DDoS Attacke abgewehrt - Unsere Erfahrungen und wertvolle Tipps zur Absicherung

Christian Häfner 13. Juni 2017 13
DDoS Attacke abgewehrt - Unsere Erfahrungen und wertvolle Tipps zur Absicherung

Eine Distributed Denial of Service (DDoS) Attacke ist eine absichtlich herbeigeführte Überlastung eines Online Dienstes mit dem Ziel, diesen für eine gewisse Dauer unerreichbar zu machen und dem Unternehmen zu schaden.

Wir selbst (FastBill) sind Anfang Mai 2017 von einer Reihe von DDoS-Attacken heimgesucht worden. Da FastBill eine sehr bekannte Marke ist und eine wichtige Rolle in der SaaS-Community spielt, hat diese Situation für uns Signalwirkung. Wir haben uns deshalb entschieden unseren Fall zu veröffentlichen und so dabei durch Teilen unserer Erfahrungen zu unterstützen, dass dieses kriminelle Verhalten auch bei anderen beliebten Services nicht zum Erfolg führt.

Wir möchten betroffene Unternehmen dazu ermutigen, sich nicht einschüchtern zu lassen und nachhaltige Lösungen zu schaffen. Weniger ist auch für uns nicht akzeptabel.

Warum öffentlich?

Unser Ziel ist es, auf die Herausforderungen für Unternehmen und Kunden im SaaS-Markt hinzuweisen und dafür unsere eigenen Erfahrungen und Gelerntes zu teilen. Eine DDoS-Attacke betrifft bei einem Unternehmen mit tausenden aktiven Nutzern - wie bei uns - nicht nur die technische Infrastruktur, sondern wird auch sehr schnell ein Thema der Öffentlichkeit (Stichwort: Shitstorm).

Wir möchten auch zeigen, dass wir an SaaS als Technologie der Gegenwart und der Zukunft glauben, vor allem im Business-Umfeld. Online Services reduzieren Kosten, modernisieren Prozesse und machen Nutzer deutlich effizienter. Und ja, SaaS ist auch in Sachen Datensicherheit Spitzenreiter. Eine DDoS-Attacke hat zwar das Ziel, die Server unerreichbar zu machen, jedoch werden weder Daten gestohlen, noch gelöscht.

DDoS Attacken als Trend unter "Hobby Hackern"

Mit der Entwicklung dubioser Dienste, über die DDoS Attacken mehr oder weniger einfach aus dem heimischen Wohnzimmer "gebucht" werden können, häufen sich die bekannten Fälle immer mehr. Dabei trifft dies nicht nur aufstrebende Tech-Unternehmen im Fokus der Öffentlichkeit, sondern auch namhafte Konzerne, die mit stundenlangen Ausfällen und deren Folgen zu kämpfen haben. Erst im April 2017 waren in Deutschland eBay, Hermes und DHL betroffen, wie t3n berichtete.

In der Regel stecken hinter den DDoS-Attacken Erpressungsversuche, die meist in Form von Lösegeldforderungen eingehen. Auch von uns wurde eine Zahlung in Höhe von 0,5 Bitcoins gefordert, der wir jedoch nicht nachgekommen sind. Wir verhandeln nunmal nicht mit “Terroristen”, ganz gleich wie gering der Betrag ist. Wie häufig im allgemeinen gezahlt wird, ist unklar. Persönlich sind uns aber mittlerweile mehrere Fälle bekannt, die das "Geschäftsmodell der Hobby-Hacker" mit einer Zahlung unterstützt haben. Ein gefährlicher Trend mit falscher Signalwirkung.

Auch die Polizei hat den Trend erkannt und führt vermehrt Razzien durch. Erst am 22.5.2017 wurde beispielsweise ein 24-jähriger Hacker in Bielefeld festgenommen, der für einen Angriff auf die DHL Server verantwortlich sein soll.

