Am 23.10.2014 und 24.10.2014 führten Unbekannte DDoS-Attacken auf unsere Infrastruktur durch. Sie forderten Lösegeld. Mit hoher krimineller Energie und erheblichem technischen Aufwand schafften sie es, unsere Webseiten und die Telefonie so zu stören, dass unsere Kunden und wir selbst zeitweise nicht erreichbar waren. An dieser Stelle zeichnen wir die Geschehnisse nach und möchten anderen Betroffenen Tipps und Informationen an die Hand geben.

Der Anfang

Der erste Angriff fand am frühen Morgen des 23.10.2014 ab 3:35 Uhr statt. Er dauerte bis ca. 5:00 Uhr an. Da es mitten in der Nacht war, waren so gut wie keine Kunden betroffen. Es sollte sich herausstellen, dass dies wohl nur ein erster “Testlauf” sein sollte. Am Vormittag ging dann auch die erste E-Mail bei uns ein, in der die Angreifer sich zu der DDoS-Attacke bekannten und eine Lösegeldforderung stellten.

Ab jetzt war klar, dass wir es mit Kriminellen zu tun hatten.

Die erste Welle

Ab ca. 15:10 Uhr erhöhten die kriminellen Angreifer ihre DDoS-Attacken gegen unsere Infrastruktur stark. Im Laufe des Nachmittags wechselten sie mehrfach das Angriffsprofil und sorgten so für jede Menge Arbeit in unserer Technik. Für viele unserer Kunden bedeutete dies, dass sie telefonisch zeitweise nicht mehr erreichbar waren und auch abgehend keine Telefonate mehr führen konnten.

Wir nahmen ständig Änderungen an unserer Infrastruktur vor, um auf neue Angriffsprofile zu reagieren. Dabei gelang es uns immer besser, die Angriffe abzuwehren. Es zeigte sich, dass sich die Mühe lohnte. Bis Mitternacht war der Service für fast alle Kunden vollumfänglich wiederhergestellt.

Die zweite Welle

Am frühen Morgen des 24.10.2014 begann die zweite Welle von DDoS-Attacken auf unsere Infrastruktur. Unsere am Vortag ergriffenen Gegenmaßnahmen sorgten dieses Mal bereits früh dafür, dass große Teile des Angriffs sofort abgewehrt werden konnten. Betroffen waren dennoch zeitweise alle Telefonieservices und Webseiten von sipgate basic, sipgate go, sipgate team, sipgate trunking und simquadrat.

Die Auswirkungen auf unsere Kunden waren verheerend. Es war Freitagmorgen und schon den zweiten Tag in Folge waren einige Kunden zeitweise nicht erreichbar. Hunderte wählten unsere Hotline an und brachten diese an ihre Kapazitätsgrenze, so dass wir sie letztendlich mit einer Ansage versehen mussten und keine Anrufe mehr persönlich entgegen nahmen. Über den Tag verteilt gingen mehrere Tausend E-Mail Tickets von besorgten Kunden ein.

Die dritte Welle

Am frühen Freitagabend (24.10.2014) starteten die Angreifer eine dritte Welle von DDoS-Attacken auf unsere Infrastruktur. Es begann um ca 17:30 Uhr mit einer recht kurzen Attacke und endete gegen ca. 2:20 Uhr nach drei weiteren Attacken am Morgen des 25.10.2014 (Samstag). Alle Angriffsprofile wurden von unseren Maßnahmen erfolgreich abgewehrt. Es gab keinerlei Auswirkungen auf unsere Infastruktur. Alles funktionierte, wie es sollte. Es gab keine Einschränkungen für unsere Kunden. Die wichtigen Kennzahlen unserer Infrastruktur zeigten nichtmal einen Ausschlag.

Auch am Samstag gab es über den Tag verteilt immer mal wieder kurze Schübe von DDoS-Attacken gegen unsere Infrastruktur. Die Täter probierten weitere Angriffsprofile aus. Auswirkungen auf unsere Kunden gab es erfreulicherweise keine mehr — von einer teil- und zeitweisen kurzen Nichterreichbarkeit der Webseite www.sipgate.de am Sonntag gegen 7:30 Uhr morgens mal abgesehen. Die Telefonie war zu keinem Zeitpunkt mehr beeinträchtigt.

