Vom 31. August bis zum 8. September 2020 um 10.40 Uhr musste SwissSign Group, unter anderem auch Anbieterin der SwissID, DDoS-Angriffe abwehren. Dies bestätigt die Firma und liefert auf Anfrage von inside-it.ch einen detaillierteren Bericht zu den Vorfällen ab.

9 Tage dauerte die orchestrierte DDoS-Attacke gegen SwissSign Group, einem Joint Venture von staatsnahen Betrieben, Finanzunternehmen, Versicherungsgesellschaften und Krankenkassen, insgesamt.

Das scheint für Aussenstehende sehr lange zu sein. War die Firma ungenügend auf solche Attacken vorbereitet? Der Angriff habe tatsächlich lange gedauert, glaubt ein anerkannter Schweizer IT-Security-Experte und man könne diskutieren, ob diese Firma nicht hätte darauf vorbereitet sein sollen. Er nimmt aber SwissSign Group gleichzeitig in Schutz: "DDoS-Angriffe sind, wenn sie gut orchestriert und komplex aufgesetzt sind, echt schwer zu bekämpfen, wenn die Erreichbarkeit angegriffener Dienste sichergestellt werden soll. Da helfen eigentlich nur genügend grosse Kapazitäten und Scrubbing Services", erklärt er auf Anfrage.

Der Bericht von SwissSign Group gibt einen interessanten Einblick, wie komplex eine DDoS-Abwehr in der Tat ist, und warum nicht einfach spontan ein Service wie Cloudflare vorgeschaltet und zum Alltag übergegangen werden kann.

Zu Beginn, am 31. August morgens, schlugen die Monitoring-Tools bei SwissSign Group erstmals Alarm. In dieser Phase traten Probleme mit unterschiedlichen Services, insbesondere im Bereich Certificate Authority, auf:

"Als erste Massnahme wurde der Wiederaufbau und die Veröffentlichung des BGP-Regelwerks (Border Gateway Protocol) in Angriff genommen. Dies war auf Grund der weltweiten Probleme bei CenturyLink notwendig."

In der Tat wirkte sich ein grossflächiger CenturyLink-Internetausfall am 30.8. auf diverse Internetanbieter aus und legte beispielsweise Dienste wie Cloudflare, Twitter, Amazon und andere lahm.

"Diese Massnahme trug dazu bei, dass einige der Dienste wieder verfügbar waren. Zusätzlich stellten wir aber auch Instabilitäten bei den Firewalls fest", konkretisiert SwissSign.

So wurde der Firewall-Hersteller involviert. Mit diesem habe man den gesamten Cluster neu installiert und aufgesetzt. "Parallel dazu setzten wir einen weiteren, zusätzlichen Cluster ein, um die Abhängigkeit von den neuen Firewalls zu verringern", erklärt SwissSign Group. Nach 3 Stunden Gesamtausfallzeit waren diese Probleme gelöst, aber Ruhe kehrte keine ein.

In der folgenden Nacht traten neue Probleme bei gewissen Dienstleistungen auf. "Der schnell ermittelte Grund war ein massiver DDoS-Angriff. Wir kontaktierten sofort unsere beiden ISPs und erhielten die Bestätigung, dass wir von DDoS-Angriffen betroffen waren. Im Nachhinein stellte sich heraus, dass wir bereits seit mehreren Stunden von DDoS-Angriffen betroffen waren und dass der Ausfall der Firewalls höchstwahrscheinlich ebenfalls durch die DDoS-Angriffe verursacht wurde."

Nun ging es darum, zusammen mit den ISPs und Firewall-Herstellern die Angriffe abzuwehren. Diese dauerten vom 2. September bis zum 8. September 2020 um 10.40 Uhr. "Die Angriffe hielten während der gesamten Zeit an und nahmen an Intensität laufend zu", so der Sprecher.

Den Verantwortlichen sei klar geworden, dass sie aufrüsten mussten, um sich erfolgreich gegen "solch massive und dynamische" DDoS-Angriffe zu verteidigen. "Wir waren zudem mit einem neuen Muster von DDoS-Angriffen konfrontiert. Wir stellten nicht nur Angriffe gegen unsere Standorte fest, sondern wurden auch mit Angriffen direkt gegen die Router unserer ISPs und gegen unser VPN konfrontiert. Die Schwere des Angriffs, die wir erlebten, veranlasste uns, einen der weltweit führenden internationalen Anbieter für DDoS-Schutz (Akamai) hinzuzuziehen."

Dieser habe seine Dienstleistungen sehr professionell und schnell implementiert, so die Firma. Die Angriffe gingen weiter, aber die Abwehr habe prinzipiell funktioniert: "Die Systeme waren entsprechend grösstenteils wieder einsatzbereit und verfügbar."

Bis am 11. September hätten die mit den Attacken verbundenen Arbeiten gedauert, so die Bilanz.

Der Kommentar des Security-Experten zu diesen Aussagen: "Offensichtlich funktioniert das Monitoring, und die Fähigkeit Incidents und Krisen zu managen, scheint mir vorhanden".

Betroffen waren allerdings auch Dritte wie Postfinance und Proton Technologies, Anbieter von Protonmail.

Der Secure-Mail-Anbieter war zum Handeln gezwungen, denn SwissSign ist sein Zertifikatsherausgeber. "Unser Provider, SwissSign AG, ist seit letztem Montag unter DDoS-Angriff, was zu Unterbrechungen unserer Dienste geführt hat. Es ist wichtig zu wissen, dass die Daten unserer Benutzer dadurch nicht gefährdet wurden. Bis SwissSign den Angriff mitigieren kann, haben wir vorübergehend zu einer anderen Zertifizierungsstelle gewechselt", schrieb der Anbieter in einem Blog-Post am 4. September.

Inzwischen hat Proton wieder zurück zu SwissSign gewechselt, wie beide Firmen bestätigen. Dies, weil der Angriff nicht nur abgewehrt worden sei, sondern SwissSign auch Massnahmen getroffen habe, damit solche DDoS-Attacken nicht mehr möglich seien, schreibt Proton.

SwissSign Group präzisiert, man habe nun eine "proaktive 24/7-Überwachung. Neu verfügen wir auch über ein Security Operations Center (SOC), welches die Internetverbindung rund um die Uhr überwacht, und auch die Möglichkeit bietet, in weniger als einer Minute Sofortmassnahmen zu ergreifen, damit mögliche zukünftige, auch noch schwerere Angriffe schnell und erfolgreich abgewehrt werden können", hält der Sprecher fest.

Der unabhängige Schweizer IT-Security-Experte kommentiert dies wohlwollend: "Man kann diskutieren, ob die Firma vorher einen SOC Service hätte etablieren oder einkaufen müssen. Ich bin in der Beurteilung aber vorsichtig, weil ich die Planung von SwissSign Group im Bereich ISMS nicht kenne und damit auch nicht einschätzen kann, ob die Priorisierung und die Umsetzungsgeschwindigkeit im Kontext der Firma und der Risikolandschaft nachvollziehbar ist."

Er hält fest, dass die Firma offen kommuniziere, und zeige, dass sie lern- und adaptionsfähig sei.