Auch in unserem Fall haben wir das LKA Hessen direkt nach dem ersten Angriff eingeschaltet. Eine DDoS-Attacke ist keine Bagatelle, sondern eine bewusste Straftat.

Was geschehen ist...

Am 4. Mai 2017 - genau zwei Tage nach unserer Veröffentlichung über die erfolgreich abgeschlossene Finanzierungsrunde - haben die DDoS-Attacken auf die FastBill-Server begonnen. Offenbar hat die Pressemeldung auch den Angreifer hellhörig gemacht. Auch wenn sich die folgenden Zeilen wie ein Krimi lesen, halten wir es im Sinne der Aufklärung und Transparenz für wichtig diese Einblicke zu gewähren und unsere Erkenntnisse und Verbesserungsmaßnahmen transparent aufzuzeigen, die die Folgen solcher Angriffe in Zukunft verhindern sollen.

Durch die Angriffe waren unsere Websites von FastBill und Monsum (sowie die Anwendungen) über drei Tage für mehrere Stunden nicht erreichbar. Es kam zu keinem Datenverlust und die Datensicherheit war zu jeder Zeit gewährleistet. Lediglich die Erreichbarkeit der Systeme war beeinflusst, sodass tausende Nutzer in der Zeit nicht mit FastBill oder Monsum arbeiten konnten.

Bereits während der Angriffe haben wir transparent über unsere Accounts bei Facebook und Twitter kommuniziert, was passierte. Heute möchten wir in der Rückblende aufzeigen, was konkret an den einzelnen Tagen im Mai 2017 passierte und wie die technischen Lösungen aussehen.

Wer ist “wir”?

Ein Angriff dieser Art betrifft mehrere Beteiligte. In unserem Fall sind das:

  • FastBill (wir), die den Applikationsbetrieb, die Maßnahmen-Koordination und die Applikationssicherheit verantworten,
  • ADACOR Hosting (unser Hoster), die den Infrastrukturbetrieb, die Krisenberatung und die Partnersteuerung verantworten, sowie
  • Link11, die als Partner für die DDoS Mitigation (Traffic-Filterung) beauftragt wurden.

Ablauf der DDoS-Attacken auf FastBill

4. Mai ca 17:00 Uhr

Unser Monitoring schlägt Alarm. Weder die Websites monsum.com und fastbill.com, noch die Anwendungen sind erreichbar. Das Infrastruktur-Team beginnt sofort den Fall zu untersuchen.

4. Mai ca. 17:10 Uhr

Über das Kontaktformular unserer Website erreicht uns eine Erpresser-Nachricht:

Damit war der Fall sehr schnell recht klar. Wir werden angegriffen! Sofort wurde durch unseren Hosting Dienstleister ADACOR Hosting die DDoS Mitigation (Traffic-Filterung) über den Abwehr-Dienstleister Link11 beauftragt.

Bildschirmfoto 2017 06 13 um 15.51.37

4. Mai 18:17 Uhr

Um weitere Abwehrmaßnahmen einzurichten, blieben unsere Server in Abstimmung mit unserem Hoster weiterhin nicht erreichbar. Wir entscheiden uns unsere Kunden über diesen Facebook Post und Twitter zu informieren, auch um die eingehenden Anrufen und E-Mails abzufangen und die Diskussionen an eine zentrale Stelle zu verlagern.

Die Reaktionen sind gemischt, aber überwiegend positiv und verständnisvoll. Der Tenor: "Es kann jeden treffen. Tut uns leid, dass es euch erwischt hat."

Nach ca. 4 Stunden Nicht-Verfügbarkeit (Downtime) war das neue Setup eingerichtet und die Systeme gegen 21 Uhr am Abend wieder erreichbar.