So informierten wir unsere Kunden

Zu Beginn der ersten Angriffswelle waren unsere Webseiten und die Telefonie kurzfristig von außen nicht zu erreichen. Darüber informierten wir umgehend per Twitter (@sgde_status) und wenig später auch mit einem Blog-Artikel http://www.sipgateblog.de/ddos-attacke/. Zeitgleich verfasste unsere Technik einen etwas ausführlicheren Eintrag auf der Status-Webseite http://status.sipgate.de. Diesen posteten wir bei Facebook. Als unsere Webseiten wenig später wieder erreichbar waren, konzentrierte unsere Technik ihre Bemühungen auf die Telefonie und wir postete fortlaufend Updates mit Hintergrundinformationen im Blog. Insgesamt waren es 18 Updates, die von über 150 Kunden im Blog kommentiert wurden.

Zur zweiten Angriffswelle starteten wir einen weiteren Blog-Post, den wir im Laufe des 24.10.2014 ebenfalls mehrfach updateten.

Das meldete die Presse

Den Anfang machte teltarif. Es folgten Golem, Heise, Computer Bild und weitere.

So reagierten die Kunden

Panisch bis verständnisvoll. Eine Auswahl aus Twitter-Kommentaren:

https://twitter.com/_derphil/status/525561965138415616
https://twitter.com/Juristentwit/status/525569798587944960
https://twitter.com/KIWIKI/status/525564045815209984
https://twitter.com/splishsplash/status/525596404472111104

Die Erpresser

Über die Erpresser ist uns nichts bekannt, außer dass sie scheinbar einigermaßen gut Deutsch sprechen, ihnen aber der Sinn für Groß- und Kleinschreibung fehlt. Zur Kommunikation verwendeten sie einen anonymen E-Mail Account. Das Lösegeld forderten sie in Bitcoins.

Das Erpresserschreiben wollen wir aus ermittlungstaktischen Gründen noch nicht veröffentlichen.

Wenige Tage zuvor versendeten Kriminelle eine Phishing-Mail an Hunderttausende E-Mail Konten. Diese Mail gab vor, von sipgate zu stammen und lockte die Opfer unter einem Vorwand auf eine präparierte Webseite. Ziel war es, die Zugangsdaten zu stehlen. Ob eine Verbindung zwischen den beiden Taten besteht – und es sich vielleicht sogar um dieselben Täter handelt – ist derzeit noch unklar.

Warum haben wir das Lösegeld nicht bezahlt?

Weil es keinen Sinn hat. Die Verbindung einer DDoS-Attacke mit einem Erpressungsversuch zeugt von einer hohen kriminellen Energie. Würden wir der Forderung nachgeben und das Lösegeld bezahlen, würden wir die Urheber der Attacke nur dazu einladen, weitere Attacken gegen uns durchzuführen. Selbst wenn wir für das Angriffsprofil der ersten DDoS-Attacke eine geeignete Verteidigung erarbeiteten, lohnte sich der Aufwand, immer neue DDoS-Attacken mit immer anderen Angriffsprofilen gegen uns vorzubereiten. Im Ergebnis könnte das noch mehr Störungen für unsere Kunden bedeuten und hochmotivierte Angreifer produzieren, die immer mehr Geld fordern. Zudem könnten weitere Kriminelle auf den Zug aufspringen und versuchen, uns ebenfalls zu erpressen.

Übrigens setzen kriminelle Banden immer mehr auf Arbeitsteilung. Das bedeutet, dass sich einige Gruppen darauf spezialisieren, Botnets aufzubauen. Andere Gruppen mieten diese Botnets, um gezielt per DDoS-Attacke erpressbare Firmen herauszufinden. Diese Information verkaufen diese dann wiederum an andere Gruppen, welche dann mit individuelleren Angriffen versuchen, noch mehr Lösegeld von den Firmen zu erpressen.

Wir lassen uns unter keinen Umständen erpressen und würden niemals Lösegeld zahlen.

