Der DDoS-Angriff gegen Tutanota am Samstagabend wurde nach mehreren Stunden gestoppt. Dies war die längste Ausfallzeit von Tutanota in den letzten Jahren. Danach gab es zwei weitere kurze Ausfallzeiten Sonntag- und Montagnacht.
Aufgrund der Ausfallzeit war Tutanota für seine Millionen von Benutzern auf der ganzen Welt nicht verfügbar. Um alle Fragen und Unsicherheiten unserer Benutzer zu beantworten, fassen wir hier die Ereignisse kurz zusammen:
Am Samstag, dem 15. August, wurde ein ausgeklügelter, mehrstufiger DDoS-Angriff gegen Tutanota gestartet, der zu einem Ausfall aller Tutanota-Server führte. Während dieses Angriffs gingen keine Daten verloren.
Wir wissen nicht, wer hinter dem Angriff steckt oder warum die Angreifer Tutanota ausgewählt haben. Es sieht so aus, als wolle jemand verhindern, dass Sie alle sichere und private E-Mails verwenden, aber das werden wir nicht zulassen! Wir sind entschlossen, in allen Bereichen für Ihre Privatsphäre zu kämpfen.
Wir sind sicher, dass unsere Eindämmungsstrategie in Zukunft besser funktionieren wird. Wir sind entschlossen zu unserer üblichen Uptime von rund 99,9% zurückzukehren:
Hier wollen wir auch die häufigsten Fragen beantworten, die uns über soziale Medien und E-Mail gestellt wurden:
Ja, alle Daten in Tutanota sind sicher verschlüsselt und können von niemandem - auch nicht von uns - eingesehen werden.
Die während der DDoS-Angriffe empfangenen E-Mails wurden in eine Warteschlange eingereiht und später zugestellt. Es gingen keine E-Mails verloren.
Nein, der DDoS-Angriff führte zu einem so hohen Zugriffsaufkommen auf unseren Servern, dass diese für unsere Benutzer mehrere Stunden lang nicht verfügbar waren. Die Angreifer haben jedoch nie die Tutanota-Server gehackt oder sich Zugang zu den auf unseren Servern gespeicherten Daten verschafft.
Nein, eine Änderung des Passworts ist nicht erforderlich. Tutanota speichert Hashes von Passwörtern. Es ist unmöglich, aus diesem Hash das eigentliche Passwort abzuleiten. Daher kann niemand Ihr Passwort kennen, nicht einmal wir bei Tutanota. Um Ihr Passwort zu schützen, verwenden wir bcrypt und SHA256.
Tutanota wurde am Sonntag und Montag auf Spam-Listen geführt. Dies wurde durch einen Angriff gegen Tutanota mit gefälschten IPs verursacht. Wir haben die Besitzer der Spam-Listen kontaktiert, um Tutanota wieder entfernen zu lassen. Wir untersuchen derzeit, wie ein solcher Angriff in Zukunft verhindert werden kann.
Wir wollten schon lange eine Statusseite veröffentlichen. Als E-Mail-Dienst, bei dem der Datenschutz an erster Stelle steht, können wir jedoch keine Google-Dienste verwenden, um eine Statusseite zu hosten (wie es die meisten Dienste tun). Am einfachsten wäre es, selbst eine Statusseite zu hosten. Dies macht aber keinen Sinn, da die Statusseite auch von einem DDoS-Angriff betroffen wäre.
Deshalb prüfen wir derzeit datenschutzfreundliche Optionen für das Hosting einer Statusseite. Wenn Sie irgendwelche Empfehlungen haben, lassen Sie es uns bitte wissen!
Wir haben bereits geplant, Tutanota offline verfügbar zu machen. Wir erwägen nun, die Priorität dieser Funktion zu erhöhen, um den Anforderungen unserer Benutzer gerecht zu werden. Wir verstehen, dass Sie jederzeit auf Ihre Mailbox zugreifen müssen, und wir arbeiten hart daran, dieser Forderung nachzukommen.
Abschließend möchten wir der gesamten Tutanota-Gemeinschaft dafür danken, dass sie in dieser schweren Zeit Geduld mit uns hatten. Der DDoS-Angriff hat unserem Kernteam einige schlaflose Nächte bereitet, aber wir haben uns durchgekämpft. Kombiniert mit Ihrer Unterstützung werden wir stärker als zuvor daraus hervorgehen!
Selbst wenn jemand nicht möchte, dass Sie sichere und private E-Mails verwenden, werden wir weiter für Ihr Recht auf Privatsphäre kämpfen.
Vielen Dank für Ihre Unterstützung.