanbieter gerichtet.
Diese Angriffe seien dadurch gekennzeichnet, dass der Angreifer einen DDoS-Demonstrationsangriff gegen die Infrastruktur der Online-Dienstleistungen bzw. die Anwendungsbereitstellung der Zielorganisation durchführt, gefolgt von einer Erpresser-E-Mail zur Zahlung in der Kryptowährung Bitcoin (BTC).
Die Erpressungsforderungen behaupteten in der Regel, dass der Angreifer Angriffe mit bis zu 2 Tbps DDoS-Angriffskapazität durchführe und drohe mit Folgeangriffen, „falls die Lösegeldzahlung nicht innerhalb eines festgelegten Zeitraums an den Angreifer erfolgt“.

Von NETSCOUT empfohlene DDoS-Abwehr-Maßnahmen auf einen Blick:

• Organisationen mit geschäftskritischen öffentlich zugänglichen Internet-Diensten sollten sicherstellen, dass alle relevanten Netzwerkinfrastrukturen, Architekturen und operativen „Best Current Practices“ (BCPs) implementiert wurden. Dazu gehören auch situationsspezifische Netzwerkzugangsrichtlinien, die den Internetverkehr nur über die erforderlichen IP-Protokolle und Ports zulassen.
• Der interne Internet-Zugangsverkehr sollte vom öffentlich zugänglichen Internet-Verkehr über vorgelagerte Internet-Transitverbindungen separiert werden.
• Kritische unterstützende Zusatzdienste wie das maßgebliche DNS sollten ebenfalls in einer Weise konzipiert, eingerichtet und betrieben werden, die mit allen relevanten BCPs vereinbar ist.
• Bei Erhalt einer DDoS-Erpresseremail sollten sich die Zielorganisationen unverzüglich mit ihren Internet-Service-Providern, anderen Organisationen, die kritische Internet-Dienste anbieten (z.B. autorisierte DNS-Hoster), und Strafverfolgungsbehörden in Verbindung setzen. Sie sollten sicherstellen, dass ihre DDoS-Verteidigungspläne aktiviert und validiert sind und die Alarmbereitschaft erhöhen.
• Vor Ort vorhandene intelligente DDoS-Abwehrmaßnahmen sollten mit cloud- oder transit-basierten vorgelagerten DDoS-Abwehrdiensten kombiniert werden, um die Abwehr von hochvoluminösen Angriffen, maximale Reaktionsfähigkeit und Flexibilität während eines Angriffs zu gewährleisten.
• Organisationen sollten sich mit den Einzelheiten früherer DDoS-Erpressungskampagnen vertraut machen, mit besonderem Schwerpunkt auf der DD4BC-Angriffsserie, die zwischen 2014 und 2016 gestartet wurde.

Weitere Informationen zum Thema:

NETSCOUT, Roland Dobbins & Steinthor Bjarnason, 03.09.2020
High-Profile DDoS Extortion Attacks — September 2020

ARBOR NETWORKS, Roland Dobbins
Your Bitcoins, or Your Site! An Overview of the DD4BC 2014-2015 DDoS Extortion Campaign

datensicherheit.de, 10.08.2020
DDoS: Kein Sommerloch 2020 / kaspersky meldet 217 Prozent mehr Angriffe im zweiten Quartal 2020

datensicherheit.de, 04.06.2020
DDoS: Bildungseinrichtungen im Dauerstress / Laut NETSCOUT besteht bezüglich Cybersecurity „immer Prüfungszeit“

datensicherheit.de, 20.05.2020
Finanzsektor: Steigende Anzahl an DDoS- und Credential-Stuffing-Angriffen / Überdurchschnittlich viele Vorkommnisse im April 2020

datensicherheit.de, 11.05.2020
Deutlicher Anstieg der Cyberangriffe mittels DDoS-Attacken im Jahr 2020 / Die Mehrheit des Angriffsverkehrs bezieht sich auf Online-Spiele

datensicherheit.de, 29.04.2020
DDoS: Instrument im wirtschaftlichen Konkurrenzkampf / Report zur Distributed Denial Of Service-Attacken und den betroffenen Branchen

[datensicherheit.de, 02.03.2017] Nach einer Mitteilung des DRV Deutscher ReiseVerband e.V. trägt dessen politische Arbeit Früchte – das Bundeskabinett hat demnach einen Entwurf für ein Fluggastdatengesetz verabschiedet, in dem die Bundesregierung der vom DRV vorgetragenen Kritik bei der Erfassung der Passagierdaten Rechnung trägt.

Begrenzte Datenweitergabe

Wenn Unternehmen Flüge buchen oder an der Ausstellung von Flugscheinen beteiligt sind, müssten sie bestimmte Daten rechtzeitig an die Sicherheitsbehörden weitergeben. Aber diese Pflicht zur Datenweitergabe betreffe laut aktuellem Gesetzentwurf nur die reinen Buchungsdaten. Das seien die zur Durchführung eines Fluges erhobenen Daten wie Buchungscode, Vor- und Nachname.
Weitere Daten wie z.B. Angaben zum Sitzplatz, Gepäck oder zu Mitreisenden müssten nicht weitergeleitet werden. Es bestehe auch keine Pflicht, zusätzliche technische Strukturen für die Datenübertragung zu schaffen.