Was ist eine DDoS-Attacke überhaupt?

Unter einer DoS-Attacke (Denial of Service) versteht man die gezielte Störung eines Dienstes. Wird dieser Angriff von vielen Rechnern ausgeführt, spricht man von einer DDoS-Attacke (Distributed Denial of Service). Eine ausführliche Erklärung zu DoS-Angriffen finden Sie auch auf http://de.wikipedia.org/wiki/Denial_of_Service.

Angreifer nutzen DDoS-Attacken, um mit vielen gleichzeitigen Anfragen beispielsweise einen Webserver außer Gefecht zu setzen. In unserem Fall war das Ziel, durch die Flut der Anfragen dafür zu sorgen, dass unsere gesamte Infrastruktur das Volumen nicht mehr bewältigen kann. Dabei kam ein Botnet zum Einsatz — zusammengesetzt aus Zehntausenden infizierten Computern, die über Malware ferngesteuert wurden.

Wer macht DDoS Attacken und warum?

DDoS-Attacken sind in aller Regel finanziell motiviert. Mit ausreichender Motivation und krimineller Energie bewaffnet, versuchen die Täter Unternehmen zu erpressen, für die eine durchgehende Verfügbarkeit Ihrer Dienste besonders wichtig ist.

Hierzu mieten sich die Täter in aller Regel Botnetze, die schon für relativ kleine Beträge zu haben sind. Je nach Qualität (geographischer Verteilung der Rechner etc.) stehen für weniger als 50 Euro bereits 10.000 Rechner zur Verfügung, die für einen koordinierten Angriff eingesetzt werden können. Das macht diese Art der Erpressung gerade für Personen interessant, die zwar entsprechende Netzwerk- und Computerkenntnisse haben, aber möglicherweise sonst keine legale Chance auf ökonomischen Erfolg haben.

Hätte sipgate sich nicht dagegen vorher schützen können?

Eine gute Vorbereitung auf Angriffe ist in der Tat entscheidend. Dank einer entsprechenden Planung konnten wir vergleichsweise schnell reagieren und die Angriffe abwehren.

Es gibt allerdings keine “Wunderwaffe”, die einen automatischen Schutz vor DDoS-Attacken bereitstellt. Zwar gibt es bestimmte Muster und Mechanismen, mit denen solche Angriffe ausgeführt werden, aber eine Attacke ist in aller Regel recht individuell zurechtgeschnitten.

Natürlich hatten wir auch vor der ersten Welle bereits Vorkehrungen getroffen, um derartige Angriffe abwehren zu können. Doch diese Verteidigungslinien lassen sich leider im Normalbetrieb relativ schlecht auf ihre Wirksamkeit prüfen. So richtig verlässlich ist das eigentlich nur bei einem echten Angriff möglich. Vielleicht ist das die einzige positive Sache an den DDoS-Attacken: Wir konnten jede Menge Erkenntnisse über die Wirksamkeit von Abwehrmaßnahmen gewinnen und so unsere Infrastruktur noch besser schützen.

Wie wir uns verteidigten.

TL;DR Wir haben kurzfristig mehr Internet-Kapazität bei einem Dienstleister gebucht und Filter installiert, um die Angriffe abzuwehren.

Dies ist ein komplexes Problem. Daher an dieser Stelle eine recht ausführliche Antwort, die einen tieferen Einblick in die Problematik erlaubt.

Für sipgate gilt es, zwei relevante Probleme zu lösen:

