Am 23.10.2014 und 24.10.2014 wurden wir Ziel mehrerer DDoS-Attacken in Verbindung mit einem Erpressungsversuch. Dies wurde mit hoher krimineller Energie durchgeführt und führte zu jeder Menge Arbeit in unserer Technik. Unsere Gegenmaßnahmen erweisen sich als erfolgreich. In diesem Blog-Post kommentierten wir die Auswirkungen auf unsere Kunden und die Geschehnisse im Hintergrund am 23.10.2014. Einen Tag später, am 24.10.2014 folgte die zweite Welle, die wir in einem anderen Blog-Post kommentieren.
Hinweis: Infos zur aktuellen Verfügbarkeit erhalten Sie wie immer unter status.sipgate.de.
Donnerstag, 23.10.2014 ab ca 17:00 Uhr
Kriminelle attackieren sipgate derzeit mit einer DDoS-Attacke (Distributed Denial of Service Attack). Deshalb kommt es derzeit zu Problemen bei der Erreichbarkeit unserer Webseiten und auch die Telefonie ist für einen großen Teil unserer Kunden beeinträchtigt.
Ihre Daten sind bei uns sicher und Sie werden sich bald wieder wie gewohnt in Ihren sipgate– oder simquadrat-Account einloggen können.
Die Angreifer versuchen, Geld von uns zu erpressen. Wir werden uns unter keinen Umständen erpressen lassen und arbeiten stattdessen gemeinsam mit unseren ISPs an einer Lösung, um die Attacken abzuwehren. Parallel dazu haben wir die Ermittlungsbehörden eingeschaltet.
Wir bitten um Entschuldigung für die Ihnen entstandenen Umstände.
Im Moment können wir leider nicht einschätzen, wie lange die Beeinträchtigungen bestehen bleiben werden. Weitere Infos erhalten Sie unter status.sipgate.de. Folgen Sie @sgde_status, um auf dem Laufenden zu bleiben.
Update 23.10.2014 18:30 Uhr:
Wir arbeiten derzeit hart daran, die Attacke durch Änderungen an unserer Infrastruktur abzuwenden. Diese Änderungen brauchen ein wenig Zeit, weshalb es gut sein kann, dass wir erst in ein paar Stunden wieder voll da sein werden. Uns bleibt leider nichts anderes übrig, als um Ihr Verständnis zu bitten. Bitte beachten Sie, dass bei dieser Attacke keinerlei Systeme kompromittiert wurden und auch keine Kundendaten verloren gingen.
Update 23.10.2014 18:44 Uhr:
Die Änderungen scheinen erste Erfolge gebracht zu haben. Die Webseiten unseres Geschäftskundenproduktes sipgate team und unseres Mobilfunkproduktes simquadrat sind jetzt wieder erreichbar. Die Telefonie erholt sich ebenfalls gerade.
Update 23.10.2014 18:52 Uhr:
Alle Webseiten sind derzeit wieder erreichbar. Die Telefonie ist für einen großen Teil unserer Kunden leider noch immer stark beeinträchtigt. Hier liegt deshalb auch zur Zeit der Hauptfokus unserer Bemühungen.
Update 23.10.2014 19:44 Uhr:
Nicht nur unsere Produkte in Deutschland – auch unsere VoIP-Angebote in Großbritannien sind von der DDoS Attacke betroffen.
Leider konnten wir die Telefonie noch immer nicht vollständig wieder zum Laufen bringen. Wir arbeiten weiterhin an technischen Abwehrmaßnahmen. Ich wiederhole mich, aber das ist uns wirklich wichtig: Die Sicherheit der Kundendaten war zu keinem Zeitpunkt in Gefahr. Mehr auch unter status.sipgate.de.
Update 23.10.2014 19:55 Uhr:
Wir sind mehrfach gefragt worden, warum wir nicht einfach das geforderte Lösegeld bezahlen.
