Am 23.10.2014 und 24.10.2014 wurden wir Ziel mehrerer DDoS-Attacken in Verbindung mit einem Erpressungsversuch. Dies wurde mit hoher krimineller Energie durchgeführt und führte zu jeder Menge Arbeit in unserer Technik. Unsere Gegenmaßnahmen erweisen sich als erfolgreich. In diesem Blog-Post kommentierten wir die Auswirkungen auf unsere Kunden und die Geschehnisse im Hintergrund am 23.10.2014. Einen Tag später, am 24.10.2014 folgte die zweite Welle, die wir in einem anderen Blog-Post kommentieren.
Hinweis: Infos zur aktuellen Verfügbarkeit erhalten Sie wie immer unter status.sipgate.de.
Donnerstag, 23.10.2014 ab ca 17:00 Uhr
Kriminelle attackieren sipgate derzeit mit einer DDoS-Attacke (Distributed Denial of Service Attack). Deshalb kommt es derzeit zu Problemen bei der Erreichbarkeit unserer Webseiten und auch die Telefonie ist für einen großen Teil unserer Kunden beeinträchtigt.
Ihre Daten sind bei uns sicher und Sie werden sich bald wieder wie gewohnt in Ihren sipgate– oder simquadrat-Account einloggen können.
Die Angreifer versuchen, Geld von uns zu erpressen. Wir werden uns unter keinen Umständen erpressen lassen und arbeiten stattdessen gemeinsam mit unseren ISPs an einer Lösung, um die Attacken abzuwehren. Parallel dazu haben wir die Ermittlungsbehörden eingeschaltet.
Wir bitten um Entschuldigung für die Ihnen entstandenen Umstände.
Im Moment können wir leider nicht einschätzen, wie lange die Beeinträchtigungen bestehen bleiben werden. Weitere Infos erhalten Sie unter status.sipgate.de. Folgen Sie @sgde_status, um auf dem Laufenden zu bleiben.
Update 23.10.2014 18:30 Uhr:
Wir arbeiten derzeit hart daran, die Attacke durch Änderungen an unserer Infrastruktur abzuwenden. Diese Änderungen brauchen ein wenig Zeit, weshalb es gut sein kann, dass wir erst in ein paar Stunden wieder voll da sein werden. Uns bleibt leider nichts anderes übrig, als um Ihr Verständnis zu bitten. Bitte beachten Sie, dass bei dieser Attacke keinerlei Systeme kompromittiert wurden und auch keine Kundendaten verloren gingen.
Update 23.10.2014 18:44 Uhr:
Die Änderungen scheinen erste Erfolge gebracht zu haben. Die Webseiten unseres Geschäftskundenproduktes sipgate team und unseres Mobilfunkproduktes simquadrat sind jetzt wieder erreichbar. Die Telefonie erholt sich ebenfalls gerade.
Update 23.10.2014 18:52 Uhr:
Alle Webseiten sind derzeit wieder erreichbar. Die Telefonie ist für einen großen Teil unserer Kunden leider noch immer stark beeinträchtigt. Hier liegt deshalb auch zur Zeit der Hauptfokus unserer Bemühungen.
Update 23.10.2014 19:44 Uhr:
Nicht nur unsere Produkte in Deutschland – auch unsere VoIP-Angebote in Großbritannien sind von der DDoS Attacke betroffen.
Leider konnten wir die Telefonie noch immer nicht vollständig wieder zum Laufen bringen. Wir arbeiten weiterhin an technischen Abwehrmaßnahmen. Ich wiederhole mich, aber das ist uns wirklich wichtig: Die Sicherheit der Kundendaten war zu keinem Zeitpunkt in Gefahr. Mehr auch unter status.sipgate.de.
Update 23.10.2014 19:55 Uhr:
Wir sind mehrfach gefragt worden, warum wir nicht einfach das geforderte Lösegeld bezahlen.
