ProtonMail will Forderungen von DDoS-Erpressern nicht mehr erfüllen

Der Schweizer E-Mail-Anbieter ProtonMail hat seine Reaktion auf die jüngsten Erpressungsversuche erläutert und klargestellt, dass es künftig den Forderungen von DDoS-Erpressern nicht mehr nachkommen wird. Auch andere sichere E-Mail-Services wie Runbox und Neomailbox, die zuletzt ebenfalls mit Distributed-Denial-of-Service-Angriffen bedroht wurden, haben erklärt, grundsätzlich nicht mit Kriminellen zu verhandeln.

Nach Angaben von ProtonMail erhielt es am 3. November eine Geldforderung, der ein 15-minütiger erster Angriff folgte. Auf Druck zahlreicher Dritter habe man in die Bitcoin-Zahlung in Höhe von 6000 Dollar eingewilligt, die Angriffe seien aber dennoch fortgesetzt worden, berichtete ProtonMail in einem Blogbeitrag.

In einer aktualisierten Version führt es nun zur Lösegeldzahlung aus: „Dies war eine gemeinsame Entscheidung aller betroffenen Unternehmen. Wir waren damit zwar nicht einverstanden, respektierten sie aber dennoch angesichts der Hunderttausenden Schweizer Franken an Schaden, der anderen Firmen entstanden ist, indem sie in den Angriff auf uns verwickelt wurden. Wir hatten gehofft, dass durch die Zahlung andere Unternehmen von dem Angriff auf uns verschont bleiben, doch die Attacken wurden dennoch fortgesetzt. Das war eindeutig die falsche Entscheidung, sodass wir allen künftigen Angreifern hiermit deutlich sagen: ProtonMail wird niemals ein weiteres Lösegeld bezahlen.“

Eine ähnliche Haltung nehmen auch Runbox und Neomailbox ein. Sie wurden ebenfalls von einer Gruppe erpresst, die Geld dafür forderte, dass ihre Websites online bleiben. Runbox erklärt dazu: „Auch wenn DDoS-Angriffe etwas sind, mit dem alle Internet Service Provider irgendwann rechnen müssen, sollten wir klarstellen, dass es sich dabei um einen kriminellen Akt handelt. Und Geld dafür zu fordern, dass sie nicht stattfinden, ist Erpressung. Runbox wird niemals dafür zahlen, solche Angriffe zu verhindern, und jeder, der dafür zahlt, hilft dabei, einen Markt für diese Gruppen zu schaffen. E-Mail-Provider oder Anbieter anderer Online-Dienste sollten niemals auf Erpressung eingehen. Denn dadurch würden sie nur die Kriminellen stärken und ermutigen, sodass der nächste Angriff noch schlimmer ausfallen könnte.“

Neomailbox, das nach eigenen Angaben auch von DDoS-Erpressern kontaktiert wurde, teilte mit: „Wir werden keinesfalls mit Kriminellen verhandeln und arbeiten daran, unsere Services schnellstmöglichst wieder vollständig herzustellen.“

Inzwischen ist die ProtonMail-Website wieder erreichbar. Sie wurde nach Angaben des Maildienstes von zwei Angriffswellen lahmgelegt, die nicht nur seine Rechenzentrum trafen, sondern auch Router in Zürich, Frankfurt und an anderen Standorten des von ihm genutzen Internet Service Provider (ISP). Letzterer wurde zeitweise ebenfalls gestört, was für zahlreiche weitere Unternehmen einen Ausfall bedeutete. Letztlich sah sich der ISP daher gezwungen, ProtonMail vorübergehend vom Netz zu nehmen.

Hinter einer der Angriffswellen soll das Armada Collective stecken, das in den letzten Wochen eine Reihe Schweizer Firmen erpresst hat. Schweizer Behörden und Europol ermitteln bereits. Die andere Angriffswelle sei jedoch deutlich komplexer gewesen, woraus ProtonMail schließt, dass es von zwei unterschiedlichen Gruppen attackiert wurde. Die zweite verfüge über Möglichkeiten, die vor allem bei staatlich geförderten Hackergruppen zu finden seien. Diese Angreifer hätten zudem nicht vor umfassendem Kollateralschaden zurückgescheut. Um sich künftig vor ähnlichen Angriffen zu schützen, will ProtonMail nun 100.000 Dollar pro Jahr ausgeben und bittet daher um Spenden.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.