Ganz einfach: Weil das ziemlich bekloppt wäre. Und aus Prinzip. Zur Erklärung: Die Verbindung aus DDoS-Attacke und Erpressungsversuch zeugt von einer hohen kriminellen Energie. Würden wir der Forderung nachgeben und das Lösegeld bezahlen, würden wir die Urheber der Attacke geradezu einladen, weitere Attacken gegen uns durchzuführen. Selbst wenn wir für das Angriffsprofil der ersten DDoS eine Verteidigung erarbeiteten, lohnte sich der Aufwand, immer neue Attacken mit anderen Angriffsprofilen vorzubereiten. Ergebnis: Noch mehr Störungen für unsere Kunden und Angreifer die immer mehr Geld fordern. Zudem könnten weitere Kriminelle auf den Zug aufspringen und versuchen, uns ebenfalls zu erpressen. Nein danke!
Update 23.10.2014 20:12 Uhr:
Die Telefonie erholt sich weiter. Auf twitter berichten immer mehr Kunden, dass sie wieder erreichbar sind. Das freut uns, aber leider gilt das noch immer nicht für wirklich alle Kunden. Wir arbeiten daran. Könnte ne lange Nacht werden.
Update 23.10.2014 21:18 Uhr:
Die DDoS-Attacke hält weiter an. Aktuelle Infos gibts auf status.sipgate.de. Zu den Nachfragen in den Kommentaren: Wir werden das ganze in der kommenden Woche in einem ausführlichen Blog-Artikel detailliert aufbereiten.
Update 23.10.2014 22:37 Uhr:
So, kurzer Statusbericht: Die DDoS-Attacke hält an. Aber: Unsere Webseiten sind ja schon länger wieder da. VoIP zeigt sich seit ungefähr einer halben Stunde eher stabil, immer mehr Geräte kommen zu uns durch und registrieren sich nach und nach wieder an unseren Servern. Das gilt für unser Geschäftskundenangebot genauso wie für unser Privatkundenangebot. Gut: Nicht mehr lang und wir sind in Sachen VoIP hoffentlich bald bei 100%.
Bleibt der Mobilfunk, der uns im Moment die größten Sorgen bereitet: Hier melden sich zwar ebenfalls immer mehr SIM Karten wieder an unserem HLR an, aber das wird noch dauern bis wieder alle Mobilfunk-Kunden telefonieren können und Daten nutzen können. Wir sind dran. Unsere Techniker danken übrigens für die aufmunternden Worte und grüßen aus dem Maschinenraum. Danke an alle, die uns die Daumen drücken…
Update 23.10.2014 23:10 Uhr:
VoIP kratzt an den 100%. Mobilfunk zeigt sich immer stabiler. Sieht so aus als kämen jetzt alle SIM-Karten von sipgate team und simquadrat nach und nach zum HLR durch. Falls es nicht sofort klappt, hilft ein Reboot des Handys.
Update 23.10.2014 23:15 Uhr:
VoIP und Mobilfunk scheinen voll da zu sein. Falls sich Ihr Handy jetzt noch nicht von selbst wieder eingebucht hat, bitte einmal in den Flugmodus & zurück… oder notfalls kurz einen Reboot des Mobiltelefons durchführen. Danke an alle, die hier im Blog und bei Twitter mitgefiebert haben – morgen gibts hier im Blog in alter Frische weitere Infos. Und nochmal ein dickes „Sorry“ an alle betroffenen Kunden. Das ist uns absolut bewusst, dass das so nicht noch einmal passieren sollte. Wir werden das genau analysieren und aufarbeiten.
Update 23.10.2014 23:48 Uhr:
Zu früh gefreut… VoIP ist leider doch noch nicht voll da. Wir bekommen gerade einige Meldungen von sipgate team-Kunden, dass ihre VoIP-Telefone noch nicht wieder den Weg zu uns finden. Wir sind weiter dran. Updates folgen auf status.sipgate.de.