Erstens: Die “Verstopfung” unserer Internetanbindung

  1. sipgate ist im sogenannten Autonomen System (AS) 15594 des Schwesterunernehmens netzquadrat zuhause. Das Internet besteht aus Autonomen Systemen, die miteinander verbunden sind (mehr unter https://de.wikipedia.org/wiki/Internet#Technik ). Das AS15594 verfügt über drei Verbindungen zu Peeringzentren (DE-CIX (Frankfurt), ECIX (Düsseldorf), LINX (London) an denen sich die Betreiber der AS direkt zusammenschalten. Über diese Verbindungen tauscht netzquadrat mit einem Großteil der deutschen Anbieter IP-Pakete direkt — also von Provider zu Provider. Zu ausgewählten Providern, mit denen beispielsweise VoIP-Verkehre getauscht werden, besteht eine direkte physikalische Glasfaserverbindung, damit die zu den Gesprächen gehörenden IP-Pakete nicht über das “öffentliche” Internet transportiert werden müssen. Die verbleibenden IP-Adressen, die nicht über diese Verbindungen erreichbar sind (beispielsweise die der Telekom Deutschland, die eine Zusammenschaltung verweigert), werden über sogenannte Transit-Provider erreicht. Zu diesen unterhält AS15594 vier weitere, redundant geschaltete Verbindungen.
  2. Führt nun eine DDoS-Attacke dazu, dass die Menge der auf sipgate gerichteten IP-Pakete die Kapazität unserer Außenanbindung übersteigt, so können nicht mehr alle Pakete übertragen werden. Genau das war der Fall — bei immerhin einer zweistelligen Anzahl von Glasfaser-Verbindungen.
  3. Um diese Art des Angriffs abzuwehren, haben wir uns eines Dienstleisters bedient, der ein Content-Delivery-Network (CDN) in einem eigenen AS betreibt und über eine größere Kapazität in der Außenanbindung verfügt. Dieses AS hat dann für die Zeit des Angriffs die zu sipgate gehörenden IP-Adressen an das Internet angebunden und den Angriff soweit möglich gefiltert. Den gefilterten Verkehr konnten wir dann weiter zu sipgate übertragen, ohne dass die Kapazität unserer Anbindung gesprengt wurde.

Zweitens: Gezielte Angriffe auf einzelne Systeme

  1. Neben der Verstopfung unserer Verbindungen zu anderen Providern wurden gezielt einzelne Systeme angegriffen. Es ist kein trivilales technisches Problem, die Kapazität eines IT-Systems vorherzusagen. In aller Regel arbeiten IT-Profis daher mit Erfahrungswerten, Hochrechnungen, Tests und sehr (!) großen Sicherheitsmargen. Es ist aus Kostengründen nicht möglich, beliebige Kapaziäten bereitzuhalten, daher muss ein Angriff, der die Kapazitätsgrenze eines bestimmten Systems sprengt, gezielt adressiert werden. Auch hier müssen Filter definiert werden, die möglichst wenige Einschränkungen verursachen und möglichst viel des bösartigen Verkehrs filtern.
  2. An dieser Stelle spielt die Vorbereitung eine entscheidende Rolle. Filterregeln, die die absolut nötigen IP-Pakete durchlassen, können nämlich bereits vor einem Angriff definiert werden.

Sind bei einer DDoS-Attacke Kundendaten in Gefahr?

Bei den DDoS-Attacken auf uns wurden keine Systeme kompromittiert. Es gingen keinerlei Kundendaten verloren. Das liegt auch an der Art des Angriffs: Bei einer DDoS-Attacke wird die technische Infrastruktur lediglich mit Anfragen so stark überflutet, dass “echte” Nutzer nicht mehr durchkommen. Die Angreifer haben weder Einblick in Daten, noch können sie Daten verändern.

Wie hoch war der Schaden?

Der Schaden für unsere Kunden war erheblich. Fast alle Kunden waren kurzzeitig nicht erreichbar und das teilweise sogar mehrfach. Das war für Privatkunden auf jeden Fall unangenehm, aber für unsere Business-Kunden teilweise existenzbedrohend. Wir bieten mit sipgate team eine Web-Telefonanlage mit Mobilfunkintegration an, die allein in Deutschland mehr als 10.000 Unternehmen einsetzen. Daher war der indirekte Schaden vermutlich enorm. Ein Spediteur schrieb, dass er seine Fahrer zeitweise nicht erreichen konnte und Aufträge ablehnen musste. Eine andere Firma berichtete von einer verpassten Telefonkonferenz, bei der es um einen Großauftrag hätte gehen sollen. Den gesamten Schaden in Euro zu beziffern ist leider nicht möglich, aber wir gehen davon aus, dass es schon eine ziemlich hohe Zahl wäre.