Technische Betrachtung

Unser Hoster reagierte sehr zeitnah und lies die FastBill-IPs per sog. Remote Triggered Black-Holing (RTBH) ins Leere laufen. Ab diesem Zeitpunkt war die Anwendung für unsere Kunden nicht mehr erreichbar. Ein klarer Schritt in unserem Notfallplan bei einer DDoS-Attacke, um unsere Infrastruktur zu schützen und die Angriffsfläche zu nehmen. Parallel hat unser Hoster gemeinsam mit dessen Partner Link11 eine DDoS Protection aufgebaut. Inklusive des Umzugs der IPs hat der Vorgang etwas mehr als 4 Stunden gedauert.

5. Mai ca. 7 Uhr morgens

Erneut gibt es einen DDoS-Angriff auf unsere Systeme. Dieses Mal mit verändertem Angriffsmuster und auf Applikationsebene, sodass die am Vortag eingerichteten Filter und Maßnahmen nicht greifen. Der gebuchte Basischutz von Link11 ist als Grundausstattung ausgelegt und filtert nur Attacken auf Netzwerkebene 2 und 3. Sinnvoll ist daher z.B die Kombination mit einer Application Firewall, aber durch die knappe Zeit haben wir es zunächst beim Basisschutz belassen. Erneut haben wir unsere Server offline genommen, um sie vor dem Angriff zu schützen. Wieder berichteten wir bei Facebook (mit diesem Post). Und wieder Nutzer blieben verständnisvoll, boten teilweise sogar Unterstützung an.

Technische Betrachtung

Der Angreifer startete eine breitere Welle an Attacken mit geändertem Angriffsmuster. Bis der Basisschutz von Link11 das neue Angriffsmuster erkannte und filtern konnte, wurde unsere Firewall von den Angriffen überlastet. Zum Schutz der Infrastruktur wurden unsere Systeme erneut kontrolliert per RTBH offline genommen. In dieser Zeit haben wir zusätzliche Plausibilitätschecks auf Applikationsebene durchgeführt um sicherzustellen, dass der Angriff nicht genutzt werden kann, um von Angriffen anderer Art abzulenken. Darüber hinaus haben wir zu dem Zeitpunkt beschlossen die Firewall Kapazitäten zu erhöhen, um die Anwendung auch ohne Traffic-Filterung resilienter zu machen. Die Vorbereitungen begannen sofort. Die Realisierung wurde für den folgenden Tag terminiert.

5. Mai ca. 18 Uhr

Der dritte Angriff. Wieder ein anderes Muster, wieder wurden die eingerichteten Maßnahmen umgangen, indem auf Applikationsebene angegriffen wird. Doch wir haben gelernt und konnte schneller reagieren. Nach wenigen Stunden waren alle Seiten wieder erreichbar. Bei Facebook steigt die Ungeduld, da Kunden schmerzhafte Einschränkungen in ihrem Arbeitsalltag feststellen. Eine frustrierende Situation für alle Seiten.

Technische Betrachtung

Zwar wurde das Angriffsmuster dieser Angriffswelle deutlich schneller erkannt, jedoch mussten wir unsere Systeme ein weiteres Mal via RTBH offline nehmen bis zur erfolgreichen Filterung durch Link11. Die Last auf der Firewall war weiterhin zu groß.

6. Mai - Samstag mittags

Selbst am Samstag machten die Angreifer keinen Halt. Erneut werden ab mittags unsere Server durch die künstlich herbeigeführte Überlastung in die Knie gezwungen. Da auch dieses Mal die neu eingerichteten Maßnahmen und DDoS-Abwehrfilter umgangen werden konnten, entschliessen wir eine komplett neue Konfiguration der Firewall aufzusetzen.

Aufgrund der positiven Reaktionen auf unsere Transparenz haben wir uns entschieden auch die Lösegeldforderung zu veröffentlichen und unsere Kunden weiter mit ins Boot zu holen. Die neue Infrastruktur-Maßnahmen sollten die wirksamsten sein. Es war der letzte Angriff, der die Verfügbarkeit beeinträchtigt hatte.Bildschirmfoto 2017 06 13 um 15.50.55

Die Stimmung bei Facebook bewegt sich auch dieses Mal zwischen "verständnisvoll" und "fordernd". Ein Nutzer forderte sogar einfach das Lösegeld zu bezahlen, um die Situation zu beenden.

