Wir wollen hier kurz erklären, worum es bei den Erpressungsversuchen geht und was Sie tun können, wenn Sie davon betroffen werden – und was sie vor allem tun sollten und wo Sie Hilfe bekommen.
Worum geht es?
In den letzten Wochen wurden wiederholt Unternehmen erpresst, mit dem Ziel „Bitcoins“(virtuelle Währung mit realem Wert) zu erlangen. Die Erpresser drohen bei Nichtzahlung die Webpräsenz (Onlineshop oder Ähnliches) mittels einer sogenannten DDOS-Attacke (Distributed Denial Of Service) zu blockieren. Bei einer DDOS-Attacke greifen sehr viele Clientuser zeitgleich auf eine einzelne Webpräsenz zu, mit dem Ziel möglichst viel Last zu erzeugen und die betreffende Webseite für „normale“ User unerreichbar zu machen. Da die Erpresser über sogenannte (illegale) Bot-Netze (typischerweise normale User-PC welche mittels Virus verseucht sind) verfügen, ist diese Androhung meist ernst zu nehmen. Was tun wenn man erpresst wird?
Beachten Sie bitte, dass typischerweise – durch den massiven Traffik – nicht nur ihr Server sondern die gesamte Infrastruktur des Rechenzentrum in Mitleidenschaft gezogen werden kann. Aus diesem Grunde sollten Sie SOFORT die für ihre Webpräsenz zuständigen Administratoren über die Erpressung informieren. Dies ist typischerweise das Rechenzentrum, in dem ihre Server betrieben werden. Eine DDOS-Attacke kann im Rechenzentrum weitestgehend abgewehrt werden. Wenn den Administratoren nicht bekannt ist auf welche Webpräsenz die Attacke abzielt, vergeht einige Zeit bis diese Information eruiert wurde. Wenn das Rechenzentrum vorab informiert ist, kann man sich dort vorab auf einen möglichen Angriff dediziert einstellen und die Gegenmaßnahmen können noch kurzfristiger umgesetzt werden. Was tun, wenn die Webpräsenz angegriffen wurde?
Auf alle Fälle sollten Sie Anzeige erstatten. Dazu ist es hilfreich, wenn sie alle Informationen sichern, die auf den Täter hinweisen können. Dazu gehört, dass Sie bei Mails unbedingt auch den Mailheader sichern, oder bei einem Brief auch den Briefumschlag sichern. Bei einem Brief am besten sofort Brief und Umschlag in eine Kunststoffhülle stecken um eventuell Fingerabdrücke zu sichern.
Sollten Sie eine Anzeige bei der Polizei stellen, so helfen Sie den Polizisten auf der Revierwache die sich mit der Thematik nicht so häufig beschäftigen und geben eine Anzeige wegen §303b Strafgesetzbuch auf: Computersabotage (Strafandrohung bis zu 10 Jahren Freiheitsentzug). Ein paar Tage nach dem Aufgeben der Anzeige wird sich wahrscheinlich das zuständige LKA an Sie wenden und weitere Informationen abrufen.
Unser „altes“ Rechenzentrum in der Humboldtstraße (wir „residierten“ dort seit 2001) war so langsam in die Jahre gekommen. Auch benötigten wir mehr Platz um weitere Racks unterstellen zu können. Im Mai 2014 schauten wir uns erstmals die Immobilie im Grevenweg 120 (Postanschrift: Süderstrasse 195) an: Das Objekt war perfekt. Ein ausreichend großer Raum um dort das Rechenzentrum zu installieren, alle Leitungsprovider (Glasfaser) bereits auf der Straße vorhanden und auch die Möglichkeiten Büros einzurichten entsprachen unseren Bedürfnissen. Die Entscheidung war schnell getroffen – das wird unser neues Rechenzentrum.
