Verschlüsselter Maildienst ProtonMail von DDoS-Angriff und Erpressung betroffen

Der verschlüsselte E-Mail-Dienst ProtonMail mit Sitz in der Schweiz meldet einen Angriff mit Distributed Denial of Service und einen Erpressungsversuch. Derzeit scheint die Angriffswelle erst einmal vorüber, ProtonMail.com ist aber weiter unerreichbar.

Am 3. November erhielt er laut seiner Selbstdarstellung in einem auf WordPress gehosteten Blog eine Geldforderung, der ein 15-minütiger erster Angriff folgte. Auf Druck zahlreicher Dritter habe man in die Bitcoin-Zahlung eingewilligt, berichtet ProtonMail. Die Angriffe seien aber dennoch fortgesetzt worden.

Der koordinierte Traffic überstieg 100 GBit/s und betraf nicht nur ProtonMails Rechenzentrum, sondern auch Router in Zürich, Frankfurt und an anderen Standorten des von ihm genutzten Internet-Service-Providers (ISP). Auch letzterer wurde zeitweise lahmgelegt, was für zahlreiche weitere Firmen (darunter Banken) einen Ausfall bedeutete. Letztlich sah sich der ISP gezwungen, ProtonMail vorübergehend vom Netz zu nehmen.

Die Erpresser meldeten sich zu diesem Zeitpunkt erneut, um die zweite Angriffswelle für sich in Anspruch zu nehmen. Laut ProtonMail handelt es sich um das Armada Collective, das in den letzten Wochen eine Reihe Schweizer Firmen erpresst hat. Schweizer Behörden und Europol haben Ermittlungen aufgenommen.

Bisherigen Erkenntnissen nach lässt sich der als „äußerst raffiniert“ beschriebene Angriff in zwei Stufen unterteilen. Der erste galt der IP-Adresse des E-Mail-Diensts. Der zweite aber griff Schwachpunkte bei dessen ISP an. Er sei wesentlich komplexer und bei den anderen Angriffen von Armada Collective nicht beobachtet worden.

ProtonMail schließt daraus, dass es von zwei unterschiedlichen Gruppen angegriffen wurde. Die zweite verfüge über Möglichkeiten, die vor allem bei staatlich geförderten Hackergruppen zu finden seien. Diese Angreifer hätten zudem nicht vor umfassendem Kollateralschaden zurückgescheut.

Nun ist das Schweizer Unternehmen dabei, langfristige Maßnahmen zu ergreifen, die es gegen vergleichbare Angriffe schützen würden. Die Kosten schätzt es auf 100.000 Dollar pro Jahr und bittet daher um Spenden.

Daten von ProtonMail-Kunden wurden nicht entwendet, diese konnten lediglich nicht auf ihre Postfächer zugreifen. Ironisch ist an dem Fall, dass sich ProtonMails Rechenzentrum nach dessen Angaben 1000 Meter unter der Erdoberfläche in einem Bunker befindet und einen Atomschlag überstehen könnte.

Vergangenen Sommer musste ProtonMail in seiner Schwarmfinanzierungsphase einen Angriff anderer Art überstehen: Der Bezahldienst Paypal sperrte vorübergehend sein Konto. Vorgeblich zweifelte Paypal die Legitimität des geplanten Diensts an.

Tipp: Wie gut kennen Sie sich mit der europäischen Technologie-Geschichte aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.