Website wieder online - was war da los?

Wie vielen aufgefallen ist, war unsere Website seit Samstag bis heute (12.01.2021) offline und nicht erreichbar. Der Grund war eine massive Cyberattacke gegen unseren Webhoster, bei dem unser  (virtueller) Server steht. Das System, auf dem unser virtueller Server läuft, musste vom netz genommen werden, um Schaden vorzubeugen - und damit die Spezialisten sich um die Abwehr der Cyberattacke kümmern konnten.

Zur Erläuterung hier die entsprechende Status-Mail, die es nach langem Verzug bis zum Webmaster bei uns geschafft hat. Dazu noch ein Hinweis: eine DDoS-Attacke ist eine "Distributed Denial of Service" Attacke, bei der mehrere tausend Computer im Internet jeder so viele Anfragen wie möglich gegen einen einzigen Server richtet, um ihn oder die Netzwerk-Komponenten beim Webhoster zu überlasten und dadurch den Server außer Gefecht zu setzen.

Wie Sie vielleicht der Fachpresse entnehmen konnten, ist im Jahr 2020 - nicht zuletzt wegen der Corona-Pandemie - die Zahl der DDoS-Attacken signifikant angestiegen. Diese Form der Cyberkriminalität trifft nicht nur Unternehmen, sondern auch Behörden, Universitäten oder systemrelevante Organisationen.

Trotz höchster Sicherheitsmaßnahmen und hohen Sicherheitsstandards ist es mit krimineller Energie gelungen, auch uns zu verwunden. Erstmalig in der 23-jährigen Firmengeschichte von Power-Netz sind wir Opfer einer solch langanhaltenden Cyberkriminalität geworden. 

Seit Samstag, den 09.01.2021 sind wir bis zum heutigen Tag Zielscheibe einer DDoS-Attacke. Auch wenn Sie ggf. nicht zum betroffenen Kundenkreis gehören, möchte ich gern gegenüber all unserer Kunden Transparenz schaffen.

Was ist passiert? 

Am Samstag, den 09.01.2021 stellten wir gegen 13 Uhr im Rahmen unseres feingliedrigen Server-Monitorings den Eingang ungewöhnlich hoher Datenmengen fest (ein sogenanntes Flooding). Diese wurden auf einen Kundenserver, ein Multi-Domain-System aber auch auf zwei unserer Nameserver gerichtet.

Wir griffen sofort zum Schutz unserer Systeme und der Webseiten unserer Kunden ein. Es wurde erforderlich, u.a. das Multi-Domain-System (d166) vom Netz zu nehmen. Dies führte zu einer Nichterreichbarkeit aller auf dem Server befindlichen Webseiten und E-Mail-Konten. Wir mussten so handeln, um weiteren Schaden von Ihnen und unserer Infrastruktur abzuwenden. Die anderen belasteten Systeme wurden und werden dauerhaft engmaschig untersucht.

Trotz aller nachvollziehbaren Kundenbeschwerden wäre es unverantwortlich, das Multi-Domain System und die darauf befindlichen Webpräsenzen während des laufenden Angriffs verfrüht wieder online zu nehmen. Dies würde zu schlimmeren Folgen führen als einer temporären Nichterreichbarkeit von Webseiten und Postfächern.

Mit wenigen Unterbrechungen im "Flooding" wird bis zum heutigen Tag noch immer dasselbe Multi Domain-System attackiert. Die Offline-Zeit ist enorm, dennoch war es auch am heutigen Tag nach wie vor unverantwortlich, dieses System, welches der Host für viele Webhosting-Pakete und Reseller-Tarife ist, in Betrieb zu nehmen. 

Noch können wir nicht absehen, wer hinter dem Angriff steht und wie lange der Angriff noch andauern wird. Aber wir arbeiten seit nunmehr 50 Stunden rund um die Uhr, unterstützt von externen Beratern und renommierten IT-Forensikern, an der Behebung dieses kriminellen Angriffs und seiner Folgen. Unser Ziel ist die schnellstmögliche Inbetriebnahme der Shared-Hosting Infrastruktur. Dabei werden wir aber in Ihrem Interesse aus mit höchster Sorgfalt und Vorsicht vorgehen und keine Kompromisse in Sachen Sicherheit eingehen.

Wir bemühen uns unermüdlich, gegenüber unseren Kunden so viel Transparenz wie möglich zu schaffen. Wir haben eine Telefonansage vor unsere Rufnummer geschaltet und geben aktualisiert Updates über unsere Status Webseite.

Wir möchten alle betroffenen Kunden um ihr Verständnis bitten und uns schon jetzt für Ihre Geduld bedanken.

Nach Abschluss dieses Cyberangriffs werden wir eine dezidierte Aufbereitung der Vorkommnisse geben.

Herzlichen Dank, dass Sie uns unsere Arbeit machen lassen.
Aktualisierung vom 13.01.2020 um 12:38 Uhr:
Wir können heute augenscheinlich von einem Ende der Cyberattacke berichten. Seit dem 12.01.2021 gegen 13 Uhr laufen die Services auf dem angegriffenen Multi-Domain-Systems zum Großteil wieder stabil. Wir widmen uns heute der Reparaturen von Einzelfällen und beginnen anschließend mit der Auf- und Nachbereitung des Cyberangriffs. Alle Kunden erhalten alsbald wie möglich einen Abschlussbericht zur Cyberattacke. Wir schließen diese Störung und danken all unseren betroffenen Kunden herzlich für Ihr Verständnis und Ihre Geduld in dieser außergewöhnlichen Krisensituation.