Im Juli 2014 begannen die ersten Vorbereitungen. Es gab viel zu organisieren. Zuerst einmal musste die Infrastruktur aufgebaut werden: Strom (Inkl. Notstromaggregat und unabhängige Stromversorgungen) musste installiert werden. Die Klimaanlage ausgewählt und installiert werden und nicht zuletzt benötigten wir natürlich auch ausreichend Internetzugänge über Glasfaser. Auch mussten natürlich alle alten Verträge gekündigt oder angepasst werden. Vom Telefonanschluss über den Wachdienst bis zum Reinigungsunternehmen, gibt es bei einem Umzug vieles zu beachten und viele Stolperfallen.
Auch die Auswahl einer Spedition, welche in der Lage ist bestückte Racks zu transportieren, gestaltete sich als schwierig. Denn wenn die Ausfallzeiten kurz gehalten werden sollen, empfiehlt es sich die Racks im Ganzen zu transportieren. Einzelne Server und leere Racks werden von vielen Unternehmen befördert. Dieses war für uns (resp. einige unserer Kunden) allerdings keine Option: Downtime so kurz wie nur irgendwie möglich war die Devise. Mit der Spedition Gerdts fanden wir dann aber einen Dienstleister, der uns glaubhaft versicherte unsere Anforderungen zu erfüllen. Wir wurden nicht enttäuscht, doch dazu später mehr.
Die Organisation der Handwerker gestaltete sich als besondere Herausforderung. Wann muss welche Baumaßnahme abgeschlossen werden, welche Abhängigkeiten sind zu beachten? Obschon wir ab und an in kleinere Fallen tappten, waren wir was den Aufbau der Infrastruktur angeht (fast) immer im Zeitplan.
Nachdem die grobe Infrastruktur (Außenanbindung des Netzwerkes, Strom und Klima sowie all der Kleinkram) stand, konnten wir anfangen das neue und das alte Rechenzentrum per Lichtwellenleiter zu verbinden und im neuen Rechenzentrum die Netzwerkinfrastruktur aufzubauen. Router und Switche hatten schnell eine Verbindung nach „drüben“, so dass unsere ersten Server an den neuen Standort konnten. An der Stelle zeigte sich in der Praxis, wie praktisch eine virtualisierte Umgebung ist. Die Standby-Server wurden in die neue Umgebung integriert, Images wurden über die bestehende Leitung von „alt“ auf „neu“ kopiert und die virtuellen Server waren in Sekundenbruchteilen in der neuen Umgebung, bereit eingehende Anfragen zu beantworten. Auch Server von Kunden mit einer voll redundanten Infrastruktur waren problemlos umzuziehen. Die Hälfte der Server runterfahren, umziehen, synchronisieren, andere Hälfte umziehen, nochmal synchronisieren und: All systems up and running.
Wesentlich anspruchsvoller war der Umzug der dedizierten Kundenserver und -Racks. Um die Ausfallzeiten für jeden einzelnen Kunden/Server so kurz wie möglich zu halten, zogen wir die Einzelserver stets nur in Chargen von 2 bis 3 Servern um. Hierbei musste natürlich vorab der genaue Termin mit den Kunden koordiniert werden. Manche Kunden können eine Ausfallzeit von einer Stunde auch tagsüber problemlos verkraften (vielen Dank dafür). Andere haben kritischere Anwendungen (monetär oder technisch) laufen, so dass deren Server nur an bestimmten Tagen und/oder Tageszeiten temporär vom Netz genommen werden können. Uns stand mehr als eine Nachtschicht ins Haus. Am anspruchsvollsten ist es aber ganze Racks zu transportieren. Mit der bereits erwähnten Spedition Gerdts funktionierte es aber besser als von uns erhofft. Komplett bestückte Racks wurden von uns – nur extern „entnetzt“ – an die Spedition übergeben, welche sie an den neuen Standort transportierte, von uns wieder an Strom und Netzwerk angeschlossen wurden und: Lief! Am längsten dauerte der Umzug eines Kunden der VIELE Server zur Aufnahme von Fernsehprogrammen bei uns hostet (Nein GEMA/GEZ, DER darf das – alles offiziell).