Ganz einfach: Weil das ziemlich bekloppt wäre. Und aus Prinzip. Zur Erklärung: Die Verbindung aus DDoS-Attacke und Erpressungsversuch zeugt von einer hohen kriminellen Energie. Würden wir der Forderung nachgeben und das Lösegeld bezahlen, würden wir die Urheber der Attacke geradezu einladen, weitere Attacken gegen uns durchzuführen. Selbst wenn wir für das Angriffsprofil der ersten DDoS eine Verteidigung erarbeiteten, lohnte sich der Aufwand, immer neue Attacken mit anderen Angriffsprofilen vorzubereiten. Ergebnis: Noch mehr Störungen für unsere Kunden und Angreifer die immer mehr Geld fordern. Zudem könnten weitere Kriminelle auf den Zug aufspringen und versuchen, uns ebenfalls zu erpressen. Nein danke!
Update 23.10.2014 20:12 Uhr:
Die Telefonie erholt sich weiter. Auf twitter berichten immer mehr Kunden, dass sie wieder erreichbar sind. Das freut uns, aber leider gilt das noch immer nicht für wirklich alle Kunden. Wir arbeiten daran. Könnte ne lange Nacht werden.
Update 23.10.2014 21:18 Uhr:
Die DDoS-Attacke hält weiter an. Aktuelle Infos gibts auf status.sipgate.de. Zu den Nachfragen in den Kommentaren: Wir werden das ganze in der kommenden Woche in einem ausführlichen Blog-Artikel detailliert aufbereiten.
Update 23.10.2014 22:37 Uhr:
So, kurzer Statusbericht: Die DDoS-Attacke hält an. Aber: Unsere Webseiten sind ja schon länger wieder da. VoIP zeigt sich seit ungefähr einer halben Stunde eher stabil, immer mehr Geräte kommen zu uns durch und registrieren sich nach und nach wieder an unseren Servern. Das gilt für unser Geschäftskundenangebot genauso wie für unser Privatkundenangebot. Gut: Nicht mehr lang und wir sind in Sachen VoIP hoffentlich bald bei 100%.
Bleibt der Mobilfunk, der uns im Moment die größten Sorgen bereitet: Hier melden sich zwar ebenfalls immer mehr SIM Karten wieder an unserem HLR an, aber das wird noch dauern bis wieder alle Mobilfunk-Kunden telefonieren können und Daten nutzen können. Wir sind dran. Unsere Techniker danken übrigens für die aufmunternden Worte und grüßen aus dem Maschinenraum. Danke an alle, die uns die Daumen drücken…
Update 23.10.2014 23:10 Uhr:
VoIP kratzt an den 100%. Mobilfunk zeigt sich immer stabiler. Sieht so aus als kämen jetzt alle SIM-Karten von sipgate team und simquadrat nach und nach zum HLR durch. Falls es nicht sofort klappt, hilft ein Reboot des Handys.
Update 23.10.2014 23:15 Uhr:
VoIP und Mobilfunk scheinen voll da zu sein. Falls sich Ihr Handy jetzt noch nicht von selbst wieder eingebucht hat, bitte einmal in den Flugmodus & zurück… oder notfalls kurz einen Reboot des Mobiltelefons durchführen. Danke an alle, die hier im Blog und bei Twitter mitgefiebert haben – morgen gibts hier im Blog in alter Frische weitere Infos. Und nochmal ein dickes „Sorry“ an alle betroffenen Kunden. Das ist uns absolut bewusst, dass das so nicht noch einmal passieren sollte. Wir werden das genau analysieren und aufarbeiten.
Update 23.10.2014 23:48 Uhr:
Zu früh gefreut… VoIP ist leider doch noch nicht voll da. Wir bekommen gerade einige Meldungen von sipgate team-Kunden, dass ihre VoIP-Telefone noch nicht wieder den Weg zu uns finden. Wir sind weiter dran. Updates folgen auf status.sipgate.de.