Dieser Angriff am Samstag war der vorerst letzte mit Wirkung in diesem DDoS-Krimi. Wir sind froh, dass die neuen Maßnahmen eingerichtet haben um künftige Situationen wie diese zu verhindern.

Technische Betrachtung

Dieser Angriff erfolgte mit periodisch wechselnden Mustern und zwang unsere Firewall zum letzten Mal in die Knie. Unser Hoster verlegte die Notfallwartung vor und installierte eine neue Firewall. Da es hier um die Einrichtung größerer, neuer Hardware ging, wurde ein Techniker-Team in unser Rechenzentrum in Frankfurt entsandt, um Installation, Testing und Rerouting durchzuführen. Nach der Inbetriebnahme der neuen Firewall-Infrastruktur lief der Betrieb wie geplant neu an. Mögliche Angriffsversuche konnten seit diesem Zeitpunkt unsere Server nicht mehr erreichen.

Was wir gelernt haben

Die Angriffe waren eine intensive Erfahrung, die sowohl für uns, also auch viele unserer Kunden neu war. FastBill ist mittlerweile eine große Marke mit täglich tausenden aktiven Nutzern. Schon ein 1-minütiger Ausfall kann erste Social Media-Meldungen zur Folge haben, auf die entsprechend reagiert werden muss. Das haben wir aus dem aktuellen Vorfall gelernt:

Learning 1: Transparente und professionelle Kommunikation gewinnt!

Angriffe, technische Fehler oder sonstige Unbequemlichkeiten können passieren, in jedem Unternehmen. Wer Schuld daran hat, ist erstmal sekundär. Wichtig ist jedoch, schnell und möglichst transparent zu kommunizieren.

Wir haben gelernt, dass das Wissen um die Sicherheit der Daten und eine professionelle und transparente Kommunikation die Basis für eine vertrauensvolle Beziehung zwischen Software-Anbieter und Nutzer sind.

Und genau darum geht es uns. Unsere Offenheit wurde mehrfach gelobt. Bei den teilweisen negativen Kommentaren haben sich sogar andere Nutzer für uns in Kreuzfeuer geworfen. Ein Nutzer hat sogar geschrieben, dass er aufgrund der Kommunikation einen Tarif buchen wolle.

Die Kommunikation über Facebook und Twitter hat auch unser Support-Team entlastet und die Diskussion für alle Nutzer an einen zentralen Ort verlegt. 

Unser Support-Team hat hier besonders großartige Arbeit geleistet und ohne zu zögern bereitwillig Überstunden geleistet, um an der Kommunikations-Front für unsere Kunden da zu sein. Nicht nur wir als Team sind stärker zusammen gewachsen, auch die Beziehung zu unseren Kunde ist enger geworden. Ein tolles Gefühl.

Wir sind stolz, solche Kunden und solch ein Team zu haben. Und wer weiß, vielleicht gewinnen wir noch einen Preis für diese Aktion:Bildschirmfoto 2017 06 13 um 14.41.14

Learning 2: Informell und ungefiltert kommunizieren. Wir sitzen alle im selben Boot.

Nicht falsch verstehen. Solch eine DDoS- Attacke ist kein Grund für Späßchen. Uns war es dennoch wichtig, menschlich und nahbar zu kommunizieren. Statt einer formellen Pressemeldung oder ähnlichem, haben wir versucht zu vermitteln, dass wir alle im selben Boot sitzen und uns die Situation ebenfalls nervt. Entsprechend haben wir auf jeden Kommentar reagiert, teilweise mit Witz, aber vor allem möglichst schnell. Über mehrere Stunden war Facebook ein Quasi-Chat für uns geworden.

Teilweise haben wir verärgerte Nutzer auch direkt kontaktiert, auch per Facebook und über unsere persönlichen Accounts.