Auch wenn die Verkabelung der Satellitenanschlüsse bereits vorbereitet war, die Kabel an der Rackfläche bereit lagen, so waren doch „Unendlich-1“ Kabelverbindungen, die noch (in den richtigen Port!) gesteckt werden mussten.
Als schwierigstes Unterfangen stellte sich der Umzug von Kundenapplikationen mit externen Abhängigkeiten heraus. So hosten bei uns z.B. Kunden, die dedizierte Standleitungen für deren Kunden nutzen (müssen). Diese Fälle waren organisatorisch die Hölle. Carrier sind schlicht zu groß und ein Leitungsschwenk geht über viel zu viele Schreibtische. Die Einhaltung von Terminzusagen scheint hier reine Glückssache zu sein, was immer mal wieder dazu führte, dass wir in Sachen Flexibilität auf harte Proben gestellt wurden. Nur Servtec sticht (mal wieder) aus der Masse hervor: Mit denen klappte alles. Letztendlich war es dann so weit: Am 07.03.2015 zog dann auch „das Büro“ um und seit Montag, dem 09.03.2015 findet der Geschäftsbetrieb komplett in den neuen Räumen statt. Es war viel (SEHR viel) Arbeit und es hat so einiges an Nerven (und Geld…) gekostet, aber das Ergebnis erfüllt uns mit Freude und ein wenig Stolz: unser neues RZ
Den englischsprachigen Text finden Sie weiter unten.
Stellungnahme zu den Ereignissen am Freitag den 14.11.2014: Was war:
In der Nacht auf den 14.11.2014 wurden im Rechenzentrum der Wieske’s Crew GmbH (IRZ42) gehostete Server Opfer mehrerer massiver (sogenannter) DDoS-Attacken. Als Erstes wurde ein Kundenserver mittels einer Attacke auf Port 80 penetriert, anschließend folgten weitere Attacken auch gegen andere Server sowie gegen andere Ports.
Diese Angriffe führten dazu, dass unsere Verbindungen zum Internet (Upstreams) massiv überlastet wurden und auch die bei uns gehosteten Dienste anderer Kunden für längere Zeit sporadisch bis gar nicht erreichbar waren.
Da die Angriffe in der Nacht geschahen, konnte die initiative Kommunikation mit unseren Uplinkprovidern leider nicht zeitnah umgesetzt werden, was dazu führte, dass die angegriffenen Rechner nicht sofort identifiziert werden konnten. Erschwert wurde die Abwehr dadurch, dass nicht nur ein Kundenserver auf einem Port angegriffen wurde, sondern mehrere Server auf unterschiedlichen Ports den Angriffen ausgesetzt waren.
Die Identifikation der Angriffsziele ist deshalb zur Behebung des Problems wichtig, weil zur Abwehr der Attacke diese betroffenen IP-Adressen typischerweise „außerhalb“ des betroffenen Netzwerkes geblockt werden, um so eine Entlastung des betroffenen Netzes zu erreichen und die Erreichbarkeit der anderen Dienste wieder zu gewährleisten.
Nachdem die betroffenen Server (einer nach dem anderen) einwandfrei identifiziert wurden, konnten wir in Zusammenarbeit mit unseren Uplinks die Angriffe von unserem Netz fernhalten, wodurch unsere Erreichbarkeit wieder hergestellt wurde.
Eine Strafanzeige – gegen Unbekannt – wurde bei der Polizei Hamburg (Polizeikommissariat 31) gestellt. Die Wahrscheinlichkeit, den Urheber des Angriffes zu identifizieren läuft typischerweise leider gegen Null. Unsere Reaktion:
Aufgrund der gewonnen Erfahrungen mit einem kaskadierten Angriff, konnten wir wichtige Informationen sammeln, um auch die Abwehr kaskadierten Angriffen auf unterschiedlichen Ziele (IP-Adressen und Port) besser abzuwehren. Dazu war es nötig die Zusammenarbeit mit unseren (seit 09.2014 neuen) Uplink-Kollegen zu verbessern. Wir sind aktuell dabei, die diesbezüglich optimierten technischen und kommunikativen Prozesse umzusetzen. Dazu gehört neben den technischen Prozessen auch die 24/7-Erreichbarkeit des direkten Netzwerkadministrators unserer Uplinks.
