Im Dezember 09 wurde unsere Website zum zweiten Mal Ziel von Hackerangriffen. Vieles deutet darauf hin, dass es sich um die gleiche Urheberschaft gehandelt hat wie im Spätsommer.
Unsere Dampfbahn-Website war wiederum nicht das eigentliche Ziel des Angriffes, da alle Websites betroffen waren, die auf einem bestimmten Grossrechner (Server) unseres Dienstanbieters KreativMedia GmbH eingelagert waren. Eine unbemerkte Sicherheitslücke wird den Angriff ermöglicht haben. Es handelte sich um den Server "hydra.kreativmedia.ch". Andere Server des gleichen Dienstanbieters waren auch diesmal nicht betroffen.

Dass so etwas einmal vorkommen kann, muss zähneknirschend in Kauf genommen werden. Wenn es in so kurzer Zeit gleich zweimal passiert, läuten die Alarmglocken. Sind wir beim falschen Provider?
Sie haben nicht nur bei uns und bei Ihnen geläutet, auch KreativMedia hat sie gehört .... und darauf reagiert!

Ihre Beobachtungen und was tatsächlich passiert ist:

Nach dem Hackerangriff war diese Website nicht mehr zugänglich. Vielmehr kamen eben andere Bilder und die Botschaften der Angreifer herüber. Unsere Webdateien auf dem Server waren wegen einer dienstleister-seitigen Sicherheitslücke überschrieben worden. Nur Seiten, keine Daten!

Für die Wiederherstellung nimmt der Dienstanbieter als erstes den Server vom Netz, trifft danach in der Regel hardwareseitige Massnahmen, setzt zum Beispiel einen physisch anderen Server ein. Doch das können wir nur vermuten.
Danach lädt er die letzte (funktionierende) Sicherheitskopie auf diesen Server, testet die Sache aus und schaltet sich wieder ans Netz. Üblicherweise dauert eine solche Übung wenige Stunden, im Extrem wenige Tage.

In der Nachbearbeitung kann es nochmals zu Unterbrüchen bei den betroffenen Websites kommen. Der Provider hat verschiedene Softwareänderungen vorgenommen, auch Zugangsregeln verschärft, um den Sicherheitstandard anzuheben. Die Umschaltung erfolgte wenige Tage nach dem letzten Hackerangriff und dauerte wenige Minuten.

Dies hat sich für die DFB aber unterschiedlich ausgewirkt: Unsere Entwicklungswebsite, wo zurzeit das neue DFB-Portal aufgebaut wird, war nach diesen wenigen Minuten wieder uneingeschränkt zugänglich. Nicht so die www.furka-bergstrecke.ch, hier blieb unsere in die Tage gekommene Software in den neuen Sicherheitslimiten hängen. Nichts ging mehr. In einer Nacht- und Nebelaktion mussten wir sämtliche Seiten einzeln den erhöhten Standards anpassen, bevor alles nach einem Tag wieder wie gewohnt aussah.

Noch eine Bemerkung zu unserem E-Mail-System@dfb.ch:

Das Mailsystem war nie direkt betroffen von den Hackerangriffen. Indirekt aber schon, denn als der Server danach stillgelegt wurde, lag auch die Mailverwaltung während dieser Zeit flach.

Die Mails werden seit Beginn durch ein Programm verwaltet, das zufälligerweise "HORDE" heisst und wie die Website auf dem Server 'hydra.kreativmedia.ch" beheimatet ist. Beim letzten Neustart des Servers wurde auch die neueste Version von 'Horde' geladen. Bis dann schliesslich durch den Dienstanbieter auch noch alle Startseiten den einzelnen Kunden angepasst werden konnten, hiess die Begrüssung im Webmail leider "Willkommen bei Horde" anstatt des gewohnten "Willkommen bei dfb.ch".

'Hydra' und 'Horde' mögen so kurz nach dem Hackerangriff etwas aggressiv getönt haben, sind aber unbedenklich.

Ihr bedankt sich, dass er damals durch Leute unter Ihnen so blitzartig per SMS auf die leidigen Störungen aufmerksam gemacht wurde.