Learning 3: Ruhe bewahren und das Protokoll durchlaufen

Jedes Unternehmen sollte eine Art Krisen- oder Notfall-Kommunikationsplan für solche Fälle in der Schublade haben. Wir setzen für die interne Kommunikation im Team auf Slack und haben dort jederzeit alle Mitarbeiter auf dem Laufenden gehalten. Wer arbeitet gerade woran? Was ist der Status aus dem Rechenzentrum? Was kommunizieren wir wo? Welche neuen Entwicklungen gibt es? Was sagen die Kunden?

Niemand sollte das Gefühl haben im Dunkeln zu sitzen. Jeder kann helfen, wenn alle Informationen vorliegen.

Ein solcher Ausfall stellt auch für die Mitarbeiter an der Kommunikations-Front (Social Media und Support) eine besondere Herausforderung dar. Um ein einheitliches Bild zu vermitteln und keine voreiligen Aussagen zu treffen, ist eine transparente interne Kommunikation bis hin zu involvierten Dienstleistern und anderen Stakeholdern (z.B. Partner, Gesellschafter, technische Zulieferer, etc.) extrem wichtig. Alle müssen aus einem Sprachrohr sprechen.

So haben wir z.B. erst dann öffentlich Entwarnung gegeben, nachdem auch alle Tests abgeschlossen waren, obwohl erste Nutzer bereits seit ca. 20 Minuten wieder "live" waren.

Learning 4: Nicht mit Angreifern verhandeln und frühzeitig die Polizei involvieren

Statt uns auf eine Diskussion mit den Erpressern einzulassen, haben wir nur ein Ziel verfolgt: Die Systeme gegen diese und künftige Angriffe sicher zu machen. Wir verfügen über außergewöhnliche technische Expertise im Team und waren in der Lage Maßnahmen kurzfristig zu entwickeln und umzusetzen.

Wir haben uns direkt nach dem ersten Angriff entschieden die Polizei zu involvieren, auch wenn wir keine Hoffnung in eine kurzfristige Lösung durch ein Sonderkommando erwartet haben. Dieser Schritt ist dennoch wichtig, da es sich 1. um eine offensichtliche Straftat handelt, und 2. um im Falle eines möglichen Gerichtsverfahrens auch zu unserem Recht zu kommen. Die Polizei nimmt DDoS-Attacken im Jahr 2017 ernst.

Learning 5: Nachbereitung. Was ist passiert, was können wir besser machen?

Nur, weil die Systeme wieder laufen, darf das Thema nicht abgehakt werden. Wir haben jeden Schritt und jede Maßnahme analysiert, Verbesserungspotentiale identifiziert und umgesetzt.

Die Erlebnisse waren keine schöne Erfahrung. Weder für unsere Kunden, noch für uns als Team. Um zu zeigen, dass wir besser werden wollen, möchten wir die Transparenz gegenüber unseren Kunden, die wir während der Vorfälle gezeigt haben, auch in Zukunft bei uns im Geschäftsalltag verankern. Wir haben gelernt, wie wichtig das für alle Beteiligten ist. Auch dieser Beitrag ist ein erster Schritt in diese Richtung.

Learning 6: Alles tun, um künftigen Schaden zu vermeiden

Auch, wenn die Angriffe nicht unser Verschulden waren, kann ein Ausfall dieser Art einen Schaden in Form von Arbeitsverhinderung bei unseren Kunden verursachen. Viele Unternehmer hat die Nicht-Verfügbarkeit im Arbeitsablauf beeinträchtigt. Der dadurch entstandene tatsächliche Schaden ist am Ende nicht einfach zu beziffern, aber wir sind uns bewusst, dass es in einigen Fällen zu unbequemen Verzögerungen geführt hat. Wir bedauern das sehr und setzen daher alles daran, um Ausfälle dieser Art in der Zukunft zu vermeiden.

Best Practices von SaaS Security-Experten

Schon immer hatte Datensicherheit oberste Priorität bei FastBill. Im Zuge der Learnings aus dieser Aktion möchten wir jedoch ab sofort verstärkt auf Themen rund um Datensicherheit bei SaaS eingehen.