Außerdem werden wir – im Rahmen unseres Umzuges zum Jahreswechsel – im Bereich internes Netz/Uplinktechnik noch leistungsfähigere Technik einsetzen, welche uns weitere Möglichkeiten der Gefahrenabwehr ermöglichen wird. Und wir werden unsere Bandbreite im neuen Rechenzentrum noch weiter erhöhen, so dass wir dann auch in diesem Bereich noch mehr Sicherheit – als bereits vorhanden – vorhalten können.
Zusätzlich zu obigem, werden wir mit den Kunden, für welche ein Ausfall sehr hohe Kosten oder gar rechtliche Folgen verursachen kann, an Konzepten arbeiten um eine Redundanz über unsere Uplinks und IP-Adressbereiche hinweg anbieten zu können.
Mit freundlichen Grüßen – danke für ihr Vertrauen und ihr Verständnis
Ihre Wieske’s Crew GmbH
Statement regarding the inident on Friday, November 14 2014 What happened:
At the night to the 14th of November 2014, some of the servers hosted at the Wieske’s Crew GmbH data center were victim of a Distributed denial of Service (DDoS) attack.
First of all, the server of a specific customer has been attacked on port 80, after which the DDoS has been expanded against other servers and infrastructure systems as well.
This massive attack resulted in a massive overload on our upstream connections, which in turn resulted in periodically unreachable systems of our other customers.
Because the attacks started in the middle of the night, the communication to our uplink providers was not possible in a timely manner, so we were not able to identify the DDoS targets at an early stage. The fact, that the attacks expanded onto multiple servers and ports made it almost impossible to implement our initial countermeasures.
It is vital that the DDoS targets can be clearly identified, so one can block the affected IP addresses at uplink level to restore connectivity to the other services and customers.
After identifying the affected systems, we – with the help of our uplink providers – were able to block the attacks outside of our own backbone, which in turn resolved the problems caused.
We reported an offence against unknown at the local police station in charge. Unfortunately, the chances to identify the person(s) responsible for the attack is next to zero. Our reaction:
Based on the experience with this cascaded attack, we were able to collect some significant information on how to fend off this type of attack in the future. First of all, we improved the communication with our (since Sep. 2014 new) uplink providers. At the moment, we are implementing these improved communication procedures, which does – among others – contains a direct 24/7 on-call connection to the network administration of our uplink providers.
Besides that, we are investing in more powerful and reliable network equipment, which will be implemented during the move to our new data center at the turn of the year. This will enable more capabilities of defending distributed attacks. Additionally, the total bandwidth of our redundant uplinks will also be raised.
Last but not least, we will develop concepts for high-level redundancy hosting for our mission-critical customers.
With kind regards, and thanks for your continued trust and understanding
Wieske’s Crew GmbH
Liebe Kunden und andere Interessierte,
da uns die ersten verunsicherten Kunden anrufen, möchten wir ihnen ein paar für Sie wichtige Informationen zu dem aktuellen „Passwortvorfall“ geben:
Was ist passiert: „Üble Gesellen“ besitzen – lt. Heise – eine Datenbank mit 18 Millionen Logindaten, also der Kombination aus Mail-Adressen und Passwort. Diese Kombinationen wurden und werden wohl immer noch kriminell genutzt.
Das Bundesamt für Sicherheit in der Informationstechnik hat eine Webseite eingerichtet, auf der Sie testen können, ob ihre Mailadresse sich in der Datenbank der Gauner befindet. Dort müssen Sie die zu prüfende Mailadresse angeben und sollte die eingegebene Mailadresse sich in der Datenbank befinden, bekommen Sie eine Mail vom BSI. Sollten Sie keine Mail vom BSI bekommen, ist alles in Ordnung.
