Stand: 26.04.2023

Am 26.04.2023 kam es zu temporären Einschränkungen durch zwei DDoS-Angriffe gegen einen Kunden von imos. Ein DDoS erfolgte im Zeitraum zwischen 12:15 und 12:45, ein weiterer im Zeitraum zwischen 13:30 und 13:50. Aufgrund der technischen Anbindung des Kunden konnte der erste Angriff noch nicht automatisch abgewehrt werden. Auswirkungen waren hier in Form von erhöhten Paketlaufzeiten zu spüren.

Stand: 06.04.2023

Am 06.04.2023 kam es zu temporären Einschränkungen durch einen erneuten DDoS-Angriff. Dieser startete um 11:25 Uhr und konnte automatisiert abgewehrt werden. Der Höhepunkt des Angriffs wurde zwischen 11:30 Uhr und 11:35 Uhr erreicht. Seit 11:45 Uhr sind keine Einschränkungen mehr bekannt.

Stand: 04.04.2023

zwischen dem 13.03.2023 und 21.03.2023 kam es leider wiederkehrend zu temporären Einschränkungen bis hin zu Ausfällen unserer Dienste. Seit dem 21.03.2023 16:30 sind keine Auffälligkeiten mehr festzustellen, sodass wir derzeit davon ausgehen, dass wir Sie hiermit abschließend informieren können.

FAQ zu den Einschränkungen

• Welche Probleme gibt es aktuell?
• Welche Probleme gab es zwischen dem 13.03.2023 und 21.03.2023?
• Was sind DDoS-Angriffe?
• Ist imos „gehacked“ worden?
• Hat sich imos Schadsoftware wie Viren, Trojaner, Ransomware etc. eingefangen?
• Warum war oder ist www.imos.net nicht erreichbar?
• Warum kommt es zu DDoS-Attacken?
• Gab es auch schon früher DDoS-Angriffe auf imos?
• Wodurch unterscheiden sich die aktuellen DDoS-Angriffe zu denen aus der Vergangenheit?

FAQ zu den Gegenmaßnahmen

• Welche Gegenmaßnahmen wurden eingeleitet?
• Was versteht man unter „blackholen“?
• Warum können Gegenmaßnahmen Einschränkungen nicht einfach verhindern?
• Warum bringen „Backup-Leitungen“ nichts?
• Warum können IP-Adressen nicht einfach gewechselt werden?
• Stellen IP-Adressen eines anderen Providers eine Lösung dar?
• Wurden Behörden informiert?

FAQ zu Supportanfragen/Kommunikation

• Warum bekomme ich auf meine Supportanfragen kein individuelles Feedback?
• Warum bekomme ich kein Feedback, wie lange die Einschränkungen anhalten?
• Wie können uns Kunden in solchen Situationen helfen?

 

FAQ zu den aktuellen Einschränkungen

Welche Probleme gibt es aktuell?

Keine - seit dem 21.03.2023 16:30 gibt es keine Auffälligkeiten im Netzbetrieb. Sollte Sie weiterhin irgendwelche Probleme feststellen, resultieren diese nicht aus den vergangenen DDoS-Attacken. Wenden Sie sich bitte mit Ihrem Problem an unseren Support

Welche Probleme gab es zwischen dem 13.03.2023 und 21.03.2023?

Zwischen dem 13.03.2023 und 21.03.2023 gab es massive wiederkehrende DDoS-Angriffe auf unsere Infrastruktur. Diese fanden in einer für uns noch nie dagewesenen Heftigkeit in Bezug auf Bandbreite, angreifende und angegriffene Ziele, Dauer und Anzahl statt.

Was sind DDoS-Angriffe?

Hier möchten wir das BSI (Bundesamt für Sicherheit in der Informationstechnik) zitieren:

Denial of Service – oder kurz DoS – bedeutet soviel wie etwas unzugänglich machen oder außer Betrieb setzen. Technisch passiert dabei folgendes: Bei DoS-Attacken wird ein Server gezielt mit so vielen Anfragen bombardiert, dass das System die Aufgaben nicht mehr bewältigen kann und im schlimmsten Fall zusammenbricht. Auf diese Art wurden schon bekannte Web-Server wie zum Beispiel Amazon, Yahoo, eBay, mit bis zur vierfachen Menge des normalen Datenverkehrs massiv attackiert und für eine bestimmte Zeit für normale Anfragen außer Gefecht gesetzt. Die Programme, die für DoS-Angriffe genutzt werden, sind mittlerweile sehr ausgefeilt und die Angreifer sind nur schwer zu ermitteln, weil sich der Weg der Daten verschleiern lässt. Möglich sind einige der Attacken durch Bugs und Schwachstellen von Programmen, Betriebssystemen oder Fehlimplementierungen von Protokollen. Andere Angriffe überlasten schlicht das ganze System mit zu vielen Anfragen.

Ist imos „gehacked“ worden?