Update 24.10.2014 01:22 Uhr:
So jetzt aber… auch VoIP sollte jetzt vollständig für sipgate team-Kunden wieder funktionieren. Unsere Admins können zwar noch keine vollständige Entwarnung geben, sind aber guter Hoffnung, dass nun erstmal alles stabil läuft. Auf den verdienten Schlaf müssen die Kollegen allerdings noch ein wenig warten, denn nun muss das Ganze noch ein wenig beobachtet werden.
Update 24.10.2014 01:38 Uhr:
Es gab noch vereinzelt Kunden, die von Problemen mit Datenverbindungen über sipgate Handys berichteten. Dieses Problem sollten nun ebenfalls erledigt sein.
Update 24.10.2014 01:58 Uhr:
Morgen werden wir die Ereignisse in Ruhe analysieren und Sie an dieser Stelle ausführlich über die Hintergründe informieren. Bis dahin hoffen wir auf eine ruhige Nacht und sagen noch einmal Sorry für die entstandenen Schmerzen.
Update 24.10.2014 07:10 Uhr:
Nachdem wir die erste Welle gestern nacht letztendlich erfolgreich abgewehrt haben, läuft derzeit eine zweite Welle mit geändertem Angriffsprofil. Updates wie immer unter status.sipgate.de.
Update 24.10.2014 09:59 Uhr:
In einem neuen Blog-Post kommentieren wir die Geschehnisse rund um die DDoS-Attacken am 24.10.2014.
Am Rande: Bitte stellen Sie sicher, dass Ihr Computer und die Computer Ihrer Familienmitglieder, Freunde und Kollegen nicht einer von den Millionen Rechnern da draußen ist, die zu irgendeinem Botnet gehören und solche großangelegten DDoS-Attacken erst möglich machen. Schwach gesicherte Rechner, auf denen veraltete Software läuft und auf denen lange Zeit keine Sicherheitsupdates eingespielt wurden, sind leichte Beute für Online-Kriminelle.
Samstag, 25.10.2014 ca. 13:14 Uhr
Die zahlreichen Kommentare und Nachfragen auf twitter, facebook und hier im Blog brachten uns auf die Idee, die gesamte Geschichte in einem längeren Artikel aufzubereiten und auf diese Weise möglichst viele Fragen zu beantworten.
Der Artikel ist am Ende doch ziemlich umfangreich geworden. Wir glauben, dass er auch für andere von DDoS-Attacken betroffene (und nicht nur für sipgate-Kunden) interessant sein dürfte. Deshalb haben wir ihn graphisch etwas aufbereitet und auf der Plattform medium veröffentlicht – und nicht hier im Blog.
165 Kommentare
Holger Grunow:
Moin,
also heute Nacht lief alles zufriedenstellend, kann ich bestätigen. Aber so langsam werde auch ich unruhig und ungeduldig. Warten wir es ab.
Frank K.:
Guten Morgen! Sorry, aber wenn ich mir so manchen Kommentar hier durchlese frage ich mich warum dann einige „Geschäftskunden“ nicht selber einen Notfallplan haben. Und es ist doch wirklich erstaunlich, wer hier alles weiß was so bei Sipgate zurzeit wirklich los ist. Und dann noch die ganzen selbst ernannten „Experten“ die immer alles besser wissen. Ist doch einfach nur lächerlich was manch einer sich hier von der Seele schreibt. Ich bin selber Geschäftskunde, habe aber natürlich vorgesorgt und warte geduldig darauf das die Systeme wieder einwandfrei arbeiten. Es ist zwar ärgerlich, aber so ist es im Moment und kommt in der heutigen Zeit leider vor. Was anderes ist doch auch nicht sinnvoll, oder glauben hier wirklich einige, dass es etwas nutzt wenn jetzt jeder den Support anruft und den dann mit seiner Stimme „beglückt“?! Und wer meint Sipgate ist ein sch… Laden, der soll sich halt einen anderen Anbieter suchen. Viel Glück dabei! Ich bin selber seit mehreren Jahren Kunde von Sipgate, und kann nicht bestätigen das es ein sch… Laden ist. Auch Ausfälle gab es bisher keine größeren oder in der Häufigkeit erwähnenswerte. Somit kann ich für mich sagen, „Ich bin ein zufriedener Kunde der auch ein wenig Geduld mitbringt“. Es kommt manchmal halt anders als man denkt. Ich hoffe bzw. bin mir sicher das die Admins das bald in den Griff bekommen und den oder die Hacker wünsche ich, wie sagt man so schön, die Krätze am Hals oder sogar schlimmeres. Schönen Tag noch!