Update 24.10.2014 01:22 Uhr:
So jetzt aber… auch VoIP sollte jetzt vollständig für sipgate team-Kunden wieder funktionieren. Unsere Admins können zwar noch keine vollständige Entwarnung geben, sind aber guter Hoffnung, dass nun erstmal alles stabil läuft. Auf den verdienten Schlaf müssen die Kollegen allerdings noch ein wenig warten, denn nun muss das Ganze noch ein wenig beobachtet werden.
Update 24.10.2014 01:38 Uhr:
Es gab noch vereinzelt Kunden, die von Problemen mit Datenverbindungen über sipgate Handys berichteten. Dieses Problem sollten nun ebenfalls erledigt sein.
Update 24.10.2014 01:58 Uhr:
Morgen werden wir die Ereignisse in Ruhe analysieren und Sie an dieser Stelle ausführlich über die Hintergründe informieren. Bis dahin hoffen wir auf eine ruhige Nacht und sagen noch einmal Sorry für die entstandenen Schmerzen.
Update 24.10.2014 07:10 Uhr:
Nachdem wir die erste Welle gestern nacht letztendlich erfolgreich abgewehrt haben, läuft derzeit eine zweite Welle mit geändertem Angriffsprofil. Updates wie immer unter status.sipgate.de.
Update 24.10.2014 09:59 Uhr:
In einem neuen Blog-Post kommentieren wir die Geschehnisse rund um die DDoS-Attacken am 24.10.2014.
Am Rande: Bitte stellen Sie sicher, dass Ihr Computer und die Computer Ihrer Familienmitglieder, Freunde und Kollegen nicht einer von den Millionen Rechnern da draußen ist, die zu irgendeinem Botnet gehören und solche großangelegten DDoS-Attacken erst möglich machen. Schwach gesicherte Rechner, auf denen veraltete Software läuft und auf denen lange Zeit keine Sicherheitsupdates eingespielt wurden, sind leichte Beute für Online-Kriminelle.
Samstag, 25.10.2014 ca. 13:14 Uhr
Die zahlreichen Kommentare und Nachfragen auf twitter, facebook und hier im Blog brachten uns auf die Idee, die gesamte Geschichte in einem längeren Artikel aufzubereiten und auf diese Weise möglichst viele Fragen zu beantworten.
Der Artikel ist am Ende doch ziemlich umfangreich geworden. Wir glauben, dass er auch für andere von DDoS-Attacken betroffene (und nicht nur für sipgate-Kunden) interessant sein dürfte. Deshalb haben wir ihn graphisch etwas aufbereitet und auf der Plattform medium veröffentlicht – und nicht hier im Blog.
165 Kommentare
Tony:
Danke für die Infos. Inzwischen bin ich mir ziemlich sicher, dass ich beim richtigen Anbieter gelandet bin. Wer so viele mächtige Feinde (EU, Telekom, Erpresser) hat, muss etwas richtig machen.
Wenn ich einen Vorschlag für die Zeit nach dem DDoS machen darf: Auf der Accountseite könnte ein Hinweis auf die Statusseite stehen, wenn es eine größere Störung gibt. Aber vielleicht sind die Systeme dann auch so gestählt, dass das gar nicht mehr notwendig ist.
Viel Glück und Erfolg!
(Hinweis an die viel-Geld-Verlierer: Jeder einzelne Anbieter hat mal Probleme. Die Telekom-VoIP Kunden können ein Lied davon singen. Wer wirklich auf hundertprozentige Erreichbarkeit angewiesen ist, sollte Redundanz schaffen, bevor es hakt.)
Holger Grunow:
Auch bei mir funktioniert es zwischenzeitlich auch Simquadrat auch wieder, danke Sipgate/Simquadrat, haltet durch, und hoffentlich kriegt ihr die Verbrecher.