Nein. Man würde von „gehacked“ reden, wenn Dritte in unsere Systeme eingedrungen wären und Kontrolle über diese bekommen hätten. Unsere Systeme und Daten sowie die unserer Kunden, sind nicht gefährdet.

Hat sich imos Schadsoftware wie Viren, Trojaner, Ransomware etc. eingefangen?

Nein. Bei einem Virus, z.B. ein Verschlüsselungstrojaner, hätte der Angreifer das Ziel, unsere Systeme und Daten in seine Gewalt zu bringen und diese nur gegen eine Lösegeldzahlung wieder freizugeben.

Warum war www.imos.net nicht erreichbar?

Die IP-Adresse von www.imos.net ist am offensichtlichsten und am einfachsten zu ermitteln. Bei nahezu allen Angriffen war www.imos.net eins der Ziele und wurde von uns bewusst auf die Blackhole-Liste genommen (siehe unten).

Warum kommt es zu DDoS-Attacken?

Welche Motivation hinter den DDoS-Attacken gesteckt hat und ob imos oder Kunden von imos das Ziel waren, lässt sich leider auch nicht ermitteln - es vermehren sich aber die Meldungen zu dieser Problematik:

• Baden-Württemberg.de - DDoS-Attacken auf verschiedene Webseiten
• WELT.de - Cyberangriffe legen offizielle Webseiten in mehreren Bundesländern lahm

Gab es auch schon früher DDoS-Angriffe auf imos?

Ja, aber in den letzten 27 Jahren konnten wir diese in der Regel problemlos abwehren, ohne dass es zu größeren Einschränkungen von Diensten kam.

Wodurch unterscheiden sich die aktuellen DDoS-Angriffe zu denen aus der Vergangenheit?

Die DDoS-Angriffe traten mit höherer Bandbreite und häufiger auf und dauerten auch länger als in der Vergangenheit. Die Angriffe erfolgen in so einem Ausmaß, dass auch unsere vorgelagerten Upstream-Provider Gegenmaßnahmen eingeleitet hatten, um Ihre eigene Infrastruktur zu schützen.

 

FAQ zu den Gegenmaßnahmen

Welche Gegenmaßnahmen wurden eingeleitet?

In der Nacht vom 12.03.2023 auf den 13.03.2023 haben wir die ersten Auffälligkeiten im Netzbetrieb feststellen können. Nach der heftigen DDoS-Attacke am 13.03.2023 haben wir direkt begonnen spezielle DDoS-Protection-Systeme aufzubauen und in Betrieb zu nehmen, um Angriffe automatisiert zu erkennen und die Ziele zu „blackholen“. Mittlerweile wurden entsprechende Automatismen eingesetzt, um Angriffe zu erkennen, unseren Upstream-Provider zu melden und bereits in den vorgelagerten Netzen entsprechende Gegenmaßnahmen einzuleiten.

Was versteht man unter „blackholen“?

Unter dem Begriff "Blackholen" versteht man das Umleiten von Datenpaketen in eine Art digitales Schwarzes Loch, also ins Nichts, damit die Datenpakete keinen Schaden anrichten können. In der Praxis wird z.B. die IP-Adresse eines Servers auf eine Blackhole-Liste gesetzt. Was zur Folge hat, dass Datenpakete zu diesem Server zwar keinen Schaden mehr anrichten, aber dieser Server auch nicht mehr erreichbar ist.

Warum können Gegenmaßnahmen Einschränkungen nicht komplett verhindern?

Unsere Gegenmaßnahmen erkennen innerhalb einer Minute, wenn Server angegriffen werden. Damit der Angriff auf einen Server möglichst keine Auswirkungen auf andere Systeme hat, wird die IP-Adresse des angegriffenen Servers automatisch auf eine Blackhole-Liste gesetzt. Damit richten die Datenpakete, die an diesen Server gesendet werden zwar keinen Schaden mehr an, jedoch ist der angegriffene Server dadurch nicht mehr erreichbar. Angreifende Server auf eine Blackhole-Liste zu setzen ist leider extrem schwierig, da der überhöhte Traffic durch tausende Server entstehen kann, von denen jeder einzelne nur wenig Bandbreite verursacht und sich von normalen Anfragen nur sehr schwer unterscheiden lässt.

Warum bringen „Backup-Leitungen“ nichts?

„Backup-Leitungen“ bzw. mehrfach redundante Anbindungen sollen bei Ausfall einer Leitung sicherstellen, dass der Datenverkehr über eine Backup-Leitung transportiert wird. Da keine Leitungen gestört oder beschädigt sind, sondern Ziele (IP-Adressen bzw. ganze IP-Adressräume) angegriffen werden, würde das Abschalten einer Leitung automatisch dazu führen, dass die Ziele über eine Backup-Leitung angegriffen werden.

Warum können IP-Adressen nicht einfach gewechselt werden?

