DKB setzt nach DDoS-Attacke ausgerechnet Cloudflare ein

Artikel ansehen

Am 07. Januar 2020 begannen Unbekannte, die technische Infrastruktur der Deutschen Kreditbank (DKB) mit umfangreichen DDoS-Attacken gezielt anzugreifen. Die DKB…

Statement DKB:
Wir greifen dabei nur auf Unternehmen zurück, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als potenzieller Anbieter zum Schutz vor solchen Angriffen gelistet sind und die DSGVO-konform arbeiten.

Kommentar von Lars „Ghandy“ Sobiraj:

Die Fragestellung, ob die DSGVO oder der CLOUD Act greift, könnte noch relevant werden, sofern tatsächlich auch das Online Banking von Cloudflare mit im Paket enthalten ist.

Nun wird es interessant !! Es wäre ja eigentlich totaler Schwachsinn CF als amerikanisches Unternehmen mit der deutschen DSGVO in Einklang zu bringen!

Allerdings habe ich beim BSI etwas gefunden, was mich ein wenig staunen ließ… :thinking:
Beim Ministerium sind diese empfohlenen Firmen ja alle gelistet, welche dem Sicherheitsempfinden der Behörde entsprechen.

Folgender offizieller Eintrag steht dort für CF:

Cloudflare GmbH
Homepage https://www.cloudflare.com
Kontakt-Telefonnummer +49 (0)89 26204574
Kontakt-E-Mail-Adresse [email protected]

Da haben die Amis doch tatsächlich eine deutsche GmbH gegründet und eine Telefonnummer aus München dazu angegeben!?!
Mit einem deutschen Firmensitz (Zweigstelle) haben die sich erstmal auch an die DSGVO zu halten! Was intern bei CF dann passiert…das steht natürlich weiterhin in den Sternen… :rofl: :wink:

1 Like

Ganz offiziell seit dem 01.08.2018 :wink:

Cloudflare Germany GmbH

Handelsregister
Amtsgericht München HRB 242623

Adresse
Rosental 7, c/o Mindspace, D-80331 München

Erforschung, Entwicklung, Vermarktung und Vertrieb von Software als Service für verschiedene Anwendungen, einschließlich Content Delivery Network Services, Internet Security und Internet Optimization Services, und damit in Zusammenhang stehende Geschäftsvorgänge.

@Alsheimer

Naja…ich war trotzdem überrascht?? Ich hatte das vorher echt vergessen gehabt - nicht mehr aufm Schirm! Gabs denn in den 1,5 Jahren irgendwas relevantes, womit die in die Öffentlichkeit geraten sind?? Die halten den Ball schön flach, denke ich :joy:
Mindspace hingegen sagt mir auch heute noch was - sind doch diese Coworker-Großraumbürobetreiber etc. !?

Ich würde ja behaupten, dass die CF GmbH nur fürs Alibi zum DSGVO gegründet wurde - paßt ja auch zeitlich wie die Faust aufs Auge. :wink: Denn wenn das BSI die so absegnet, haben die im restlichen Europa und mit der europäischen DSGVO auch keine Sorgen mehr bei der Verbreitung des Service…

Prinz Matthews :cowboy_hat_face: Post Delivery Network. Damit wäre sichergestellt, daß die Post auch am richtigen Ort nicht gelesen wird. :joy:

So richtig rund ist der Firmenauftritt meiner Meinung nach sowieso nicht. Vielleicht sollte man sie mal beraten :rofl:

test-image-1155x650

CloudFlare Rocks! :joy:

Das ist doch ALCATRAZ…ja dann sitzen die doch schon im richtigen Gebäude !! Voll Retro bei CF in den Büros !
:rofl: :rofl:
Wir können dich ja dahin schicken als Unternehmensberater der Firma Alsheimer Consulting
frei mit dem Firmenmotto "Wir beraten, sie braten!!!"
:ok_hand:

Retro und Alcatraz? Da fällt mir das dazu ein.

Hmm als DKB Kunde macht mir das schon ein wenig Sorgen… das bleibt hoffentlich auf dem Schirm und ihr berichtet weiter. Danke für die Info

1 Like

Ja, unsere Techniker werden das weiter beobachten.

Gibt ja keine deutschen Anbieter wie Link11 zu denen man hätte gehen können.

Ich gebe dir völlig recht!
Es kommt hinzu, dass: Das BSI hat gemäß § 3 BSIG die Aufgabe, Betreiber Kritischer Infrastrukturen auf deren Ersuchen bei der Sicherung ihrer Informationstechnik zu beraten und zu unterstützen. Mit der Benennung von themenspezifischen Qualitätskriterien und der Identifikation geeigneter
Dienstleister möchte das BSI betroffenen Unternehmen eine Hilfestellung bei der Suche und Auswahl
geeigneter Dienstleister bieten, um die Unternehmen im Ernstfall von einem eigenen zeitintensiven
Rechercheaufwand zu entlasten. Gleichzeitig soll auf diese Weise ein gewisses Qualitätsniveau in der
jeweiligen Branche etabliert werden.

In der dafür eigens aufgestellten Liste des BSI mit qualifizierten und identifizierten Firmen:
Qualifizierte DDoS-Mitigation-Dienstleister
…sind sogar insgesamt fünf rein deutsche Unternehmen aufgeführt

  • Link11
  • Deutsche Telekom AG
  • Vodafone GmbH
  • Myra Security
  • EWE (Versorgungsunternehmen Stadt Oldenburg)

Alle weiteren Unternehmen der BSI-Liste sind ausländische Firmen mit einer deutschen Zweigstelle, wie zum Beispiel:

  • F5 Networks
  • Akamai Technologies GmbH
  • Cloudflare GmbH
  • Netscout
  • Radware GmbH

Letztendlich wählt aber die DKB selber den Dienstleister aus, den sie haben möchten! Da CF aber bekannt ist im Bezug auf DDOS-Mitigation und bei den Verantwortlichen der Bank im Hinterkopf sitzt deswegen, ist die erste Hürde schon genommen.
Da die Bank sich garantiert mehrere Angebote eingeholt hat, zählte bestimmt am Schluß wieder mal die sogenannte „Geiz ist geil - Mentalität!“. Auf Grund ihrer schieren Größe ist Cloudflare schon in der Lage, die anderen Dienstleister bei den Kosten zu unterbieten!
Die Frechheit dabei ist eigentlich die Tatsache, dass eine deutsche Behörde Cloudflare und Akamai zu den Unternehmen zählt, die völlig konform mit der deutschen DSGVO sind !!
Auch, wenn bei der Überprüfung der Dienstleister z.B. hier nach gefragt wurde:

4.2.4 Beschränkung auf RZ in Deutschland möglich
Bietet der DDoS-Mitigation-Dienstleister an, dass umgeleiteter Verkehr ausschließlich in Rechenzentren in Deutschland verarbeitet wird?

Die Antwort darauf kennen wir ja nicht bzw. ob und wie tief die Angaben vom BSI gegengeprüft wurden! Die Bewerber für diese Liste brauchen ja bloß ein schriftliches Konzept einzureichen, aus dem die Antworten zu den Prüfungsfragen hervorgehen…
Das Cloudflare in fast jedem Land ein RZ betreibt, um ihre CDN-Dienstleistungen erfüllen zu können, ist ja hinreichend bekannt.