Update zum DDoS-Angriff auf Tutanota.

An diesem Wochenende wurde ein ausgeklügelter DDoS-Angriff gegen Tutanota gestartet.

Diesen Samstag wurde eine DDoS-Kampagne gegen den sicheren E-Mail-Dienst Tutanota gestartet. Dies führte zu einer mehrstündigen Ausfallzeit, bevor wir diesen komplexen Angriff abwehren konnten. Hier erklären wir, wie sich der Angriff auf Tutanota auswirkte. Wir entschuldigen uns zutiefst für die Downtime und danken allen unseren Benutzern, dass sie uns in dieser schwierigen Zeit beigestanden haben. Wir überprüfen und verbessern derzeit unseren DDoS-Schutz, um ähnliche Angriffe in Zukunft schneller einzudämmen.


Eindämmung des DDoS-Angriffs

Der DDoS-Angriff gegen Tutanota am Samstagabend wurde nach mehreren Stunden gestoppt. Dies war die längste Ausfallzeit von Tutanota in den letzten Jahren. Danach gab es zwei weitere kurze Ausfallzeiten Sonntag- und Montagnacht.

Aufgrund der Ausfallzeit war Tutanota für seine Millionen von Benutzern auf der ganzen Welt nicht verfügbar. Um alle Fragen und Unsicherheiten unserer Benutzer zu beantworten, fassen wir hier die Ereignisse kurz zusammen:

Am Samstag, dem 15. August, wurde ein ausgeklügelter, mehrstufiger DDoS-Angriff gegen Tutanota gestartet, der zu einem Ausfall aller Tutanota-Server führte. Während dieses Angriffs gingen keine Daten verloren.

Wir wissen nicht, wer hinter dem Angriff steckt oder warum die Angreifer Tutanota ausgewählt haben. Es sieht so aus, als wolle jemand verhindern, dass Sie alle sichere und private E-Mails verwenden, aber das werden wir nicht zulassen! Wir sind entschlossen, in allen Bereichen für Ihre Privatsphäre zu kämpfen.

Wir sind sicher, dass unsere Eindämmungsstrategie in Zukunft besser funktionieren wird. Wir sind entschlossen zu unserer üblichen Uptime von rund 99,9% zurückzukehren:

  • April 2020 99,933%
  • Mai 2020 99,871%
  • Juni 2020 99,907%

Hier wollen wir auch die häufigsten Fragen beantworten, die uns über soziale Medien und E-Mail gestellt wurden:

Sind meine Daten sicher?

Ja, alle Daten in Tutanota sind sicher verschlüsselt und können von niemandem - auch nicht von uns - eingesehen werden.

Was geschah mit meinen E-Mails während des DDoS-Angriffs?

Die während der DDoS-Angriffe empfangenen E-Mails wurden in eine Warteschlange eingereiht und später zugestellt. Es gingen keine E-Mails verloren.

Hat jemand Tutanota gehackt?

Nein, der DDoS-Angriff führte zu einem so hohen Zugriffsaufkommen auf unseren Servern, dass diese für unsere Benutzer mehrere Stunden lang nicht verfügbar waren. Die Angreifer haben jedoch nie die Tutanota-Server gehackt oder sich Zugang zu den auf unseren Servern gespeicherten Daten verschafft.

Muss ich mein Passwort ändern?

Nein, eine Änderung des Passworts ist nicht erforderlich. Tutanota speichert Hashes von Passwörtern. Es ist unmöglich, aus diesem Hash das eigentliche Passwort abzuleiten. Daher kann niemand Ihr Passwort kennen, nicht einmal wir bei Tutanota. Um Ihr Passwort zu schützen, verwenden wir bcrypt und SHA256.

Warum wurde Tutanota auf Spam-Listen geführt?

Tutanota wurde am Sonntag und Montag auf Spam-Listen geführt. Dies wurde durch einen Angriff gegen Tutanota mit gefälschten IPs verursacht. Wir haben die Besitzer der Spam-Listen kontaktiert, um Tutanota wieder entfernen zu lassen. Wir untersuchen derzeit, wie ein solcher Angriff in Zukunft verhindert werden kann.

Warum gibt es keine Statusseite für die Verfügbarkeit von Tutanota?

Wir wollten schon lange eine Statusseite veröffentlichen. Als E-Mail-Dienst, bei dem der Datenschutz an erster Stelle steht, können wir jedoch keine Google-Dienste verwenden, um eine Statusseite zu hosten (wie es die meisten Dienste tun). Am einfachsten wäre es, selbst eine Statusseite zu hosten. Dies macht aber keinen Sinn, da die Statusseite auch von einem DDoS-Angriff betroffen wäre.

Deshalb prüfen wir derzeit datenschutzfreundliche Optionen für das Hosting einer Statusseite. Wenn Sie irgendwelche Empfehlungen haben, lassen Sie es uns bitte wissen!

Offline-Verfügbarkeit

Wir haben bereits geplant, Tutanota offline verfügbar zu machen. Wir erwägen nun, die Priorität dieser Funktion zu erhöhen, um den Anforderungen unserer Benutzer gerecht zu werden. Wir verstehen, dass Sie jederzeit auf Ihre Mailbox zugreifen müssen, und wir arbeiten hart daran, dieser Forderung nachzukommen.

Großer Dank an die Gemeinschaft

Abschließend möchten wir der gesamten Tutanota-Gemeinschaft dafür danken, dass sie in dieser schweren Zeit Geduld mit uns hatten. Der DDoS-Angriff hat unserem Kernteam einige schlaflose Nächte bereitet, aber wir haben uns durchgekämpft. Kombiniert mit Ihrer Unterstützung werden wir stärker als zuvor daraus hervorgehen!

Selbst wenn jemand nicht möchte, dass Sie sichere und private E-Mails verwenden, werden wir weiter für Ihr Recht auf Privatsphäre kämpfen.

Vielen Dank für Ihre Unterstützung.