Interview "Lernsax"-Betreiber: "Überdurchschnittlich hohe Zahl an Angriffen"

Es ist Lockdown, die Schulen sind leer und die digitale sächsische Lernplattform ist ein Dauerproblem. Mitten im Lockdown hat es erneut Störungen bei "Lernsax" gegeben. Die Digi Online GmbH betreibt die Plattform zusammen mit einem Hosting-Service im Auftrag des sächsischen Kultusministeriums. MDR SACHSEN sprach mit Geschäftsführer Werner Grafenhain. Dieser sieht neben technischen Herausforderungen auch eine auffällig hohe Zahl an Angriffen, explizit auf die sächsische Plattform.

Eine Frau sitzt an einem Laptop, auf dessen Monitor der Schriftzug «Passwort akzeptiert» eingeblendet ist.
Die Lernplattform "Lernsax" liegt nach Aussagen des Betreibers verhältnismäßig oft im Visier organisierter DDoS-Angriffe. Bildrechte: dpa

Herr Grafenhain, die Lernplattform "Lernsax" strauchelt schon wieder - mitten im Lockdown. Das halbe Bundesland lacht - zugespitzt formuliert - über das Kultusministerium. Was bekommen Ihre Leute nicht in den Griff?

Die Angelegenheit ist vielgestaltig. Die Störungen am Dienstag gehen auf einen technischen Defekt zurück. Wie es derzeit scheint, handelte es sich um einen blöden aber nicht vermeidbaren Fehler. Die Routing-Tabellen wurden nicht korrekt erstellt. Das hat das gesamte Netzwerk beeinflusst und zu einer Reihe von Nebenwirkungen geführt. Fünf Leute beim Hosting-Unternehmen arbeiten mit Hochdruck an dem System. Zudem wurden weitere Experten hinzugezogen.

Das Kultusministerium meinte, es habe am Montag schon wieder einen Hackerangriff gegeben?

Nennen Sie das bitte nicht Hackerangriff. Es handelt sich um DDoS-Angriffe. Dabei werden von anonymen, meist gekaperten Rechnern so viele Zugriffe auf einmal generiert, dass das System beeinträchtigt und im schlimmsten Fall sogar lahmgelegt wird. Ja, leider haben wir am Montag wieder solchen DDoS-Angriff auf Lernsax registriert.

DDoS-Angriffe DDoS (Distributed Denial of Service)-Attacken sind Cyberattacken, die auf die Überlastung von Webservern, Online-Services oder ganzer Netzwerke abzielen. Meist mit einem Netz gekaperter Rechner (Botnet) schwemmen die Angreifer ihr jeweiliges Ziel mit Datenpaketen, um es zum Zusammenbruch zu bringen. DDoS-Angriffe werden seit mehr als 20 Jahren dazu genutzt, um Unternehmen und Institutionen gezielt Schaden zuzufügen.

Doch Montag hat noch alles funktioniert!

Ja. Wir sind jetzt imstande, die Lernplattform bei den kleinsten Anzeichen eines Angriffs sozusagen schnell unter einen Schutzschirm zu schieben. Dafür haben wir extra einen Schutzschirmvertrag mit einem der wenigen zertifizierten Anbieter in Deutschland geschlossen.

Werner Grafenhain im Porträt
Werner Grafenhain ist der Geschäftsführer des Lernplattform-Betreibers "Digi Online GmbH". Er wundert sich, warum so viele DDoS-Angriffe der sächsischen Lernplattform gelten. Bildrechte: Werner Grafenhain

Die Lernplattform muss also mit speziellen Maßnahmen geschützt werden?

Scheinbar ja. Ich weiß nicht, warum besonders Lernsax angegriffen wird. Doch wir bemerken eine überdurchschnittlich hohe Zahl an Angriffen. Wir betreuen 60 Plattformen, manche so groß wie Lernsax. Von allen diesen Plattformen, war Lernsax die Einzige, die so intensiv und so oft angegriffen wurde.

Spezielle Angriffe auf die sächsische Plattform - können Sie sich das erklären?

Es ist schon ein wenig merkwürdig. Etwa 95 Prozent aller Angriffe, die bei uns eingegangen sind, galten Lernsax. Auf das Jahr verteilt, haben wir mindestens acht Angriffe registriert, alle im Kontext eines Lockdowns. Viele Angriffe erfolgten in mehreren Wellen über mehrere Tage. Auch andere Länder klagen über entsprechende DDoS-Angriffe, doch Lernsax als Landeslösung ist das am meisten angegriffene Ziel.

Was wollen Sie damit sagen?

Entweder macht sich jemand einen Spaß oder wer auch immer, versucht konkret die Lernplattformen der Länder und damit die Anstrengungen der Landesregierungen in dieser besonderen Zeit zu unterlaufen. Letztlich ist es aber auch viel zu leicht, solche Angriffe zu generieren. Man muss heute nur ins Darknet gehen und kann dort einen entsprechenden Angriff buchen. Ab einem Wert von 50 Euro bekommen Sie bereits kleinere Botnetze, also eine Gruppe gekaperter Rechner, für ein DDoS-Angriff auf ein beliebiges Ziel. Bezahlt wird im Darknet in der Regel mit Bitcoin.

Können Sie nachvollziehen, woher solche Angriffe dann kommen?

Das lässt sich für uns schwer lokalisieren. Meistens stecken professionelle Hackergruppen dahinter, die ihre Botnetze für unterschiedliche Zwecke vermieten. Wir haben Angriffe von gekaperten Rechnern aus Osteuropa bis Asien gehabt. Doch auch weltweit verteilte Rechner haben schon auf die Systeme geschossen.

Das ist Cyber-Kriminalität!

Ja natürlich. Sowohl bei denen, die solche Angebote nutzen, wie auch bei den Betreibern solcher Botnetze. Solche DDoS-Angriffe werden vom Hosting-Anbieter bei dem zuständigen LKA in Stuttgart angezeigt. Dies ist auch bei den Angriffen auf Lernsax erfolgt.

Lernsax
Wegen der Angriffe auf Lernsax wurde Anzeige erhoben. Bildrechte: MITTELDEUTSCHER RUNDFUNK

Wurden Sie erpresst?

Nein, weder wir noch das Hosting-Unternehmen noch der Betreiber. Da hatten die Auftraggeber wohl andere Motive.

Wer hat wo die Anzeige erstattet? Wie viele Anzeigen sind erstattet worden?

Zuständig für die Anzeige ist das Hosting-Unternehmen, angezeigt wurden die Angriffe im Falle von Lernsax beim zuständigen LKA in Stuttgart.

Quelle: MDR/kt

Dieses Thema im Programm bei MDR SACHSEN MDR SACHSENSPIEGEL | 05.01.2021 | 19:00 Uhr

Mehr aus Sachsen