Die gute Nachricht: Nach unserem Wissen sind unsere Systeme NICHT penetriert worden. Das heißt SOLLTE ihre Mailadresse sich in der Datenbank befinden, so heißt dies nicht, dass ihr Mailzugang bei uns gehackt wurde. Sollten Sie sich allerdings bei anderen Dienstleistern (Amazon, Ebay, Twitter, Google oder andere) mit derselben Kombination aus Mailadresse und Passwort registriert haben, wie bei dem bei uns befindlichen Mailserver UND ihre Mailadresse bei dem BSI gelistet sein, sollten Sie unbedingt ihr Mailpasswort ändern (lassen).
Sicherheitshinweis: Nutzen Sie NIEMALS das gleiche Passwort bei unterschiedlichen Anbietern. Noch besser ist es – wenn Sie die Möglichkeit dazu haben – für jeden Anbieter, bei dem Sie sich einloggen (müssen) eine eigene Mailadresse zu nutzen.
Was bedeutet diese Änderung der Geschäftsführung für uns und unsere Kunden/Lieferanten?
Wir sind in Zukunft noch breiter aufgestellt und sind so besser auf zukünftige Anforderungen der Branche gewappnet.
Unser Projektsupport wird auf ein breiteres Fundament gestellt, so dass wir neue Geschäftsfelder erschließen können.
In Zukunft werden wir Ihnen z.B. noch günstigere und flexiblere Standleitungen (SDSL) anbieten können, ein Bereich in dem n@work ein großes Portfolio bereithält und langjährige Erfahrung besitzt.
Wir werden auch auf die Rechenzentrumskapazitäten und -flächen der n@work zugreifen können, so dass wir Ihnen bei Bedarf auch Hosting inkl. Notstromaggregat anbieten können
Wie sie sehen sprechen einige gute Gründe für diese Veränderung und den Ausbau der Zusammenarbeit unserer Firmen. Positiv ist auch, dass sich die Mitarbeiter der Unternehmen teilweise schon aus der „vor Firmen Zeit“ (damals, als wir noch mittels UUCP die Daten austauschten und es noch Mailboxen gab) kennen und teilweise freundschaftlich verbunden sind.
Wir freuen uns auf die Zukunft und eine für uns alle fruchtbare Zusammenarbeit.
Zum 01. November 2013 hat sich die Geschäftsleitung der Wieske’s Crew GmbH wie folgt geändert:
Herr Matthias Kühn tritt aus privaten Gründen aus der Geschäftsleitung der Wieske’s Crew GmbH zurück. Herr Thomas Wieske bleibt als Geschäftsführer erhalten und wird durch Herrn Jan Diegelmann als neuer Geschäftsführer in der Geschäftsleitung unterstützt. Verbunden ist diese Änderung mit einer 50%igen Beteiligung der n@work an der Wieske’s Crew GmbH.
Einige von Ihnen kennen Herrn Diegelmann vielleicht bereits als Geschäftführer der Hamburger n@work GmbH. Herr Diegelmann ist – wie Herr Wieske – ein Hamburger „Internet-Urgestein“ und wir arbeiten seit Jahren bereits freundschaftlich und hanseatisch mit der n@work zusammen.
um den störungsfreien Betrieb unseres Rechenzentrums gewährleisten zu können, ist die Wartungen der im Einsatz befindlichen Komponenten zwingend erforderlich.
Wir möchten Sie hiermit darauf aufmerksam machen, dass wir im nächsten Monat eine planmäßige Wartung an unserem Trafo durchführen.
Die Wartung findet am Samstag den 09.03.2013 zwischen 10:00 und ca. 17:00 statt. Da der Trafo für die Durchführung der Wartungsarbeiten stromlos geschaltet werden muss, wird die Stromversorgung unseres Rechenzentrums in dieser Zeit über ein Notstromaggregat sichergestellt. Unsere USV werden die Umschaltung sicher abfedern, diese wurden bereits frisch gewartet.
Wir gehen davon aus, dass die Wartung problemlos durchgeführt werden kann, unsere Technik wird für Notfälle aber vor Ort sein.