AJ:
SIPGATE macht Werbung mit
„VOIP für Unternehmen“….
mal schauen wie lang sich diese Geschäftsstrategie noch auszahlt.
Nandor Szabo:
Auch Gutenmorgen, hier in Aachen leider auch das Gleiche: alles tot obwohl heutenacht alles ok war. Die Sch.. Häcker sind wohl früher aufgestanden…
Carmen Grebe:
Hallo,
hier funktioniert leider auch nix. Kann die Website von Sipgate nicht erreichen und auch nicht telefonieren. Ein dringendes Fax ist gerade (Gott sei Dank) durchgegangen.
VG aus Köln
Nandor Szabo:
liebes Sipgate Team. Ein Update vom Blog heutemorgen wäre auch hilfreich…
André Scherin:
Hier in Falkensee bei Berlin auch alles tot…
Michael C.:
24.10.2014 – 08:45Uhr Es funktioniert immer noch nichts. Kein VoIP, kein GSM und die Homepage von sipgate ist ebenfalls platt.
Mit dem Schritt alles zu sipgate zu verlagern um die damit Bequemlichkeiten vollständig auszuschöpfen sind wir nun auch vollständig ausgeliefert… eine echte Katastrophe.
J.B.:
Liebe Grüße aus Bad Homburg und Gelsenkirchen,
beide Standorte platt. Der Notfallplan hätte wenigstens vorsehen müssen, dass eine Weiterleitung möglich ist… Wir kriegen mit unseren Mandanten und den Gerichten riesen Probleme…
MiS:
Ich nutze seit knapp 2 Jahren sipgate Voip und simquadrat Mobil. Im Ganzen bin ich völlig zufrieden. Das nun „böse Buben oder böse Bubinnen“ eine Erpressung starten ist nicht die Schuld von Sipgate. Lasst uns abwarten. Gebt Sipgate eine Chance. Auf keinen Fall der Erpressung nachgeben!!! Dann sind wir alle wieder Analog.
Peter Schulgin:
Bitte um kurzes Update, denn auch bei uns (Ludwigshafen) ist Sipgate aktuell nicht erreichbar.
Michael Schaarschmidt:
Euch zu sagen das es Gera auch nicht funktioniert, macht wenig Sinn, das könnt ihr selbst ablesen. Gibt es irgendetwas , außer warten, was man tun kann? Würde Euch gern helfen im Sinne aller!
Mey:
Gestern Nacht konnet sich das Handy wieder einloggen, heute Morgen nicht mehr.
Welche Workarounds sind möglich? Würde eine Umleitung funktionieren, so man auf die Website kommt?
Hubert:
Einige tun hier fast so, als wäre sipgate an dem ganzen Schlamassel schuld. Was kann sipgate dafür, wenn es eine Cyberattacke gab? Ich bin fest davon überzeugt, dass sipgate alles tut um die Dienste schnellstmöglich wieder vollumfänglich bereitzustellen. Als langjähriger Kunde bin ich mit sipgate zufrieden. Und ja, ich habe ein Plan B für Ausfälle.