Daher werden wir in den nächsten Tagen und Wochen Artikel zu Sicherheit aus Nutzersicht, Hosting Strategien, erweiterte Authentifizierungsmethoden, Anti-DDoS-Strategien, und andere relevante Themen verfassen. Wenn du keines dieser Themen verpassen möchtest, trag dich hier ein:

Verpasse keine Security Beiträge von uns

Melde dich hier an für künftige Updates:

Neue Security Funktionen

Neben der Aufbereitung von Wissen zu Security-Themen werden wir darüber hinaus weitere konkrete Funktionen bei FastBill entwickeln, die die Sicherheit in Zukunft verbessern. Ein erstes Feature möchten wir bereits jetzt schon ankündigen: Eine 2-Factor-Authentication ist bereits für die Umsetzung geplant.

Wenn ihr bestimmte Themenwünsche habt, dann schreibt uns gerne einen Kommentar zum Artikel.

Fazit

Wir möchten uns für die Unterstützung unserer Kunden bedanken. Die entstandenen Ausfallzeiten tun uns sehr leid und wir legen alles daran, dass Ausfälle in diesem Ausmaß nicht mehr vorkommen. Vor allem freuen wir uns aber darüber nun mit deutlich verbesserter und sicherer Infrastruktur und einem noch engeren Draht zu unseren Kunden in die Zukunft zu blicken.

Wer möchte, für den stehen wir gerne auch für Einzelgespräche zu diesem Thema (auch telefonisch) zur Verfügung und beantworten alle offen gebliebenen Fragen. Wer lieber E-Mail bevorzugt, schickt uns eine Mail an support@fastbill.com.

Wir wünschen allen, dass sie von solchen Attacken verschont bleiben. Falls nicht, dann hoffen wir zumindest, dass unsere Tipps helfen um gut gewappnet und selbstbewusst damit umgehen zu können.

Viele Grüße

Christian, René, Mario und das gesamte FastBill Team

13 Kommentare

  • Ich finde, ihr habt das alles super gelöst! Danke auch für eure offene Kommunikation. Bei uns gehen die Rechnungen automatisch per Fastbill-API raus. Auch unser System hatte eine Schwachstelle, die wir bisher nicht kannten: Die Rechnungen wurden während des Ausfalls nicht erstellt, da alle Daten ins Leere liefen. Wir haben jetzt unser System abgeändert, sodass bei einem Ausfall von Fastbill alle Daten umgeleitet werden. Manchmal muss eben etwas passieren, damit man hinterher daraus lernen kann. Schließlich ist noch kein Meister vom Himmel gefallen und Sicherheit ist in der IT sowieso immer relativ. Ich hoffe nur, dass ihr nun eine ganze Weile verschont bleibt. Jetzt haben sich alle Mitarbeiter nämlich erstmal Urlaub verdient. :)
  • Top so wünsche ich mir das. Eine Statuspage fänd ich noch super.
    Mit freundlichen Grüßen Richard
  • Hey Richard,

    ist eine super Idee und bereits in Planung bei uns.
  • finde es super dass ihr das so offenlegt & mit kunden auf augenhöhe kommuniziert!
    den halben bitcoin zu zahlen wäre keine option gewesen, denn da wären dann in folge wahrsch. erst richtig die angriffe reingekommen. so seid ihr schon mal gut aufgestellt & vorbereitet. und da die meisten eurer kunden wahrscheinlich keine konzerne mit buchhaltungsteams sind, ist der ausfall m. m. nach auch kein problem — wir die rechnung halt 3 std. später gestellt :)
  • Hi Roland,
    danke für dein Verständnis. Bezahlen war tatsächlich keine Option für uns. Das macht es vermutlich nur noch schlimmer. Ich kenne tatsächlich Fälle, wo schon mehrfach gezahlt wurde. Wir finden, dass diese Attacke auch Signalwirkung in der SaaS-Szene hat. Deshalb haben wir uns auch bewusst dazu entschieden alles so detailliert zu veröffentlichen.
  • Für mich stellt sich eher die Frage: Jeder weis, dass es DDoS Angriffe gibt, und man kann eigentlich damit rechnen, als "bekannter Dienstleister" irgendwann davon betroffen zu sein.
    Warum also hattet ihr keinen entsprechenden Schutz von Haus aus integriert?

