Tuta News

Erläuterung der jüngsten DDoS-Angriffe und warum wir keine Drittanbieter bei der Abwehr einsetzen.

Der Schutz vor DDoS-Angriffen ist ein integraler Bestandteil unserer technischen Verfahren, und wir konzipieren unsere Systeme so, dass wir die Angriffsflächen minimieren.

Tuta wurde mit mehreren DDoS-Attacken angegriffen.

Bei Tuta entwickeln wir eine datenschutzfreundliche Alternative zu Big-Tech-Services, damit jeder seine Daten online schützen kann. Dies bringt unseren Dienst in den Fokus von Angreifern aller Art. Infolgedessen wird Tuta regelmäßig mit DDoS-Attacken angegriffen. Während wir diese Angriffe meist unbemerkt abwehren können, haben die Angreifer Anfang Dezember ihre Angriffsvektoren geändert, was zu mehreren Ausfällen in der ersten Dezemberwoche führte. Inzwischen haben wir unsere Methoden zum DDoS-Schutz stark verbessert und unsere Systeme sind in der Lage, diese Angriffe abzuwehren. Wir möchten nun erklären, was passiert ist und wie wir die Angriffe abgewehrt haben.

Warum wir Angriffe selbst abwehren müssen

Wir arbeiten zwar mit Partnern zusammen, um Angriffe abzuwehren, die sich auf die Bandbreite konzentrieren, wie z. B. groß angelegte Reflexionsangriffe, aber wir tun dies auf eine Weise, dass wir die volle Kontrolle über die Daten unserer Nutzer behalten. Das ist anders - und viel datenschutzfreundlicher - als das, was die meisten unserer Wettbewerber tun:

Die Entschärfung von DDoS-Angriffen wäre viel einfacher, wenn wir unseren Datenverkehr von Dritten entschlüsseln und auf deren Servern in einem so genannten Scrubbing Center untersuchen lassen würden. Als Alternative speisen einige unserer Konkurrenten den entschlüsselten Datenverkehr in geschlossene Drittanbieter-Appliances (Black Boxes) ein. Beide Methoden bedeuten jedoch, dass wir die Kontrolle über die Daten unserer Kunden verlieren würden.

Das ist für uns bei Tuta keine Option: Sie vertrauen uns, dass wir Ihre Daten vertraulich behandeln - und deshalb müssen wir DDoS-Angriffe ohne die Hilfe solcher Drittanbieter-Appliances abwehren. Wir sprechen hier von sehr sensiblen Daten wie IP-Adressen und Zugangskennungen, die es dem Anbieter ermöglichen würden, sich als Benutzer auszugeben und sogar Benutzerdaten zu löschen. Außerdem könnte der Anbieter die Zuordnungen von IP-Adressen zu Benutzerkennungen nachverfolgen - mit anderen Worten: Dritte würden wissen, welche IP-Adresse zu welcher E-Mail-Adresse gehört.

Da wir bei Tuta Ihre Privatsphäre unter allen Umständen schützen wollen, ist der Einsatz von Drittanbieter-Anwendungen nicht möglich.

Was ist passiert?

Bei Tuta wehren wir DDoS-Angriffe selbst ab, um die Daten unserer Nutzer so gut wie möglich zu schützen. Dieses hohe Maß an Vertraulichkeit und Sicherheit hat jedoch seinen Preis. Wir müssen DDoS-Angriffe selbst abwehren und außerdem einen großen Teil unserer verfügbaren Entwicklungs-Zeit in die Implementierung von Schutzmaßnahmen gegen DDoS-Angriffe investieren. Wir werden sehr oft angegriffen, und in der Regel bemerken unsere Nutzer nicht, dass wir angegriffen wurden, da wir fast alle Angriffe ohne Ausfallzeiten abwehren können.

Das war Anfang Dezember anders. Alles in allem hatten wir eine Ausfallzeit von 2,5 Stunden, verteilt über fünf Tage. Die längste Ausfallzeit am Stück betrug 80 Minuten. Wir bedauern diese Unannehmlichkeiten sehr. Wir verstehen, dass dies nicht akzeptabel ist. Deshalb haben wir in diesen fünf Tagen nicht nur die Angriffe abgewehrt, sondern auch unsere Schutzmaßnahmen angepasst und verbessert.

Wir haben festgestellt, dass vor drei Wochen ein Fehler eingeführt wurde. Dieser Fehler war die Ursache dafür, dass die automatischen Abwehrmaßnahmen nicht mehr so reibungslos funktionierten wie zuvor, und wurde sofort behoben. Außerdem haben wir zwei andere Schutzmaßnahmen gegen DDoS-Angriffe aus groß angelegten Botnetzen drastisch verbessert. Das haben wir so gemacht, dass wir diese Botnets jetzt innerhalb von Sekunden erkennen und blockieren können. Tatsächlich haben wir selbst die letzten Angriffswellen auf unsere eigenen Server nicht einmal bemerkt, da die neuen Abwehrmechanismen so gut funktionierten, dass sogar die Serverlast in einem völlig normalen Bereich blieb. Das bedeutet auch, dass Sie - unsere Nutzer - diese Angriffe ebenfalls nicht bemerkt haben. So soll es sein, und wir freuen uns sehr über diesen Erfolg!