An unseren Systemen und unserer Infrastruktur ist kein direkter Schaden entstanden. Doch unsere Telefonie- und Admin-Teams legten bis spät in die Nacht Überstunden ein. Wir beauftragten verschiedene externe Dienstleister und ISPs mit Maßnahmen zur Abwehr der DDoS-Angriffe. Wir schalteten zusätzliche Hardware auf. All das verursacht selbstverständlich Kosten. Hinzu kommt noch der immaterielle Schaden, der durch die DDoS-Attacken erzeugt wurde: Wieviele Kunden uns wegen der zwischenzeitlichen Ausfälle verlassen werden oder sich gar nicht erst für unsere Produkte entscheiden, ist derzeit nicht abzusehen.

Wie geht es jetzt weiter?

Ob die Angriffe jetzt aufhören oder nicht, ist auch uns unklar. Wahrscheinlich ist, dass die Täter es noch mehrfach mit anderen Angriffsprofilen probieren werden. Die Angriffe der dritten Welle (s.o.) konnten wir bereits so erfolgreich abwehren, dass keinerlei Auswirkungen auf unsere Infrastruktur entstanden und auch unsere Kunden nicht mehr betroffen waren. Das macht uns Mut. Wir glauben, auf weitere Angriffswellen jetzt gut vorbereitet zu sein und konzentrieren unsere Bemühungen weiterhin darauf, uns immer wieder auf die neuen Angriffsprofile einzustellen. Wir fühlen uns so gut gerüstet wie noch nie.

Für unsere Kunden bedeutet das: Eine vorsichtige Entwarnung. Es sind erstmal keine weiteren Störungen zu befürchten. Sowohl VoIP-Telefonie als auch Mobilfunk sollten jetzt ohne Unterbrechung in voller Qualität zur Verfügung stehen.

In der Zwischenzeit hat sich eine weitere bekannte deutsche Firma bei uns gemeldet, die von denselben Tätern nach demselben Muster angegriffen wird. Auch diese Firma wird erpresst, auch hier wird ein Lösegeld gefordert. Unsere Technik steht derzeit mit den Technikern dieser anderen Firma in Kontakt und gibt Hilfestellung.

Fragen betroffener sipgate-Kunden

Warum kam die Ansage “Diese Rufnummer ist nicht vergeben”?

Wenn ein Anruf in unser Netz geleitet wird, erkennen wir an der Netzgrenze, ob die Nummer zu einem unserer Kunden gehört oder nicht. Leider hat während der Angriffe auch dies nicht mehr funktioniert, weshalb alle Anrufe als “nicht vergeben” abgelehnt wurden.

Warum griff meine Weiterleitung nicht?

Neben dem “Verstopfen” unserer Internetverbindung, wurden auch einzelne wesentliche Systeme gezielt angegriffen. Dazu gehörten (s. oben) leider auch die Systeme, die eine Weiterleitung verarbeiten. Folglich war eine Weiterleitung nicht möglich.

Wer ist sipgate überhaupt?

Wir sind ein deutsches Unternehmen mit Sitz in Düsseldorf und sind derzeit 120 Kolleginnen und Kollegen (www.sipgate.de/jobs). sipgate war 2004 der erste deutsche VoIP-Anbieter und entwickelt mittlerweile seit 10 Jahren Telekommunikationsprodukte, die es besser machen sollen als die etablierten. Heute ist sipgate ein VoIP- und Mobilfunkanbieter mit Privat- und Firmenkundenangeboten. Während sipgate go den Festnetz-Telefonanschluss zu Hause ersetzt, bietet simquadrat Mobilfunk mit zahlreichen Innovationen und neuen Funktionen für anspruchsvolle Privatkunden. Mit sipgate team bieten wir eine Cloud-Telefonanlage samt Mobilfunk-Integration für Unternehmen an und sipgate trunking ermöglicht es, VoIP-Telefonanlagen ans Telefonnetz anzuschließen.

Innovative Telefonie für zu Hause, unterwegs und das Büro.

Innovative Telefonie für zu Hause, unterwegs und das Büro.