    Warum muss immer erst was passieren, damit funktionierende Lösungen integriert werden?

    Für mich stellt sich das eher so dar, daß eben nicht der Datensicherheit oberste Priorität eingeräumt war, sondern man eher nach dem Motto verfuhr "wird uns schon nicht treffen". Erst als es passierte, hat man in ne neue Lösung investiert, unter Zeit- und hohen Kundendruck, was also unterm Strich deutlich mehr gekostet hat, als wenn es vorausschauend eingeplant gewesen wäre.

    Langer Rede kurzer Sinn: Irgendwer im Server-Bereich sollte mal ganz schnell in die Ecke gehen und seine Hausaufgaben machen. Oder aber: er hatte darauf hingewiesen, aber es wurden ihm nicht die notwendigen Mittel zur Verfügung gestellt.
    Da nützt auch alles "offene kommunizieren" nichts, wenn man fröhlich erzählt, dass man die Gefahr kannte, aber nichts dagegen vorgesehen hatte.
  • Hallo Jürgen,

    als CTO von FastBill bin ich für die diese Entscheidungen verantwortlich. Gerne können wir in einem Folgeartikel noch tiefer in unsere Entscheidungsprozesse Blicken lassen wenn es darum geht Abwehrmaßnahmen auszubauen.

    Vorweg nur soviel: DDOS-Angriffe sind in den allermeisten Fällen nicht ohne manuelles Eingreifen abzuwehren, denn eine ganze Kette an Dienstleistern müssen sich koordinieren um während eines DDOS-Angriffes eine Service-Verfügbarkeit für reguläre Kunden zu ermöglichen. Dies ist ebenfalls der Fall wenn man Kunde bei einem großen PaaS oder IaaS Provider ist. Unterschiedliche DDOS Angriffsmuster zielen auf die Überlastung unterschiedlicher Systemkomponenten. Um diese Komponenten jeweils abzusichern bedarf es in jedem Fall einer Fallspezifischen Analyse. Pauschal sind diese Fälle leider nicht abzufangen, da es sich ja schließlich um menschliche Angreifer handelt, welche ihre Taktiken und Muster ständig wechseln um eben genau solche Pauschallösungen zu umgehen.

    Was die Frage nach finanziellem Aufwand betrifft, kann ich dich beruhigen. Unser Hosting Partner Adacor ist alles andere als ein "Billigheimer", wir setzen dort auf eine Professionalität, welche sonst nur DAX-Konzerne genießen, eben weil uns dieser Punkt so wichtig ist.

    Wenn du weitere Fragen hast und mehr Details zu bestimmten Punkten erfahren möchtest, oder uns generell eine Botschaft hinterlassen willst, dann schreib und gerne auch direkt über unseren Support an.

    Beste Grüße,
    Mario
  • Ihr macht tolle Arbeit und ja, auch ich wollte natürlich just an einem dieser Tage dringend eine Rechnung an einen Kunden senden. Aber mein "Ärger" dauerte nur kurz, da ich das Thema auch von anderen Seiten bereits kenne und ihr wirklich eine tolle und qualifizierte Kommunikation via der Social-Media-Kanäle gefahren seid. Danke dafür - macht weiter so! Liebe Grüße aus Österreich
  • Hey Ronald,