Gesetzentwurf im Sinne der Reisebranche verbessert

„Der inzwischen vorliegende Gesetzentwurf ist im Sinne der Reisebranche verbessert worden. Wir hatten als DRV erhebliche Bedenken zum vorausgegangenen Referentenentwurf angemeldet“, kommentiert DRV-Präsident Norbert Fiebig. Er sei froh, dass „diese gehört und berücksichtigt wurden“. Der DRV unterstütze die Zielsetzung, die Sicherheit für Flugreisende zu erhöhen, setze sich aber zugleich für „praxistaugliche Lösungen“ ein.
Wäre es bei der ursprünglichen Formulierung geblieben, so Fiebig, „wären Reisebüros und Reiseveranstalter in der Praxis gezwungen worden, für Flugbuchungen 19 verschiedene Datensätze abzuprüfen und die ihnen vorliegenden Informationen zum Passagier einzutragen“. Dies hätte den Aufwand für Flugbuchungen erheblich gesteigert. Nun werde diese deutliche Mehrbelastung von Reisebüros und Reiseveranstaltern beim Flugverkauf voraussichtlich vermieden.

Hintergrund: Das Fluggastdatengesetz

Das Fluggastdatengesetz soll der Umsetzung der sogenannten EU-PNR-Richtlinie (EU 2016/681) dienen. PNR steht dabei für „Passenger Name Record“ und umfasst laut DRV persönliche Angaben von Fluggästen. Die Richtlinie erlaube es den Mitgliedstaaten, Fluggastdaten zu Zwecken der Terror- und Kriminalitätsbekämpfung zu sammeln und auszuwerten.
Der DRV hatte nach eigenen Angaben das europäische Gesetzgebungsverfahren von Beginn an, d.h. ab 2011, aktiv und intensiv begleitet, um sicherzustellen, dass es für die Reisebranche zu praxisgerechten Lösungen kommt.

Die weitere Entwicklung

Der Gesetzestext werde nun dem Bundestag zur Beratung und Beschlussfassung zugeleitet. Der DRV will sich im weiteren Gesetzgebungsverfahren dafür einsetzen, dass der Bundestag dem Ansatz der Bundesregierung folgt und es zu keiner Mehrbelastung von Reisebüros und Reiseveranstaltern kommt.
Um die Richtlinie fristgerecht umzusetzen, müsse ein „straffer Zeitplan“ eingehalten werden. Dem Bundestag bleibe allerdings nur wenig Zeit vor der Sommerpause und der Bundestagswahl im September 2017, um seine Beratungen abzuschließen. Nur wenn dies gelingt, könne die Richtlinie fristgerecht umgesetzt werden. Dann würde das Fluggastdatengesetz planmäßig am 25. Mai 2018 in Kraft treten.

Weitere Informationen zum Thema:

datensicherheit.de, 14.04.2016
EU-Parlament hat Passagier-Richtlinie endgültig verabschiedet

datensicherheit.de, 29.04.2012
Fünf Jahre Speicherung von Fluggastdaten: Peter Schaar kritisiert Entscheidung der EU-Innenminister

[datensicherheit.de, 08.06.2012] Der Deutsche ReiseVerband (DRV) betrachtet Datenschutz und Datensicherheit als Themen von wachsender Bedeutung. Um Unternehmen der Reisebranche vor Schäden zu schützen, hat der DRV-Ausschuss Datenschutz diesbezüglich zentrale Fragestellungen und Antworten in einer „FAQ“-Liste (Frequently Asked Questions) zusammengestellt. Für ausgewiesene DRV-Mitglieder ist die Zusammenstellung der wichtigsten Fragen online abrufbar.
DRV-Mitgliedsunternehmen sollen sensibilisiert und im Umgang mit persönlichen Daten unterstützt werden, wobei dadurch eine detaillierte Auseinandersetzung mit den einschlägigen Rechtsvorschriften nicht ersetzt werden kann.
Der nachlässige oder falsche Umgang mit Daten vor allem der Kunden durch private Unternehmen könne im schlimmsten Fall Sanktionen durch die staatlichen Aufsichtsbehörden gemäß Bundesdatenschutzgesetz nach sich ziehen, betont die Ausschuss-Vorsitzende Katrin Polz. Empfindliche Haftungsansprüche könnten die Folge sein. Noch gravierender sei in solchen Fällen aber in der Regel der Imageschaden des betreffende Unternehmens bei seinen Kunden, warnt Polz.
Die aktuelle DRV-Zusammenstellung soll über die Plichten von Unternehmen beim Datenschutz – gerade auch von Reisebüros – aufklären und Hinweise zu Maßnahmen der Umsetzung geben.

Weitere Informationen zum Thema:

DRV
Datenschutz

DRV
Drastische Geldbußen drohen / DRV-Ausschuss Datenschutz gibt Antworten auf wichtige Fragen