Mit all diesen Verbesserungen haben wir nun sehr gute Maßnahmen ergriffen und blockieren alle Arten von Angriffen, von volumetrischen Reflexionen bis hin zu verteilten Botnetz-Angriffen.

Heißt das, dass Tuta nicht mehr anfällig für DDoS-Angriffe ist? Leider lautet die Antwort nein. Wir wollen hier ganz ehrlich sein: Wir tun viel, um nicht nur den sichersten E-Mail- und Kalenderservice mit quantensicherer Verschlüsselung zu bauen, sondern wir investieren auch viel in unsere Zero-Knowledge-Architektur und in unser gesamtes Tech-Stacks. Indem wir die volle Kontrolle über unsere Server, unsere Infrastruktur und die von uns verwendete Software behalten, können wir Ihre Daten und Ihre Privatsphäre am besten schützen - einschließlich Ihrer IP-Adresse. Wie bereits erläutert, macht dies die Dinge für uns schwieriger, aber den Datenschutz für Sie viel besser. Auch wenn unsere Systeme heute in der Lage sind, verschiedenste Arten von Angriffen abzuwehren, ist es immer möglich, dass ein Angreifer in der Zukunft neue Angriffsvektoren entwickelt.

Aber selbst wenn dies der Fall sein sollte, wissen wir, dass wir in der Lage sind, unsere Schutzmaßnahmen schnell und angemessen zu verbessern.

Großer Dank an die Gemeinschaft

Wir bei Tuta sind sehr dankbar für unser hervorragendes Team, das sich um die Entschärfung dieser DDoS-Angriffe kümmert. Und wir sind noch dankbarer für unsere hervorragende Community, die uns die Treue hält und dies sogar auf Reddit zum Ausdruck bringt.

Wie immer müssen wir sagen: Ohne euch wären wir nicht hier und eure Unterstützung bedeutet uns die Welt! Zusammen mit eurer Unterstützung werden wir noch stärker als zuvor aus dieser Situation hervorgehen! 💪💪💪

❤️ Vielen, vielen Dank! Wenn Sie uns in diesen schwierigen Zeiten unterstützen möchten, können Sie gerne spenden oder Ihren Account upgraden. ❤️

Auch wenn jemand nicht möchte, dass Sie sichere und private E-Mails nutzen, werden wir weiter für Ihr Recht auf Privatsphäre kämpfen.

Tuta Team Tuta Team Das Tuta-Team dankt Ihnen für Ihre Unterstützung in diesen schwierigen Zeiten.

An dieser Stelle möchten wir auch die häufigsten Fragen beantworten, die uns über Social Media und per E-Mail gestellt werden:

Sind meine Daten sicher?

Ja, alle Daten in Tuta sind sicher verschlüsselt und können von niemandem eingesehen werden - nicht einmal von uns.

Was ist mit meinen E-Mails während des DDoS-Angriffs passiert?

Die während der DDoS-Attacken eingegangenen E-Mails wurden später zugestellt.

Hat jemand Tuta gehackt?

Nein, die Angreifer haben weder die Tuta-Server gehackt noch sich Zugang zu den auf unseren Servern gespeicherten Daten verschafft. Es wurden keine Daten entwendet.

Muss ich mein Passwort ändern?

Nein, eine Änderung des Passworts ist nicht notwendig. Tuta speichert Hashes von Passwörtern. Es ist unmöglich, aus diesem Hash das eigentliche Passwort abzuleiten. Niemand kann also Ihr Passwort kennen, nicht einmal wir von Tuta. Um Ihr Passwort zu schützen, verwenden wir Argon2.

Offline-Verfügbarkeit

Auf Tuta Mail und Tuta Calendar kann offline zugegriffen werden, wenn Sie eines unserer kostenpflichtigen Abonnements in den mobilen Tuta-Apps für Android und iOS sowie in den Desktop-Clients für Linux, Windows und macOS nutzen. Wir planen auch, den Schreibzugriff zu aktivieren, wenn Sie offline sind, damit Sie Nachrichten entwerfen können, um sie später zu senden. Da wir gerade unsere Roadmap für 2025 planen, werden wir den Offline-Schreibzugriff definitiv priorisieren.

Illustration eines Telefons mit Tuta-Logo auf dem Bildschirm, daneben ein vergrößertes Schild mit einem Häkchen, das die hohe Sicherheit der Tuta-Verschlüsselung symbolisiert.