Rene:
Mein Handy hat sich endlich wieder ein gebucht. Das ist echt ärgerlich wie für sipgate und für die Kunden. Ich hoffe das die Probleme schnell beseitigt werden und der oder die Täter sich jetzt ärgern das es nicht geklappt hat. Bzw. Das diese geschnappt werden
Martin:
Also 2 Jahre Simquadrat – Ich bin super zufrieden und werde es jedem weiterempfehlen. Wenn ich jeden Tag die Bekannten oder Arbeitskollegen über T-M oder VF schimpfen höre… also ich kann mich nicht beklagen.
Besseres Netz gibt es nicht (in meiner Region). Und NETZ ist immer Regionabhängig.
DeGraf:
Man muss doch nicht immer telefonieren und ans Geschäft denken. Es gibt einem die Zeit einfach mal andere schöne Dinge zu tun…………
Gemecker jetzt nur noch in Reimform bitte.
Auf sipgate die böse Attacke,
die finden wir alle nur kacke.
Doch wie Jedi-Ritter
im DDos-Gewitter
kämpfen die ITler ganz wacker
Armin D.:
Super, dass die Probleme wieder behoben sind. Ich kann auf jeden Fall wieder telefonieren und werde euch weiter die Treue halten!!
Kai:
Kann mich zwar wieder einloggen, zwischen „mein Sipgate“ (Anruf und Faxlisten) und Einstellungen wählen, aber der Anschluss ist immer noch offline!
Robert:
Bitre Erpresserbrief veröffentlichen oder wenigstens die nicht gezahlte Lösegeldsumme im Verhältnis zu den Technikerkosten ;)
Gerold:
Ok, Handy`s geht wieder.
Aber unsere VOIP`s melden sich nicht mehr an (Sipgate Team) Anmeldung aus Spanien!
Kai Festersen:
Sieben Jahre sipgate Team, sieben Jahre zufrieden. Shit happens, bei allen Anbietern (kürzlich Telekom, letztes Jahr dauernd bei o2)
Th.M:
Hallo,
Mobilfunk funktionert, kann ich bestätigen. Datenfunk leider noch völlig auser Funktion. trotz Reset, anbietr neu suchen u. auswählen, Flugmodus usw.
Schade…
aber morgen ????
Sven:
Also bei mir funktioniert die Datennutzung der simquadrat SIM-Karte im Handy immer noch nicht. Wie lange dauert dieses Problem noch an?
Michael Meß:
Liebe Grüße an die Simquadrat-Kundenbetreuung und an alle Anderen, die jetzt Überstunden leisten, um wieder alles zum Laufen zu bringen!
Danke für die schnelle Antwort auf meine Support-Anfrage und die Updates über das Blog. Das ist wirklich spitzenmäßig und super effizient, da man nicht jedem Kunden einzeln Updates zukommen lassen muß!
Ich war schon sehr erschrocken, als meine SIM-Karte sich einfach nicht mehr einbuchen wollte, obwohl das Netz da war, hatte doch in der Vergangenheit alles immer gut funktioniert. Solche Probleme kannte ich doch nur von Lycamobile, wo es regelmäßig nach einem Auslandsnetzaufenthalt auftrat und sich die Karte danach für einige Zeit nicht wieder in das deutsche Netz einbuchen wollte, oder von UnitedMobile, die plötzlich pleite gegangen sind.
Etwas beruhigt hat mich dann aber, daß das Handy meiner Frau ganz normal funktionierte.
Aber dank des Blogs fühle ich mich gut informiert über die Sachlage. Weiter so!
Was mich irgendwie etwas überrascht, ist, daß man sich nicht ins Mobilfunknetz einbuchen kann, weil über das Internet angegriffen wurde.
Das sollten doch eigentlich voneinander getrennte Systeme sein, oder teilen sich zwei Virtuelle Maschinen einen Server, so daß durch Überlastung der Internet-VM auch der Mobilfunk-VM die Ressourcen ausgingen?
Falls das so ist, würde ich dafür in Zukunft getrennte Hardware verwenden und die Systeme ausreichend entkoppeln, so daß eine Überlastung der Webseite oder anderer über das Internet erreichbarer Systeme keine Mobilfunkprobleme verursachen kann.