    danke dir für das Feedback. Wir sind auch sehr froh, dass viele Kunden so gut reagiert haben bei Facebook und Twitter.
  • Danke für den Artikel. Dazu ein paar Gedanken:
    A) Gute Kommunikation; eine andere Möglichkeit gibt es nicht, um mit sowas umzugehen.
    B) Wie wäre es bei einem skalierbaren Hosting via Google Cloud / AWS / ... gelaufen? "Germany first" wirkt für mich so, dass auf Kompetenzen und Kapazitäten internationaler Anbieter verzichtet wird. Ich kann mir gut vorstellen, dass da einiges anders gelaufen wäre.
    C) Für 2FA wird es Zeit. Go! Gern in Verbindung mit SSO via SAML2 sodass auch eine Anbindung zum Beispiel an Google G Suite möglich ist.
  • Hi Holger,

    auf andere Optionen zur Abwehr von DDOS Angriffen können wir gerne noch einmal in einem Folge-Artikel eingehen, wenn dies ein Anliegen ist.

    Um dem schon einmal vorweg zu greifen: Bei der Auswahl der Partner und Lösungen ist immer der Kontext der zu schützenden Anwendung zu betrachten. FastBill verarbeitet für unsere Kunden höchst sensible und kritische Daten. Diese zu schützen ist unser oberstes Ziel und in der direkten Abwägung auch der Verfügbarkeit vorzuziehen.

    Konkret bedeutet das für uns, dass wir bei der Zusammenarbeit mit den von uns gewählten Partnern sicherstellen können, dass die bei FastBill hinterlegten Daten das Land nicht verlassen und ausschließlich auf deutschen Servern verarbeitet werden. Diese Partner unterliegen - ebenso wie wir - deutschen Gesetzen und sind damit ausschließlich gegenüber deutschen Behörden auskunftspflichtig.

    Bei Lösungen wie zB. Cloudflare können wir dies nicht garantieren. Zudem zeigen Sicherheitslücken wie "Cloudbleed" auch die Schwächen vom Cloudflare-Modell.

    Es gibt jedoch auch Fälle, in denen die Datensicherheit nicht von allerhöchster Wichtigkeit ist (beispielweise bei einer Marketing-Kampagne oder einem Blog), wo es durchaus Sinn machen kann auf das Cloudflare-Modell zurück zu greifen.

    IaaS und PaaS Provider wie Amazon/Microsoft/Google sind auch keine Silberkugel-Lösung gegen DDOS-Angriffe. Man sollte sich auf keinen Fall darauf verlassen, dass ein Hosting bei diesen Providern schon als DDOS-Protection genügt.

    In jedem Fall ist dazu zu raten einen Notfall-Plan zu erstellen, welcher vorher mehrere DDOS-Szenarien berücksichtigt und das entsprechende Gespräch mit seinem Hosting-Dienstleister zu suchen. Nur so lassen sich etwaige Fragen und Verständnislücken im Vorfeld klären.
  • Ich habe mich in den letzten Tagen dabei erwischt wie ich versuche Fastbill den Rücken zu kehren und zu einer offline Lösung zu wechseln. Aber ich liebe diese Einfachheit von Fastbill und habe keine Lust mich durch 100 Menüs zu klicken. Also werde ich euch wohl treu bleiben und sage: macht weiter so und verliert nicht eure Transparenz und den Kontakt zu eurer Kundschaft. Weiter so
  • Hi Helga,
    wir freuen uns, wenn du bei uns bleibst. Nur dank unserer Kunden können wir FastBill noch besser machen (und haben es überhaupt erst hier hin geschafft).

    Wir haben FastBill vor einigen Jahren gegründet, weil uns die offline-Varianten auch nur noch genervt haben. Und sicherer ist das auch nicht. Die Chance, dass dein Computer kaputt geht oder geklaut wird ist tausendfach größer als bei einem Online Service wie FastBill. In dem aktuell Fall wurde auch "nur" die Verfügbarkeit beeinträchtigt, sodass man nicht arbeiten konnte. Die Datensicherheit war jedoch zu jeder Zeit gewährleistet.

Was denkst du?

Mehr als 70.000 Kunden nutzen schon FastBill

Jetzt kostenlos testen!