Was würdet Ihr denn machen, wenn jemand mit einer Attacke Euren DSL-Anschluss lahm legt und Ihr nicht telefonieren, surfen etc. könnt? Ist dann Eurer ISP Schuld?
Hier kann ich über viele Kommentare nur den Kopf schütteln.
Die aktuelle Entwicklung kann man übrigens unter status.sipgate.de nach- bzw. mitlesen.
AJ:
Was SIPGATE dafür kann nichts!
Als Provider von wichtiger Infrastruktur sollte man in der Lage sein einen solchen Angriff in angemessener Zeit zu bewältigen. Das schaffen andere Provider auch.
Aber bei Sipgate gehen die Admins nachts um 2 Uhr ins Bett und Sipgate hat offenbar keine Vorkehrungen getroffen, um eine 24×7 Überwachung des Netzes zu gewährleisten. Das ist unverantwortlich.
Flo:
„Sorry für die entstandenen Schmerzen.“??? So freche Sprüche solltet ihr euch verkneifen – auch wenns sicher zur Auflockerung gedacht war. Es geht hier um Geld und Dienstleistung. Mein Voip funktioniert auch nicht seit gestern Nachmittag.
Deshalb wünsche ich dem Sipgate-Team jetzt mal „viel Glück?!“
Hallo aus dem Allgäu
Heiko Bremer:
Leute, Leute ….
sipgate wird angegriffen, quasi bombadiert und ist Opfer, wie alle, die sich hier beschweren!
Macht die Telefone aus oder reduziert deren Anzahl bis zur Entwarnung. Wenn das alle machen, ist das sicher schon mal eine Hilfe für die Admins.
sipgate ist kein Monopolist, sondern kleiner und damit angreifbarer. Aber sipgate kämpft und das nicht nur akut, sondern permanent. Unter anderem eben gegen die Monopolisten, die diesen Anbieter gerne verschwinden lassen würden.
Durch die Größe ist sipgate angreifbarer als die Großen, ABER auch diese nutzen dieselbe Technik. Kabelverbindung ist nicht mehr … alles VoIP. Derselbe Angriff ein paar Zehnerpotenzen größer und andere Provider knicken auch ein, oder der Stromversorger oder die Wasserversorgung…
Richtet also Euren Frust gegen die Täter und macht öffentlich deutlich, dass hier der Staat für mehr Sicherheit und Aufklärung sorgen muss! In allen Bereichen. Und seiner Aufgabe nachkommen muss, die Bürger zu schützen. Vor Kriminellen und auch der Willkür von Monopolisten.
Bitten wir doch die NSA um Hilfe. Die ist technisch sicher besser drauf als unsere Heinis. (denn das hier sind reale Bedrohungen!)
@admin: Ich drück euch die Daumen! Nerven behalten!
Viel Erfolg!
Hans-Georg Michna:
Heute früh ging es noch, aber seit ca. 8 Uhr ist das Netz wieder weg (München Neuperlach-Zentrum).
Was mich interessieren würde—gab es so etwas schon früher, DDOS-Attacken mit Erpressung auf Mobil-Dienstanbieter, oder ist das ein Novum?
Ich kenne DDOS-Attacken auf Bitcoin-Börsen, da sind sie gang und gäbe und alle leben damit. Die Verteidigung funktioniert dort meistens gut, aber ab und zu gibt es bei einer akuten Attacke Verzögerungen oder schlechte Erreichbarkeit.
Anscheinend muss man heutzutage überall mit so etwas rechnen.
MiS:
Ich möchte Heiko Bremer zustimmen. Mein Mobiltelefon ist aus. Und ALLE, die Zeit haben hier zu schimpfen, haben doch Zeit! Lasst uns diese freie Zeit nutzen um anderen gutes zu tun.
Wie kann ich die nsa erreichen?
AJ:
Mit sowas muss man rechnen und man muß darauf professionell vorbereitet sein. Das ist offenbar hier nicht der Fall.