Das Ändern von IP-Adressen ist in der Theorie und für eine kleine Anzahl von IP-Adressen zwar denkbar aber IP-Adressen und IP-Adressräume sind kein Geheimnis. Damit der Transport von Daten zwischen Providern im Internet möglich wird, müssen Provider ihre IP-Adressräume in entsprechenden Datenbanken hinterlegen. Somit sind die IP-Adressräume eines Providers jederzeit einsehbar. Bereits durch den einfachen Aufruf einer Internetseite wie z.B. www.imos.net ist einem Angreifer die IP-Adresse, damit der IP-Adressraum und auch der Provider bekannt. Um nach einem Wechsel der IP-Adresse die neue herauszufinden ist lediglich ein erneuter Aufruf von www.imos.net notwendig. Erfolgt der Angriff zudem auf einen ganzen IP-Adressbereich, wäre nur der IP-Adressraum eines anderen Providers hilfreich.

Stellen IP-Adressen eines anderen Providers eine Lösung dar?

Solange kein Angriff auf die IP-Adressen des anderen Providers erfolgt – ja. Sollte der Angreifer aber ein Ziel wie einen Internetauftritt im Visier haben, dürfte in kürzester Zeit mit einem Angriff auf die neue IP-Adresse zu rechnen sein. Wenn dem Angreifer auch der Adressraum des zweiten Providers bekannt wäre, dann erfolgt der Angriff auf beide Adressräumen.

Wurden Behörden informiert?

Es wurden das Landeskriminalamt Baden-Württemberg (LKA), die Bundesnetzagentur (BNetzA) sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) über die Vorfälle informiert. Für die Behörden sind DDoS-Angriffe keine besonderen Vorfälle jedoch bemerkte das LKA das die Intensität doch ziemlich beachtlich war (ein Vorfall mit vergleichbarer Intensität wäre zuletzt 2021 im Remstal bekannt)

 

FAQ zu Supportanfragen/Kommunikation

Wir überwachen unsere Systeme 24/7 also 24 Stunden an 7 Tagen die Woche. Die Wahrscheinlichkeit, dass wir Störungen in unserer Infrastruktur nicht bemerken, ist sehr unwahrscheinlich. Bei Auftreten von Störungen sind wir also in der Regel bereits mit der Entstörung beschäftigt, bevor uns ein Kunde ein Problem meldet. Wir haben größtes Verständnis dafür, dass Störungen bei imos zu erheblichen Einschränkungen bei unseren Kunden führen und diese eine Stellungnahme erwarten. Daher werden wir in Zukunft eine Statusseite für Störungen und planmäßige Wartungen veröffentlichen sowie die Kommunikation gegenüber unseren Kunden verbessern.

Warum bekomme ich auf meine Supportanfragen kein individuelles Feedback?

Wir bitten um Verständnis, dass wir unsere Ressourcen in solchen Situationen primär dafür einsetzen müssen, die erforderlichen Gegenmaßnahmen einzuleiten. Gerne beantworten wir alle Anfragen im Nachgang und rufen gerne bei Bedarf zurück.

Warum bekomme ich kein Feedback, wie lange die Einschränkungen anhalten?

Da es sich bei einem DDoS-Angriff nicht um ein „greifbares“ Problem, wie der Ausfall und Austausch von Netzwerkkomponenten oder einen Baggerbiss in ein Glasfaserkabel mit den entsprechenden Wiederherstellungsarbeiten, handelt, können wir nicht vorhersagen, wie lange die Angriffe und die damit verbundenen Einschränkungen anhalten.

Wie können uns Kunden in solchen Situationen helfen?

Grundsätzlich müssen wir eine Störung zuerst lokalisieren und identifizieren. In diesen Phasen sind qualifizierte und belastbare Aussagen über das Ende einer Störung leider nicht möglich. Damit wir uns verstärkt um die Entstörung kümmern können, möchten wir Sie um Folgendes bitten:

• Schildern Sie unserem externen Hotline-Dienstleister Ihr Problem möglichst sachlich. Hinterlassen Sie bitte Ihre Kundennummer, Ihren Namen und Ihre E-Mail-Adresse, damit wir Sie erreichen können.
• Bitte haben Sie Verständnis dafür, dass unser externer Hotline-Dienstleister Ihr Problem nicht bearbeiten kann, sondern primär die Aufgabe hat, jeden Anruf entgegenzunehmen und eine E-Mail an [email protected] zu senden.
• Melden Sie uns gerne jede Art von Störung. Bitte haben Sie aber Verständnis dafür, dass wir Sie nicht immer unmittelbar zurückrufen können.
• Räumen Sie uns bitte die Zeit ein, Ihnen eine offizielle Stellungnahme erst nach Abschluss der Störung zukommen zu lassen.
• Senden Sie E-Mails bitte ausschließlich an [email protected], damit sich unser Support-Team um eine Antwort kümmern kann. Das Beantworten einer E-Mail kann Ihrem persönlichen Ansprechpartner unter Umständen nicht möglich sein, wenn er sich um die Entstörung kümmern muss.