Telefonie funktioniert bei mir jetzt wieder, nur die Datenverbindung funktioniert momentan noch nicht.
Aber da bin ich guter Hoffnung, daß das morgen wieder in alter Frische zur Verfügung stehen wird. :-)
David Vielhuber:
Danke an Sipgate für die transparente unf direkte Kommunikation. An die verantwortlichen ITler: Gute Arbeit.
Über einen ausführlichen Bericht mit technischen Hintergründen, was konkret nun unternommen wurde, um die Attacke akut und auch auf Dauer zu beheben, würde ich mich freuen.
Gerold:
Super Arbeit!
Sipgate Team und SIM funktionieren jetzt auch in Spanien wieder.
Sebastian:
Moin !
Kann mich den meisten Vorrednern nur anschliessen: Gute & transparente „Krisen-„Kommunikation. Großes Lob !
Weitermachen und nicht unterkriegen lassen – auch diese Nacht geht irgendwann mal vorbei ;-)
Wäre wirklich im Nachgang mal interessant zu wissen, wie Eure Maßnahmen ausgesehen haben.
Bis die Tage :-)
Heiner R.:
An die Kollegen die hier meckern und meinen Ihren Frust raus zu lassen: Wir sind ein Familienbetrieb und da ich nicht nur Verkäufer sondern auch studierter Informatiker bin der etwas spät seine Leidenschaft für das kaufmännische Gewerbe entdeckt hat, mache ich hier außerdem die IT und habe Anfang diesen Jahres die Telefonie auf Sipgate umgestellt, was damit zu tun hat, dass wir stolze Besitzer einer CompanyConnect Leitung sind. Wir Nutzen Sipgate Trunking für größere Telefonkonferenzen und Team für die Telefonate, dass ganze wird über eine Freepbx Anlage zentral gesteuert. Wer sich jetzt beschwert, dass er/sie nicht telefonieren kann, ist selbst schuld. Jeder Mensch der mit dem Internet zu tun hat, sollte wissen, dass es nötig ist einen Notfall Plan in der Tasche zu haben. Mann könnte z.B. seine Rufnummern bei einem anderen Provider haben und eingehende Anrufe umleiten (einer unserer Notfallpläne) und diese dann auf eine ISDN Leitung umleiten die an der Anlage als Backup läuft. Wer also damals meinte die 600-800 € für eine ISDN Karte oder für ein Gateway seien gut gespartes Geld, der sollte sich an die eigene Nase fassen. Wer wie wir vom Telefon abhängig ist sollte soviel unternehmerische Weitsicht haben und wissen, dass es fahrlässig ist nichts in der Hinterhand zu haben. Ich dokumentiere jede Störung die nicht auf unsere Infrastruktur zurück zu führen ist und muss feststellen das Sipgate bis jetzt zuverlässiger war als jeder Anbieter den wir bis jetzt gehabt haben und der Support wirklich gut ist und mich keiner vom Support dumm anmacht wenn ich mal einen „echten Experten“ sprechen will und nicht in eine 0815 Abwicklungsroutine gesteckt werden will. Also ärgert euch über euch selbst. Als unser Nachbar, ein Spediteur mit seinem LKW gegen den Telefonmast gefahren ist, standen hier 2 Wochen die Leitungen still, wir haben dann das Telefonkabel selbst zusammen geflickt und obendrein beinahe dafür eine Anzeige bekommen. Also, cool bleiben uns aus der Erfahrung lernen.
Sven:
Moin, tut mir leid, aber bei mir geht noch gar nichts. Also noch kein Grund zur Freude…
Sebastian Lindow:
Sipgate.de nicht erreichbar… Geschäftsrufnummern um 06:40 Uhr TOT Rufnummern sind nicht vergegen… keine Besserung.
Christian:
auch bei mir funktioniert die team Telefonie noch nicht!